Hallo an alle,

ich Surfe nur sehr selten mit dem IE, normalerweise mir firefox.

Seit ein paar Tagen hat mein IE aber folgende "Macke"

Wenn er nicht offen ist, ich also in anderen Programmen rummach, ega was. Dann öffnet sich kurz der Iexplorer.exe Prozess. Man sieht auch für eine Millisekunde den IE aufgehen... aber dann auch sofort wieder zu. Das ganze nervt während Film schauen, zocken und auch Arbeiten sehr... Hoffe hier ist jemand der mir dabei helfen kann...

Google findet nix.

Danke im Voraus

Gruss

FloW

Lass mal Hijackthis über dein System laufen. Auswertung bei www.hijackthis.de oder du postest dien Logfile hier.

Hier der Logfile von HjackThis:

Logfile of HijackThis v1.98.2
Scan saved at 13:09:23, on 04.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alias\Maya6.0\docs\Wrapper.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alias\Maya6.0\docs\jre\bin\java.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\Wtablet\TabUserW.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\DOWNLOADS\Programme\Viren und Firewalls\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKCU\..\Run: [System] C:\WINDOWS\csrss.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O8 - Extra context menu item: Sothink SWF Decompiler - C:\Programme\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: SWFDecompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Decompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm

Hi,

Zitat:

O4 - HKCU\..\Run: [System] C:\WINDOWS\csrss.exe

==> ist der hier
ich vermute da ist noch mehr drin, scanne da mal mit eScan. Haken setzen bei All Local Drives und All Scan Files

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

so. escan ist durch.. hier mal die ergebnisse:

Mon Apr 04 14:44:09 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD
Mon Apr 04 14:44:24 2005 => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken.
Mon Apr 04 14:44:24 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 04 14:44:24 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken.
Mon Apr 04 14:44:24 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken.
Mon Apr 04 14:44:26 2005 => File C:\WINDOWS\csrss.exe infected by "Trojan-PSW.Win32.PdPinch.gen" Virus. Action Taken: No Action Taken.

Mon Apr 04 14:44:26 2005 => File C:\WINDOWS\csrss.exe infected by "Trojan-PSW.Win32.PdPinch.gen" Virus. Action Taken: No Action Taken.

Mon Apr 04 15:59:13 2005 => File C:\out.bin infected by "Trojan-PSW.Win32.LdPinch.pas" Virus. Action Taken: No Action Taken.

Mon Apr 04 15:59:13 2005 => Scanning File C:\pagefile.sys
Mon Apr 04 15:59:13 2005 => Result: ERROR!!! File C:\pagefile.sys: Scanning Failure!!!
Mon Apr 04 15:59:13 2005 => ERROR!!! ScanFile fails for C:\pagefile.sys

Mon Apr 04 16:50:09 2005 => File C:\WINDOWS\csrss.exe infected by "Trojan-PSW.Win32.PdPinch.gen" Virus. Action Taken: No Action Taken.
Mon Apr 04 17:07:43 2005 => Total Objects Scanned: 117270
Mon Apr 04 17:07:43 2005 => Total Virus(es) Found: 24
Complete

das wars... hoffe ihr könnt mir helfen die teile zu kicken..

Gruss

FloW

Zitat:

Mon Apr 04 17:07:43 2005 => Total Virus(es) Found: 24

da fehlen doch noch welche, oder..

nein, das sind alle die ich gefunden habe mit suche nach infected..

FloW

Wenn du nach tagged suchst, dann findest du auch den Rest...

Du bist dir über die Gefahr im Klaren, dass eventuell alle deine Passwörter ausspioniert wurden, Tastenfolgen aufgezeichnet wurden...
Leider ist noch keine genaue Beschreibung des Trojaner verfügbar, aber hier ein 'Verwandter' -> http://www.sophos.com/virusinfo/anal...jldpinchw.html.

Imho sollte dein System neu aufgesetzt und alle verwendeten Passwörter geändert werden, siehe Signatur.

--> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung
folgende Einträge:

O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O4 - HKCU\..\Run: [System] C:\WINDOWS\csrss.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

solltest Du folgendes nicht kennen auch fixen:

O8 - Extra context menu item: Sothink SWF Decompiler - C:\Programme\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra button: SWFDecompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Decompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm

lösche von hand folgende Dateien:

C:\WINDOWS\csrss.exe
C:\out.bin

wenn Du es nicht kennst:

C:\Programme\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm


neu booten neues hJT posten

ist das teil denn damit dann auch ganz weg. ich benutze mein notebook hauptsächlich beruflich... und kann mir definitiv nicht leisten dass passwörter ausspioniert werden.. weil wenn nicht kann ich mir das auch sparen und meinen rechner gleich neu aufsetzen???

Gruss

FloW

p.s. werde das mit dem per hand löschen mal morgen in angriff nehmen...