|
Plagegeister aller Art und deren Bekämpfung: Explorer verschickt CLASSES.DATWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.09.2005, 19:50 | #1 |
| Explorer verschickt CLASSES.DAT Kennt jemand dieses Verhalten, dass der Internet-Explorer 6 (der Prozess EXPLORER.EXE) genau alle 5 Minuten bei einer bestehenden Onlineverbindung selbständig 5 IP-Adressen anwählt, und an diese die Daten von CLASSES.DAT verschickt. Ist das normal, ist das ein Bug oder ein Feature von MS oder ist das ein Verhalten eines Virus/Backdoor/etc ? (Mehrere Virenscanner konnten KEINEN Virus feststellen!) Mir erscheint das jedenfalls äusserst seltsam, und ich würde das gerne abstellen. (Nicht nur Port´s oder IP´s blocken, sondern die URSACHE beseitigen) |
19.09.2005, 19:52 | #2 |
| Explorer verschickt CLASSES.DAT Poste zunächst einmal einen Hijackthis-Logfile .
__________________
__________________ |
19.09.2005, 21:33 | #3 |
| Logfile nachträglich: Logfile of HijackThis v1.99.1
__________________Scan saved at 21:20:54, on 2005-09-19 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe C:\WINNT\System32\svchost.exe C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe C:\Programme\TotalCMD\TOTALCMD.EXE C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:\\www.google.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.google.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O14 - IERESET.INF: START_PAGE_URL=http:\\www.google.de O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = mydomain.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = mydomain.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = mydomain.local O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINNT\System32\dcom_9.dll O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe Bei der automatischen Überprüfung wurden KEINE Probleme erkannt! |
19.09.2005, 22:03 | #4 |
| Explorer verschickt CLASSES.DAT Hallo simpeluser, der ist bei Dir: http://www.sophos.de/virusinfo/analy...ojagentfg.html Wechsel in den abgesichertem Modus http://www.systemwiederherstellung-d...indows-xp.html fixen (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken): O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINNT\System32\dcom_9.dll Manuell Löschen: C:\WINNT\web\related.htm C:\WINNT\System32\dcom_9.dll Desweiteren führe dies aus: Lade Dir clearprog 1.4.1 final und nimm eine Datenträgerbereinigung vor (Programm starten Häckchen bei "Alles Löschen" und auf "Löschen" klicken). Lösche ebenfalls den Quaratäne-Ordener Deines Antivir-Programmes. Scanne dann Dein System mit Escan . Biite erst aufmerkam lesen und dann scannen. Teile das Ergebnis mittels der "find.bat" mit. dartus
__________________ Kein Support per PN |
Themen zu Explorer verschickt CLASSES.DAT |
5 minuten, beseitigen, blocken, daten, erscheint, explorer, explorer.exe, feature, interne, internet-explorer, ip-adresse, konnte, mehrere, minute, minuten, prozess, scan, scanner, selbständig, seltsam, stelle, verhalten, verschickt, virenscan, virenscanner, würde, wählt |