HI!

Also schonmal vorweg: Ich hab so gut wie keine Ahnung von trojanern etc.

So nun habe ich folgendes Problem:
Ich habe seit gestern das Problem das "explorer.exe." und "iexplorer.exe" nach einiger Zeit abstürzen. Ich hab ad-aware und mc-affee durchlaufen lassen, nix gefunden. Najo, dachte mir lag vll daran das mein PC ausgelastet war, oder so.
Heute morgen geh ich an meinem Rechner und es klappte alles anfangs wunderbar. Doch plötzlich schloss sich mein IRC, mein ICQ und der Internet Explorer. Aus meinen PC Boxen kam die ganze Zeit so ein Klicken, also der gleiche sound kommt auch wenn ich auf nen Ordner oder ne Datei en Doppelklick mach. Ich hab aber die Maus gar net angefasst, als das Klicken kam,....
Das komische ist nun: Ich kann kein Programm mehr öffnen, das Internet braucht. Die stürzen immer wieder ab. Ich kann nichtmal versuchen meine Virenproggs zu updaten. Jedesmal kommt die Meldung das der Zielhost nicht erreicht werden kann.
Aber das seltsamste an der ganzen Sache ist, das das komplette Netzwerk diese Probleme nicht hat, NUR MEIN PC. Obwohl an meinem Rechner das Modem angeschlossen ist.

Ich hoffe das ist alles verständlich geschrieben.
Und ich hoffe mir kann jemand helfen, ist echt verdammt wichtig! Danke

Erstmal willkommen im Forum!

Hmm, ich würd jetzt mal sagen, dass du dir HijackThis mal kostenlos downloadest und dann das Log hier postest.

Download: http://www.chip.de/downloads/c_downloads_11353576.html

hi!
Danke [img]smile.gif[/img]

Das Problem ist leider, das ich immer von einem Rechner zum anderem rennen muss. Aber ich bekomm das schon irgendwie auf die Reihe [img]smile.gif[/img]


edit: Nun habe ich folgendes problem: Ich kann die logfile nicht übers lokale Netzwerk von meinem Rechner auf diesen Rechner hier ziehen, da der Trojaner / Wurm auf meine PC anscheinend diese Funktion blockt.
Total seltsam. Naja ich machas dann halt auf dieskette und poste das dann hier nochmal

[ 04. April 2004, 15:52: Beitrag editiert von: fraggle2k ]

so hier die logfile:

Logfile of HijackThis v1.97.7
Scan saved at 15:55:29, on 04.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\HP\KBD\KBD.EXE
C:\WINDOWS\Logi_MwX.Exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe
C:\Dokumente und Einstellungen\Mave\Eigene Dateien\xpstyle\243_242_mtwtheme\mtwtheme\TClock.exe
C:\Programme\Ahead\Nero StartSmart\NeroStartSmart.exe
C:\Programme\Ahead\nero\nero.exe
C:\Dokumente und Einstellungen\Mave\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mymtw.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de7.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de7.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = powered by mymTw.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://de7.hpwis.com/
O2 - BHO: (no name) - {F195A1A9-4033-4E5B-B85C-848C3E31A83A} - C:\WINDOWS\system32\syslibie.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [GLSetIT32] C:\windows\system32\msiexec16.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Startup: Registration-Studio 8 LE.lnk = C:\Programme\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Startup: TClock.lnk = C:\Dokumente und Einstellungen\Mave\Eigene Dateien\xpstyle\243_242_mtwtheme\mtwtheme\TClock.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: NeoTrace It! (HKCU)
O10 - Broken Internet access because of LSP provider 'lsp.dll' missing
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{58DC40AA-1773-4188-9627-2A10C0936CDA}: NameServer = 62.27.27.62 195.185.185.195
O17 - HKLM\System\CCS\Services\Tcpip\..\{A465E662-2994-4C50-A0C8-6600DCE5CA56}: NameServer = 212.122.137.24

oh sorry, hab den post wohl gleichzeitig mit dir geschrieben.. jo ich mach malwas du sagst.

[ 04. April 2004, 17:32: Beitrag editiert von: fraggle2k ]

dies hier mal fixen,

</font><blockquote>Zitat:</font><hr />
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mymtw.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de7.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de7.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = powered by mymTw.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://de7.hpwis.com/
O2 - BHO: (no name) - {F195A1A9-4033-4E5B-B85C-848C3E31A83A} - C:\WINDOWS\system32\syslibie.dll
O4 - HKLM\..\Run: [GLSetIT32] C:\windows\system32\msiexec16.exe &lt;--- optix pro 1.32 trojaner!!!
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
</font>[/QUOTE]bitte suche diese "syslibie.dll" und lösche diese!

bei dem trojaner, kontrolliere bitte auch diese einträge in der registry!

HKEY_LOCAL_MACHINE\Software\Microsoft\RAS Autodial\Control
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings "EnableAutodial"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Hardware Profiles\Current\Software\Microsoft\Windows\CurrentVersion\Internet Settings "EnableAutodial"

hab soweit alles gefixt und gelöscht, aber das Problem besteht weiterhin... so langsam verzweifle ich :\

Gibt es denn Möglichkeiten wie ich mich in Zukunft vor solche unerwünschten Dateien schützen kann?

Browser / Firewall / Updates / ... ?

Hm ich hatte übersehen das ich die "syslibie.dll" löschen soll, habs gerade versucht.
Aber dann erscheint die Fehlermeldung: ... kann nicht gelöscht werden. Stellen sie sicher das sie nicht schreibgeschützt ist oder gearde in Verwendung ist. Also schreibgeschützt ist sie nicht, soweit ich das sehen konnte. Aber ob sie gerade in Verwendung ist weiß ich nicht. WIe kann ich das beheben?

starten im abgesicherten Modus und löschen (versuchen)

danke werd ich direkt mal testen!!!

Also löschen konnte ich es. Aber es hat leider NIX geholfen.

[ 04. April 2004, 18:32: Beitrag editiert von: fraggle2k ]

Das Problem besteht immernoch. Systemwiederherstellung hab ich versucht, kann aber nicht durchgeführt werden. Warum weiß ich allerdings auch nicht.

Ist denn wirklich niemand hier, der weiter weiß?
Ansonsten hilft nur format c... denk ich ma. [img]graemlins/headbang.gif[/img]

Stürzt wirklich "iexplorer.exe" ab?
Der Internetexplorer heißt nämlich iexplore.exe (ohne R).
Schau mal was in der hosts Datei drinnen steht.

edit c:\windows\system32\drivers\etc\hosts

Ach ja, so testweise kannst Du mal AdAware und Spybot S&D durchlaufen lassen, link siehe meine Sig.

Welches AV-Programm nutzt Du nochmal?

</font><blockquote>Zitat:</font><hr />Original erstellt von fraggle2k:
O4 - HKLM\..\Run: [GLSetIT32] C:\windows\system32\msiexec16.exe</font>[/QUOTE]Backdoor.OptixPro

Dir bleibt nur eine sinnvolle Lösung:
Formatieren und System neu aufsetzen. Keine ausführbaren Dateien mehr aus der verseuchten alten Installation verwenden.

http://www.sophos.ch/virusinfo/analy...joptixp13.html

Erläuterung

Troj/OptixP-13 ist ein Backdoor-Trojaner, der im Hintergrund läuft und unbefugten Fernzugriff auf den Computer über ein Netzwerk ermöglicht.

Troj/OptixP-13 verschiebt sich in den Windows- oder Windows-Systemordner mit einem vordefinierten Namen, wie z. B. explorer.exe oder msiexec16.exe, und fügt Einträge zur Registrierung hinzu unter:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
und/oder
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Dadurch wird er beim Systemneustart aktiviert.

Troj/OptixP-13 gibt die Infektion bekannt, indem er eine ICQ-Nachricht über die Webadresse web.icq.com sendet.
Wiederherstellung
Bitte folgen Sie den Hinweise zum Entfernen von Trojanern.

Sie müssen außerdem die folgenden Registrierungseinträge bearbeiten, sofern sie vorhanden sind. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung.

Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.

Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.

Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
und/oder
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Entfernen Sie alle Verweise auf die von Ihnen gelöschten Dateien.

Schließen Sie den Registrierungseditor.


lade Dir mal auf einem anderen PC ein Update für Dein AV-Programm oder das Trial-Prog von Sophos http://www.sophos.ch/products/sav/eval/

Sei Dir aber bewußt wenn Du NICHT das System komplett neu Aufsetzt, dass noch was versteckt im System sein kann, denn schließlich soll dies ein Backdoor-Trojaner gewesen sein.

Da gibt es kein Wenn und Aber: das System gehört neu aufgesetzt.

Shadow, mußtest Du denn unbedingt noch Deinen Senf dazu geben? mmk hatte doch bereits die einzig richtige Lösung gepostet, und Dein Beitrag trägt eher zur Verwirrung des Users bei.

Optix wurde übrigens bereits im sechsten Beitrag identifiziert. Von da an war eigentlich alles klar.

Cobra