Zu Hülfe, ich habe folgendes Problem. Wenn ich meinen IE 6 anklicke, geht er kurz auf und plopp wieder zu. Öffne ich den Task-Manager (STRG + Alt+entf) zeigt er mir in Programme an Internet Explorer ( ist aber gar nicht geöffnet!). Dann ist der Eintrag wieder weg, nach ein paar Sec. wieder da... und so geht das ständig. Hab den PC paar mal neu gestartet, nutzt nix.

AntiVir durchlaufen lassen, zeigt an Worm/Lexi.A. Weiss leider nicht wo das Ding sein soll, Freund hats weggedrückt. Lass jetzt noch mal Virenscanner über n8 laufen, wollt aber schon mal wissen ob das überhaupt was mit dem "nichtöffnen meins Internet Explorers" zu tun hat oder ob es vielleicht wieder nur mal eine Fehlermeldung von meinem AntiVir ist. Habe Win XP mit SP2 drauf und hab ehrlich gesagt nicht viel Ahnung in Sachen PC. Kann mir vielleicht Jemand helfen? Danke schon mal * *..........ach ja, ich kann hier nur grad schreiben, weil ich noch eine 2. Version von Windows auf meinem PC habe und da funzt der IE.

Servus!
Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier!
stupormundi

Hi, äh ja, Moment ....


Logfile of HijackThis v1.99.1
Scan saved at 08:17:41, on 25.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\_AASicherheit\Sygate\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOINTGR.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\_AASicherheit\ANTISPY\Pest Patrol2005\PPActiveDetection.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\_AASicherheit\Spamfighter\SFAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\ServiceLayer.exe
C:\Programme\STK013\STK013M.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\CPUCooL\CooLSrv.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\wanmpsvc.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\DOKUME~1\Opper\LOKALE~1\Temp\mdm.exe
C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\AVPersonal\INETUPD.EXE
I:\download-exe\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =h**p://www.mediamarkt.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: MSNToolBandBHO - {49E0E0F0-5C30-11D4-945D-000000000000} - C:\WINDOWS\system32\msntb.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: (no name) - {5AA06644-BC46-4220-A460-47A6EB47C96D} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [iKeyWorks] REM C:\PROGRA~1\HotKeys\Ikeymain.exe
O4 - HKLM\..\Run: [KernelFaultCheck] REM %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\_AASIC~1\Sygate\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [RAM_DEFRAG] REM
O4 - HKLM\..\Run: [Picasa Media Detector] REM I:\Foto- programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programme\_AASicherheit\ANTISPY\Pest Patrol2005\PPActiveDetection.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] REM I:\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\_AASicherheit\Spamfighter\SFAgent.exe" update delay 60
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [1&1 EasyLogin] "C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE
O4 - HKCU\..\Run: [AutoStart-Manager] D:\Tools\Autostart Manager\AutoStart-Manager.exe /AUTOSTART
O4 - HKCU\..\Run: [NBJ] REM "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [PcSync] REM I:\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: STK013 PNP Monitor.lnk = ?
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://www.mediamarkt.de
O16 - DPF: RaptisoftGameLoader - h**p://real.gamehouse.com/real/games/raptisoft/raptisoftgameloader.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - h**p://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - h**p://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {DC187740-46A9-11D5-A815-00B0D0428C0C} - h**p://www.wella.de/consumer/consumer_products/viva/farbberatungv/viva3/setup.cab
O16 - DPF: {FDC847F8-DA70-4442-8072-FF883F34D14A} - h**p://toolbar.dasoertliche-marketing.de/toolbar/custom/mapandroute/download/DasOertlicheSuchLeiste.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\_AASicherheit\Sygate\smc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Servus!
Sieht so aus als würde das hier http://www.doxdesk.com/parasite/NavExcel.html Deine Probs verursachen!

Zitat:

Stability problems
Versions up to at least 2.0.4 of NavExcel (the latest at the time of writing) are incompatible with Windows XP Service Pack 2, and will cause both Internet Explorer and Windows Explorer (the main Window user interface) to crash every time they are started. Such a system will have to be rescued from Safe Mode or by using System Restore.

Diese Einträge gehören dazu (Reste davon)

Zitat:

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
...
O2 - BHO: (no name) - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - (no file)

Schau mal in der Systemsteuerung-->Software (Programme), ob dort eine Software ‘NavHelper’ (oder andere, Dir unbekannte Software) zu finden ist. Wenn ja, deinstallieren.
Im abgesicherten Modus die beiden oben angeführten Einträge fixen (<--siehen Bedienungsanleitung HJT)
Diese/r Eintrag/Datei

Zitat:

C:\Programme\STK013\STK013M.exe

ist mir unbekannt. Lass´ diese Datei bei http://virusscan.jotti.org/de prüfen und poste das Ergebnis anschließend hier. Falls Du eine Fehlermeldung (0 bytes ...) bekommst, beende den zur Datei gehörenden Prozess und/oder deaktiviere temporär Dein PFW.
Sollte beides nichts bringen, kopiere die Dateien in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur
stupormundi

Hallo und erst mal Danke. Leider hab ich jetzt keine Zeit, weil ich weg muß. Aber ich melde mich heute Nachmittag noch mal. Worm/Lexi.A war nur ne Fehlermeldung von AntiVir

STK013M.exe wenn ich anklicke passiert nüx. Die Datei ist aber schon 1 Jahr lang auf PC und hat die Bezeichnung CrestMonitor MFC Application ...bis dann

Servus wieder!

Zitat:

STK013M.exe wenn ich anklicke passiert nüx.

So war das auch nicht gemeint - bitte lade die Datei bei Jotti hoch (siehe link von vorhin) und warte auf das Ergebnis - das postest du hier.
Unbekannte ausführbare Dateien (*.exe, *.bat, et alt..) einfach *anklicken* und warten ob was passiert ist nicht die g'scheiteste Idee!
stupormundi

Isch wieder. Jotti geht zur Zeit nicht, folgende Meldung wird angezeigt:Server is extremely busy at the moment. Please try again later.

In Software haben ich gefunden: NavExel Search Toolbar (remove only) - 0,32MB Gross. Wasn das? Kann ich das einfach löschen?

Die Sache mit dem abgesicherten Modus ... uff, ich bin doch PC-Blond, da verlangst Du aber was von mir ääääh und Hijack ist dazu ja auch noch nicht wirklich in meiner Muttersprache. Abgesicherter Modus ist doch das Ding mit F8 drücken beim hochfahren, oder? Zu hülfää, gibts da keinen einfacheren Weg, für Dummis?

ach ja, die Sache mit dem Fixen ist ja von Cidre beschrieben... erst mal wissen ob ich die genannte Datei löschen kann und dann probier ich noch wal aus ob alles wieder funzt

Hallo erdbeerblondine,
Kontrolliere erst die von Stupormundi angegebene Datei.
Da ist noch etwas mehr zu fixen.
Irrlicht

Hallo Irrlicht, welche Datei soll ich wie kontrollieren? Isch bin schon ganz wirr in de Kopfe von lauter neuen Sachen

STK013D.exe ist sauber
STK013K.exe siehe unten
STK013M.exe ist sauber



Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.Win32.Cres gefunden
NOD32 Keine Viren gefunden
Norman Virus Control W32/Cres.C gefunden
UNA Keine Viren gefunden
VBA32 AdWare.Win32.Cres gefunden


Ich glaub ich lösch den dämlichen Ordner einfach und warte ab was passiert... gibt ja noch die Systemwiederherstellung...

Ich hätte zwar einen Verdacht, aber ehe das Herumrätseln weitergeht, mache einen escan genau nach Anleitung und poste das mit Hauis find.bat erzeugte Log. Halte Dich genau an die Anweisung:
http://www.trojaner-board.de/showthread.php?t=17492

kann nicht gelöscht werden wird anscheinden grad verwendet! Was ist das nur für n Kack-Programm??? Weiss das keiner? Ich geht jetzt und guck hier später noch mal rein. *Schädelqualm* Hab gerade einen onlinescan laufen bei Panda und der hat schon 9 Spyware entdeckt. Ich frag mich für was ich immer Spybot durchlaufen lasse?

Hi und danke erst mal.

Editieren kann ich das logfile nicht, dass ist eeeeeeeeeeeeeeeewig lang mit eeeeeeeeeewig wiederkehrenden Real Namen usw. Aaaber hier hab ich was gefunden (hatte ich gestern auch schon über einen online-scan gefunden, wusste aber nicht, was ich dann damit machen soll. Ich kann ja eine Datei nicht so einfach löschen oder???)

Sat Nov 26 12:13:14 2005 => File C:\WINDOWS\remover.dll tagged

as "not-a-virus:AdWare.Win32.NavExcel.i". Action Taken: No

Action Taken.

Sat Nov 26 12:18:21 2005 => Total Objects Scanned: 31764
Sat Nov 26 12:18:21 2005 => Total Virus(es) Found: 30
Sat Nov 26 12:18:21 2005 => Total Disinfected Files: 0
Sat Nov 26 12:18:21 2005 => Total Files Renamed: 0
Sat Nov 26 12:18:21 2005 => Total Deleted Objects: 0
Sat Nov 26 12:18:21 2005 => Total Errors: 123
Sat Nov 26 12:18:21 2005 => Time Elapsed: 00:09:25
Sat Nov 26 12:18:21 2005 => Virus Database Date: 2005/11/25
Sat Nov 26 12:18:21 2005 => Virus Database Count: 161502

Sat Nov 26 12:18:21 2005 => Scan Completed.

Sat Nov 26 12:22:47 2005 => Virus Database Date: 2005/11/25
Sat Nov 26 12:22:47 2005 => Virus Database Count: 161502


30 Viren? Das gibt es doch gar nicht?! AntiVir hat nix gefunden und ich mache jeden Tag update, manchmal auch 2x. Pest Patrol läuft im Hintergrund, ich habe eine Firewall, scanne regelmässig mit Spybot und ad-aware. Säubere regelmässig meine Registry.... was soll ich denn noch alles machen???

übrigens, ich hab mir Mozilla Firefox runtergeladen und kann ohne Probleme ins Internet... sch... auf den IE 6. Ich krisch hier sonst Plack!

falls es noch Jemanden interessiert *g* ich habe gaanz todesmutig NavExcel Search Toolbar aus "Software" entfernt und.... IE geht wieder!!!! (noch)

Bleibt da immer noch mein Thema wie mache ich meinen PC sicher gegen ad und spyware u Viren!!!???



P.S. STK013M.exe habe ich auch geschafft zu schliessen und dann deinstalliert. Was auch immer das war, keine Änderung am PC... also war der Mülleimer der richtige Ort