| |
| |||||||
Log-Analyse und Auswertung: Trojaner "iexplore"Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
30.05.2006, 07:55
| #1 |
| Gast |  Trojaner "iexplore" Hallo Leute, mein Kollege hat einen Trojaner auf dem Rechner und er bekommt ihn nicht weg. ich glaube, dass es mit der Datei "iexplore.exe": zu tun hat. Ich habe versucht den Internet Explorer vom PC zu entfernen, leider nicht ganz erfolgreich. Es ist immernoch ein Programmordner unter C:/Programme mit dem Namen Internet Explorer drin. IN diesem Ordner ist unter anderem eine Datei namens iexplore.exe. Wenn ich diese lösche, dann kommt sie nach ein paar Sekunden wieder. Der Virenscanner (AVG Free) meldet mir auch einen Trojaner und entfernt ihn, der kommt jedoch immer wieder. Er hat noch keinen einzigen Service Pack drauf der Chaot, habe sofort versucht SP2 zu installieren, komme jedoch leider nicht soweit, da nach gewisser Zeit immerwieder der supertolle "blaue" Bildschirm kommt. Also muss ich zuerst den scheiß Trojaner wegbekommen, dann SP2 installieren. Bin hier ganz neu im Forum und hoffe, dass ich das mit dem Logfile richtig gemacht habe: Logfile of HijackThis v1.99.1 Scan saved at 08:17:38, on 30.05.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\brss01a.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\WINDOWS\system32\Brmfrmps.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\win32host.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\Programme\AIRPLUS\D-Link AirPlus DWL-120+ Wireless USB Adapter\AIRPLUS.EXE C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tksock.exe C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tkmedia.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Advertiser Class - {53D3C442-8FEE-4784-9A21-6297D39613F0} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - Global Startup: D-Link AirPlus DWL-120+ Wireless USB Adapter.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe O4 - Global Startup: TK-Suite Client.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - h**p://install.global-netcom.de/ieloader.cab O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} - h**p://merchant.eops.de/dialersoftware/cax.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - h**p://akamai.downloadv3.com/binaries/IA/ia_XP.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - h**p://webinstall.tscash.com/webinstall.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/287643f7ba43d1a5c805/netzip/RdxIE601_de.cab O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} - h**p://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_pack_XP.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - h**p://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - h**p://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - h**p://install.serviceurl.de/InstallationsAssistent.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{C12181E9-7B65-4885-BB1B-227C03B8EEBA}: NameServer = 192.168.120.252,192.168.120.253 O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing) O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe O23 - Service: Capntltfia - Brother Industries Ltd. - (no file) O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: netconf32 - Unknown owner - C:\WINDOWS\netconf32.exe (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe Um Hilfe wäre ich sehr dankbar madhouse2003 |
|
30.05.2006, 08:20
| #2 | ||
  | Trojaner "iexplore" @madhouse2003
__________________Zitat:
 . %Systemlaufwerk%\Programme\Internet Explorer\iexplore.exe ist die Standard-Location vom MS Internet Explorer. Der Übeltäter ist hier:Zitat:
Das Neaufsetzen gemäß der Anleitung (Link in meiner Signatur) wäre die gescheiteste Lösung. |
|
30.05.2006, 08:57
| #3 |
| Gast | Trojaner "iexplore" Alles klar, werde ich heute abend gleich testen.
__________________Habe hier noch ein Screenshot mit der exakten Virusmeldung. Dachte deshalb, dass es an der Datei "iexplore" liegt. Danke erst mal. Madhosue2003 |
|
30.05.2006, 09:04
| #4 | |
| | Trojaner "iexplore"Zitat:
C:\iexplore.exe <>C:\Programme\Internet Explorer\iexplore.exe Hier handelt es sich um noch einen Schädling. Deswegen - hier klicken. |
|
30.05.2006, 11:02
| #5 |
 | Trojaner "iexplore" Servus Rene-gad und alle anderen! Dieses Beispiel zeigt wieder exemplarisch, wie wichtig exakte Pfad- und Dateiangaben wären. Es ist eben nicht die iexplore.exe sondern (siehe AVG PopUp) iexplorer.exe und die kann von simpler Adware bis zum Backdoor alles sein. AVG bezeichnet sie als Proxy.irgendwas. Wäre halt noch genauer zu checken. Rene-gad hat aber eh schon einen vernünftigen Tipp dazu gegeben! lg, stupormundi
__________________ Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad: WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen Kein Support via PN - sorry! |
|
30.05.2006, 11:18
| #6 | |
| | Trojaner "iexplore"Zitat:
PS: Muss ich wohl doch zum Fielmann  |
|
| Themen zu Trojaner "iexplore" |
| antivirus, antivirus scan, avg free, bho, bildschirm, controlcenter, desktop, entfernen, excel, hijack, hijackthis, iexplore, iexplore.exe, internet, internet explorer, logfile, popup, registry, scan, sekunden, software, super, symantec, system, trojaner, tuneup utilities, usb, windows, windows xp |
Linear-Darstellung
