Nabend zusammen,

Ich habe ein Problem mit dem Internet Xplorer:

Obwohl ich ihn (den IE) nach PC-Start nicht einmal geöffnet habe, wird mir im Task-Manager 2 mal der Prozess IEXPLORE.EXE angezeigt.
Das lustige ist, dass er sich beide Prozesse nicht schliessen lassen, bzw. der Prozess sofort wieder geöffnet wird.
Hinzu kommt, dass sich ab und an beim Starten von Firefox ein Popup mit Werbung öffnet.


Meine bisherigen Nachforschungen und Versuche dem Problem Herr zu werden sind gescheitert und daher bitte ich euch mal über mein HJT-Log zu schauen, damit ihr mir sagen könnt, ob's eventuell an so nem Drecksproggi liegt...*grrr*

Hier der Log, THX im voraus!

h3xööööööö
======================================================


Logfile of HijackThis v1.99.1
Scan saved at 21:24:00, on 29.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\taskswitch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
E:\Downloads\Firefox\firefox.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Downloads\Installierte Sachen\Winrar\WinRAR.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Rar$EX00.516\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {98799289-399A-E7C6-782B-7AFF45452D66} - (no file)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [coalbatbyteonline] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\4 Skip Coal Bat\internet active.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Downloads\Installierte Sachen\Winamp!\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] "E:\Downloads\Installierte Sachen\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ASUS Probe] e:\downlo~1\installierte sachen\hitze\AsusProb.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Hide test] C:\DOKUME~1\***\ANWEND~1\PLAN2~1\Hold Build.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Downloads\Installierte Sachen\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Downloads\Installierte Sachen\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = E:\Word2000\Office\OSA9.EXE
O4 - Global Startup: Wireless Configuration Utility HW.51.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.00\WlanCU.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Downloads\Installierte Sachen\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Downloads\Installierte Sachen\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - E:\Dragon\Antivir6\AVGUARD.EXE (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - E:\Dragon\Antivir6\AVWUPSRV.EXE (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - E:\Dragon\Downloads\TU\WinStylerThemeSvc.exe (file missing)

Hallo,
Anleitung abarbeiten, die relevanten Einträge sind:
O4 - HKLM\..\Run: [coalbatbyteonline] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\4 Skip Coal Bat\internet active.exe
O4 - HKCU\..\Run: [Hide test] C:\DOKUME~1\***\ANWEND~1\PLAN2~1\Hold Build.exe

und am besten gleich FlashGet deinstallieren, daher wird das ganze gekommen sein.
Danach nochmal ein neues HijackThis Log posten.


Grüße Wildone

@Wildone: Kann da auch der Smitfraudfix was bringen?

Gruß
Yopie

Hallo,
wäre mir neu, hat eigentlich vom Malwarekonzept auch nichts miteinander zu tun.
Wenn ich es mir recht überlege kann Smitfraudfix da auch theoretisch wenig machen weil bei Swizzor/Lop sowohl zufällige Namen als auch zufällige Ordner verwendet werden, und Smitfraudfix arbeitet ja mit der Erkennung/Beseitigung per Namen.
Um es 100%ig auszuschließen müßte ich mir nochmal die Dokumentation von Smitfraudfix anschauen.


Grüße Wildone

Nö, ich glaub dir das schon. Meine Kenntnisse im Bereich Spyware/Adware sind marginal.

Gruß
Yopie

okay, danke für die schnelle antwort. werde das sobald wie möglich abarbeiten (deine Anleitung) und werde dann bericht erstatten ob sich alles geklärt hat.

Hallo,
habe mir das Changelog von Smitfraudfix nochmal schnell angeschaut, da wird nichts im Zusammenhang mit Swizzor erwähnt.

Zitat:

Meine Kenntnisse im Bereich Spyware/Adware sind marginal.

Wieso habe ich da Zweifel
Naja wenn mich mal wieder ein Ubuntuproblem plagt weiß ich ja an wen ich mich wenden werde.

@h3x3
Solltest das ganze eigentlich innerhalb von 10 min. erledigen können.


Grüße Wildone

Hi Wildone,

Ich habe das gleiche Problem mit dem Internet Xplorer!
Er ist auch bei mir 2 mal geöffnet und mit dem Taskmenager kann ich leider immer nur einen Prozess beenden.

Ich hab nun die Hoffnung, dass du mir wiedermal helfen kannst!

Danke im Vorraus.

Ps:
Den Tr/Swizzor.A hab ich mit der Sygate Personal Firewall (gratis und leicht zu bedienen) erfolgreich bezwungen "zumindest glaube ich das"!

Zitat:

Zitat von monkfisch

Hi Wildone,

Ich habe das gleiche Problem mit dem Internet Xplorer!
Er ist auch bei mir 2 mal geöffnet und mit dem Taskmenager kann ich leider immer nur einen Prozess beenden.

Ich hab nun die Hoffnung, dass du mir wiedermal helfen kannst!

Danke im Vorraus.

Ps:
Den Tr/Swizzor.A hab ich mit der Sygate Personal Firewall (gratis und leicht zu bedienen) erfolgreich bezwungen "zumindest glaube ich das"!

@monkfisch,

eröffne bitte für dein Problem einen eigenen Beitrag, da es hier sonst zu unübersichtlich wird.

Gruß
Daniel