Hallo,
ich habe wie viele andere auch folgendes Problem undzwar, dass sich im Taskmanager immer zweimal "iexplore.exe" eingenistet hat. Wenn ich sie schließe öffnet sich jeder der beiden neu, zudem öffnen sich ständig IE Werbefenster, trotz Virensuche, Sybot S&D und Lavasoft Adware Suche dennoch Probleme damit. Im Hauptverzeichnes des IE lässt sich die exe zwar löschen kopiert sich irgendwoher aber wieder von neu. -.-

Hier mein Logfile, kann das jemand für mich auswerten? Ich wäre dessen sehr dankbar.

Logfile of HijackThis v1.99.1
Scan saved at 21:17:15, on 24.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NetLimiter 2 Pro\nlsvc.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\NetLimiter 2 Pro\NLClient.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Momunari-Kun\Desktop\hijackthis_199\HijackThis.exe

O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [eMuleAutoStart] H:\eMule-0.47a-sivka-v17b1-alpha-bin\emule.exe -AutoStart
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167571800265
O17 - HKLM\System\CCS\Services\Tcpip\..\{943E7EAF-F678-4068-B5E1-43D9ED273078}: NameServer = 205.188.146.145
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Programme\NetLimiter 2 Pro\nlsvc.exe

Ich habe vom IE Verzeichnis auch nochmal einen Screenshot gemacht, der unter folgender Adresse zu erreichen ist:

http://mitglied.lycos.de/Lugia2001/hijack_screen.png

Wie gesagt, ich hoffe mir kann jemand weiterhelfen!
Lg Momunari-Kun

mOIn auch

Lade dir mal die Filelist.zip

1.) Lade dir die Filelist.zip auf den Desktop
2.) entpacke die Zip-Datei auf deinen Desktop
3.) starte den Rechner neu
4.) öffne die auf dem Desktop vorhandene filelist.bat mit Doppelklick auf die Datei
5.) dein Editor (Textverarbeitungsprogramm) wird sich öffnen
6.) markiere von diesen Inhalt aus jedem Verzeichnis jeweils nur die letzten 30 Tage, wähle kopieren, füge diese Dateien deinem nächsten Beitrag an
(es werden von diesen 8 Ordnern Abblilder erstellt :C:\, C:\WINDOWS\system, C:\WINDOWS\system32, C:\WINDOWS,
C:\WINDOWS\Prefetch, C:\WINDOWS\tasks, C:\WINDOWS\Temp, C:\DOCUME~1\Name\LOCALS~1\Temp).

Lade bitte auch einen Screenshot vom inhalt dieser beiden Ordner hoch :

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\
C:\DOKUME~1\(DEIN NAME)~1\ANWEND~1\

dann sehen wir weiter.

MFG

hi,

danke erstmal. hab das wie folgt gemacht. und habe die txt und die screenshots mal hochgeladen:

txt:
http://mitglied.lycos.de/Lugia2001/filelist.txt

ordner anwendungsdaten:
http://mitglied.lycos.de/Lugia2001/anwendungsdaten.PNG

ordner anwen~1:
http://mitglied.lycos.de/Lugia2001/anwend_1.PNG

und nach was schaust du jetzt?

lg Momunari-Kun

Hallo

leider zeigt mir die Filelist nicht die Ordner die wir auch benötigen.

Im Ordner C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\
der Ordner --> Aboutblehdefyplay
und der --> Draw bold shim support

Im Ordner C:\DOKUME~1\(DEIN NAME)~1\ANWEND~1\
der Ordner --> vga support dart

diese Ordner bitte mit deinem Antivirenprogramm durchsuchen lassen und Berichten.

MFG

hmm avg 7.5 network edition zeigt mir bei keinem der gescannten ordnern keine auffällige datei an.
hmm, welche ordner brauchst du denn noch, die filelist nicht so schon scannt?

mOIn auch

Zitat:

welche ordner brauchst du denn noch, die filelist nicht so schon scannt?

das waren eigentlich soweit erstmal alle

Die von mir angesprochenen Ordner sehen mir sehr nach von Swizzor erstellte Ordner aus.
Werte bitte jeweils eine Datei (*.exe) aus diesen Ordnern hier
Virustotal
oder hier
Jotti
aus (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

Lade dir auch schon mal die KillBox runter und entpacke es in einen eigenen Ordner.

MFG

hallo,
der ordner C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Aboutblehdefyplay
befand sich folgende StupidThird.exe
screenshot davon: http://mitglied.lycos.de/Lugia2001/0...dThird.exe.png

im ordner C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Draw bold shim support
befinden sich drei exe files:

1. 32 BAT.exe
http://mitglied.lycos.de/Lugia2001/02_32_BAT.exe.png
2. inter ford.exe
http://mitglied.lycos.de/Lugia2001/0...r_ford.exe.png
3. Pure Phone.exe
http://mitglied.lycos.de/Lugia2001/0..._Phone.exe.png

im ordner C:\Dokumente und Einstellungen\Momunari-Kun\Anwendungsdaten\vga support dart befinden sich sechs objekte:

1. bqbzapxz.exe
http://mitglied.lycos.de/Lugia2001/05_bqbzapxz.exe.png
2. dkwxtphe.exe.png
http://mitglied.lycos.de/Lugia2001/06_dkwxtphe.exe.png
3. Film sect bind.exe
http://mitglied.lycos.de/Lugia2001/0...20bind.exe.png
4. Holedogbits.exe
http://mitglied.lycos.de/Lugia2001/0...ogbits.exe.png
5. nhlprdin.exe
http://mitglied.lycos.de/Lugia2001/09_nhlprdin.exe.png
6. nxtjebyz.exe
http://mitglied.lycos.de/Lugia2001/10_nxtjebyz.exe.png

ich hoffe, das hat so seine richtigkeit. das waren nun alle datein in den verdächtigen ordnern und ich bin erstaunt, dass mein teurer virenscanner keine verdächige datei festgestellt hat. also taugt avg nichts.

mit der killbox ließ sich die doppelt geöffnete iexplore.exe kurzzeitig schließen.

lg Momunari-Kun

Hallo

Zitat:

ich bin erstaunt, dass mein teurer virenscanner keine verdächige datei festgestellt hat. also taugt avg nichts.

nur zum trost kein Antivirenprogramm erkennt alles, wirklich keins.

Gut, das Ergebnis hatte ich fast erwartet, lösche alle drei Ordner :

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Aboutblehdefyplay\

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Draw bold shim support\

C:\Dokumente und Einstellungen\Momunari-Kun\Anwendungsdaten\vga support dart\

im abgesicherten Modus (beim start F8 drücken).

Die in der Anleitung angesprochene *.job Datei lösche bitte auch -> C:\WINDOWS\tasks\AED223879365D93F.job

Nur etwas am Rande von solchen Programmen sollte man sich fern halten
H:\eMule-0.47a-sivka-v17b1-alpha-bin\emule.exe -AutoStart
das sind echte Virenschleudern .

MFG

problem behoben. konnte die dateien bis auf diese *.job im abgesicherten modus entfernen, weil diese garnicht existierte! ^^

hmm und darf ich nun vielleicht fragen woher du dich mit sowas so in dem rahmen auskennst?! weil in zukunft will ich sowas allein erledigen?!

nochmals vielen dank

Hallo

Zitat:

hmm und darf ich nun vielleicht fragen woher du dich mit sowas so in dem rahmen auskennst?

auskennen tu ich mich noch nicht allzugut, bei mir ist leider noch zuviel Halbwissen dabei .
Ich habe hier am Board erstmal ca. 1,5 Jahre nur mitgelesen da ich, wie viele andere auch, Probleme mit dem Sasservirus hatte, da hab ich begonnen mich für Ungeziefer zu interessieren und wie man diese wieder von der Platte kriegt.
Es hat mich damals fürchterlich geärgert, dass mir ständig der Rechner runtergefahren ist und ich keine Lösung dafür kannte, bis mir der Onkel (Admin einer Firma) meiner Frau sagte, ich solle doch mal nach Viren schauen.
Ich war damals mit einem komplett ungepatchtem Rechner im Netz unterwegs und da hatte sich einiges angesammelt u.a. Würmer, Backdoors, Sasser und ein Browserhijacker, das ende vom Lied war natürlich eine Neuinstallation und fürchterliche CD Brennerei (ca. 80Gb MP3s) da ich nur eine Partition hatte.
Mein verhalten im Internet hat sich, wie man sich vorstellen kann, daraufhin natürlich grundlegend geändert und bin seit dem praktisch frei von wirklichen Schädlingen.
Da in meinem Bekanntenkreis ich der einzige bin der sich mit diesem Thema auseinandersetzt, hab ich "leider" auch einige praktische Übung im beseitigen von Schädlingen und neuinstallieren von Betriebssystemen.
So das sollte dazu genügen, schönes WE noch

MFG