Hallo liebe Trojanerfeinde,

habe das Problem, dass der IEXPLORE.EXE immer wieder im Taskmanager steht, ohne dass ich ihn gestartet habe. Und dann steht er nicht nur einmal da, sondern nach einigen Stunden PC-Betriebszeit schon 10fach und mehr....
Wenn ich es dann selber starte, dann hängt sich der Explorer erstmal für ein paar Minuten auf, bevor man ihn dann benutzen kann.
Das ständige Löschen im Taskmanager ist natürlich keine dauerhafte Lösung.

Ich weiß, dass dieses Problem bereits schon mal im Forum auftrat, aber ich kann nichts mit dem hijack file richtig anfangen, um evtl. Lösungen auf mein Problem zu übertragen. Deswegen meine Bitte an die Experten, sich mein hijack-logfile mal anzuschauen.
Vorweg möchte ich noch sagen, dass ich zunächst mit Antivir meine Festplatten durchleuchtet habe. Natürlich nix. Dann habe nach Durchstöbern von etlichen Foren ein Tool benutzt (SmitFraudFix), das infizierte Dateien findet und löscht. Danach konnte ich den Explorer zwar normal starten und benutzen, aber ich traue dem ganzen noch nicht.
Deswegen bitte ich um Eure Expertenmeinung!


Logfile of HijackThis v1.99.1
Scan saved at 17:59:44, on 15.03.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\lsasss.exe
D:\WINDOWS\System32\ctfmon.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\WINDOWS\System32\wuauclt.exe
D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
D:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
D:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
D:\WINDOWS\system32\rundll32.exe
D:\Programme\The M&K Network\TaskExplorer\TaskExplorer.exe
D:\WINDOWS\System32\taskmgr.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\WINDOWS\System32\wuauclt.exe
D:\Dokumente und Einstellungen\*****\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-tv.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 128.59.147.249:80
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {21384D29-1240-2d4f-A15C-17E42823D523} - D:\WINDOWS\System32\ipv6monl.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Lexmark_X79-55] D:\WINDOWS\System32\lsasss.exe
O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_08\bin\npjpi142_08.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_08\bin\npjpi142_08.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aol.de/e60/
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - h**p://service.maxdome.de/de/systemcheck/HWTest.CAB
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - h**ps://stream.web.de/mail/activex/mail_upload_11213.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{583460FA-88C9-4798-8655-564E47AE3B94}: NameServer = 172.19.10.40,172.19.10.35
O17 - HKLM\System\CCS\Services\Tcpip\..\{636C09BC-042C-44F9-A4D6-AE9A853B1741}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{583460FA-88C9-4798-8655-564E47AE3B94}: NameServer = 172.19.10.40,172.19.10.35
O17 - HKLM\System\CS2\Services\Tcpip\..\{583460FA-88C9-4798-8655-564E47AE3B94}: NameServer = 172.19.10.40,172.19.10.35
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe


Vielen dank schon mal im Voraus!!

Hallo,

tja, was soll man dazu sagen...

Betriebssystemupdates fehlen
Java-Updates fehlen
Kein OnDemand Virenscanner
Und dann noch direkte Einwahl, ohne Firewall
Außerdem noch AOL-Zeugs drauf.

Das ist nicht perönlich gemeint, sondern ist nur sachliche Kritik.
Da ist eine Menge zu tun!

Ich würde als erstes einmal die folgenden Einträge fixen:
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aol.de/e60/
O2 - BHO: (no name) - {21384D29-1240-2d4f-A15C-17E42823D523} - D:\WINDOWS\System32\ipv6monl.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

Ob das bei AOL normal ist, daß ein Proxy-Server von einer Uni in NewYork verwendet wird, kann ich dir leider nicht sagen:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 128.59.147.249:80

Gruß
Oskar

Danke erstmal für die schnelle Antwort!

Werde mir Deine Tips zu Herzen nehmen!!!! Und alles mal erfrischen.

Aber meinst Du das Problem ist dann beseitigt?

Der Proxy von der Uni in Amerika ist mal von mir eingetragen worden, um was zu testen. Wird aber nicht benutzt. habe es nur vergessen komplett rauszunehmen.

Aber meinst Du das Problem ist dann damit beseitigt?

Ich berichte auf jeden Fall, wenn das problem nochmals auftaucht!

Nochmals Danke!

Hey Berferd, hast du nicht ne Kleinigkeit übersehen? *g*

Zitat:

Zitat von uygars

D:\WINDOWS\System32\lsasss.exe

Hallo Damon Ridenow,

das wichtigste übersieht man am gernsten *g*

@uygars:
Den Sasser kannst du mit folgendem tool entfernen:
http://download.nai.com/products/mca...rt/stng260.exe

Gruß
Oskar

Hallo

Zitat:

das wichtigste übersieht man am gernsten *g*

auch das evtl. dieser hier im System aktiv war? --> Troj/Cimuz-AW - Spyware-Trojaner - Sophos Bedrohungsanalyse
hier sollte, da kein einziges Update fürs Betriebssystem eingespielt ist schleunigst neu aufgesetzt werden am besten nach dieser Anleitung --> Anleitung zum Neuaufsetzen des Systems und anschliessende Absicherung!
Um wirklich wieder ein vertrauenswürdiges System zu erhalten, sehe ich keine andere Mögliichkeit als neu aufzusetzen, ändere auch nach der Neuinstallation alle deine Passwörter.

MFG

Guten Tag , ich habe das nervigste Problem der Welt.



[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem einen eigenen Beitrag.
Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann.


Außerdem, editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958


Danke.
Sunny
[/edit]