Schonmal danke im voraus dem der sich das alles durchliest ^.^

Hallo,
wie bereits im Titel steht hab ich das problem das bei mir immer ein prozess namens iexplore.exe geöffnet ist auch wenn ich den Internet Explorer nicht offen habe.
Wenn ich den Prozess schliesse kommt schneller als man gucken kann ein neuer und mein zone alarm sagt iexplore.exe will als server fungieren, übrigens immer auf einem anderen port die Ziel ip ist immer 0.0.0.0:Irgendeinport und dann will er noch eine verbindung zu 134.96.7.3NS herstellen, wobei es sich scheinbar um jemanden von der uni in saarland handelt.
Im Process Explorer von Sysinternals steht dieser internet explorer nicht unter der Kategorie EXPLORER sondern unter winlogon, also genau andersrum wie es ist wenn ich den richtigen internet explorer starte.
Wenn ich im Process Explorer dann auf properties klicke dann steht bei beiden iexplorern bei
Path:
C:\Programme\Internet Explorer\iexplore.exe
und
Command Line:
"C:\Programme\Internet Explorer\iexplore.exe"
aber bei dem falschen iexplore steht
Current Directory:
C:\WINDOWS\system32\
und bei dem richtigen steht mein Desktop.
In system32 ist aber keine datei namens iexplore.exe

Beenden kann ich den Prozess nicht mal im abgesicherten modus da wird der Prozess beenden knopf einfach recht schnell grau wenn ich den task markiere
und ich kann den prozess nicht mehr schliessen also gibt es keine möglichkeit die datei einfach zu löschen. Der virenscanner (AVG Free neueste version) hat auch nichts gefunden.

Zu guter letzt noch ein HJT Log:

Logfile of HijackThis v1.99.1
Scan saved at 20:20:51, on 27.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\*******\Desktop\procexp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\DOKUME~1\*******\LOKALE~1\Temp\Rar$EX01.703\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: PowerReg Scheduler.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{703B04CB-D8FD-4E17-8233-E7776CC4BE07}: NameServer = 192.168.178.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: botreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\bot.dll
O21 - SSODL: DCOM Server 20509 - {2C1CD3D7-86AC-4068-93BC-A02304B20509} - C:\WINDOWS\system32\pvascp.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - Intel Corporation - (no file)
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\icf.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SysUtils LAN Administration System Service (NetAdminSvc) - SysUtils Software - C:\WINDOWS\system32\NetAdmSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - TuneUp Software GmbH - (no file)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Editat:
-Der falsche iexplore connectet jetz zu einer anderen ip also nicht mehr der von der uni
-der explorer.exe ruft 80-90% CPU-Auslastung hervor und beim neustarten sagt Zonealarm das explorer.exe versucht als server zu fungieren

Moin

mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.

Lass diese Dateien :
C:\WINDOWS\system32\pvascp.dll
C:\WINDOWS\system32\icf.exe
C:\WINDOWS\system32\NetAdmSvc.exe
hier Virustotal
oder hier Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

Lade dir auch mal Blacklight runter
und poste anschließend das Log (findest du im selben Ordner wie Blacklight).


MFG

Soso,
Ich hab das ganze mit jotti gemacht weil das einfacher schien und da ich nicht weiss weiss MD5 und SHA1 ist hab ich einfach das erstbeste genommen was ich bei google als erklärung gefunden hab, die SHA1 rausfinder haben aber leider nicht das gemacht was sie sollten
__________________________________________________________
Datei: icf.exe
Auslastung:
0% 100%
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: PE_PATCH.UPX, UPX
Bit9 rapportiert: File not found

A-Squared
Keine Viren gefunden
AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Trojan.Win32.Obfuscated.gl gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Trojan.Win32.Obfuscated.gl gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
Panda Antivirus
Keine Viren gefunden
Rising Antivirus
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

MD5:
4dcbd01e825ba778da38e976f49444b6

SHA1:
?

Größe:
45,5 KB (46.592 Bytes)
________________________________________________________________

Datei: NetAdmSvc.exe
Auslastung:
0% 100%
Status:
VIELLEICHT INFIZIERT/MALWARE (Anmerkung: Diese Datei wurde lediglich durch die heuristische Detektion als Malware angezeigt. Die Ergebnisse des Scans werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-
Bit9 rapportiert: Not analyzed yet (more info)

A-Squared
Keine Viren gefunden
AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
probably unknown NewHeur_PE gefunden (mögliche Variante)
Norman Virus Control
Keine Viren gefunden
Panda Antivirus
Keine Viren gefunden
Rising Antivirus
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

MD5:
03484ddb4aa5de84bf354588242dd29d

SHA1:
?

Größe:
643 KB (658.432 Bytes)
________________________________________________________________

Datei: pvascp.dll
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
UPX
Bit9 rapportiert: File not found

A-Squared
Keine Viren gefunden
AntiVir
HEUR/Crypted gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Trojan.Spambot.BXB gefunden
ClamAV
Trojan.Agent-3976 gefunden
Dr.Web
Trojan.Qhost.45065 gefunden
F-Prot Antivirus
W32/Backdoor.AJPB gefunden
F-Secure Anti-Virus
Backdoor.Win32.Agent.adr gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Backdoor.Win32.Agent.adr gefunden
NOD32
a variant of Win32/Agent.NEJ gefunden
Norman Virus Control
W32/Agent.ATMO gefunden
Panda Antivirus
Keine Viren gefunden
Rising Antivirus
Keine Viren gefunden
VirusBuster
Trojan.DCOMServ.Gen!Pac gefunden
VBA32
Keine Viren gefunden

MD5:
804a2701e0f1b627a55f46100bfe057b

SHA1:
?

Größe:
166 KB (169.984 Bytes)
_______________________________________________________________
Blacklight Scan:
06/28/07 13:46:22 [Info]: BlackLight Engine 1.0.64 initialized
06/28/07 13:46:22 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/28/07 13:46:22 [Note]: 7019 4
06/28/07 13:46:22 [Note]: 7005 0
06/28/07 13:46:22 [Error]: 6027 1072
06/28/07 13:46:22 [Error]: 6002 0
06/28/07 13:46:22 [Note]: 7006 0
06/28/07 13:46:22 [Note]: 7011 2400
06/28/07 13:46:22 [Note]: 8001 2
06/28/07 13:46:28 [Note]: FSRAW library version 1.7.1022
06/28/07 13:46:49 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS
06/28/07 13:46:49 [Note]: 7002 0
06/28/07 13:46:52 [Note]: 2000 1012
06/28/07 13:46:52 [Note]: 7007 0


Die Datei c:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS hat kurz davor auch mein AVG erkannt will die aber weder Heilen noch ins Vault verschieben...
Seit ich diese Infektion habe starten öfters andere programme beim neustart mit die sich aber alle beenden+löschen lassen.

Hallo

leider ist die Auswertung so ausgefallen wie ich befürchtet habe.
Ich rate dir dringend dein System nach dieser Anleitung --> Neuaufsetzen des Systems und anschliessende Absicherung!
neu aufzusetzen.

Was der gefundene Backdoortrojaner so alles kann, könntest du hier nachlesen
Spambot.BXB

Ändere nach der Neuinstallation auch alle deine Pass/Kennwörter.

Du könntest aber noch etwas tun, diese Datei
C:\WINDOWS\system32\NetAdmSvc.exe
könnte eine neue unbekannte Schaddatei sein, schicke diese doch bitte an einige Programmhersteller wie dies gemacht wird findest du hier --> http://www.trojaner-board.de/19273-v...einsenden.html
Danke.

MFG

So nochmal danke hab jetz das system neu aufgesetzt und in einigen der nächsten anti-viren updates wird jetz auch netadmsvc als potenzielles risiko erkannt:
Please let us inform you, that the suspicious file will be added as Potentially Unwanted Program. It is a variant of Remote Admin which can be used silently thus be abused by malware. The detection will be added to one of the next virus updates.

mfg

Hallo

Zitat:

So nochmal danke hab jetz das system neu aufgesetzt

ist bei neuer und undokumentierter Maleware der einzig richtige Weg (m.M.)

Zitat:

in einigen der nächsten anti-viren updates wird jetz auch netadmsvc als potenzielles risiko erkannt

Danke hierfür .

MFG