| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: iexplore.exe lässt sich nicht schliessen (anders als die anderen)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.06.2007, 19:22
| #1 |
| |  iexplore.exe lässt sich nicht schliessen (anders als die anderen) Schonmal danke im voraus dem der sich das alles durchliest ^.^ Hallo, wie bereits im Titel steht hab ich das problem das bei mir immer ein prozess namens iexplore.exe geöffnet ist auch wenn ich den Internet Explorer nicht offen habe. Wenn ich den Prozess schliesse kommt schneller als man gucken kann ein neuer und mein zone alarm sagt iexplore.exe will als server fungieren, übrigens immer auf einem anderen port die Ziel ip ist immer 0.0.0.0:Irgendeinport und dann will er noch eine verbindung zu 134.96.7.3  NS herstellen, wobei es sich scheinbar um jemanden von der uni in saarland handelt.Im Process Explorer von Sysinternals steht dieser internet explorer nicht unter der Kategorie EXPLORER sondern unter winlogon, also genau andersrum wie es ist wenn ich den richtigen internet explorer starte. Wenn ich im Process Explorer dann auf properties klicke dann steht bei beiden iexplorern bei Path: C:\Programme\Internet Explorer\iexplore.exe und Command Line: "C:\Programme\Internet Explorer\iexplore.exe" aber bei dem falschen iexplore steht Current Directory: C:\WINDOWS\system32\ und bei dem richtigen steht mein Desktop. In system32 ist aber keine datei namens iexplore.exe Beenden kann ich den Prozess nicht mal im abgesicherten modus da wird der Prozess beenden knopf einfach recht schnell grau wenn ich den task markiere und ich kann den prozess nicht mehr schliessen also gibt es keine möglichkeit die datei einfach zu löschen. Der virenscanner (AVG Free neueste version) hat auch nichts gefunden. Zu guter letzt noch ein HJT Log: Logfile of HijackThis v1.99.1 Scan saved at 20:20:51, on 27.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\*******\Desktop\procexp.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\explorer.exe C:\DOKUME~1\*******\LOKALE~1\Temp\Rar$EX01.703\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Startup: PowerReg Scheduler.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O17 - HKLM\System\CCS\Services\Tcpip\..\{703B04CB-D8FD-4E17-8233-E7776CC4BE07}: NameServer = 192.168.178.1 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: botreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\bot.dll O21 - SSODL: DCOM Server 20509 - {2C1CD3D7-86AC-4068-93BC-A02304B20509} - C:\WINDOWS\system32\pvascp.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - Intel Corporation - (no file) O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\icf.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: SysUtils LAN Administration System Service (NetAdminSvc) - SysUtils Software - C:\WINDOWS\system32\NetAdmSvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - TuneUp Software GmbH - (no file) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe Editat: -Der falsche iexplore connectet jetz zu einer anderen ip also nicht mehr der von der uni -der explorer.exe ruft 80-90% CPU-Auslastung hervor und beim neustarten sagt Zonealarm das explorer.exe versucht als server zu fungieren Geändert von Infizierter (27.06.2007 um 19:34 Uhr) |
| Themen zu iexplore.exe lässt sich nicht schliessen (anders als die anderen) |
| abgesicherten modus, adobe, alert, avg, avg free, bho, einstellungen, excel, firefox, handel, helper, hijack, hijackthis, iexplore.exe, internet, internet explorer, letzt, monitor, mozilla, mozilla firefox, port, problem, prozess, rundll, scan, server, software, system, tuneup utilities, uleadburninghelper, urlsearchhook, windows, windows xp, zone alarm |
Baum-Darstellung