Hi Leute,
bin neu hier und habe ein Problem bei dem ich einfach nicht verstehe wie ich es lösen kann . Habe hier im Forum schon viele ähnliche Beiträge gesehen und gelesen aber kam leider nicht drauf wie das funktionieren soll. Ich hoffe ihr könnt mir helfen. Mein Problem ist das ich seit einiger Zeit 2 iexplore.exe prozesse im Task Manager habe und diese einfach nicht entfernen kann. Da ich hier schon gesehen habe das viele das Log fileposten, werde ich das heier auch posten.

Wäre nett wenn mir jemand helfen könnte und vielleicht noch kurz erklärt wie man das erkennt im Logfile um welche Einträge es sich handelt. Ebenso bitte eine Erklärung wie ich die Einträge dann löschen muss und wo. Ich weiss viele bitten auf einmal aber sorry ich hab halt echt keine Ahnung.

Vielen DANK aber im voraus.:aplaus:

Mein logfile:

Logfile of HijackThis v1.99.1
Scan saved at 21:27:49, on 02.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\WLAN Monitor\wlconfig.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WLAN Monitor\accwpac.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ZoneLabs\UpdClient.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {84B94901-3645-4D80-A6B7-4D0050B19455} - (no file)
O2 - BHO: (no name) - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - (no file)
O2 - BHO: (no name) - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UVS10 Preload] C:\Programme\Ulead Systems\Ulead VideoStudio 10\uvPL.exe
O4 - HKLM\..\Run: [Lector de documentos Doc de Windows] CFLMON.EXE
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [01 mapi] C:\DOKUME~1\***\ANWEND~1\BROWSE~1\corn each.exe
O4 - HKCU\..\RunOnce: [Lector de documentos Doc de Windows] CFLMON.EXE
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten3\\Preispiraten3\\preispiraten.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Roxio\Roxio MyDVD DE\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: stllssvr - Unknown owner - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Bei Deiner Infektion ist leider nichts mehr zu machen.

Setze neu auf mit dieser Anleitung.

Bata

Kann mann da echt nichts mehr machen?? woran erkennt man das denn??
Vielen Dank schonmal für die Hilfe.

Hallo

mach bitte zuerst alle versteckten Dateien und Ordner sichtbar, anschließend lasse diese Datei(en)
CFLMON.EXE <-- muss gesucht werden
C:\DOKUME~1\***\ANWEND~1\BROWSE~1\corn each.exe (Lop, Swizzor?)
hier Virustotal
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Alles klar vielen Dank!
Bin grad dabei werde es in den nächsten Minuten rein posten!

Hi,
also habe die Dateien mal durchsuchen lassen.

1. Datei (corn_each.exe)

File size: 421888 bytes
MD5: ea472858ae248ac8a769204ed351ac93
SHA1: ca51263fcbb91264c68aba22fcbd0bcb2513f34a

AhnLab-V3 2007.8.3.0 2007.08.02 -
AntiVir 7.4.0.57 2007.08.02 TR/Dldr.Swizzor.Gen
Authentium 4.93.8 2007.08.02 -
Avast 4.7.1029.0 2007.08.02 Win32:Obfuscated-BPP
AVG 7.5.0.476 2007.08.02 Downloader.Obfuskated
BitDefender 7.2 2007.08.02 Trojan.FatObfus.Gen
CAT-QuickHeal 9.00 2007.08.01 (Suspicious) - DNAScan
ClamAV 0.91 2007.08.02 Trojan.Agent-4226
DrWeb 4.33 2007.08.02 Trojan.Packed.149
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5026 2007.08.02 -
Ewido 4.0 2007.08.02 -
FileAdvisor 1 2007.08.02 -
Fortinet 2.91.0.0 2007.08.02 -
F-Prot 4.3.2.48 2007.08.02 -
F-Secure 6.70.13030.0 2007.08.02 Trojan.Win32.Obfuscated.en
Ikarus T3.1.1.8 2007.08.02 not-a-virus:AdWare.Win32.Lop.ag
Kaspersky 4.0.2.24 2007.08.02 Trojan.Win32.Obfuscated.en
McAfee 5089 2007.08.02 Downloader-BCM
Microsoft 1.2704 2007.08.02 Spyware:Win32/C2Lop.B
NOD32v2 2433 2007.08.02 -
Norman 5.80.02 2007.08.02 -
Panda 9.0.0.4 2007.08.02 Adware/Lop
Rising 19.34.32.00 2007.08.02 Trojan.FatObfus.q
Sophos 4.19.0 2007.08.01 Mal/Swizzor-B
Sunbelt 2.2.907.0 2007.08.02 -
Symantec 10 2007.08.02 Downloader.Lop
TheHacker 6.1.7.160 2007.08.01 -
VBA32 3.12.2.2 2007.08.01 MalwareScope.Trojan-Downloader.Obfuscated.2
VirusBuster 4.3.26:9 2007.08.02 Adware.Lop.Gen
Webwasher-Gateway 6.0.1 2007.08.02 Trojan.Dldr.Swizzor.Gen

2 Datei folgt gleich....

[Lector de documentos Doc de Windows] CFLMON.EXE
Wofür hast Du Trueimage auf dem Rechner?
@nochdigger: Bist Du meinem Link mal gefolgt?

Bata

Hi,
und hier die zweite Datei

2. Datei (cflmon.exe)
File size: 1364664 bytes
MD5: 233afe5ceed5751f4906d5d0a2735369
SHA1: fe038a09f8aaa1a339af7a4abe4d7dfb2cc62e35

AhnLab-V3 2007.8.3.0 2007.08.02 -
AntiVir 7.4.0.57 2007.08.02 TR/Crypt.FKM.Gen
Authentium 4.93.8 2007.08.02 -
Avast 4.7.1029.0 2007.08.02 -
AVG 7.5.0.476 2007.08.02 SHeur.DJQ
BitDefender 7.2 2007.08.02 -
CAT-QuickHeal 9.00 2007.08.01 -
ClamAV 0.91 2007.08.02 -
DrWeb 4.33 2007.08.02 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5026 2007.08.02 -
Ewido 4.0 2007.08.02 -
FileAdvisor 1 2007.08.02 -
Fortinet 2.91.0.0 2007.08.02 -
F-Prot 4.3.2.48 2007.08.02 -
F-Secure 6.70.13030.0 2007.08.02 -
Ikarus T3.1.1.8 2007.08.02 Backdoor.VB.EV
Kaspersky 4.0.2.24 2007.08.02 -
McAfee 5089 2007.08.02 -
Microsoft 1.2704 2007.08.02 -
NOD32v2 2434 2007.08.02 -
Norman 5.80.02 2007.08.02 -
Panda 9.0.0.4 2007.08.02 W32/Spybot.AIB.worm
Rising 19.34.32.00 2007.08.02 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.08.02 VIPRE.Suspicious
Symantec 10 2007.08.02 -
TheHacker 6.1.7.160 2007.08.01 -
VBA32 3.12.2.2 2007.08.01 -
VirusBuster 4.3.26:9 2007.08.02 -
Webwasher-Gateway 6.0.1 2007.08.02 Trojan.Crypt.FKM.Gen

Vielen Dank

Hallo

Zitat:

[Lector de documentos Doc de Windows] CFLMON.EXE
Wofür hast Du Trueimage auf dem Rechner?
@nochdigger: Bist Du meinem Link mal gefolgt?

ja bin ich und hast du den link hier gesehen --> cflmon.exe Windows Prozess - Was ist das?
und darum die Überprüfung

MFG

EDIT :war ich etwas spät dran

As you like . Hier ist imho die Aussage aus Post Nr. 2 angebracht.

Bata

Hi,

konntet ihr irgendwelche schlüsse ziehen? Gibt es noch eine Rettung oder nicht?? und wenn ja wie :P Sorry aber bin in dem Thema nicht fit

siehen Post 2

Bata

Sorry aber was meinst du??

Zitat:

Zitat von BataAlexander

Bei Deiner Infektion ist leider nichts mehr zu machen.

Setze neu auf mit dieser Anleitung.

Bata

I Hate fullquotes, the only thing i hate more are self full quotes

Bata

Hallo nochmal

@BataAlexander wie es aussieht lagen wir wohl beide daneben.

@chiller88 ich möchte dich bitten, die Datei einigen Herstellern (z.B. Kaspersky, Avast und Sophos)von Antivirensoftware zur Verfügung zu stellen, wie dies geht erfährst du hier --> http://www.trojaner-board.de/19273-v...einsenden.html

Da leider nichts weiter zu finden ist zu diesem Schädling und was dieser genau macht bleibt nur der Rat des neuaufsetzens des Systems und der anschliessenden Absicherung!

Zitat:

siehen Post 2

sehe ich leider auch so

MFG