Hallo,
Erstmal vorweg:
Nach tagelanger Suche habe ich mich nun doch entschlossen die Frage mal hier zu stellen. Hoffe hier kann mir geholfen werden.

Wie einige andere Leute leider ich unter der Doppelten IEXPLORE.EXE im Taskmanager. Eine davon hat meist eine sehr hohe Cpu Auslastung (99%) va direckt anch dem Neustart und wenn man veruscht den Task zu beenden (was leider nicht fuktioniert da er sich sofort neu aufbaut). Auch habe ich spontan aufpoppende Internet Explorer Fenster mit Werbung.

Nun habe ich nach wirklich langem einlesen leider noch immer keine Lösung gefunden, da die Lösungen oftmals auf Spezille Programme hinausläuft, von denen vermutet wird dass sie die Ursache sind, und damit die Fehlersuche doch sehr individuell ist.
Allerdings habe ich in einem Fall gelesen dass Netpumper das Problem brachte, Daraufhinb habe ich netpumper deinstalliert, was aber keine Lösung brachte.

Habe ein Hijack Logfile gemacht Hoffe ihr könnt mir helfen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:01:18, on 05.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\D-Link USB Utility\AirCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\RocketDock\RocketDock.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\HHVcdV7Sys\VC7SecS.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Opera\Opera.exe
C:\Programme\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [64 inter flaw hold] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mode Rule 64 Inter\site bits.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [RemoteInfo] C:\DOKUME~1\hurz_ck\ANWEND~1\16about\MAPIINTERNETLIST.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - C:\Programme\HHVcdV7Sys\VC7SecS.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4737 bytes

Hallo hurz,

hast Du eine Ahnung, was sich hinter dem Ordner Mode Rule 64 Inter verbirgt?
Bitte lade diese Dateien einzeln bei virustotal.com hoch und lasse sie überprüfen.
Dann poste die Ergebnisse hier.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mode Rule 64 Inter\site bits.exe
C:\DOKUME~1\hurz_ck\ANWEND~1\16about\MAPIINTERNETL IST.exe
(bzw. C:\dokumente\hurz_ck\anwendungen\16about\mapiinternetl ist.exe)

Vielen Dank für die schnelle Antwort. Du hast glaube ich schon einen Volltreffer gelandet (traue mich aber nicht jetzt irgendwas zu unternehmen bzw zu Löschen, wollte lieber auf dein Urteil bzw weitere Tipps warten. Vielen Dank schon im Voraus.)

Hoffe die Form stimmt, ansonsten könntet ihr mir bitte sagen wie man dies als Tabelle etc. postet hab das nicht hinbekommen sry.


C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mode Rule 64 Inter\site bits.exe

Antivirus;Version;letzte aktualisierung;Ergebnis
AhnLab-V3;2007.10.5.2;2007.10.05;-
AntiVir;7.6.0.20;2007.10.05;-
Authentium;4.93.8;2007.10.05;-
Avast;4.7.1051.0;2007.10.05;Win32:Obfuscated-BPT
AVG;7.5.0.488;2007.10.05;Generic8.GVZ
BitDefender;7.2;2007.10.05;Trojan.FatObfus.2.Gen
CAT-QuickHeal;9.00;2007.10.05;-
ClamAV;0.91.2;2007.10.05;-
DrWeb;4.44.0.09170;2007.10.05;Trojan.Packed.149
eSafe;7.0.15.0;2007.10.04;-
eTrust-Vet;31.2.5188;2007.10.05;-
Ewido;4.0;2007.10.05;-
FileAdvisor;1;2007.10.05;-
Fortinet;3.11.0.0;2007.10.05;-
F-Prot;4.3.2.48;2007.10.05;-
F-Secure;6.70.13030.0;2007.10.05;Trojan.Win32.Obfuscated.en
Ikarus;T3.1.1.12;2007.10.05;not-a-virus:AdWare.Win32.Lop.ag
Kaspersky;7.0.0.125;2007.10.05;Trojan.Win32.Obfuscated.en
McAfee;5134;2007.10.04;-
Microsoft;1.2803;2007.10.04;-
NOD32v2;2574;2007.10.05;-
Norman;5.80.02;2007.10.05;-
Panda;9.0.0.4;2007.10.05;-
Prevx1;V2;2007.10.05;-
Rising;19.43.40.00;2007.10.05;-
Sophos;4.22.0;2007.10.05;-
Sunbelt;2.2.907.0;2007.10.04;VIPRE.Suspicious
Symantec;10;2007.10.05;-
TheHacker;6.2.6.076;2007.10.03;-
VBA32;3.12.2.4;2007.10.05;MalwareScope.Trojan-Downloader.Obfuscated.2
VirusBuster;4.3.26:9;2007.10.05;-
Webwasher-Gateway;6.0.1;2007.10.05;Win32.Malware.gen (suspicious)

weitere Informationen
File size: 1905664 bytes
MD5: 75c840b9ff644e6c7713c9c5a48b29f5
SHA1: 6d5201b66ac2f0595a94df1610e8ba24afaa62c2
packers: Malware_Prot.S
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.


C:\DOKUME~1\hurz_ck\ANWEND~1\16about\MAPIINTERNETL IST.exe
(bzw. C:\dokumente\hurz_ck\anwendungen\16about\mapiinter netl ist.exe)

Antivirus;Version;letzte aktualisierung;Ergebnis
AhnLab-V3;2007.10.5.2;2007.10.05;-
AntiVir;7.6.0.20;2007.10.05;-
Authentium;4.93.8;2007.10.05;-
Avast;4.7.1051.0;2007.10.05;Win32:Obfuscated-BPS
AVG;7.5.0.488;2007.10.05;-
BitDefender;7.2;2007.10.05;Trojan.FatObfus.2.Gen
CAT-QuickHeal;9.00;2007.10.05;-
ClamAV;0.91.2;2007.10.05;-
DrWeb;4.44.0.09170;2007.10.05;Trojan.Packed.149
eSafe;7.0.15.0;2007.10.04;-
eTrust-Vet;31.2.5188;2007.10.05;-
Ewido;4.0;2007.10.05;-
FileAdvisor;1;2007.10.05;-
Fortinet;3.11.0.0;2007.10.05;-
F-Prot;4.3.2.48;2007.10.05;-
F-Secure;6.70.13030.0;2007.10.05;Trojan.Win32.Obfuscated.en
Ikarus;T3.1.1.12;2007.10.05;not-a-virus:AdWare.Win32.Lop.ag
Kaspersky;7.0.0.125;2007.10.05;Trojan.Win32.Obfuscated.en
McAfee;5134;2007.10.04;-
Microsoft;1.2803;2007.10.04;-
NOD32v2;2574;2007.10.05;-
Norman;5.80.02;2007.10.05;-
Panda;9.0.0.4;2007.10.05;-
Prevx1;V2;2007.10.05;Adware.Lop:Payload-All Variants
Rising;19.43.40.00;2007.10.05;-
Sophos;4.22.0;2007.10.05;-
Sunbelt;2.2.907.0;2007.10.04;VIPRE.Suspicious
Symantec;10;2007.10.05;Adware.Lop
TheHacker;6.2.6.076;2007.10.03;-
VBA32;3.12.2.4;2007.10.05;MalwareScope.Trojan-Downloader.Obfuscated.2
VirusBuster;4.3.26:9;2007.10.05;-
Webwasher-Gateway;6.0.1;2007.10.05;Worm.Win32.Malware.gen (suspicious)

weitere Informationen
File size: 565760 bytes
MD5: 05480a5067ff33647435f79c5af40144
SHA1: 1126b77863af9477a852d325d9186192c0d04f9b
packers: Malware_Prot.S
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=CC3A14B60036AB38A21F0896911B6D0081171718
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Löschen kannst Du sie selbstverständlich, damit machst Du nichts kaputt.
Dafür musst Du vorher im Taskmanager den Prozess bzw. den zweiten Internetexplorer beenden.
Deaktiviere die Systemwiederherstellung, damit sie dort nicht bleiben.
Und vergiss nicht, den Papierkorb zu leeren.

Ich bin jedoch nicht sicher, ob es damit getan ist.
Ferner weiß ich nicht, ob es ein Backdoortrojaner ist, dann wäre wohl schnellstes Neuaufsetzen und Passwörter von reinem PC aus ändern das Beste.

Jemand da, der Bescheid weiß?

Hallo

Zitat:

Dafür musst Du vorher im Taskmanager den Prozess bzw. den zweiten Internetexplorer beenden.

Das wird wahrscheinlich nur von kurzem Erfolg gekrönt sein.

Zitat:

Ferner weiß ich nicht, ob es ein Backdoortrojaner ist

Ist es nicht

Und los wirst du den Swizzor --> Swizzor entfernen
die relevanten Einträge dazu sind ja bekannt.
Erstelle nach der Bereinigung ein neues HijackThis Log und berichte.

MFG

Hallo, den 2ten iexplore.exe task (der mit der geringeren systemauslastung) zu löschen hat anch mehrmaligem probieren geklappt, und siehe da als dieser gelöscht war und sich nicht wieder aufbaute konnte ich den andreen task auch löschen.
Dann habe ich die beiden Dateien gelöscht, nochmal in msconfig geschaut und da auch 2 einträge rausgenommen. Hatten glaube ich dieselben Namen wie die beiden Dateien (oder fast).
Auf jedenfall nach einem Neustart, habe ich keine Probleme mehr, keine Prozesse, und auch die Internet Explorer Hilfe fenster öffnen sich nicht mehr.
Werde das ganze jetz noch eine Zeit beobachten, hoffe aber es bleibt so gut.

Vielen Dank also an euch beide Lavla und nochdigger ihr habt mir sehr geholfen!

Hallo

du solltest noch die Ordner wo sich die Bösewichte drinnen befanden löschen.
Also :

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mode Rule 64 Inter\

C:\DOKUME~1\hurz_ck\ANWEND~1\16about\

und das am besten im abgesicherten Modus, kontrolliere per HijackThis bitte ob die Einträge raus oder noch vorhanden sind,

Zitat:

O4 - HKLM\..\Run: [64 inter flaw hold] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mode Rule 64 Inter\site bits.exe
O4 - HKCU\..\Run: [RemoteInfo] C:\DOKUME~1\hurz_ck\ANWEND~1\16about\MAPIINTERNETL IST.exe

sollten diese noch vorhanden sein starte HijackThis und hake diese Einträge an anschließend auf - fix checked - klicken und HijackThis beenden.
Nach einem Neustart kontrollieren ob die Einträge dauerhaft verschwunden bleiben.
Mach auch mal einen Fullscan deines Systems, updatete dein Antivirenprogramm vorher bitte.

MFG

Hattet ihr schon gesehn C:\WINDOWS\System32\svchost.exe
_ das is wichtig ich bin mir nicht sicher hatte aber schonmal in einen anderen Threat gelesen dass es verdächtig sei.

Hi,
Hab die Ordner gelöscht.
Die Einträge alssen sich in hijack nicht mehr finden.
Habe keine Probleme mehr (Euch sei Dank!)
Antivirenscans haben nichts mehr ergeben, system läuft stabil.

Ciao

Ich denke, dass ich im Großen und Ganzen ein ähnliches Problem habe.
Bei jedem Neustart meines PCs kommt erstmal eine Fehlermeldung vom "Internet Explorer" - so eine typische mit "Debug", "Senden" oder "Nicht Senden".
Außerdem öffnen sich im regelmäßigen Abständen Fenster mit Werbung.

Habe schon diverse Anti-Spyware Programme installiert und ausgeführt - keine Lösung des Problems.

Dazu kommt, dass ich ein ziemlicher Anfänger in dieser ganzen Materie bin.

Des Weiteren habe ich Probleme mit Anti-Vir - es lässt sich nicht installieren - es soll noch eine alte Version installiert sein, aber ich finde keine Dateien.
Kennt Ihr vielleicht gute (am besten kostenlose Programme), die solche Probleme verhindern oder beenden??

Was ist zu tun???

Ich bitte um dringende Hilfe. Es macht einfach keinen Spaß, außerdem ist es sicherlich auch nicht ungefährlich.

mfg Opi

Ich finde es schade, dass mein Problem offensichtlich nicht wirklich ernst genommen wird.
Ich hatte anfangs von dem Forum einen durchweg positiven Eindruck.
Nun muss ich leider das Gegenteil feststellen (nach knapp 2 Monaten keine Antwort(!) ). [sorry meine 1 Monat]

Ich bitte Euch erneut, mir zu helfen!!

Sagt mir bitte, was man tun könnte...

hallo opishv,
wenn Du das Board hier ein wenig kennst, weißt Du sicher, dass es besser ist, einen eigenes Thema zu eröffnen.
Dort kannst du ja dann auch gleich mal ein HJT-log posten.
Viel Glück

Okay das ist ja schon mal schön, dass mich überhaupt jemand findet...
Ich kenne mich ja eben nicht hier aus...

Einfach das Programm ausführen?

Kann ich das vielleicht jemanden privat schicken?