|
Plagegeister aller Art und deren Bekämpfung: iexplore.exe - Bitte helft mir!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
05.10.2007, 14:02 | #1 |
| iexplore.exe - Bitte helft mir! Hallo, Erstmal vorweg: Nach tagelanger Suche habe ich mich nun doch entschlossen die Frage mal hier zu stellen. Hoffe hier kann mir geholfen werden. Wie einige andere Leute leider ich unter der Doppelten IEXPLORE.EXE im Taskmanager. Eine davon hat meist eine sehr hohe Cpu Auslastung (99%) va direckt anch dem Neustart und wenn man veruscht den Task zu beenden (was leider nicht fuktioniert da er sich sofort neu aufbaut). Auch habe ich spontan aufpoppende Internet Explorer Fenster mit Werbung. Nun habe ich nach wirklich langem einlesen leider noch immer keine Lösung gefunden, da die Lösungen oftmals auf Spezille Programme hinausläuft, von denen vermutet wird dass sie die Ursache sind, und damit die Fehlersuche doch sehr individuell ist. Allerdings habe ich in einem Fall gelesen dass Netpumper das Problem brachte, Daraufhinb habe ich netpumper deinstalliert, was aber keine Lösung brachte. Habe ein Hijack Logfile gemacht Hoffe ihr könnt mir helfen Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:01:18, on 05.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\WINDOWS\system32\nvraidservice.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\D-Link USB Utility\AirCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\ZoneAlarm\zlclient.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\RocketDock\RocketDock.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\HHVcdV7Sys\VC7SecS.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\Programme\Miranda IM\miranda32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Opera\Opera.exe C:\Programme\HijackThis\HijackThis.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link USB Utility\AirCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [64 inter flaw hold] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mode Rule 64 Inter\site bits.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe" O4 - HKCU\..\Run: [RemoteInfo] C:\DOKUME~1\hurz_ck\ANWEND~1\16about\MAPIINTERNETLIST.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Ad-Aware 2007\aawservice.exe O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - C:\Programme\HHVcdV7Sys\VC7SecS.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 4737 bytes |
05.10.2007, 14:23 | #2 |
| iexplore.exe - Bitte helft mir! Hallo hurz,
__________________hast Du eine Ahnung, was sich hinter dem Ordner Mode Rule 64 Inter verbirgt? Bitte lade diese Dateien einzeln bei virustotal.com hoch und lasse sie überprüfen. Dann poste die Ergebnisse hier. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mode Rule 64 Inter\site bits.exe C:\DOKUME~1\hurz_ck\ANWEND~1\16about\MAPIINTERNETL IST.exe (bzw. C:\dokumente\hurz_ck\anwendungen\16about\mapiinternetl ist.exe) |
05.10.2007, 15:24 | #3 |
| iexplore.exe - Bitte helft mir! Vielen Dank für die schnelle Antwort. Du hast glaube ich schon einen Volltreffer gelandet (traue mich aber nicht jetzt irgendwas zu unternehmen bzw zu Löschen, wollte lieber auf dein Urteil bzw weitere Tipps warten. Vielen Dank schon im Voraus.)
__________________Hoffe die Form stimmt, ansonsten könntet ihr mir bitte sagen wie man dies als Tabelle etc. postet hab das nicht hinbekommen sry. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mode Rule 64 Inter\site bits.exe Antivirus;Version;letzte aktualisierung;Ergebnis AhnLab-V3;2007.10.5.2;2007.10.05;- AntiVir;7.6.0.20;2007.10.05;- Authentium;4.93.8;2007.10.05;- Avast;4.7.1051.0;2007.10.05;Win32:Obfuscated-BPT AVG;7.5.0.488;2007.10.05;Generic8.GVZ BitDefender;7.2;2007.10.05;Trojan.FatObfus.2.Gen CAT-QuickHeal;9.00;2007.10.05;- ClamAV;0.91.2;2007.10.05;- DrWeb;4.44.0.09170;2007.10.05;Trojan.Packed.149 eSafe;7.0.15.0;2007.10.04;- eTrust-Vet;31.2.5188;2007.10.05;- Ewido;4.0;2007.10.05;- FileAdvisor;1;2007.10.05;- Fortinet;3.11.0.0;2007.10.05;- F-Prot;4.3.2.48;2007.10.05;- F-Secure;6.70.13030.0;2007.10.05;Trojan.Win32.Obfuscated.en Ikarus;T3.1.1.12;2007.10.05;not-a-virus:AdWare.Win32.Lop.ag Kaspersky;7.0.0.125;2007.10.05;Trojan.Win32.Obfuscated.en McAfee;5134;2007.10.04;- Microsoft;1.2803;2007.10.04;- NOD32v2;2574;2007.10.05;- Norman;5.80.02;2007.10.05;- Panda;9.0.0.4;2007.10.05;- Prevx1;V2;2007.10.05;- Rising;19.43.40.00;2007.10.05;- Sophos;4.22.0;2007.10.05;- Sunbelt;2.2.907.0;2007.10.04;VIPRE.Suspicious Symantec;10;2007.10.05;- TheHacker;6.2.6.076;2007.10.03;- VBA32;3.12.2.4;2007.10.05;MalwareScope.Trojan-Downloader.Obfuscated.2 VirusBuster;4.3.26:9;2007.10.05;- Webwasher-Gateway;6.0.1;2007.10.05;Win32.Malware.gen (suspicious) weitere Informationen File size: 1905664 bytes MD5: 75c840b9ff644e6c7713c9c5a48b29f5 SHA1: 6d5201b66ac2f0595a94df1610e8ba24afaa62c2 packers: Malware_Prot.S Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. C:\DOKUME~1\hurz_ck\ANWEND~1\16about\MAPIINTERNETL IST.exe (bzw. C:\dokumente\hurz_ck\anwendungen\16about\mapiinter netl ist.exe) Antivirus;Version;letzte aktualisierung;Ergebnis AhnLab-V3;2007.10.5.2;2007.10.05;- AntiVir;7.6.0.20;2007.10.05;- Authentium;4.93.8;2007.10.05;- Avast;4.7.1051.0;2007.10.05;Win32:Obfuscated-BPS AVG;7.5.0.488;2007.10.05;- BitDefender;7.2;2007.10.05;Trojan.FatObfus.2.Gen CAT-QuickHeal;9.00;2007.10.05;- ClamAV;0.91.2;2007.10.05;- DrWeb;4.44.0.09170;2007.10.05;Trojan.Packed.149 eSafe;7.0.15.0;2007.10.04;- eTrust-Vet;31.2.5188;2007.10.05;- Ewido;4.0;2007.10.05;- FileAdvisor;1;2007.10.05;- Fortinet;3.11.0.0;2007.10.05;- F-Prot;4.3.2.48;2007.10.05;- F-Secure;6.70.13030.0;2007.10.05;Trojan.Win32.Obfuscated.en Ikarus;T3.1.1.12;2007.10.05;not-a-virus:AdWare.Win32.Lop.ag Kaspersky;7.0.0.125;2007.10.05;Trojan.Win32.Obfuscated.en McAfee;5134;2007.10.04;- Microsoft;1.2803;2007.10.04;- NOD32v2;2574;2007.10.05;- Norman;5.80.02;2007.10.05;- Panda;9.0.0.4;2007.10.05;- Prevx1;V2;2007.10.05;Adware.Lop:Payload-All Variants Rising;19.43.40.00;2007.10.05;- Sophos;4.22.0;2007.10.05;- Sunbelt;2.2.907.0;2007.10.04;VIPRE.Suspicious Symantec;10;2007.10.05;Adware.Lop TheHacker;6.2.6.076;2007.10.03;- VBA32;3.12.2.4;2007.10.05;MalwareScope.Trojan-Downloader.Obfuscated.2 VirusBuster;4.3.26:9;2007.10.05;- Webwasher-Gateway;6.0.1;2007.10.05;Worm.Win32.Malware.gen (suspicious) weitere Informationen File size: 565760 bytes MD5: 05480a5067ff33647435f79c5af40144 SHA1: 1126b77863af9477a852d325d9186192c0d04f9b packers: Malware_Prot.S Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=CC3A14B60036AB38A21F0896911B6D0081171718 Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. |
05.10.2007, 18:38 | #4 |
| iexplore.exe - Bitte helft mir! Löschen kannst Du sie selbstverständlich, damit machst Du nichts kaputt. Dafür musst Du vorher im Taskmanager den Prozess bzw. den zweiten Internetexplorer beenden. Deaktiviere die Systemwiederherstellung, damit sie dort nicht bleiben. Und vergiss nicht, den Papierkorb zu leeren. Ich bin jedoch nicht sicher, ob es damit getan ist. Ferner weiß ich nicht, ob es ein Backdoortrojaner ist, dann wäre wohl schnellstes Neuaufsetzen und Passwörter von reinem PC aus ändern das Beste. Jemand da, der Bescheid weiß? |
05.10.2007, 18:46 | #5 | ||
| iexplore.exe - Bitte helft mir! Hallo Zitat:
Zitat:
Und los wirst du den Swizzor --> Swizzor entfernen die relevanten Einträge dazu sind ja bekannt. Erstelle nach der Bereinigung ein neues HijackThis Log und berichte. MFG |
06.10.2007, 15:20 | #6 |
| iexplore.exe - Bitte helft mir! Hallo, den 2ten iexplore.exe task (der mit der geringeren systemauslastung) zu löschen hat anch mehrmaligem probieren geklappt, und siehe da als dieser gelöscht war und sich nicht wieder aufbaute konnte ich den andreen task auch löschen. Dann habe ich die beiden Dateien gelöscht, nochmal in msconfig geschaut und da auch 2 einträge rausgenommen. Hatten glaube ich dieselben Namen wie die beiden Dateien (oder fast). Auf jedenfall nach einem Neustart, habe ich keine Probleme mehr, keine Prozesse, und auch die Internet Explorer Hilfe fenster öffnen sich nicht mehr. Werde das ganze jetz noch eine Zeit beobachten, hoffe aber es bleibt so gut. Vielen Dank also an euch beide Lavla und nochdigger ihr habt mir sehr geholfen! |
06.10.2007, 15:35 | #7 | |
| iexplore.exe - Bitte helft mir! Hallo du solltest noch die Ordner wo sich die Bösewichte drinnen befanden löschen. Also : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mode Rule 64 Inter\ C:\DOKUME~1\hurz_ck\ANWEND~1\16about\ und das am besten im abgesicherten Modus, kontrolliere per HijackThis bitte ob die Einträge raus oder noch vorhanden sind, Zitat:
Nach einem Neustart kontrollieren ob die Einträge dauerhaft verschwunden bleiben. Mach auch mal einen Fullscan deines Systems, updatete dein Antivirenprogramm vorher bitte. MFG |
06.10.2007, 19:43 | #8 |
Gesperrt | iexplore.exe - Bitte helft mir! Hattet ihr schon gesehn C:\WINDOWS\System32\svchost.exe _ das is wichtig ich bin mir nicht sicher hatte aber schonmal in einen anderen Threat gelesen dass es verdächtig sei. |
07.10.2007, 00:03 | #9 |
| iexplore.exe - Bitte helft mir! Hi, Hab die Ordner gelöscht. Die Einträge alssen sich in hijack nicht mehr finden. Habe keine Probleme mehr (Euch sei Dank!) Antivirenscans haben nichts mehr ergeben, system läuft stabil. Ciao |
27.10.2007, 11:51 | #10 |
| Probleme Ich denke, dass ich im Großen und Ganzen ein ähnliches Problem habe. Bei jedem Neustart meines PCs kommt erstmal eine Fehlermeldung vom "Internet Explorer" - so eine typische mit "Debug", "Senden" oder "Nicht Senden". Außerdem öffnen sich im regelmäßigen Abständen Fenster mit Werbung. Habe schon diverse Anti-Spyware Programme installiert und ausgeführt - keine Lösung des Problems. Dazu kommt, dass ich ein ziemlicher Anfänger in dieser ganzen Materie bin. Des Weiteren habe ich Probleme mit Anti-Vir - es lässt sich nicht installieren - es soll noch eine alte Version installiert sein, aber ich finde keine Dateien. Kennt Ihr vielleicht gute (am besten kostenlose Programme), die solche Probleme verhindern oder beenden?? Was ist zu tun??? Ich bitte um dringende Hilfe. Es macht einfach keinen Spaß, außerdem ist es sicherlich auch nicht ungefährlich. mfg Opi |
25.11.2007, 16:26 | #11 |
| iexplore.exe - Bitte helft mir! Ich finde es schade, dass mein Problem offensichtlich nicht wirklich ernst genommen wird. Ich hatte anfangs von dem Forum einen durchweg positiven Eindruck. Nun muss ich leider das Gegenteil feststellen (nach knapp 2 Monaten keine Antwort(!) ). [sorry meine 1 Monat] Ich bitte Euch erneut, mir zu helfen!! Sagt mir bitte, was man tun könnte... |
25.11.2007, 20:57 | #12 |
| iexplore.exe - Bitte helft mir! hallo opishv, wenn Du das Board hier ein wenig kennst, weißt Du sicher, dass es besser ist, einen eigenes Thema zu eröffnen. Dort kannst du ja dann auch gleich mal ein HJT-log posten. Viel Glück |
28.11.2007, 17:35 | #13 |
| iexplore.exe - Bitte helft mir! Okay das ist ja schon mal schön, dass mich überhaupt jemand findet... Ich kenne mich ja eben nicht hier aus... Einfach das Programm ausführen? Kann ich das vielleicht jemanden privat schicken? |
Themen zu iexplore.exe - Bitte helft mir! |
ad-aware, antivir, auslastung, avira, cpu, einstellungen, explorer, frage, helper, hijack, hijackthis, hkus\s-1-5-18, hohe cpu, hohe cpu auslastung, iexplore.exe, internet, internet explorer, logfile, monitor, neustart, nvidia, problem, rundll, s-1-5-18, software, system, trend micro, uleadburninghelper, usb, windows, windows xp |