| |
| |||||||
Log-Analyse und Auswertung: Wieder das problem mit der 2. iexplorer.exe !Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
20.12.2007, 19:25
| #1 |
| |  Wieder das problem mit der 2. iexplorer.exe ! Ich habe die Tage mit erheblichen Perfomanceproblemen meines PC'S zu kämpfen gehabt. Daraufhin hab ich mir mal meine Prozesse angeschaut und die 2. iexplorer.exe gefunden, die zeitweise 97% von meiner CPU zieht und bin dann halt relativ schnell auf Trojaner gekommen.. Antivir vollen Systemscan durchlaufen lassen. Adaware durchlaufen lassen nichts geholfen und dann halt hier auf das Forum gestoßen... Ich habe mir hier schon ein paar posts tiefer umgesehen und hier sind mal so die Sachen die ihr da haben wolltet: Ein Neuaufsetzen des Systems kommt für mich nicht in Frage, da ich meinen PC zur Zeit dringend für die Schule brauche..... Hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:57:38, on 20.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe E:\Software\Treiber\winfast\WFWIZ.exe E:\Software\Programme\AntiVir PersonalEdition Classic\sched.exe E:\Software\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RunDLL32.exe E:\Software\Treiber\Mx510\MouseWare\system\em_exec.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\WINDOWS\system32\ctfmon.exe E:\Software\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\system32\UAService7.exe C:\WINDOWS\system32\svchost.exe E:\Software\Programme\Xfire\Xfire.exe E:\Software\Programme\Trillian\trillian.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Internet Explorer\IEXPLORE.EXE E:\Software\Programme\Hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = Search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = Search O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [QuickTime Task] "E:\software\programme\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [WinFast Schedule] E:\Software\Treiber\winfast\WFWIZ.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "E:\Software\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Online chin internet bolt] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bags Plus Online Chin\Meet owns.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [InCD] E:\Software\Programme\incd\InCD.exe O4 - HKLM\..\Run: [AceGain LiveUpdate] E:\LiveUpdate.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RdrOnce] C:\DOKUME~1\*****\ANWEND~1\OBJPRO~1\byteholddata.exe O4 - HKCU\..\Run: [LDM] E:\Software\Programme\Logitech Desktop Manager\8876480\Program\LogitechDesktopMessenger.exe O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\wtsap32.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{C0F62FB4-9D65-4E7B-B020-9A554CE24992}: NameServer = 192.168.0.1 O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - E:\Software\Programme\Logitech Desktop Manager\8876480\Program\GAPlugProtocol-8876480.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Software\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Software\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2.2 - Apache Software Foundation - E:\Software\Programme\Apache\bin\httpd.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Software\Programme\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe -- End of file - 7535 bytes Und gleich hinterher der Combofix: ComboFix 07-12-20.1 - ***** 2007-12-20 19:03:07.1 - NTFSx86 ausgeführt von:: D:\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . ((((((((((((((((((((((( Dateien erstellt von 2007-11-20 bis 2007-12-20 )))))))))))))))))))))))))))))) . 2007-12-13 23:22 . 2007-12-13 23:22 <DIR> d--h----- C:\WINDOWS\PIF 2007-12-13 23:02 . 2007-12-13 23:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bags Plus Online Chin 2007-12-13 23:00 . 2007-12-13 23:00 <DIR> d-------- C:\Programme\obj proxy soap 2007-12-13 23:00 . 2007-12-13 23:03 <DIR> d-------- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\obj proxy soap 2007-12-13 23:00 . 2007-12-13 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\NetPumper 2007-12-05 12:52 . 2007-12-05 12:52 <DIR> d-------- C:\Dokumente und Einstellungen\*****i\workspace . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-19 17:26 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\teamspeak2 2007-12-18 22:46 --------- d---a-w C:\Programme\BearShare applications 2007-12-11 15:53 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Xfire 2007-11-25 19:38 --------- d-----w C:\Programme\Mozilla Thunderbird 2007-11-14 18:35 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Hamachi 2007-11-14 12:32 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2007-11-14 12:26 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Hamachi-Backup 2007-11-14 12:13 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys 2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys 2007-11-05 11:55 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-11-05 11:54 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\InstallShield 2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll 2007-10-25 17:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer 2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll 2001-11-23 10:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00] "RdrOnce"="C:\DOKUME~1\*****\ANWEND~1\OBJPRO~1\byteholddata.exe" [2007-12-13 23:00] "LDM"="E:\Software\Programme\Logitech Desktop Manager\8876480\Program\LogitechDesktopMessenger.exe" [2007-02-25 12:46] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QuickTime Task"="E:\software\programme\QTTask.exe" [2007-06-29 05:24] "Cmaudio"="RunDll32 cmicnfg.cpl" [] "Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 02:10] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11] "NvCplDaemon"="RUNDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe] "WinFast Schedule"="E:\Software\Treiber\winfast\WFWIZ.exe" [2005-09-30 08:18] "NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2002-10-08 11:03] "avgnt"="E:\Software\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 19:32] "NvMediaCenter"="RunDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe] "Logitech Utility"="Logi_MwX.Exe" [2003-12-11 09:50 C:\WINDOWS\LOGI_MWX.EXE] "Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 10:45] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-05-14 22:07] "Online chin internet bolt"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bags Plus Online Chin\Meet owns.exe" [2007-12-20 18:39] "nwiz"="nwiz.exe" [2006-10-22 12:22 C:\WINDOWS\system32\nwiz.exe] "InCD"="E:\Software\Programme\incd\InCD.exe" [2002-09-26 10:30] "AceGain LiveUpdate"="E:\LiveUpdate.exe" [2004-01-01 02:12] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{329247c2-2eb4-11db-b571-806d6172696f}] \Shell\AutoRun\command - G:\autoplay.exe *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . Inhalt des "geplante Tasks" Ordners "2007-12-20 18:00:00 C:\WINDOWS\Tasks\AAF0993A91DF0A3E.job" - c:\dokume~1\*****\anwend~1\objpro~1\mess about ball.exe "2007-10-10 21:25:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-20 19:04:32 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... C:\WINDOWS\system32\wtsap32.exe [168] 0x86023DA0 Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-12-20 19:05:19 . 2007-12-12 23:07:18 --- E O F --- und die files.txt: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: AC3A-6C64 Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten 28.11.2006 17:15 305 addr_file.html 18.11.2007 20:45 <DIR> Adobe 09.09.2007 09:40 <DIR> AntiVir PersonalEdition Classic 10.10.2007 22:25 <DIR> Apple 25.10.2007 18:32 <DIR> Apple Computer 13.12.2007 23:02 <DIR> Bags Plus Online Chin 07.07.2007 23:39 <DIR> Google 27.06.2007 20:36 <DIR> LogiShrd 12.02.2007 22:37 <DIR> Macrovision 02.08.2007 23:45 <DIR> MAGIX 19.08.2006 13:16 <DIR> NVIDIA 31.12.2006 17:20 <DIR> nView_Profiles 10.09.2006 09:52 <DIR> QuickTime 07.03.2007 23:48 <DIR> Skype 23.10.2006 01:56 <DIR> Ulead Systems 19.08.2006 12:59 <DIR> Windows Genuine Advantage 1 Datei(en) 305 Bytes 15 Verzeichnis(se), 11.214.344.192 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: AC3A-6C64 Verzeichnis von C:\Dokumente und Einstellungen\*****\Anwendungsdaten 18.11.2007 20:45 <DIR> Adobe 16.08.2007 14:59 <DIR> AdobeUM 29.07.2007 20:14 <DIR> Command & Conquer 3 Tiberium Wars 07.07.2007 19:44 <DIR> DivX 04.03.2007 17:56 <DIR> dvdcss 03.11.2006 17:33 <DIR> Google 14.11.2007 19:35 <DIR> Hamachi 14.11.2007 13:26 <DIR> Hamachi-Backup 18.08.2006 11:52 <DIR> Identities 05.11.2007 12:54 <DIR> InstallShield 24.05.2007 21:49 <DIR> Lavasoft 18.08.2006 13:03 <DIR> Macromedia 02.08.2007 23:45 <DIR> MAGIX 01.03.2007 18:32 <DIR> Mozilla 13.12.2007 23:00 <DIR> NetPumper 13.12.2007 23:03 <DIR> obj proxy soap 29.07.2007 20:04 <DIR> OpenOffice.org2 14.05.2007 22:11 <DIR> Real 01.10.2007 09:58 <DIR> Skype 06.10.2006 17:15 <DIR> Sun 18.08.2006 12:04 <DIR> Talkback 19.12.2007 18:26 <DIR> teamspeak2 01.03.2007 18:32 <DIR> Thunderbird 15.08.2007 01:14 <DIR> uTorrent 30.08.2006 21:25 <DIR> vlc 19.06.2007 16:08 <DIR> WinRAR 11.12.2007 16:53 <DIR> Xfire 0 Datei(en) 0 Bytes 27 Verzeichnis(se), 11.214.344.192 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: AC3A-6C64 Verzeichnis von C:\Windows\tasks 10.10.2007 22:25 276 AppleSoftwareUpdate.job 1 Datei(en) 276 Bytes 0 Verzeichnis(se), 11.214.344.192 Bytes frei PS: Ja das netpumper n Wurm drinhat hab ich auch gemerkt letzte Woche und das teil sollte eigentlich deinstalliert sein  Da ist ein paar Threads tiefer schon ne Lösung dafür... kann ich das einfach kopieren ? mfg ein sehr genervter PC User, der bei Wow Standbilder hat X,x |
| Themen zu Wieder das problem mit der 2. iexplorer.exe ! |
| antivir, avira, bho, canon, combofix, desktop, downloader, dringend, drivers, excel, firefox, frage, helper, hijack, hijackthis, hkus\s-1-5-18, iexplorer.exe, installation, internet explorer, laufwerk c, magix, malware, mozilla, mozilla firefox, problem, s-1-5-18, software, standbilder, teamspeak, trend micro, trojaner, uleadburninghelper, windows, windows xp, windows\system32\drivers, wurm |
Baum-Darstellung