Guten Abend,

ich habe seit mehreren Stunden ein Problem mit meinem Rechner. Im Task Manager wird mir der Prozess iexplore.exe doppelt angezeigt. Die erste iexplorer.exe verbraucht ca. 8000 Speicher, die zweite aber meistens so zwischen 50.000-70.000. Ich habe leider nicht besonders viel Ahnung von Viren und Trojanern, hoffe aber trotzdem Hilfe zu bekommen.
Ich habe mir Hijack This heruntergeladen und einen Log erstellt, ich hoffe es sind alle Informationen enthalten.

Logfile of HijackThis v1.99.1
Scan saved at 21:44:06, on 22.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\KGB\Mpk.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
E:\programme\steam\steam.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Octoshape Streaming Services\Raphael\OctoshapeClient.exe
C:\Programme\MSN Messenger\usnsvc.exe
E:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Java\jre1.6.0_02\bin\jucheck.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe
E:\Programme\mIRC\mirc.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.daemonsearch.com/intl/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - E:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] "e:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\wianmpa.exe
O4 - HKLM\..\Run: [ATI-Graphics] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [Win Base 4 Download] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Browse Dent Win Base\Wipe soft.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "e:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Programme\Octoshape Streaming Services\Raphael\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "e:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [BAIT HTM] C:\DOKUME~1\Raphael\ANWEND~1\TRANSJ~1\PollFileWait.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - e:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - e:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - e:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - e:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

mfg,

Raphael

//edit: Seit heute öffnen sich auch oft Pop-Ups im IE, obwohl ich ansonsten nur Firefox und Opera nutze.

Tach!

Zitat:

Die erste iexplorer.exe verbraucht ca. 8000 Speicher, die zweite aber meistens so zwischen 50.000-70.000. Ich habe leider nicht besonders viel Ahnung von Viren und Trojanern, hoffe aber trotzdem Hilfe zu bekommen.

Hast du den IE denn selber geöffnet oder wird der von allein aktiv?
Falls noch nciht erfolgt: Stell deinen Standardbrowser um. Zu empfehlen wären da Firefox oder Opera.

Zitat:

C:\Programme\KGB\Mpk.exe

What's That? Vom KGB?
Werte im Zweifelsfall diese Datei mal bei Virustotal aus und poste die Ergebnisse inkl. Angaben zu Prüfsummen und Dateigröße.

Zitat:

C:\Programme\Java\jre1.6.0_02\bin\jucheck.exe

Java hätte da ein Update verdient...

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\svchost.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Browse Dent Win Base\Wipe soft.exe
C:\DOKUME~1\Raphael\ANWEND~1\TRANSJ~1\PollFileWait.exe
         

Werte auch diese Dateien mal bei Virustotal aus...dann sehen wir weiter.

Moin,

bin wieder aus den Staaten zurück und lasse gerade Virustotal über die Datein laufen.

C:\Programme\KGB\Mpk.exe

PHP-Code:

Antivirus     Version     letzte aktualisierung     Ergebnis
AhnLab-V3    2008.1.12.10    2008.01.11    -
AntiVir    7.6.0.46    2008.01.11    -
Authentium    4.93.8    2008.01.12    -
Avast    4.7.1098.0    2008.01.11    -
AVG    7.5.0.516    2008.01.11    -
BitDefender    7.2    2008.01.12    -
CAT-QuickHeal    9.00    2008.01.12    -
ClamAV    0.91.2    2008.01.11    -
DrWeb    4.44.0.09170    2008.01.12    -
eSafe    7.0.15.0    2008.01.10    Spyware.Gen
eTrust-Vet    31.3.5451    2008.01.11    -
Ewido    4.0    2008.01.11    -
FileAdvisor    1    2008.01.12    -
Fortinet    3.14.0.0    2008.01.12    -
F-Prot    4.4.2.54    2008.01.11    W32/Heuristic-162!Eldorado
F-Secure    6.70.13030.0    2008.01.11    -
Ikarus    T3.1.1.20    2008.01.12    -
Kaspersky    7.0.0.125    2008.01.12    -
McAfee    5205    2008.01.11    -
Microsoft    1.3109    2008.01.12    -
NOD32v2    2785    2008.01.11    -
Norman    5.80.02    2008.01.11    -
Panda    9.0.0.4    2008.01.11    -
Prevx1    V2    2008.01.12    -
Rising    20.26.52.00    2008.01.12    -
Sophos    4.24.0    2008.01.12    -
Sunbelt    2.2.907.0    2008.01.12    VIPRE.Suspicious
Symantec    10    2008.01.12    Spyware.KGBSpy
TheHacker    6.2.9.186    2008.01.11    -
VBA32    3.12.2.5    2008.01.12    -
VirusBuster    4.3.26:9    2008.01.11    -
Webwasher-Gateway    6.6.2    2008.01.12    Win32.Malware.gen (suspicious)
weitere Informationen
File size: 1226240 bytes
MD5: c61fa25e2709d7181108e918b6c24a3d
SHA1: ee8ad1aa6e82a5d717c4567789674bb82bc8607b
PEiD: ASProtect v1.23 RC1
packers: PE_Patch, Aspack
packers: PE_Patch 


C:\WINDOWS\svchost.exe

PHP-Code:

0 bytes size received / Se ha recibido un archivo vacio 


C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Browse Dent Win Base\Wipe soft.exe

PHP-Code:

Antivirus      Version      letzte aktualisierung      Ergebnis
AhnLab-V3    2008.1.12.10    2008.01.11    -
AntiVir    7.6.0.46    2008.01.11    -
Authentium    4.93.8    2008.01.12    -
Avast    4.7.1098.0    2008.01.11    -
AVG    7.5.0.516    2008.01.11    -
BitDefender    7.2    2008.01.12    -
CAT-QuickHeal    9.00    2008.01.12    -
ClamAV    0.91.2    2008.01.11    -
DrWeb    4.44.0.09170    2008.01.12    -
eSafe    7.0.15.0    2008.01.10    -
eTrust-Vet    31.3.5451    2008.01.11    -
Ewido    4.0    2008.01.11    -
FileAdvisor    1    2008.01.12    -
Fortinet    3.14.0.0    2008.01.12    -
F-Prot    4.4.2.54    2008.01.11    -
F-Secure    6.70.13030.0    2008.01.11    -
Ikarus    T3.1.1.20    2008.01.12    -
Kaspersky    7.0.0.125    2008.01.12    -
McAfee    5205    2008.01.11    -
Microsoft    1.3109    2008.01.12    -
NOD32v2    2785    2008.01.11    -
Norman    5.80.02    2008.01.11    -
Panda    9.0.0.4    2008.01.11    -
Prevx1    V2    2008.01.12    Heuristic: Suspicious Self Modifying File
Rising    20.26.52.00    2008.01.12    -
Sophos    4.24.0    2008.01.12    -
Sunbelt    2.2.907.0    2008.01.12    -
Symantec    10    2008.01.12    -
TheHacker    6.2.9.186    2008.01.11    -
VBA32    3.12.2.5    2008.01.12    -
VirusBuster    4.3.26:9    2008.01.11    -
Webwasher-Gateway    6.6.2    2008.01.12    -
weitere Informationen
File size: 2804224 bytes
MD5: 80bf50e0d678fedd5a782a2fe3add4c5
SHA1: 74345c22dc30d2376804dfd963260f5c33fdfb48
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=DEA2035D0069ED3ECA582A1FAA5C63005CC21140 


C:\DOKUME~1\Raphael\ANWEND~1\TRANSJ~1\PollFileWait.exe

PHP-Code:

Antivirus      Version      letzte aktualisierung      Ergebnis
AhnLab-V3    2008.1.12.10    2008.01.11    -
AntiVir    7.6.0.46    2008.01.11    -
Authentium    4.93.8    2008.01.12    -
Avast    4.7.1098.0    2008.01.11    -
AVG    7.5.0.516    2008.01.11    -
BitDefender    7.2    2008.01.12    Trojan.Obfus.6.Gen
CAT-QuickHeal    9.00    2008.01.12    -
ClamAV    0.91.2    2008.01.11    -
DrWeb    4.44.0.09170    2008.01.12    -
eSafe    7.0.15.0    2008.01.10    -
eTrust-Vet    31.3.5451    2008.01.11    -
Ewido    4.0    2008.01.11    -
FileAdvisor    1    2008.01.12    -
Fortinet    3.14.0.0    2008.01.12    -
F-Prot    4.4.2.54    2008.01.11    W32/Heuristic-KPP!Eldorado
F-Secure    6.70.13030.0    2008.01.11    -
Ikarus    T3.1.1.20    2008.01.12    -
Kaspersky    7.0.0.125    2008.01.12    -
McAfee    5205    2008.01.11    -
Microsoft    1.3109    2008.01.12    -
NOD32v2    2785    2008.01.11    -
Norman    5.80.02    2008.01.11    -
Panda    9.0.0.4    2008.01.12    Suspicious file
Prevx1    V2    2008.01.12    Adware.Lop.Downloader
Rising    20.26.52.00    2008.01.12    -
Sophos    4.24.0    2008.01.12    Mal/Behav-010
Sunbelt    2.2.907.0    2008.01.12    -
Symantec    10    2008.01.12    -
TheHacker    6.2.9.186    2008.01.11    -
VBA32    3.12.2.5    2008.01.12    -
VirusBuster    4.3.26:9    2008.01.11    -
Webwasher-Gateway    6.6.2    2008.01.12    -
weitere Informationen
File size: 413184 bytes
MD5: f2c90f51b766a93c1e84b292012095a7
SHA1: c49ebf642a3759463bb2e38d5afbf2ff72195353
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=54E4751B0082708C4E5C06E4D3DD0C000FB672FD