Hallo,

habe einen neuen gebrauchten Laptop, welcher beim herunterfahren immer IEXPLORE.EXE muss noch beendet werden anzeigt.

Im Taskmanager habe ich zwei Prozesse iexplore.exe am laufen.
Habe das SP3 draufgespielt.
Nun kann ich den Prozess manuell (via Taskmanager) schliessen.
Belegt dann auch kein CPU mehr und lässt sich fehlerfrei runterfahren.
Beim nächsten Start ist iexplore.exe wieder 2x im Taskmanager vorhanden.
Das eine iexplore.exe braucht kein CPU das andere 99.
Dann kann ich das mit CPU 99 wieder manuell schliesen und beim nächsten Systemstart ist es wieder da.

Wie kann ich denn das 2. iexplore.exe dauerhaft schliessen/entfernen?
Hab ich irgendwelche Viren, Spyware, Backdoortrojaner drauf?
Oder hab ich versehentlich irgendwo 2x den IE drauf vom Vorgänger drauf?

Ich arbeite mit Firefox. Kann ich IE blocken?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:35:39, on 17.05.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Programme\Arcade\PCMService.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Acer\eRecovery\Monitor.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Secunia\PSI (RC1)\psi.exe
C:\DOKUME~1\Schmidt\LOKALE~1\Temp\RtkBtMnt.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\mustermann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\85MBG96F\HiJackThis[1].exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Programme\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VMSnap5] C:\WINDOWS\VMSnap5.EXE
O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.EXE
O4 - HKLM\..\Run: [BigDog305] C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)
O4 - HKLM\..\Run: [roam slow curb balm] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bait cake roam slow\FILM BOLT.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [Device Detection] C:\Programme\fotokasten comfort\dd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\Eraser.exe -hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI (RC1).lnk = C:\Programme\Secunia\PSI (RC1)\psi.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O23 - Service: Notebook Manager Service (anbmService) - Unknown owner - C:\Acer\eManager\anbmServ.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 7393 bytes

Hallo


du hast dir einen Swizzor eingefangen.

Zitat:

O4 - HKLM\..\Run: [roam slow curb balm] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bait cake roam slow\FILM BOLT.exe

schau bitte zuerst unter

Zitat:

Start -> Einstellungen -> Systemsteuerung -> Software

ob dort CID-Sponsorenprogramm, CID-Helper o.ä. zu finden ist und deinstalliere es.
Mit ein wenig Glück könnte es das schon gewesen sein, wenn nicht melde dich wieder.

MFG

HI nochdigger,

unter CID-Sponsorenprogramm oder CID-Helper habe ich nichts unter SOFTWARE gefunden.

Hallo

Zitat:

unter CID-Sponsorenprogramm oder CID-Helper habe ich nichts unter SOFTWARE gefunden.

OK, dann halt altbewährt

Mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.

Den Swizzoreintrag (bei dir nur einer) im Log kennst du ja bereits, arbeite bitte nun diese Anleitung ab
http://www.trojaner-board.de/28388-a...n-swizzor.html
anschließend poste bitte ein frisches HijackThis Log, benenne aber vorher die Hijackthis.exe um in z.B. ABC.exe und berichte wie es deinem System geht.

MFG

Hi,

hab das alles so durchgeführt wie beschrieben, nur dass diese in der anleitung zur entfernung unter punkt 5 aufgeführet .job datei bei mir nicht vorhanden war also ich diese auch nicht entfernen konnte.

Wo soll ich jetzt noch was umbenennen um ein neues Hijack hier zu posten?

Vielen Dank für deine Hilfe.

MFG Zora7

Hallo

Zitat:

nur dass diese in der anleitung zur entfernung unter punkt 5 aufgeführet .job datei bei mir nicht vorhanden war

erstelle dazu bitte ein Log mit dem Runscanner
http://www.trojaner-board.de/51867-a...unscanner.html

Zitat:

Wo soll ich jetzt noch was umbenennen um ein neues Hijack hier zu posten?

Die Hijackthis.exe sollte in einen anderen Namen umbenannt werden z.B. Blablabla.exe, dann neues Log erstellen und posten.

MFG

Hi nochdigger,

mein system läuft wieder einwandfrei.
CPU ok - keine Fehlermeldung beim runterfahren......alles super jetzt:-)

hier die scans:

Runscanner logfile RunScanner freeware startup, hijack and malware analyzer

* = signed file
- = file not found

000 General info
----------------
Computer name : LAPTOP
Creation time : 18.05.2008 12:24:09
Hosts <> 127.0.0.1 : 0
Hosts file location : %SystemRoot%\System32\drivers\etc
IE version : 7.0.5730.13
OS : Microsoft Windows XP
OS Build : 2600
OS SP : Service Pack 3
RunScanner Version : 1.6.3.0
User Language : Deutsch (Deutschland)
User rights : Administrator
Windows folder : C:\WINDOWS

001 Running processes
---------------------
c:\programme\antivir personaledition classic\avguard.exe (Avira GmbH)
c:\programme\antivir personaledition classic\sched.exe (Avira GmbH)
c:\programme\antivir personaledition classic\avgnt.exe (Avira GmbH)
* c:\windows\system32\services.exe (Microsoft Corporation)
* c:\windows\system32\alg.exe (Microsoft Corporation)
* c:\windows\system32\csrss.exe (Microsoft Corporation)
* c:\windows\system32\ctfmon.exe (Microsoft Corporation)
c:\programme\arcade\pcmservice.exe (CyberLink Corp.)
* c:\windows\system32\rundll32.exe (Microsoft Corporation)
* c:\programme\mozilla firefox\firefox.exe (Mozilla Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\programme\java\jre1.6.0_05\bin\jusched.exe (Sun Microsystems, Inc.)
* c:\windows\system32\lsass.exe (Microsoft Corporation)
c:\programme\acer\erecovery\monitor.exe (acer Inc.)
* c:\programme\spyware doctor\pctsauxs.exe (PC Tools)
* c:\programme\spyware doctor\pctssvc.exe (PC Tools)
* c:\programme\spyware doctor\pctstray.exe (PC Tools)
c:\dokume~1\schmidt\lokale~1\temp\rtkbtmnt.exe (Realtek Semiconductor Corp.)
* c:\windows\soundman.exe (Realtek Semiconductor Corp.)
* c:\dokume~1\schmidt\lokale~1\temp\rar$ex00.281\runscanner.exe (Runscanner.net)
c:\programme\secunia\psi (rc1)\psi.exe (Secunia)
c:\windows\system32\keyhook.exe (Silicon Integrated Systems Corporation)
c:\windows\system32\sistray.exe (Silicon Integrated Systems Corporation)
* c:\windows\agrsmmsg.exe (Agere Systems)
* c:\windows\system32\spoolsv.exe (Microsoft Corporation)
* c:\programme\synaptics\syntp\syntpenh.exe (Synaptics, Inc.)
* c:\programme\synaptics\syntp\syntplpr.exe (Synaptics, Inc.)
* c:\windows\explorer.exe (Microsoft Corporation)
* c:\windows\system32\winlogon.exe (Microsoft Corporation)
* c:\windows\system32\smss.exe (Microsoft Corporation)
c:\programme\winrar\winrar.exe

002 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)
-----------------------------------------------------------------
c:\programme\antivir personaledition classic\avgnt.exe (Avira GmbH)
- c:\windows\vm305_sti.exe
- c:\programme\fotokasten comfort\dd.exe
- c:\windows\domino.exe
c:\programme\acer\erecovery\monitor.exe (acer Inc.)
* c:\programme\spyware doctor\pctstray.exe (PC Tools)
C:\WINDOWS\alaunch.exe (Acer Inc.)
c:\programme\arcade\pcmservice.exe (CyberLink Corp.)
c:\windows\system32\psdrvcheck.exe
c:\windows\system32\keyhook.exe (Silicon Integrated Systems Corporation)
C:\WINDOWS\system32\sispower.dll (Silicon Integrated Systems Corporation)
- c:\windows\vmsnap5.exe

003 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)
-----------------------------------------------------------------
- c:\programme\eraser\eraser.exe

004 C:\Dokumente und Einstellungen\Schmidt\Startmenü\Programme\Autostart
------------------------------------------------------------------------
c:\progra~1\secunia\psi(rc~1\psi.exe (Secunia)

005 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
--------------------------------------------------------------------------
c:\progra~1\adobe\acroba~2.0\reader\reader~1.exe (Adobe Systems Incorporated)
c:\windows\system32\sistray.exe (Silicon Integrated Systems Corporation)

010 HKLM\SYSTEM\CurrentControlSet\Services (Services)
-----------------------------------------------------
c:\programme\antivir personaledition classic\avguard.exe (AntiVir PersonalEdition Classic Guard)
c:\programme\antivir personaledition classic\sched.exe (AntiVir PersonalEdition Classic Planer)
- c:\acer\emanager\anbmserv.exe (Notebook Manager Service)
* c:\programme\spyware doctor\pctsauxs.exe (PC Tools Auxiliary Service)
* c:\programme\spyware doctor\pctssvc.exe (PC Tools Security Service)

011 HKLM\SYSTEM\CurrentControlSet\Services (drivers)
----------------------------------------------------
C:\WINDOWS\system32\drivers\actser.sys (actser)
C:\WINDOWS\system32\drivers\asapiw2k.sys (ASAPIW2K)
* c:\programme\antivir personaledition classic\avgio.sys (avgio)
* c:\programme\antivir personaledition classic\avgntflt.sys (avgntflt)
* C:\WINDOWS\system32\drivers\avipbb.sys (avipbb)
- c:\windows\system32\drivers\changer.sys (Changer)
- c:\dokume~1\sasanne\lokale~1\temp\dmskssrh.sys (DMSKSSRh)
* C:\WINDOWS\system32\drivers\ikfilesec.sys (File Security Driver)
- c:\windows\system32\drivers\i2omgmt.sys (i2omgmt)
c:\programme\acer\erecovery\int15.sys (int15.sys)
- c:\windows\system32\drivers\lbrtfdc.sys (lbrtfdc)
- c:\windows\system32\nsndis5.sys (NSNDIS5 NDIS Protocol Driver)
C:\WINDOWS\system32\drivers\pfc.sys (Padus ASPI Shell)
- c:\windows\system32\drivers\pcidump.sys (PCIDump)
- c:\windows\system32\drivers\pdcomp.sys (PDCOMP)
- c:\windows\system32\drivers\pdframe.sys (PDFRAME)
- c:\windows\system32\drivers\pdreli.sys (PDRELI)
- c:\windows\system32\drivers\pdrframe.sys (PDRFRAME)
C:\WINDOWS\system32\drivers\psi_mf.sys (PSI)
C:\WINDOWS\system32\drivers\pxhelp20.sys (PxHelp20)
- c:\windows\system32\drivers\rt73.sys (RT73 USB Wireless LAN Card Driver)
- c:\windows\system32\drivers\usbvm305.sys (Sharkoon - NetFocus)
C:\WINDOWS\system32\drivers\ssmdrv.sys (ssmdrv)
* C:\WINDOWS\system32\drivers\iksysflt.sys (System Filter Driver)
* C:\WINDOWS\system32\drivers\iksyssec.sys (System Security Driver)
c:\windows\system32\drivers\ubhelper.sys (UBHelper)
C:\WINDOWS\system32\drivers\ntidrvr.sys (Upper Class Filter Driver)
- c:\windows\system32\drivers\artecgt.sys (USB-Flachbettscanner)
- c:\windows\system32\drivers\wanatw4.sys (WAN Miniport (ATW))
- c:\windows\system32\drivers\wdica.sys (WDICA)

042 HKLM\Software\Microsoft\Internet Explorer\Extensions
--------------------------------------------------------
GUID / CLSID not found {CD67F990-D8E9-11d2-98FE-00C0F0318AFE}

061 HKLM-HCKU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
---------------------------------------------------------------------------------
- deskpan.dll {42071714-76d4-11d1-8b24-00a0c9068ff3}
- c:\windows\system32\hticons.dll {88895560-9AA2-1069-930E-00AA0030EBC8}
c:\programme\openoffice.org 2.4\program\shlxthdl.dll (Sun Microsystems, Inc.) {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}
c:\programme\openoffice.org 2.4\program\shlxthdl.dll (Sun Microsystems, Inc.) {087B3AE3-E237-4467-B8DB-5A38AB959AC9}
c:\programme\openoffice.org 2.4\program\shlxthdl.dll (Sun Microsystems, Inc.) {63542C48-9552-494A-84F7-73AA6A7C99C1}
c:\programme\openoffice.org 2.4\program\shlxthdl.dll (Sun Microsystems, Inc.) {3B092F0C-7696-40E3-A80F-68D74DA84210}
c:\programme\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

062 HKLM-HKCU\Software\Classes\Folder\Shellex\ColumnHandlers
------------------------------------------------------------
c:\programme\adobe\acrobat 7.0\activex\pdfshell.dll (Adobe Systems, Inc.) {F9DB5320-233E-11D1-9F84-707F02C10627}
c:\programme\openoffice.org 2.4\program\shlxthdl.dll (Sun Microsystems, Inc.) {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}

073 %windir%\Tasks
------------------
1-Klick-Wartung.job : c:\programme\tuneup utilities 2006\systemoptimizer.exe
A5CDBF34918A3464.job : c:\dokume~1\sasanne\anwend~1\elsepl~1\thunkdeafgreat.exe

100 Internet Explorer settings
------------------------------
ShellNext HKCU : "C:\Programme\Outlook Express\msimn.exe"
Start Page HKCU : http://global.acer.com

104 HKLM\Software\Microsoft\Code Store Database\Distribution Units
------------------------------------------------------------------
GUID / CLSID not found {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}
* c:\windows\downloaded program files\ipsuploader4.ocx (IP Labs GmbH - Germany) {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4}
c:\programme\java\jre1.5.0_07\bin\npjpi150_07.dll (Sun Microsystems, Inc.) {CAFEEFAC-0015-0000-0007-ABCDEFFEDCBA}

171 HKCU\Control Panel\Desktop\SCRNSAVE.EXE
-------------------------------------------
c:\windows\acer.scr

173 HKCR\*\shellex\ContextMenuHandlers
--------------------------------------
c:\programme\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

221 HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers
-------------------------------------------------------
c:\programme\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

225 HKCU\Software\Classes\Folder\ShellEx\ContextMenuHandlers
------------------------------------------------------------
c:\programme\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
c:\programme\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:38:33, on 18.05.2008

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Hallo

lass bitte diese Datei

Zitat:

c:\dokume~1\sasanne\lokale~1\temp\dmskssrh.sys

hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

Starte den Runscanner (Start Scan) und markiere in der Rubrik 073

Zitat:

073 %windir%\Tasks
------------------
A5CDBF34918A3464.job : c:\dokume~1\sasanne\anwend~1\elsepl~1\thunkdeafgreat.exe

die genannte *.job Datei mit einem doppelklick.
Dann wechsel von der Ansicht "Autorun / Hijack items" auf "item fixer".
Klicke auf "fix select items" und beende anschließend den Runscanner.

EDIT: Hat Ewido Onlinescan etwas gefunden und wenn ja was.

MFG

Hi,

die Datei

Zitat:

c:\dokume~1\sasanne\lokale~1\temp\dmskssrh.sys

habe ich nicht gefunden (auch nicht in versteckten Ordnern oder Systemdat.).

Rubrik 73 im **RunScanner habe ich wie beschrieben bearbeitet.

Ewido hat folgendes gefunden:

Zitat:

Name: Downloader.Agent.ij
Path: C:\Dokumente und Einstellungen\Schmidt\LokaleEinstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\w2a8kutr.default\Cache\C00E06C8d01
Risk: High

MfG

Hallo

der Fund von Ewido liegt im Browsercache, den sollten wir mit dem CCleaner loswerden.

Einen Onlinescan würde ich dir noch Aufhalsen wollen
Free Virus Scan - Kaspersky Lab

Nutzt du Secunia?
Das solltest du mal wieder, deinstalliere aber bitte auch alte Versionen vom Adobe Reader sowie alte Javaversionen.

MFG

Hi,

habe alles ausgeführt wie beschrieben.
Den onlinescan kann ich nicht machen, da ich firefox verwende. Da steht nur möglich mit Internetexplorer 6.0 und höher.

Danke für deine Hilfe

Gruß, Zora7