Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: 3 iexplore.exe !!!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.06.2008, 14:02   #1
adelive
 
3 iexplore.exe  !!! - Standard

3 iexplore.exe !!!



Hallo,
Ich habe mich nun schon durchs halbe Internet gewühlt allerdings keinen Rat gefunden. Ich habe immer (sieht man im TaskManager) 3 Dateien auf die IEXPLORE.EXE heißen (Gestern waren nur 2). Diese kann ich weder beenden noch sonstwas. Mein Bitdefender oder mein Spybot finden keinen Virus oder ähnliches. Ich weiß nicht um was es sich handelt kann mir irgendjemand helfen? Wenn ich den Prozess schließen will erscheinen sie nach 2 sec wieder....


Danke schonmal im vorraus!!

Adelive

--------------------------------------

Logfile of HijackThis v1.99.1Scan saved at 14:46:17, on 04.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\BitDefender\BitDefender 2008\bdagent.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\Dokumente und Einstellungen\Zu-Hause\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll

O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2008\IEToolbar.dll

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2008\bdagent.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [nvidia] C:\WINDOWS\system32\nvdia.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1204067571484

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe" /service (file missing)

O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe

O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\BitDefender\BitDefender 2008\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe" /service (file missing)

-----------------------------------------------------

Alt 04.06.2008, 14:21   #2
raman
 
3 iexplore.exe  !!! - Standard

3 iexplore.exe !!!



Teste C:\WINDOWS\system32\nvdia.exe bitte bei virustotal.com und poste das gesamte Ergebniss.
__________________

__________________

Alt 04.06.2008, 14:43   #3
adelive
 
3 iexplore.exe  !!! - Standard

3 iexplore.exe !!!



Zitat:
Zitat von raman Beitrag anzeigen
Teste C:\WINDOWS\system32\nvdia.exe bitte bei virustotal.com und poste das gesamte Ergebniss.

Danke für die schnelle Antwort,
Immer wenn ich C:\WINDOWS\system32\nvdia.exe testen will, kommt der Text : 0 bytes size received / Se ha recibido un archivo vacio!!

danke im vorraus
__________________

Alt 04.06.2008, 16:57   #4
raman
 
3 iexplore.exe  !!! - Standard

3 iexplore.exe !!!



Erstelle bitte einmal ein Combofix Report:
Downloade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinen Thread einfuegen.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________
MfG Ralf

Alt 04.06.2008, 21:20   #5
adelive
 
3 iexplore.exe  !!! - Standard

3 iexplore.exe !!!



Danke rama für die Antwort, hir ist der Report:

------------------------------
ComboFix 08-06-03.4 - Zu-Hause 2008-06-04 20:40:31.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1028 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Zu-Hause\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
ADS - WINDOWS: deleted 658141 bytes in 2 streams.

((((((((((((((((((((((( Dateien erstellt von 2008-05-04 bis 2008-06-04 ))))))))))))))))))))))))))))))
.

2008-06-04 15:35 . 2008-06-04 15:35 <DIR> d-------- C:\Programme\VirusTotalUploader
2008-06-03 21:35 . 2008-06-04 20:37 19,139 --a------ C:\WINDOWS\system32\nvdia
2008-06-03 21:31 . 2008-06-04 20:40 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-03 21:31 . 2008-06-03 21:31 749,568 --a------ C:\WINDOWS\system32\nvdia.exe
2008-06-03 20:21 . 2008-06-03 20:21 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-06-03 20:21 . 2008-06-03 20:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-06-03 17:44 . 2008-06-03 17:51 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-06-03 17:44 . 2008-06-03 17:44 <DIR> d-------- C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\SUPERAntiSpyware.com
2008-06-03 17:44 . 2008-06-03 17:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-05-31 03:10 . 2008-05-31 12:54 <DIR> d-------- C:\Programme\Crusaders Of Space 2
2008-05-31 02:59 . 2008-05-31 02:59 <DIR> d-------- C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\AstroMenace
2008-05-31 02:22 . 2008-05-31 02:24 <DIR> d-------- C:\Programme\AstroAvenger
2008-05-31 00:36 . 2008-05-31 01:17 <DIR> d-------- C:\Programme\Alien Stars
2008-05-31 00:09 . 2008-05-31 00:09 <DIR> d-------- C:\Programme\ReflexiveArcade
2008-05-31 00:09 . 2008-05-31 00:36 <DIR> d-------- C:\Programme\Alien Sky
2008-05-27 00:11 . 2008-06-01 15:06 <DIR> d-------- C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\Image Zone Express
2008-05-09 17:55 . 2008-05-09 17:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-05-06 20:37 . 2008-05-06 20:37 221 --a------ C:\WINDOWS\NCLogConfig.ini
2008-05-06 20:24 . 2008-05-06 20:24 <DIR> d-------- C:\WINDOWS\nview
2008-05-06 20:24 . 2007-12-05 01:41 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-05-06 20:24 . 2008-05-27 18:11 163,353 --a------ C:\WINDOWS\system32\nvapps.xml
2008-05-06 20:24 . 2007-12-05 01:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-05-06 20:22 . 2007-12-05 02:53 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-05-06 20:21 . 2008-05-06 20:21 <DIR> d-------- C:\NVIDIA
2008-05-06 19:00 . 2008-05-06 19:00 60,416 --a------ C:\WINDOWS\ALCFDRTM.VER
2008-05-06 19:00 . 2008-05-06 19:00 60,416 --a------ C:\WINDOWS\ALCFDRTM.EXE
2008-05-05 20:16 . 2008-05-05 20:26 <DIR> d-------- C:\Programme\NVIDIA Corporation
2008-05-05 20:16 . 2008-05-05 20:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA Corporation
2008-05-05 20:16 . 2006-03-29 08:50 671,744 --a------ C:\WINDOWS\system32\DolbyHph.dll
2008-05-05 20:16 . 2006-03-29 08:51 60,416 --a------ C:\WINDOWS\system32\DSETUP.dll
2008-05-05 20:16 . 2006-03-29 08:49 9,856 --a------ C:\WINDOWS\system32\drivers\pfc.sys
2008-05-05 19:40 . 2006-08-01 13:10 16,049,664 -ra------ C:\WINDOWS\RTHDCPL.EXE
2008-05-05 19:40 . 2006-05-04 10:35 9,709,568 -ra------ C:\WINDOWS\RTLCPL.EXE
2008-05-05 19:40 . 2006-05-16 12:04 2,879,488 -ra------ C:\WINDOWS\SkyTel.exe
2008-05-05 19:40 . 2006-05-04 10:26 2,808,832 -ra------ C:\WINDOWS\ALCWZRD.EXE
2008-05-05 19:40 . 2006-06-28 08:00 2,158,592 -ra------ C:\WINDOWS\MicCal.exe
2008-05-05 19:40 . 2006-03-09 11:45 364,544 -ra------ C:\WINDOWS\RtlUpd.exe
2008-05-05 19:40 . 2006-01-10 07:58 266,240 -ra------ C:\WINDOWS\system32\RTSndMgr.CPL
2008-05-05 19:40 . 2005-05-03 12:43 69,632 -ra------ C:\WINDOWS\ALCMTR.EXE
2008-05-05 19:39 . 2006-08-01 13:07 4,356,608 -ra------ C:\WINDOWS\system32\drivers\RtkHDAud.sys
2008-05-05 19:29 . 2008-05-05 19:29 <DIR> d-------- C:\Programme\Realtek AC97
2008-05-05 19:29 . 2006-12-08 15:20 10,528,768 --a------ C:\WINDOWS\system32\RTLCPL.exe
2008-05-05 19:29 . 2008-01-24 16:36 4,127,488 -ra------ C:\WINDOWS\system32\drivers\alcxwdm.sys
2008-05-05 19:29 . 2006-07-31 11:19 315,392 --a------ C:\WINDOWS\alcupd.exe
2008-05-05 19:29 . 2005-09-21 04:25 299,008 -ra------ C:\WINDOWS\system32\ALSNDMGR.CPL
2008-05-05 19:29 . 2006-07-31 11:27 217,088 --a------ C:\WINDOWS\alcrmv.exe
2008-05-05 19:29 . 2002-02-05 13:54 141,016 --a------ C:\WINDOWS\system32\alsndmgr.wav
2008-05-05 19:29 . 2006-07-21 10:14 86,016 -ra------ C:\WINDOWS\SOUNDMAN.EXE
2008-05-05 19:29 . 2006-08-01 15:02 49,152 --a------ C:\WINDOWS\system32\ChCfg.exe
2008-05-04 18:23 . 2008-05-04 18:23 315,392 --a------ C:\WINDOWS\HideWin.exe
2008-05-04 15:34 . 2008-05-04 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\ooVoo Details
2008-05-04 14:38 . 2008-05-04 14:41 <DIR> d-------- C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\InternetCalls

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-04 18:57 81,984 ----a-w C:\WINDOWS\system32\bdod.bin
2008-06-04 11:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-06-03 15:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-30 22:01 --------- d-----w C:\Programme\Star Defender 3
2008-05-29 15:55 --------- d-----w C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\AdobeUM
2008-05-29 15:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-18 13:50 --------- d-----w C:\Programme\Star Defender 4
2008-05-15 15:07 --------- d-----w C:\Programme\TuneUp Utilities 2007
2008-05-14 15:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-05-09 10:53 --------- d-----w C:\Programme\Gemeinsame Dateien\logishrd
2008-05-08 18:12 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-06 18:37 --------- d-----w C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\HP
2008-04-23 16:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVM Web Client
2008-04-21 17:40 --------- d-----w C:\Programme\Microsoft Silverlight
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 14:00 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-27 02:49 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 14:34 64512]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-12-09 16:32 225280]
"BDAgent"="C:\Programme\BitDefender\BitDefender 2008\bdagent.exe" [2008-03-17 13:45 360448]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-01 13:10 16049664 C:\WINDOWS\RTHDCPL.EXE]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"nvidia"="C:\WINDOWS\system32\nvdia.exe" [2008-06-03 21:31 749568]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"@"="" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-02-27 11:39 282624 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\ulmp3acm.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-ra------ 2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"443:UDP"= 443:UDP:*isabledoVoo UDP Port 443
"37674:TCP"= 37674:TCP:*isabledoVoo TCP Port 37674
"37674:UDP"= 37674:UDP:*isabledoVoo UDP Port 37674
"37675:UDP"= 37675:UDP:*isabledoVoo UDP Port 37675


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{479DABA5-3FC5-D9BD-EE7E-1BC8AFC27BC8}]
C:\WINDOWS:unistallwin.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E8BC03EB-FD10-1F1D-B5C5-4866BF6BD21A}]
C:\WINDOWS\system32\nvdia.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-04 20:56:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
nvidia = C:\WINDOWS\system32\nvdia.exe????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? ????????????????????????????????????????????????????????????????????????????????????????????????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\
.
Zeit der Fertigstellung: 2008-06-04 21:18:42
ComboFix-quarantined-files.txt 2008-06-04 19:16:21

9 Verzeichnis(se), 132,084,424,704 Bytes frei
13 Verzeichnis(se), 132,155,891,712 Bytes frei

177 --- E O F --- 2008-05-28 10:28:03
------------------------------------------------


Alt 05.06.2008, 11:21   #6
raman
 
3 iexplore.exe  !!! - Standard

3 iexplore.exe !!!



Dann schauen wir mal

1. Starte Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
collect::[49]
C:\WINDOWS\system32\nvdia.exe

filelook::
C:\WINDOWS\system32\ChCfg.exe

dirlook::
C:\QooBox\Quarantine\C\WINDOWS
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (falls gefragt wird ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Danach meldet sich Combofix mit der Meldung, das eine Datei zur Ueberpruefung verschickt werden muss. Bestaetige die Meldung und folge den Schritten, die dir im Internetexploerer angezeigt werden.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
__________________
--> 3 iexplore.exe !!!

Alt 05.06.2008, 11:48   #7
adelive
 
3 iexplore.exe  !!! - Standard

3 iexplore.exe !!!



Danke RAMAN für die Antwort, ich habe alles gemacht was du mir gesagt hast, und hir ist der Report:

ComboFix 08-06-03.4 - Zu-Hause 2008-06-05 12:31:21.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1078 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Zu-Hause\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Zu-Hause\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\nvdia.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-05 bis 2008-06-05 ))))))))))))))))))))))))))))))
.

2008-06-04 15:35 . 2008-06-04 15:35 <DIR> d-------- C:\Programme\VirusTotalUploader
2008-06-03 21:35 . 2008-06-05 12:15 26,868 --a------ C:\WINDOWS\system32\nvdia
2008-06-03 21:31 . 2008-06-05 12:31 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-03 20:21 . 2008-06-03 20:21 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-06-03 20:21 . 2008-06-03 20:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-06-03 17:44 . 2008-06-03 17:51 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-06-03 17:44 . 2008-06-03 17:44 <DIR> d-------- C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\SUPERAntiSpyware.com
2008-06-03 17:44 . 2008-06-03 17:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-05-31 03:10 . 2008-05-31 12:54 <DIR> d-------- C:\Programme\Crusaders Of Space 2
2008-05-31 02:59 . 2008-05-31 02:59 <DIR> d-------- C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\AstroMenace
2008-05-31 02:22 . 2008-05-31 02:24 <DIR> d-------- C:\Programme\AstroAvenger
2008-05-31 00:36 . 2008-05-31 01:17 <DIR> d-------- C:\Programme\Alien Stars
2008-05-31 00:09 . 2008-05-31 00:09 <DIR> d-------- C:\Programme\ReflexiveArcade
2008-05-31 00:09 . 2008-05-31 00:36 <DIR> d-------- C:\Programme\Alien Sky
2008-05-27 00:11 . 2008-06-01 15:06 <DIR> d-------- C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\Image Zone Express
2008-05-09 17:55 . 2008-05-09 17:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-05-06 20:37 . 2008-05-06 20:37 221 --a------ C:\WINDOWS\NCLogConfig.ini
2008-05-06 20:24 . 2008-05-06 20:24 <DIR> d-------- C:\WINDOWS\nview
2008-05-06 20:24 . 2007-12-05 01:41 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-05-06 20:24 . 2008-05-27 18:11 163,353 --a------ C:\WINDOWS\system32\nvapps.xml
2008-05-06 20:24 . 2007-12-05 01:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-05-06 20:22 . 2007-12-05 02:53 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-05-06 20:21 . 2008-05-06 20:21 <DIR> d-------- C:\NVIDIA
2008-05-06 19:00 . 2008-05-06 19:00 60,416 --a------ C:\WINDOWS\ALCFDRTM.VER
2008-05-06 19:00 . 2008-05-06 19:00 60,416 --a------ C:\WINDOWS\ALCFDRTM.EXE
2008-05-05 20:16 . 2008-05-05 20:26 <DIR> d-------- C:\Programme\NVIDIA Corporation
2008-05-05 20:16 . 2008-05-05 20:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA Corporation
2008-05-05 20:16 . 2006-03-29 08:50 671,744 --a------ C:\WINDOWS\system32\DolbyHph.dll
2008-05-05 20:16 . 2006-03-29 08:51 60,416 --a------ C:\WINDOWS\system32\DSETUP.dll
2008-05-05 20:16 . 2006-03-29 08:49 9,856 --a------ C:\WINDOWS\system32\drivers\pfc.sys
2008-05-05 19:40 . 2006-08-01 13:10 16,049,664 -ra------ C:\WINDOWS\RTHDCPL.EXE
2008-05-05 19:40 . 2006-05-04 10:35 9,709,568 -ra------ C:\WINDOWS\RTLCPL.EXE
2008-05-05 19:40 . 2006-05-16 12:04 2,879,488 -ra------ C:\WINDOWS\SkyTel.exe
2008-05-05 19:40 . 2006-05-04 10:26 2,808,832 -ra------ C:\WINDOWS\ALCWZRD.EXE
2008-05-05 19:40 . 2006-06-28 08:00 2,158,592 -ra------ C:\WINDOWS\MicCal.exe
2008-05-05 19:40 . 2006-03-09 11:45 364,544 -ra------ C:\WINDOWS\RtlUpd.exe
2008-05-05 19:40 . 2006-01-10 07:58 266,240 -ra------ C:\WINDOWS\system32\RTSndMgr.CPL
2008-05-05 19:40 . 2005-05-03 12:43 69,632 -ra------ C:\WINDOWS\ALCMTR.EXE
2008-05-05 19:39 . 2006-08-01 13:07 4,356,608 -ra------ C:\WINDOWS\system32\drivers\RtkHDAud.sys
2008-05-05 19:29 . 2008-05-05 19:29 <DIR> d-------- C:\Programme\Realtek AC97
2008-05-05 19:29 . 2006-12-08 15:20 10,528,768 --a------ C:\WINDOWS\system32\RTLCPL.exe
2008-05-05 19:29 . 2008-01-24 16:36 4,127,488 -ra------ C:\WINDOWS\system32\drivers\alcxwdm.sys
2008-05-05 19:29 . 2006-07-31 11:19 315,392 --a------ C:\WINDOWS\alcupd.exe
2008-05-05 19:29 . 2005-09-21 04:25 299,008 -ra------ C:\WINDOWS\system32\ALSNDMGR.CPL
2008-05-05 19:29 . 2006-07-31 11:27 217,088 --a------ C:\WINDOWS\alcrmv.exe
2008-05-05 19:29 . 2002-02-05 13:54 141,016 --a------ C:\WINDOWS\system32\alsndmgr.wav
2008-05-05 19:29 . 2006-07-21 10:14 86,016 -ra------ C:\WINDOWS\SOUNDMAN.EXE
2008-05-05 19:29 . 2006-08-01 15:02 49,152 --a------ C:\WINDOWS\system32\ChCfg.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-05 10:32 81,984 ----a-w C:\WINDOWS\system32\bdod.bin
2008-06-05 09:56 --------- d-----w C:\Programme\Google
2008-06-04 20:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-06-03 15:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-30 22:01 --------- d-----w C:\Programme\Star Defender 3
2008-05-29 15:55 --------- d-----w C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\AdobeUM
2008-05-29 15:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-18 13:50 --------- d-----w C:\Programme\Star Defender 4
2008-05-15 15:07 --------- d-----w C:\Programme\TuneUp Utilities 2007
2008-05-14 15:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-05-09 10:53 --------- d-----w C:\Programme\Gemeinsame Dateien\logishrd
2008-05-08 18:12 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-06 18:37 --------- d-----w C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\HP
2008-05-04 16:23 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-05-04 13:35 --------- d-----w C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\ooVoo Details
2008-05-04 12:41 --------- d-----w C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\InternetCalls
2008-04-23 16:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVM Web Client
2008-04-21 17:40 --------- d-----w C:\Programme\Microsoft Silverlight
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ChCfg.exe -- Unable to find Resource table header.
MD5: 43c3571eada5bc1edead7ca22ad66f30

---- Directory of C:\QooBox\Quarantine\C\WINDOWS ----

C:\QooBox\Quarantine\C\WINDOWS\


((((((((((((((((((((((((((((( snapshot@2008-06-04_21.08.12,43 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-04 17:26:26 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-05 09:56:26 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 14:00 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-27 02:49 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 14:34 64512]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-12-09 16:32 225280]
"BDAgent"="C:\Programme\BitDefender\BitDefender 2008\bdagent.exe" [2008-03-17 13:45 360448]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-01 13:10 16049664 C:\WINDOWS\RTHDCPL.EXE]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"nvidia"="C:\WINDOWS\system32\nvdia.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-02-27 11:39 282624 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\ulmp3acm.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-ra------ 2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"443:UDP"= 443:UDP:*isabledoVoo UDP Port 443
"37674:TCP"= 37674:TCP:*isabledoVoo TCP Port 37674
"37674:UDP"= 37674:UDP:*isabledoVoo UDP Port 37674
"37675:UDP"= 37675:UDP:*isabledoVoo UDP Port 37675

R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;C:\WINDOWS\system32\DRIVERS\bdfndisf.sys [2008-03-17 13:45]
S3 LVPrcMon;Logitech LVPrcMon Driver;C:\WINDOWS\system32\drivers\LVPrcMon.sys [2005-12-09 16:37]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{479DABA5-3FC5-D9BD-EE7E-1BC8AFC27BC8}]
C:\WINDOWS:unistallwin.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E8BC03EB-FD10-1F1D-B5C5-4866BF6BD21A}]
C:\WINDOWS\system32\nvdia.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-05 12:35:29
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
nvidia = C:\WINDOWS\system32\nvdia.exe????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? ????????????????????????????????????????????????????????????????????????????????????????????????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\
.
Zeit der Fertigstellung: 2008-06-05 12:39:15
ComboFix-quarantined-files.txt 2008-06-05 10:39:03
ComboFix2.txt 2008-06-04 19:19:33

9 Verzeichnis(se), 132,206,968,832 Bytes frei
12 Verzeichnis(se), 132,266,287,104 Bytes frei

191 --- E O F --- 2008-05-28 10:28:03

Alt 05.06.2008, 11:59   #8
raman
 
3 iexplore.exe  !!! - Standard

3 iexplore.exe !!!



Schau dir mit Notepad bitte einmal folgende Datei an und schaue, was du siehst:
C:\WINDOWS\system32\nvdia

Ist dort Text zu finden, oder beginnt die Datei mit MZ?

Sind deine 3 IEXPLORER.EXE Prozesse nun verschwunden?

Achso, die Datei war ein Backdoor/Banker!
__________________
MfG Ralf

Alt 05.06.2008, 12:17   #9
adelive
 
3 iexplore.exe  !!! - Standard

3 iexplore.exe !!!



Hallo Ralf,

ich habe die C:\WINDOWS\system32\nvdia Datei geöfnet, und gibt dort einen Text, und das sieht aus wie ein Keyloger oder so ähnlich, aber begint nicht mit MZ!

Und die andere IEXPLORER.EXE Prozesse sind nun verschwunden! also ich weiß nicht wie ich bei dir bedanken soll!!! Danke Viele mals Ralf!

MFG Adel

Alt 05.06.2008, 12:34   #10
raman
 
3 iexplore.exe  !!! - Standard

3 iexplore.exe !!!



Ich habs mir gedacht, das der Banker/Backdoor dort seine "geklauten" Daten ablegt. Darum hab ich die auch mal nicht schicken lassen.

Denke daran, das der Trojaner wahrscheinlich weg ist, aber auch deine gesamten Passworte und so weiter sind weg/geklaut und muessen zwingend geaendert werden!
__________________
MfG Ralf

Alt 05.06.2008, 13:01   #11
adelive
 
3 iexplore.exe  !!! - Standard

3 iexplore.exe !!!



Habe ich schon geandert, danke für den Rat! Und DANKE VIEL MAL ! Schön Tag noch

Alt 05.06.2008, 13:20   #12
raman
 
3 iexplore.exe  !!! - Standard

3 iexplore.exe !!!



Du solltest den Eintrag
O4 - HKLM\..\Run: [nvidia] C:\WINDOWS\system32\nvdia.exe

in HijackThis noch anhaken und fix checked druecken und den Unterschluessel
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{479DABA5-3FC5-D9BD-EE7E-1BC8AFC27BC8}]
mit Hilfe von Regedit loeschen...
__________________
MfG Ralf

Alt 05.06.2008, 18:56   #13
adelive
 
3 iexplore.exe  !!! - Standard

3 iexplore.exe !!!



In HijackThis gibt´s nicht mehr, und in Regedit habe ich gelöscht!
Danke Ralf

MFG Adel

Alt 05.07.2009, 15:48   #14
RoadRunnerHe
 
3 iexplore.exe  !!! - Standard

3 iexplore.exe !!!



Hallo!
Ich habe das selbe Problem! Macht es sinn wenn ich jetz genauso vorgehe wie raman es adelive geraten/geschrieben hat? Und könnt ihr mir dann helfen?
Danke,
lg

Edit: Ausserdem, und das is das eigentlich Problem, starten im laufe der zeit UNMENGEN Tasks... alle cmd.exe (glaub ich...) und svchost.exe. Getsern waren es über 400!!!! und da geht am pc natürlich nich mehr viel....

Edit2: Hier schon mal mein HijackThis Lpgfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:08:29, on 05.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\FolderSize\FolderSizeSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\PeerGuardian2\pg2.exe
C:\Program Files\BetaClock\BetaClock.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Program Files\SpeedFan\speedfan.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [PeerGuardian] C:\Program Files\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [BetaClock] "C:\Program Files\BetaClock\BetaClock.exe" /startup
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Documents and Settings\Lutz\reader_s.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Documents and Settings\Lutz\reader_s.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Startup: SpeedFan.lnk = C:\Program Files\SpeedFan\speedfan.exe
O4 - Global Startup: Winamp.lnk = C:\Program Files\Winamp\winamp.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: Folder Size (FolderSize) - Brio - C:\Program Files\FolderSize\FolderSizeSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 2760 bytes

Geändert von RoadRunnerHe (05.07.2009 um 16:28 Uhr)

Antwort

Themen zu 3 iexplore.exe !!!
bho, defender, desktop, einstellungen, explorer, google, gservice, handel, helfen, hijack, hijackthis, iexplore.exe, internet, internet explorer, logfile, monitor, nvidia, object, prozess, rundll, scan, software, superantispyware, system, taskmanager, uleadburninghelper, virus, windows, windows xp




Ähnliche Themen: 3 iexplore.exe !!!


  1. iexplore.exe
    Log-Analyse und Auswertung - 26.07.2010 (12)
  2. iexplore.exe
    Log-Analyse und Auswertung - 07.07.2010 (13)
  3. Iexplore.exe !!
    Plagegeister aller Art und deren Bekämpfung - 21.11.2009 (16)
  4. iexplore.exe
    Plagegeister aller Art und deren Bekämpfung - 26.05.2009 (12)
  5. Iexplore.exe
    Log-Analyse und Auswertung - 23.07.2008 (6)
  6. iexplore.exe
    Log-Analyse und Auswertung - 24.05.2008 (1)
  7. iexplore.exe !?
    Log-Analyse und Auswertung - 18.05.2008 (6)
  8. iexplore.exe!
    Log-Analyse und Auswertung - 05.04.2008 (2)
  9. Iexplore.exe
    Plagegeister aller Art und deren Bekämpfung - 23.12.2007 (3)
  10. iexplore
    Log-Analyse und Auswertung - 09.12.2007 (3)
  11. iexplore.exe
    Plagegeister aller Art und deren Bekämpfung - 01.11.2007 (1)
  12. Iexplore.exe
    Plagegeister aller Art und deren Bekämpfung - 01.10.2007 (7)
  13. iexplore.exe
    Log-Analyse und Auswertung - 28.07.2007 (2)
  14. Iexplore.exe
    Log-Analyse und Auswertung - 15.11.2006 (1)
  15. iexplore.exe
    Log-Analyse und Auswertung - 10.09.2006 (1)
  16. iexplore.exe
    Log-Analyse und Auswertung - 27.08.2006 (3)
  17. iexplore.exe 2-mal
    Log-Analyse und Auswertung - 14.06.2006 (20)

Zum Thema 3 iexplore.exe !!! - Hallo, Ich habe mich nun schon durchs halbe Internet gewühlt allerdings keinen Rat gefunden. Ich habe immer (sieht man im TaskManager) 3 Dateien auf die IEXPLORE.EXE heißen (Gestern waren nur - 3 iexplore.exe !!!...
Archiv
Du betrachtest: 3 iexplore.exe !!! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.