|
Log-Analyse und Auswertung: iexplorer.exe dauerhaft und doppelt im TaskmanagerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
23.02.2010, 16:47 | #16 |
| iexplorer.exe dauerhaft und doppelt im Taskmanager Hi Arne, sorry, hatte einen Monat keinen IE Zugang Hab nun die Sache mit dem ComboFix erlädischt, was muss ich jetzt machen? Hier der Inhalt des Logfiles: ComboFix 10-02-22.07 - Janna 23.02.2010 16:05:44.1.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.511.271 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\***\Eigene Dateien\Downloads\cofi.exe.exe FW: Personal Firewall Plus *enabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8} Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\***\Favoriten\Videos.url c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\tbfedi.dat c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\tbfedi.exe c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\tbfedi_navps.dat c:\windows\system32\pthreadVC.dll c:\windows\system32\Thumbs.db . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_BOONTY_GAMES -------\Legacy_MYWEBSEARCHSERVICE -------\Legacy_NPF -------\Service_Boonty Games -------\Service_MyWebSearchService ((((((((((((((((((((((( Dateien erstellt von 2010-01-23 bis 2010-02-23 )))))))))))))))))))))))))))))) . 2010-02-04 12:49 . 2010-02-04 13:04 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PCPitstop 2010-02-04 12:49 . 2010-02-04 15:33 -------- d-----w- c:\programme\PCPitstop . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-01-21 16:04 . 2010-01-21 16:03 -------- d-----w- c:\programme\pdf24 2010-01-16 15:43 . 2010-01-16 15:43 -------- dc----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes 2008-10-27 09:57 . 2008-12-15 09:11 76 -c--a-w- c:\programme\MTP_2-1.cue 2008-10-02 19:17 . 2008-12-15 21:07 5500000 -c--a-w- c:\programme\Read me.txt 2007-08-19 19:15 . 2008-12-15 21:07 1074832 -c--a-w- c:\programme\KGB_Archiever_win_gui_v1.2.0.23.exe 2004-02-27 19:35 . 2008-12-15 21:07 29 -c--a-w- c:\programme\Serial.txt 2006-08-16 19:58 . 2006-08-16 19:58 8192 -csha-w- c:\windows\o2cLicStore.bin 2009-03-21 14:06 . 2004-08-04 12:00 169043 --sha-r- c:\windows\system32\dkvrjb.dll . ------- Sigcheck ------- [7] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\atapi.sys [7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\atapi.sys [-] 2004-08-03 21:59 . !HASH: COULD NOT OPEN FILE !!!!! . 95360 . . [------] . . c:\windows\system32\drivers\atapi.sys [7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\system32\ReinstallBackups\0004\DriverFiles\i386\atapi.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2}"= "c:\programme\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL" [2008-09-19 66912] [HKEY_CLASSES_ROOT\clsid\{0579b4b6-0293-4d73-b02d-5ebb0ba0f0a2}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}] 2008-09-19 18:05 66912 ----a-w- c:\programme\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112] "msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MCAgentExe"="c:\progra~1\mcafee.com\agent\mcagent.exe" [2005-09-22 303104] "MCUpdateExe"="c:\progra~1\mcafee.com\agent\McUpdate.exe" [2006-01-11 212992] "SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2003-07-25 110592] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2003-07-25 618496] "MPFExe"="c:\progra~1\McAfee.com\PERSON~1\MpfTray.exe" [2004-06-11 1380352] "ShStatEXE"="c:\programme\Network Associates\VirusScan\SHSTAT.EXE" [2004-08-25 94208] "McAfeeUpdaterUI"="c:\programme\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 139320] "Network Associates Error Reporting Service"="c:\programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe" [2003-10-07 147514] "ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-07-17 339968] "GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648] "LaunchAp"="c:\programme\Launch Manager\LaunchAp.exe" [2004-08-06 32768] "HotkeyApp"="c:\programme\Launch Manager\HotkeyApp.exe" [2004-07-26 49152] "CtrlVol"="c:\programme\Launch Manager\CtrlVol.exe" [2003-09-16 20480] "LMgrOSD"="c:\programme\Launch Manager\OSD.exe" [2004-07-26 204800] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792] "Wbutton"="c:\programme\Launch Manager\Wbutton.exe" [2004-08-06 73728] "VX3000"="c:\windows\vVX3000.exe" [2007-04-10 709992] "SoundMan"="SOUNDMAN.EXE" [2004-02-26 65024] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-04-27 282624] "PDFPrint"="c:\programme\pdf24\pdf24.exe" [2009-12-15 207504] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\ OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440] c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\ OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440] c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\ OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ InterVideo WinCinema Manager.lnk - c:\programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2004-12-26 212992] Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904] c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\ OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Java\\jre6\\bin\\javaw.exe"= "c:\\WINDOWS\\system32\\mmc.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "4035:TCP"= 4035:TCP:annwt R0 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [26.11.2004 10:22 160640] R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [26.11.2004 10:22 5248] R1 NaiAvTdi1;NaiAvTdi1;c:\windows\system32\drivers\mvstdi5x.sys [14.10.2005 23:17 58016] S2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe --> c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [?] S2 vnyqn;Shell Time;c:\windows\system32\svchost.exe -k netsvcs [04.08.2004 13:00 14336] S3 iblnbtccj;iblnbtccj;\??\c:\windows\system32\01.tmp --> c:\windows\system32\01.tmp [?] S3 lcmjgpb;lcmjgpb;\??\c:\windows\system32\02.tmp --> c:\windows\system32\02.tmp [?] S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS --> c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [?] S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [27.03.2007 20:36 17152] S3 nenum13E;nenum13E;\??\c:\dokume~1\***\LOKALE~1\Temp\nenum13E.sys --> c:\dokume~1\***\LOKALE~1\Temp\nenum13E.sys [?] S3 nhycgcg;nhycgcg;\??\c:\windows\system32\02.tmp --> c:\windows\system32\02.tmp [?] S3 sflwvgnoq;sflwvgnoq;\??\c:\windows\system32\01.tmp --> c:\windows\system32\01.tmp [?] S3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?] S3 VT001VID;VT VT001 Camera;c:\windows\system32\DRIVERS\VT001Vid.sys --> c:\windows\system32\DRIVERS\VT001Vid.sys [?] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] tapisrv REG_MULTI_SZ Tapisrv HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs vnyqn . Inhalt des "geplante Tasks" Ordners 2010-02-19 c:\windows\Tasks\1-Klick-Wartung.job - c:\programme\TuneUp Utilities 2004\SystemOptimizer.exe [2004-03-02 10:53] 2010-02-19 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank mSearch Bar = hxxp://us.rd.yahoo.com/customize/ie/defaults/sb/wdgt3/*http://www.yahoo.com/ext/search/search.html IE: &Search IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200 IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000 DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab DPF: {070DC617-E3B7-468B-A29C-D4E84FAE938C} - hxxp://utilities.pcpitstop.com/Nirvana/controls/pcmatic.cab FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0q0so9tb.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q= FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ig FF - component: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0q0so9tb.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayAccessService.dll FF - component: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0q0so9tb.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayFormSubmitObserver.dll FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0q0so9tb.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll FF - plugin: c:\programme\Microsoft\Office Live\npOLW.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\NPAskSBr.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\defaults\pref\activex.js - pref("capability.policy.default.ClassID.CIDFE0BD779-44EE-4A4B-AA2E-743C63F2E5E6", "AllAccess"); c:\programme\Mozilla Firefox\defaults\pref\activex.js - pref("capability.policy.default.ClassID.CIDFE0BD779-44EE-4A4B-AA2E-743C63F2E5E6", "AllAccess"); . - - - - Entfernte verwaiste Registrierungseinträge - - - - WebBrowser-{74CC49F7-EB32-4A08-B204-948962A6E3DB} - (no file) HKCU-Run-tbfedi - c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\tbfedi.exe AddRemove-tbfedi - c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\tbfedi.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-02-23 16:17 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x82DBAC48]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf8710f28 \Driver\ACPI -> ACPI.sys @ 0xf863acb8 \Driver\atapi -> 0x82dbac48 IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a8 ParseProcedure -> ntoskrnl.exe @ 0x8056c1d6 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a8 ParseProcedure -> ntoskrnl.exe @ 0x8056c1d6 NDIS: Intel(R) PRO/Wireless 2200BG Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf84c8bb0 PacketIndicateHandler -> NDIS.sys @ 0xf84b7a0d SendHandler -> NDIS.sys @ 0xf84cbb40 Warning: possible MBR rootkit infection ! user & kernel MBR OK ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iblnbtccj] "ImagePath"="\??\c:\windows\system32\01.tmp" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lcmjgpb] "ImagePath"="\??\c:\windows\system32\02.tmp" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\nhycgcg] "ImagePath"="\??\c:\windows\system32\02.tmp" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\sflwvgnoq] "ImagePath"="\??\c:\windows\system32\01.tmp" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vnyqn] "ServiceDll"="c:\windows\system32\dkvrjb.dll" . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*] "OODEFRAG06.00.00.01WORKSTATION"="3ADCFCBD1D4D6E5F949A24B919451B1CA3FE2419AC7B8D53EDFC022BD2CE302AD28F7D23A263F2497208A4CEB6FEBC9E127BECC74CFEBC9E127B ECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E667FEBC9E127BECC74CA9C6AECB7A5D1407A2D97226D213B555F1DD950E503D73BE A41915F7E54DEC1880AA6ECAAC190A151C871C1975944B92B4FB1837DD15A46E1683711FA06727F4CA2397E7B40107E122E20B4D30B469ED88CCD4C391FE816B25804C21416409F7D25530 D2F5D4F8B8630E139F5A2B1FAA35988E898FB67DFE96634DA6F65578897A3E68214D9ED9C3FB4E86B99B1C1FD4368DDCDE6D179E35636273D66271F159D63C3F6D8B8F3AF2BFCA8A449052 2FBEB93E2BA334257FE0B7988D601D14845933930DD773FA3E7934119BF14AB9A579A49D3A3563844E17738241F4B0BCD3BE0B6AFA823D599F4D959088F34F6372DF0F071D79EA804C30AC 0507CA1D0D178491CC85931546A82AD09EF2821704178C4236BCD9B386D0C92BE32C1AD44C98E7AB2A7F361C013B100972525A90F4A6DF40CED3C2952846456A4C5122BE65B86CF1560F19 E56ECAC1142971BA9AB2CB7EBBD3F1A35F1CAAC61DCA6A23B5E76A57B2872D6E789660C5FD43EEE60BDDC3509AB0FA72D23B90382651C0E3898635B2EF5BA86C52A4186804263EA5AA3DDF 817AB1A72727049C469D3871ADFC1734CC5ECE21CE6268A0371918A44537B684022A0903BE05180C6351B8ECCDC6159538E7C58FD30D56BF86E3C5BD1361D8AC06AD4B6D3A0ABD2A43C171 781692A01FCBAA09BABDA906CDED3FC1F8E2CD556406BBF1999D495EDADFA3E4AB5C7EFAA59FF642425405B4374738FE980D967FCC3E405A90F0C8889375DDF874F89E0C1693D20396E15F BF7B3293D4B3EC47D11CAED9462D43826EDF868E7893CC785D6DC878BCFEB26C2CAE12C502B3E2E1E61B1ADD5B9FA163E4DCD785131DB6889F422654C6141D5323F90D7A2559D15B82A68A 52226AA44F653D71C658FA1C3D2539D4885E4475B06E1911104236A19C87304C730AE7E01B90C7A00DC0E8E87A6310446BA1D0979500DC4A19C3313E02003DED3161C1F611A5D5F742A677 8816F793260593D0E083E9A9AC5BF404965E96E745AD6079856F0BD64C88C60CEEDA9FA670139CAC35F5E5F5EFD186409EF31F5C69C11E6130E74B4BB53445DF0F893EC35D0787A1F9D5CE 51102C0C46CE7F8D5BB6781AA0A12094CA924DA8FE64D25A73EA0804C21B0524D8C94BFECDA12AF93CCC91B33506B3B60083105AC96C5F9ED65BED25F506D60A42A147BAE1179723669000 B2EC8D2FAA286C6EA87629CA5A9FB4C7E274AE94C8D5DFE881E0B2DB67D7AA6CBE6DEC940816F88BC68C1EA281164154194C8B78CC6F8DAFF4FDFC7FCCA10631652D" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(3420) c:\windows\system32\msls31.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\Ati2evxx.exe c:\windows\system32\drivers\CDAC11BA.EXE c:\programme\Java\jre6\bin\jqs.exe c:\programme\Network Associates\Common Framework\FrameworkService.exe c:\programme\mcafee.com\agent\mcdetect.exe c:\programme\Network Associates\VirusScan\Mcshield.exe c:\programme\Network Associates\VirusScan\VsTskMgr.exe c:\progra~1\mcafee.com\agent\mctskshd.exe c:\progra~1\NETWOR~1\COMMON~1\naPrdMgr.exe c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE c:\progra~1\McAfee.com\PERSON~1\MPFSERVICE.exe c:\windows\system32\oodag.exe c:\windows\system32\PnkBstrA.exe c:\windows\System32\PAStiSvc.exe c:\windows\system32\SearchIndexer.exe c:\windows\SOUNDMAN.EXE c:\progra~1\McAfee.com\PERSON~1\MpfAgent.exe c:\windows\system32\wbem\wmiapsrv.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-02-23 16:28:42 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-02-23 15:28 Vor Suchlauf: 8.289.984.512 Bytes frei Nach Suchlauf: 8.204.148.736 Bytes frei - - End Of File - - 78857C97D21710C055DD17C43492D65E |
23.02.2010, 17:00 | #17 |
/// Winkelfunktion /// TB-Süch-Tiger™ | iexplorer.exe dauerhaft und doppelt im Taskmanager Ich denke da ist noch ein Rootkit aktiv.
__________________Lad Dir diese saubere atapi.sys (von meinem WinXP-Rechner) am besten direkt herunter auf c:, danach müssen wir so ran: PartedMagic 1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein 2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows 3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist 4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken 5. Mounte die Partition wo Windows installiert ist, meistens isses /dev/sda1 6. Benenne auf sda1 die Datei /windows/system32/drivers/atapi.sys um in atapi.bad 7. kopiere die saubere atapi.sys nach system32/drivers (da wo die atapi.bad auch ist) 8. Starte den Rechner neu und boote Windows 9. Die in Linux umbenannte Datei atapi.bad bei Virustotal.com auswerten lassen und Ergebnislink posten 10. Probier einen Durchlauf mit GMER und poste das Log 11. Mach auch noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.
__________________ |
23.02.2010, 18:24 | #18 |
| iexplorer.exe dauerhaft und doppelt im Taskmanager Oh menu bin grad total mit Punkt 3 überfordert (
__________________Bedeutet das, dass ich mein PC neustarten soll, F8 drücken bis das Bootmenü aufgeht um dann dort unter Option 1 die gebrannte CD starten zu können? Damit dann mein Rechner kurzzeitig über Linux startet? Hab ich das richtig verstanden? Und, Punkt 5: mounte die partition, was heisst das? Danke schon mal für die Aufklärung |
23.02.2010, 18:49 | #19 |
/// Winkelfunktion /// TB-Süch-Tiger™ | iexplorer.exe dauerhaft und doppelt im Taskmanager Nein, Du musst ins Bootmenü (vom BIOS) um von der CD zu booten. Meinstens ganz am Anfang wenn Du den Rechner angemacht hast mit F11. Oder Du gehst ins BIOS und stellst das CDROM Laufwerk als 1. Bootlaufwerk vor der Festplatte ein. Punkt 5 ist selbsterklärend wenn Du soweit bist.
__________________ Logfiles bitte immer in CODE-Tags posten |
23.02.2010, 20:41 | #20 |
| iexplorer.exe dauerhaft und doppelt im Taskmanager Nun war ich im BIOS (F2 Taste bei mir) dort bin ich unter der 5. Lasche (Boot) gegangen. Hier hatte ich folgendes stehen: Optical Drive Removable Devices +Hard Drive auf der rechten Seite steht: Keys used to view or configure devices: (Enter) expands or collapses devices with a + or - (F6) and (F5) moves the device up or down. Welches von den dreien soll ich nach oben schieben, ich habe hier noch nie was geändert, eingestellt oder ähnliches bin etwas ängstlich. |
23.02.2010, 22:59 | #21 |
/// Winkelfunktion /// TB-Süch-Tiger™ | iexplorer.exe dauerhaft und doppelt im Taskmanager Hm, die optischen Laufwerke stehen schon ganz oben. Optische Laufwerke sind CD/DVD-Laufwerke bzw -Brenner. Hast Du die Linux-CD denn auch richtig gebrannt? Du musst es per Imagebrennfunktion brennen, sonst kannst Du von dieser CD nicht booten. Welche Brennsoftware hast Du unter Windows?
__________________ --> iexplorer.exe dauerhaft und doppelt im Taskmanager |
26.02.2010, 01:38 | #22 |
| iexplorer.exe dauerhaft und doppelt im Taskmanager Ich hatte kein ImgBurn und habe die Software von Chip.de gedownloaded..., habe die Imagedatei auf eine CD gebrannt...aber ich sehe auf der CD nicht, dass sie gebrannt wurde, sie sieht aus wie vorher. Die Imagedatei habe ich heruntergeladen und auf mein Desktop gespeichert. Danach habe ich die Datei auf die CD gebrannt und anschließend über BIOS in den Booteigenschaften gegangen... Ich versuche morgen die Datei auf einer anderen CD zu brennen. Ansonsten habe ich Alcohol auf dem Laptop, kann man die Datei damit auch brennen und wenn ja, was soll ich tun? LG |
26.02.2010, 01:46 | #23 |
/// Winkelfunktion /// TB-Süch-Tiger™ | iexplorer.exe dauerhaft und doppelt im Taskmanager Alcohol kann das brennen. Du darfst aber eben nicht einfach die Datei draufbrennen, Du musst die Imagebrennfunktionen benutzen, um das ISO-Abbild auf die CD zu bringen. Gibt doch dutzende Anleitungen im Internet > Mit ImgBurn ISO-Datei auf CD/DVD brennen - COMPUTER BILD
__________________ Logfiles bitte immer in CODE-Tags posten |
26.02.2010, 02:24 | #24 |
| iexplorer.exe dauerhaft und doppelt im Taskmanager ich hab alles wieder neu gemacht, auch nach Anleitung...wie davor auch, aber nun erscheint die Fehlermeldung, dass die Imagedatei nicht gebrannt werden konnte weil sie anscheinend zu groß sei . Die CD hat 700 MB und ist/war neu. Da die Datei 90MB nur haben soll versuche ich es morgen mit einer DVD, wenn das geht. Gute Nacht! |
26.02.2010, 02:27 | #25 |
/// Winkelfunktion /// TB-Süch-Tiger™ | iexplorer.exe dauerhaft und doppelt im Taskmanager Dann läuft da irgendwas falsch. Brenner kaputt? Auf eine CD sollte das definitiv passen. Bevor Du x Rohling verbrennst, probierst Du das am besten mit einer CDRW aus.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu iexplorer.exe dauerhaft und doppelt im Taskmanager |
abgesicherten modus, ask toolbar, bho, browser, compare, desktop, document, email, error, excel, firefox, google, gservice, hijack, hijackthis, hkus\s-1-5-18, iexplorer.exe, install.exe, internet, internet explorer, internet security, launch, mozilla, object, plug-in, problem, rundll, security, senden, software, super, system, taskmanager, windows, windows xp, wlan |