Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner "iexplore" (https://www.trojaner-board.de/29567-trojaner-iexplore.html)

madhouse2003 30.05.2006 07:55
Trojaner "iexplore"
 
Hallo Leute,

mein Kollege hat einen Trojaner auf dem Rechner und er bekommt ihn nicht weg.
ich glaube, dass es mit der Datei "iexplore.exe": zu tun hat.
Ich habe versucht den Internet Explorer vom PC zu entfernen, leider nicht ganz erfolgreich. Es ist immernoch ein Programmordner unter C:/Programme mit dem Namen Internet Explorer drin. IN diesem Ordner ist unter anderem eine Datei namens iexplore.exe.
Wenn ich diese lösche, dann kommt sie nach ein paar Sekunden wieder.
Der Virenscanner (AVG Free) meldet mir auch einen Trojaner und entfernt ihn, der kommt jedoch immer wieder.
Er hat noch keinen einzigen Service Pack drauf der Chaot, habe sofort versucht SP2 zu installieren, komme jedoch leider nicht soweit, da nach gewisser Zeit immerwieder der supertolle "blaue" Bildschirm kommt.
Also muss ich zuerst den scheiß Trojaner wegbekommen, dann SP2 installieren.

Bin hier ganz neu im Forum und hoffe, dass ich das mit dem Logfile richtig gemacht habe:

Logfile of HijackThis v1.99.1
Scan saved at 08:17:38, on 30.05.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\win32host.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\AIRPLUS\D-Link AirPlus DWL-120+ Wireless USB Adapter\AIRPLUS.EXE
C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tksock.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tkmedia.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Advertiser Class - {53D3C442-8FEE-4784-9A21-6297D39613F0} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - Global Startup: D-Link AirPlus DWL-120+ Wireless USB Adapter.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: TK-Suite Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - h**p://install.global-netcom.de/ieloader.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} - h**p://merchant.eops.de/dialersoftware/cax.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - h**p://akamai.downloadv3.com/binaries/IA/ia_XP.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - h**p://webinstall.tscash.com/webinstall.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/287643f7ba43d1a5c805/netzip/RdxIE601_de.cab
O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} - h**p://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_pack_XP.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - h**p://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - h**p://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - h**p://install.serviceurl.de/InstallationsAssistent.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{C12181E9-7B65-4885-BB1B-227C03B8EEBA}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Capntltfia - Brother Industries Ltd. - (no file)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: netconf32 - Unknown owner - C:\WINDOWS\netconf32.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe

Um Hilfe wäre ich sehr dankbar

madhouse2003

Rene-gad 30.05.2006 08:20
@madhouse2003
Zitat:
ich glaube, dass es mit der Datei "iexplore.exe": zu tun hat.
Das Glauben gibt es nur in der Kirche ;). %Systemlaufwerk%\Programme\Internet Explorer\iexplore.exe ist die Standard-Location vom MS Internet Explorer. Der Übeltäter ist hier:
Zitat:
O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe
Überprüfe diese Datei bei www.virustotal.com oder www.kaspersky.de/scanforvirus.
Das Neaufsetzen gemäß der Anleitung (Link in meiner Signatur) wäre die gescheiteste Lösung.

madhouse2003 30.05.2006 08:57
Liste der Anhänge anzeigen (Anzahl: 1)
Alles klar, werde ich heute abend gleich testen.

Habe hier noch ein Screenshot mit der exakten Virusmeldung.
Dachte deshalb, dass es an der Datei "iexplore" liegt.

Danke erst mal.

Madhosue2003

Rene-gad 30.05.2006 09:04
Zitat:
Zitat von madhouse2003
Habe hier noch ein Screenshot mit der exakten Virusmeldung.
Dachte deshalb, dass es an der Datei "iexplore" liegt.
Hast Du Dich auch auf den Pfad aufmerksam gemacht?
C:\iexplore.exe <>C:\Programme\Internet Explorer\iexplore.exe
Hier handelt es sich um noch einen Schädling. Deswegen - hier klicken.

stupormundi 30.05.2006 11:02
Servus Rene-gad und alle anderen!

Dieses Beispiel zeigt wieder exemplarisch, wie wichtig exakte Pfad- und Dateiangaben wären.

Es ist eben nicht die iexplore.exe sondern (siehe AVG PopUp) iexplorer.exe und die kann von simpler Adware bis zum Backdoor alles sein.
AVG bezeichnet sie als Proxy.irgendwas. Wäre halt noch genauer zu checken.
Rene-gad hat aber eh schon einen vernünftigen Tipp dazu gegeben!

lg, stupormundi

Rene-gad 30.05.2006 11:18
Zitat:
Zitat von stupormundi
Es ist eben nicht die iexplore.exe sondern (siehe AVG PopUp) iexplorer.exe
TNX für Deinen Hinweis.
PS: Muss ich wohl doch zum Fielmann :headbang:


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:27 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55