Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Prozess IEXPLORE.EXE lässt sich nicht schliessen (https://www.trojaner-board.de/30276-prozess-iexplore-exe-laesst-schliessen.html)

h3x3 29.06.2006 20:40
Prozess IEXPLORE.EXE lässt sich nicht schliessen
 
Nabend zusammen,

Ich habe ein Problem mit dem Internet Xplorer:

Obwohl ich ihn (den IE) nach PC-Start nicht einmal geöffnet habe, wird mir im Task-Manager 2 mal der Prozess IEXPLORE.EXE angezeigt.
Das lustige ist, dass er sich beide Prozesse nicht schliessen lassen, bzw. der Prozess sofort wieder geöffnet wird.
Hinzu kommt, dass sich ab und an beim Starten von Firefox ein Popup mit Werbung öffnet.


Meine bisherigen Nachforschungen und Versuche dem Problem Herr zu werden sind gescheitert und daher bitte ich euch mal über mein HJT-Log zu schauen, damit ihr mir sagen könnt, ob's eventuell an so nem Drecksproggi liegt...*grrr*

Hier der Log, THX im voraus!

h3xööööööö
======================================================


Logfile of HijackThis v1.99.1
Scan saved at 21:24:00, on 29.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\taskswitch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
E:\Downloads\Firefox\firefox.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Downloads\Installierte Sachen\Winrar\WinRAR.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Rar$EX00.516\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {98799289-399A-E7C6-782B-7AFF45452D66} - (no file)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [coalbatbyteonline] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\4 Skip Coal Bat\internet active.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Downloads\Installierte Sachen\Winamp!\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] "E:\Downloads\Installierte Sachen\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ASUS Probe] e:\downlo~1\installierte sachen\hitze\AsusProb.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Hide test] C:\DOKUME~1\***\ANWEND~1\PLAN2~1\Hold Build.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Downloads\Installierte Sachen\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Downloads\Installierte Sachen\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = E:\Word2000\Office\OSA9.EXE
O4 - Global Startup: Wireless Configuration Utility HW.51.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.00\WlanCU.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Downloads\Installierte Sachen\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Downloads\Installierte Sachen\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - E:\Dragon\Antivir6\AVGUARD.EXE (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - E:\Dragon\Antivir6\AVWUPSRV.EXE (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - E:\Dragon\Downloads\TU\WinStylerThemeSvc.exe (file missing)

Wildone 29.06.2006 20:43
Hallo,
Anleitung abarbeiten, die relevanten Einträge sind:
O4 - HKLM\..\Run: [coalbatbyteonline] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\4 Skip Coal Bat\internet active.exe
O4 - HKCU\..\Run: [Hide test] C:\DOKUME~1\***\ANWEND~1\PLAN2~1\Hold Build.exe

und am besten gleich FlashGet deinstallieren, daher wird das ganze gekommen sein.
Danach nochmal ein neues HijackThis Log posten.


Grüße Wildone

Yopie 29.06.2006 20:46
@Wildone: Kann da auch der Smitfraudfix was bringen?

Gruß :daumenhoc
Yopie

Wildone 29.06.2006 20:51
Hallo,
wäre mir neu, hat eigentlich vom Malwarekonzept auch nichts miteinander zu tun.
Wenn ich es mir recht überlege kann Smitfraudfix da auch theoretisch wenig machen weil bei Swizzor/Lop sowohl zufällige Namen als auch zufällige Ordner verwendet werden, und Smitfraudfix arbeitet ja mit der Erkennung/Beseitigung per Namen.
Um es 100%ig auszuschließen müßte ich mir nochmal die Dokumentation von Smitfraudfix anschauen.


Grüße Wildone

Yopie 29.06.2006 20:53
Nö, ich glaub dir das schon. Meine Kenntnisse im Bereich Spyware/Adware sind marginal. :)

Gruß :daumenhoc
Yopie

h3x3 29.06.2006 20:53
okay, danke für die schnelle antwort. werde das sobald wie möglich abarbeiten (deine Anleitung) und werde dann bericht erstatten ob sich alles geklärt hat.

Wildone 29.06.2006 21:04
Hallo,
habe mir das Changelog von Smitfraudfix nochmal schnell angeschaut, da wird nichts im Zusammenhang mit Swizzor erwähnt.
Zitat:
Meine Kenntnisse im Bereich Spyware/Adware sind marginal.
Wieso habe ich da Zweifel :D
Naja wenn mich mal wieder ein Ubuntuproblem plagt weiß ich ja an wen ich mich wenden werde.

@h3x3
Solltest das ganze eigentlich innerhalb von 10 min. erledigen können.


Grüße Wildone

monkfisch 27.07.2006 17:40
Hi Wildone,

Ich habe das gleiche Problem mit dem Internet Xplorer!
Er ist auch bei mir 2 mal geöffnet und mit dem Taskmenager kann ich leider immer nur einen Prozess beenden.:(

Ich hab nun die Hoffnung, dass du mir wiedermal helfen kannst!

Danke im Vorraus.

Ps:
Den Tr/Swizzor.A hab ich mit der Sygate Personal Firewall (gratis und leicht zu bedienen) erfolgreich bezwungen "zumindest glaube ich das"!

Sunny 27.07.2006 17:50
Zitat:
Zitat von monkfisch
Hi Wildone,

Ich habe das gleiche Problem mit dem Internet Xplorer!
Er ist auch bei mir 2 mal geöffnet und mit dem Taskmenager kann ich leider immer nur einen Prozess beenden.:(

Ich hab nun die Hoffnung, dass du mir wiedermal helfen kannst!

Danke im Vorraus.

Ps:
Den Tr/Swizzor.A hab ich mit der Sygate Personal Firewall (gratis und leicht zu bedienen) erfolgreich bezwungen "zumindest glaube ich das"!
@monkfisch,

eröffne bitte für dein Problem einen eigenen Beitrag, da es hier sonst zu unübersichtlich wird. ;)

Gruß
Daniel


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:14 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131