Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Iexplore.exe lässt sich nicht schliessen (https://www.trojaner-board.de/30997-iexplore-exe-laesst-schliessen.html)

lammi 30.07.2006 04:57
Iexplore.exe lässt sich nicht schliessen
 
Hallo,

habe folgendes Problem:

Der Prozess vom Internet Explorer (iexplore.exe) ist 3x aktiv und beim beenden über den Task Manager wird er sofort wieder geöffnet.

Meine Sygate Personell Firewall blockt den Internet Explorer beim Versuch eine Dyn dns Adresse anzuwählen.

Spybot SD hatte zwei Threads im Iexplorer gefunden und entfernt, hat aber leider nichts gebracht.

Vielleicht kann mir hier jemand helfen.

Hijack This Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 05:39:32, on 29.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Dokumente und Einstellungen\Burna\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
O1 - Hosts: 192.192.192.10 priest
O1 - Hosts: 192.192.192.100 vex
O1 - Hosts: 192.192.192.6 masta
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: FlpLauncher Class - {4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} - C:\PROGRA~1\E-BOOK~1\FLIPVI~1\fplaunch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {D7C78100-C0EF-8EB6-3B66-77A887DAB71A} - C:\DOKUME~1\Burna\ANWEND~1\SOFTWA~1\Curb date.exe (file missing)
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [new dent dupe lies] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LinkNounNewDent\Dart Cash.exe
O4 - HKCU\..\Run: [TWO BEEP] C:\DOKUME~1\Burna\ANWEND~1\IDLESU~1\WARNDUMB.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Decompiler - C:\Programme\SourceTec\Sothink Glanda\InternetExplorer.htm
O9 - Extra button: Preispiraten 2.1.1 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Sothink SWF Decompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\SourceTec\Sothink Glanda\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Decompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\SourceTec\Sothink Glanda\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D8844F9-1CB8-11D2-A0A0-00600859EB9F} (PatchCtl Class) - file://G:\FIFA\update.1.1\patchx2.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{01493FA4-EE8C-4C1F-9373-4CAB84A7DD97}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{01493FA4-EE8C-4C1F-9373-4CAB84A7DD97}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Unknown owner - C:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe (file missing)

Darthshoot 30.07.2006 10:19
O2 - BHO: (no name) - {D7C78100-C0EF-8EB6-3B66-77A887DAB71A} - C:\DOKUME~1\Burna\ANWEND~1\SOFTWA~1\Curb date.exe (file missing)

Der hier ist Maleware, nicht? Und prüfe mal diese Datei:

C:\PROGRA~1\DAP\DAP.EXE

Und nicht zu vergessen:

C:\Windows\System32\PSSDNSVC.EXE

EDIT: C:\DOKUME~1\Burna\ANWEND~1\IDLESU~1\WARNDUMB.exe

sollte ein Suchteil sein. Kann es sein, dass vielleicht das dein Problem ist? Glaube eher nicht. Kommt mir aber auch nicht bekannt vor. Solltest du mal prüfen.

Das hier fixen:

O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

Also mal ehrlich gesagt, kommt mir das ganze Verzeichnis Burna verdächtig vor:

O2 - BHO: (no name) - {D7C78100-C0EF-8EB6-3B66-77A887DAB71A} - C:\DOKUME~1\Burna\ANWEND~1\SOFTWA~1\Curb date.exe (file missing)

So änlich nennen sich auch andere Maleware. Nicht nur dieses File. Eigendlich jede EXE aus diesem Verzeichnis. (Curb date find.exe)
Du solltest mal das ganze Verzeichnis mit EScan scannen. Oder bei VirusTotal.

irrlicht 30.07.2006 10:38
Hallo,
@Darthshoot
Einen einzigen Post von dir möchte ich gerne lesen,der nicht von Ahnungslosigkeit und Oberflächlichkeit geprägt ist...:kloppen:
'
@lammi
Dieses hier : C:\Windows\System32\PSSDNSVC.EXE
läßt du bitte bei : www.virustotal oder bei Jotti scannen.Poste das Ergebnis.
Das hier :C:\PROGRA~1\DAP\DAP.EXE würde ich entfernen/löschen,da es unerwünschte Werbung mitbringt.Es gibt bessere Downloadmanager die ebenfalls kostenlos sind.
Irrlicht

Darthshoot 30.07.2006 10:40
Du hast gerade eine Kopie meines oberen Posts geschrieben. Also in diesem Thread scheine ich wesentlich mehr Herr über die Lage zu sein als du. Wenn du meinst mich fertig machen zu müssen, dann mach das in ICQ da können wir weiter reden. Meine Posts haben bis jetzt außerdem immer geholfen.

Edit: Ich verstehe nicht, warum du etwas hin schreibst, was ich sowieso schon gepostet habe? Du hast keine Arnung, nicht ich...

BataAlexander 30.07.2006 13:30
Hallo,

@lammi: Diesem Link nachgehen.
Relevante Einträge für Dich sind:

O2 - BHO: (no name) - {D7C78100-C0EF-8EB6-3B66-77A887DAB71A} - C:\DOKUME~1\Burna\ANWEND~1\SOFTWA~1\Curb date.exe (file missing)
O4 - HKLM\..\Run: [new dent dupe lies] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LinkNounNewDent\Dart Cash.exe
O4 - HKCU\..\Run: [TWO BEEP] C:\DOKUME~1\Burna\ANWEND~1\IDLESU~1\WARNDUMB.exe

Die Datei C:\Windows\System32\PSSDNSVC.EXE gehört hierzu.

Gruß

Schrulli

lammi 30.07.2006 17:08
@Schrulli

Danke für den Tip hat wunderbar geklappt:aplaus:


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:15 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131