Trojaner-Board - IExplorer.exe im TaskManager

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - IExplorer.exe im TaskManager (https://www.trojaner-board.de/35047-iexplorer-exe-taskmanager.html)

IExplorer.exe im TaskManager

Hi

Ich habe das Problem das in meinem TaskManager der iexplorer.exe zweimal vorhanden ist ohne das ich irgend ein IE fenster offen habe.
Da ich schon bei Google und auch hier im Forum ähnliche vorfälle gefunden habe aber nciht die beste PC-Leute bin. Hätte ich gerne eine auf mich bezogenen Analyse.
Auch öffnen sich bie mir in letzter Zeit beim Starten des Mozialla Firefox 2.0, oder auch so einfach zwischen drinn, PopUps von PartyPoker und diversen Urlaubsangeboten ich vermute das das eine Folge von meinem Problem ist.?

Ich vermute bie mir hat sich irgend ein Programm in den Tiefen meiner Software festgesaugt und will nicht mehr gehen.
Vielen Dank im Voraus

Hier erst ma mein HiJackThis Log-File:

Logfile of HijackThis v1.99.1
Scan saved at 23:06:24, on 06.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\Mouse\MouseDrv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Hans Mustermann\Desktop\Hans\Software\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.web.de/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.web.de/home
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [DeluxMouse] C:\Programme\Mouse\MouseDrv.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [LMPDPSRV] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE
O4 - HKLM\..\Run: [bags tool copy tick] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\More Memo Bags Tool\Blue bone.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Lite Move] C:\DOKUME~1\JANKLL~1\ANWEND~1\BITSTH~1\first time.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Mousometer.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/online2/bejeweled2/popcaploader_v6.cab
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:

(Pleas Help)

Das ist der Swizzor.A:
O4 - HKLM\..\Run: [bags tool copy tick] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\More Memo Bags Tool\Blue bone.exe

und

O4 - HKCU\..\Run: [Lite Move] C:\DOKUME~1\JANKLL~1\ANWEND~1\BITSTH~1\first time.exe
Anleitung zum entfernen:
http://www.trojaner-board.de/28388-a...ntfernung.html

außerdem:
O4 - HKLM\..\Run: [LMPDPSRV] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSR V.EXE
solltest du mal bei Virustotal hochladen.
http://www.virustotal.com/en/indexf.html

Die bitte auch bei Virustotal hochladen falls dir nicht bekannt:

C:\Programme\Mouse\MouseDrv.exe

ist aber höchstwahrscheinlich ein Maustreiber.

Biste dir sicher dass das Logfile vollständig gepostet ist? Ich glaub nämlich, dass da unten was fehlt... ;)

Zitat:

Zitat von dani2112

O4 - HKLM\..\Run: [LMPDPSRV] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSR V.EXE
solltest du mal bei Virustotal hochladen.

Das sollte meiner Ansicht nach zum Drucker-Treiber gehören. :o

Gruß
Sunny

EDIT:

Moin Felix... ;) ja, das könnte gut möglich sein.

@[Gc]Sunny
Haben wir einen neuen Messias?
:lach:

@dani2112
Die automatische Logfileauswertung kann manchmal ganz hilfreich sein. Aber ohne entsprechende Grundkenntnisse macht man sich damit auch mal ganz schnell zum Affen.

Jan89
Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Prüfe Dein System mit Ewido ewido - anti-spyware and anti-malware solutions Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis, aber bitte lösche vorher aus dem Log alles was mit Cookies zu tun hat.

@felix1
automatische logfileauswertung benutz ich grundsätzlich nicht. Und man kann sich auch mal irren.
Ich vertrau da mehr auf mich selbst.
Wer wird denn gleich Streit anfangen?

Zitat:

Zitat von dani2112 (Beitrag 247298)

@felix1
automatische logfileauswertung benutz ich grundsätzlich nicht. Und man kann sich auch mal irren.
Ich vertrau da mehr auf mich selbst.
Wer wird denn gleich Streit anfangen?

Ich fange hier niemals einen Streit an. Das liegt mir fern. Die Antwort ist über PN erfolgt;)

das ist schon der ganze logfile ich hab noch mal nachgeschaut

ja das eine ist ein mausdriver bei dem anderen weiß ich ned ob des zum drucker gehört mal nachschaun danke ich versuchs mal so wie ihr mir gesagt habt

ich hoffe es klappt

man das is ewig kompliziert mit dem entfernen von swizzor.A besondres wenn man nicht so ne PC-Leute is wie ihr
ich versuchs trotzdem aber vllt könne man die Anleitung ein bischen vereinfachen

So schwer ist es doch garnicht.

Du brauchst doch nur diesen Link genau durchlesen und abarbeiten:
-> Entfernung Swizzor.A

Fixe diese Einträge, so wie es in der Anleitung steht:

Zitat:

O4 - HKLM\..\Run: [bags tool copy tick] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\More Memo Bags Tool\Blue bone.exe

O4 - HKCU\..\Run: [Lite Move] C:\DOKUME~1\JANKLL~1\ANWEND~1\BITSTH~1\first time.exe

Das wars doch dann schon... :kloppen:

Gruß ;)
Sunny

ja soweit hab ichs jetzt auch kapiert
bloß mir stellt sich das problem ichkomme nicht in den abgesicherten modus
jedesmal biem neustart drück ich F8 dann komm n blaues fenster mit komischen englischen abkürzungen
das eine ist booten von CD
das andere booten von Festplatte
dann sind da noch welche mit USB
und eins da steht network davor
aber nirgends steht was von abgesicherter modus

also danke Sunny
hat geklappt ich ibn jetzt doch in den Abgesicherten Modus gekommen
ist bie Packard Bell PCs in bisl anders wie bei anderen

da muss man Wärend dem hochfahren ausschaulten und wieder anschalten dann kommt man in den abgesicherten modus

echt leute danke
meine systemauslastung ist gleich um 70 MB gesunken und die zwei IE.exen sind weg und die popups kommen nicht mehr

echt danke natürlich auch an alle anderen
und an das ganze Board
und an Sunny ;)

schönen Sonntag noch

Jan89

Zitat:

Zitat von Jan89 (Beitrag 247369)

echt danke natürlich auch an alle anderen
und an das ganze Board
und an Sunny ;)

schönen Sonntag noch

Bittschön ... :daumenhoc dir natürlich auch einen schönen Sonntag :)