Trojaner-Board - Problem mit Prozess: iexplorer.exe

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Problem mit Prozess: iexplorer.exe (https://www.trojaner-board.de/37038-problem-prozess-iexplorer-exe.html)

Problem mit Prozess: iexplorer.exe

Hallo erstmal,
vor kurzem habe ich das Problem, dass der Prozess iexplorer.exe immer auftaucht. Er lässt sich auch nicht schließen. Manchmal kommen auch seltsame Geräusche aus den Lautsprechern, ich weíß nicht, ob das an dem Prozess liegt.
Kennt das vielleicht jemand?

Mein LogFile:

Logfile of HijackThis v1.99.1
Scan saved at 12:52:56, on 13.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\***\Desktop\hijackthis_199\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: Shell Doc Object and Control Helper Class - {00009E9F-DDD7-AA59-AA7D-AA4B7D6BE000} - C:\WINDOWS\system32\shdocvs.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOKUME~1\***\Desktop\SpyBot\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Dokumente und Einstellungen\***\Desktop\SpyBot\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: TrayMin.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxq.dll
O20 - Winlogon Notify: winsys2freg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\winsys2f.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

Hallo.

Fixe bitte folgenden Eintrag :

* O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxq.dll *

Dann scanne folgende Datei auf Virustotal und poste den Bericht mit allen Angaben:

" C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\winsys2f.dll "

Dann mache bitte einen eScan, Anleitung ist in meiner Signatur verlinkt.

mfg

Undoreal

Den Online Scan konnte ich nicht durchführen, weil ich die Datei nicht gefunden habe.
Hier das Ergebnis des eScan´s:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Tue Mar 13 15:45:00 2007 => Version 9.1.7
Tue Mar 13 15:44:18 2007 => Virus-Datenbank Datum: 3/12/2007
Tue Mar 13 17:27:18 2007 => Virus-Datenbank Datum: 3/12/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Mar 13 15:47:39 2007 => System found infected with bravesentry Spyware/Adware (comdlg64.dll)! Action taken: Keine Aktion vorgenommen.
Tue Mar 13 15:47:40 2007 => System found infected with smitfraud Browser Hijacker (winsub.xml)! Action taken: Keine Aktion vorgenommen.
Tue Mar 13 15:47:40 2007 => System found infected with zlob Trojan-Downloader (install.dat)! Action taken: Keine Aktion vorgenommen.
Tue Mar 13 15:47:46 2007 => System found infected with schoeberl.e Trojan (C:\WINDOWS\system32\ipv6monl.dll)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Tue Mar 13 15:45:30 2007 => File C:\Dokumente und Einstellungen\Hamza\Desktop\craagle_1.91.zip/craagle_1.91/Craagle.exe//UPX markiert als "not-a-virus:AdWare.Win32.Craagle.19". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Mar 13 15:46:40 2007 => File C:\Dokumente und Einstellungen\Hamza\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Mar 13 15:49:07 2007 => File C:\WINDOWS\system32\rlls.dll markiert als "not-a-virus:AdWare.Win32.RK.l". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Mar 13 15:50:28 2007 => File C:\Dokumente und Einstellungen\Hamza\Desktop\craagle_1.91.zip/craagle_1.91/Craagle.exe//UPX markiert als "not-a-virus:AdWare.Win32.Craagle.19". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Mar 13 15:51:10 2007 => File C:\Dokumente und Einstellungen\Hamza\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Mar 13 15:52:29 2007 => File C:\Dokumente und Einstellungen\Hamza\Eigene Dateien\craagle_1.91.zip/craagle_1.91/Craagle.exe//UPX markiert als "not-a-virus:AdWare.Win32.Craagle.19". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Mar 13 15:53:10 2007 => File C:\Dokumente und Einstellungen\Hamza\Eigene Dateien\SmitfraudFix.zip/SmitfraudFix/Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Mar 13 16:45:54 2007 => File C:\System Volume Information\_restore{D2B06EC0-B132-48D6-8EAB-5BE289383EE2}\RP16\A0010498.dll markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Mar 13 16:45:54 2007 => File C:\System Volume Information\_restore{D2B06EC0-B132-48D6-8EAB-5BE289383EE2}\RP16\A0010500.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet.e". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Mar 13 16:45:56 2007 => File C:\System Volume Information\_restore{D2B06EC0-B132-48D6-8EAB-5BE289383EE2}\RP16\A0010504.exe//stream//data0001 markiert als "not-a-virus:RiskTool.Win32.PsKill.q". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Mar 13 16:45:56 2007 => File C:\System Volume Information\_restore{D2B06EC0-B132-48D6-8EAB-5BE289383EE2}\RP16\A0010516.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet.e". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Mar 13 16:46:00 2007 => File C:\System Volume Information\_restore{D2B06EC0-B132-48D6-8EAB-5BE289383EE2}\RP16\A0010550.exe markiert als "not-a-virus:AdWare.Win32.Relevant.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Mar 13 16:49:56 2007 => File C:\System Volume Information\_restore{D2B06EC0-B132-48D6-8EAB-5BE289383EE2}\RP23\A0014114.exe//UPX markiert als "not-a-virus:AdWare.Win32.Craagle.19". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Mar 13 16:50:00 2007 => File C:\System Volume Information\_restore{D2B06EC0-B132-48D6-8EAB-5BE289383EE2}\RP23\A0014165.exe markiert als "not-a-virus:RiskTool.Win32.Starter.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Mar 13 16:50:04 2007 => File C:\System Volume Information\_restore{D2B06EC0-B132-48D6-8EAB-5BE289383EE2}\RP23\A0014201.exe markiert als "not-a-virus:AdWare.Win32.Softomate.aj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Mar 13 16:50:04 2007 => File C:\System Volume Information\_restore{D2B06EC0-B132-48D6-8EAB-5BE289383EE2}\RP23\A0014202.exe markiert als "not-a-virus:AdWare.Win32.Softomate.aj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Mar 13 16:50:04 2007 => File C:\System Volume Information\_restore{D2B06EC0-B132-48D6-8EAB-5BE289383EE2}\RP23\A0014204.dll markiert als "not-a-virus:FraudTool.Win32.SpySheriff.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Mar 13 16:50:04 2007 => File C:\System Volume Information\_restore{D2B06EC0-B132-48D6-8EAB-5BE289383EE2}\RP23\A0014205.dll markiert als "not-a-virus:FraudTool.Win32.SpySheriff.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Mar 13 16:50:04 2007 => File C:\System Volume Information\_restore{D2B06EC0-B132-48D6-8EAB-5BE289383EE2}\RP23\A0014206.dll markiert als "not-a-virus:FraudTool.Win32.SpySheriff.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Mar 13 16:50:04 2007 => File C:\System Volume Information\_restore{D2B06EC0-B132-48D6-8EAB-5BE289383EE2}\RP23\A0014207.dll markiert als "not-a-virus:FraudTool.Win32.SpySheriff.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Mar 13 16:50:04 2007 => File C:\System Volume Information\_restore{D2B06EC0-B132-48D6-8EAB-5BE289383EE2}\RP23\A0014209.exe markiert als "not-a-virus:AdWare.Win32.RK.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Mar 13 16:50:05 2007 => File C:\System Volume Information\_restore{D2B06EC0-B132-48D6-8EAB-5BE289383EE2}\RP23\A0014210.dll markiert als "not-a-virus:AdWare.Win32.NewDotNet.e". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Mar 13 16:50:24 2007 => File C:\System Volume Information\_restore{D2B06EC0-B132-48D6-8EAB-5BE289383EE2}\RP26\A0015147.exe//UPX markiert als "not-a-virus:AdWare.Win32.Craagle.19". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Mar 13 16:50:25 2007 => File C:\System Volume Information\_restore{D2B06EC0-B132-48D6-8EAB-5BE289383EE2}\RP26\A0015155.exe markiert als "not-a-virus:RiskTool.Win32.Starter.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Mar 13 17:26:45 2007 => File C:\WINDOWS\system32\rlls.dll markiert als "not-a-virus:AdWare.Win32.RK.l". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Tue Mar 13 15:47:39 2007 => Offending file found: C:\WINDOWS\comdlg64.dll
Tue Mar 13 15:47:40 2007 => Offending file found: C:\WINDOWS\system32\winsub.xml
Tue Mar 13 15:47:40 2007 => Offending file found: C:\Dokumente und Einstellungen\Hamza\Anwendungsdaten\install.dat
Tue Mar 13 15:47:46 2007 => Offending file found: C:\WINDOWS\system32\ipv6monl.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Mar 13 17:27:18 2007 => Gefundene Viren: 4093
Tue Mar 13 17:27:18 2007 => Anzahl Fehler: 125
Tue Mar 13 17:27:18 2007 => Dauer des Scans bisher: 01:41:24
Tue Mar 13 17:27:18 2007 => Gescannte Dateien: 61992
Tue Mar 13 15:45:01 2007 => Specherüberprüfung: Aktiviert
Tue Mar 13 15:45:01 2007 => Registry Überprüfung: Aktiviert
Tue Mar 13 15:45:01 2007 => System-Ordner Überprüfung: Aktiviert
Tue Mar 13 15:45:01 2007 => Überprüfung der Systembereiche: Deaktiviert
Tue Mar 13 15:45:01 2007 => Überprüfung der Dienste: Aktiviert
Tue Mar 13 15:45:01 2007 => Überprüfung der Festplatten: Deaktiviert
Tue Mar 13 15:45:01 2007 => Überprüfung aller Festplatten :Aktiviert

Zitat:

Dann scanne folgende Datei auf Virustotal und poste den Bericht mit allen Angaben:

" C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\winsys2f.dll "

Hast du meine Anleitung zum suchen und finden von Dateien befolgt?

Gruss

Undoreal

hallo alle zusammen,

ich habe da ein riesen problem mit der ie.exe im prozess...

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Hallo.

Deaktiviere die Systemwiederherstellung auf allen Laufwerken.
Lade dir diese Tool und lasse es laufen.

Dann poste bitte ein neues HJT log.

mfg

Undoreal

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Hallo,
du hast diesen im System :W32/Bagle-KF - Wurm - Sophos Bedrohungsanalyse

Damit ist eine Neuinstallation angesagt.
Irrlicht