Trojaner-Board - IExplorer Prozesse schliessen sich nicht im Tm.

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - IExplorer Prozesse schliessen sich nicht im Tm. (https://www.trojaner-board.de/43111-iexplorer-prozesse-schliessen-tm.html)

IExplorer Prozesse schliessen sich nicht im Tm.

Hallo, ich hab gestern bemerkt das bei mir im TaskManager der IExplorer 2 mal Aufgelistet ist und sich nicht schliessen lässt. Ich habe zwar bis jetzt nicht das gefühl das ich irgendwie was einbüßen muss, von der Leistung her, aber es stört mich trotzdem. Wisst ihr vllt was ich da machen könnte?

Hier ist mal mein HiJack log vllt. hilft der weiter.

Logfile of HijackThis v1.99.1
Scan saved at 13:15:36, on 06.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\DOKUME~1\***\LOKALE~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\ICQ6\ICQ.exe
D:\Programme\Winamp\winamp.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.icq.com/start
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Programme\Freecorder\tbFree.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Programme\Freecorder\tbFree.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Programme\Freecorder\tbFree.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [oozebalm] C:\DOKUME~1\***\ANWEND~1\SURFSE~1\senduserextra.exe
O4 - Startup: Warkeys Update.lnk = D:\Programme\Warkeys\update\Warkeys Update.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{F87415BD-929B-4C0F-9D62-781037F5AD7A}: NameServer = 217.237.150.51 217.237.148.22
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

Danke schon ein mal für jeden nützlichen Beitrag!

Zitat:

O4 - HKCU\..\Run: [oozebalm] C:\DOKUME~1\***\ANWEND~1\SURFSE~1\senduserextra.exe
O4 - Startup: Warkeys Update.lnk = D:\Programme\Warkeys\update\Warkeys Update.exe

Hier sitzen zwei Zecken.. ;)
Werte mal die oben fettgedruckten Dateien bei Virustotal aus und poste die Ergbnisse.

So hab die beiden ausgewertet, nur wie poste ich die so rein das wie eine Tabelle da steht? Sonst wirds ja keiner lesen ^^

Egal ich post es jetzt so rein ^^

Für die Datei: Senduserextra.exe

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.5.0 2007.09.06 -
AntiVir 7.6.0.5 2007.09.06 TR/Obfuscated.EN.210
Authentium 4.93.8 2007.09.06 -
Avast 4.7.1029.0 2007.09.06 Win32:Obfuscated-BPS
AVG 7.5.0.485 2007.09.06 Generic6.OLL
BitDefender 7.2 2007.09.06 Trojan.FatObfus.2.Gen
CAT-QuickHeal 9.00 2007.09.06 -
ClamAV 0.91.2 2007.09.06 -
DrWeb 4.33 2007.09.06 Trojan.Packed.149
eSafe 7.0.15.0 2007.09.04 Win32.Obfuscated.en
eTrust-Vet 31.1.5114 2007.09.06 Win32/Swizzor.RO
Ewido 4.0 2007.09.06 -
FileAdvisor 1 2007.09.06 -
Fortinet 3.11.0.0 2007.09.06 W32/Obfuscated.EN!tr
F-Prot 4.3.2.48 2007.09.06 -
F-Secure 6.70.13030.0 2007.09.06 Trojan.Win32.Obfuscated.en
Ikarus T3.1.1.12 2007.09.06 Trojan.Win32.Obfuscated.en
Kaspersky 4.0.2.24 2007.09.06 Trojan.Win32.Obfuscated.en
McAfee 5114 2007.09.06 -
Microsoft 1.2803 2007.09.06 Trojan:Win32/C2Lop.C
NOD32v2 2510 2007.09.06 -
Norman 5.80.02 2007.09.06 -
Panda 9.0.0.4 2007.09.06 Adware/SystemDoctor
Prevx1 V2 2007.09.06 -
Rising 19.39.32.00 2007.09.06 Trojan.Win32.Obfuscated.en
Sophos 4.21.0 2007.09.06 Troj/KillAV-EA
Sunbelt 2.2.907.0 2007.09.06 VIPRE.Suspicious
Symantec 10 2007.09.06 WinZix
TheHacker 6.1.9.179 2007.09.06 Trojan/Obfuscated.en
VBA32 3.12.2.4 2007.09.06 MalwareScope.Trojan-Downloader.Obfuscated.2
VirusBuster 4.3.26:9 2007.09.06 -
Webwasher-Gateway 6.0.1 2007.09.06 Trojan.Obfuscated.EN.210

weitere Informationen
File size: 528896 bytes
MD5: a8089da17a0d5ceb31a1e69571e3c003
SHA1: 7087de6b3ffdbe93c068b1c4538cf98aff760f97
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Für die Datei: Warkeys Update.exe :

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.5.0 2007.09.06 -
AntiVir 7.6.0.5 2007.09.06 -
Authentium 4.93.8 2007.09.06 -
Avast 4.7.1029.0 2007.09.06 -
AVG 7.5.0.485 2007.09.06 -
BitDefender 7.2 2007.09.06 -
CAT-QuickHeal 9.00 2007.09.06 -
ClamAV 0.91.2 2007.09.06 -
DrWeb 4.33 2007.09.06 -
eSafe 7.0.15.0 2007.09.04 suspicious Trojan/Worm
eTrust-Vet 31.1.5114 2007.09.06 -
Ewido 4.0 2007.09.06 -
FileAdvisor 1 2007.09.06 -
Fortinet 3.11.0.0 2007.09.06 -
F-Prot 4.3.2.48 2007.09.06 -
F-Secure 6.70.13030.0 2007.09.06 -
Ikarus T3.1.1.12 2007.09.06 -
Kaspersky 4.0.2.24 2007.09.06 -
McAfee 5114 2007.09.06 -
Microsoft 1.2803 2007.09.06 -
NOD32v2 2510 2007.09.06 -
Norman 5.80.02 2007.09.06 -
Panda 9.0.0.4 2007.09.06 -
Prevx1 V2 2007.09.06 -
Rising 19.39.32.00 2007.09.06 -
Sophos 4.21.0 2007.09.06 -
Sunbelt 2.2.907.0 2007.09.06 -
Symantec 10 2007.09.06 -
TheHacker 6.1.9.179 2007.09.06 -
VBA32 3.12.2.4 2007.09.06 -
VirusBuster 4.3.26:9 2007.09.06 -
Webwasher-Gateway 6.0.1 2007.09.06 -
weitere Informationen
File size: 225411 bytes
MD5: d88bc8755f1988e750b87e897e24f51a
SHA1: df2e2f3b74e40cdda85d8eb99dbac0d65754fd57
packers: UPX
packers: UPX
packers: UPX

Wobei ich sagen muss das Warkeys, ein Programm ist welches ich bei Warcraft 3 benutze.

Zitat:

Zitat von Apocalypto (Beitrag 292074)

So hab die beiden ausgewertet, nur wie poste ich die so rein das wie eine Tabelle da steht? Sonst wirds ja keiner lesen ^^

Doch werden wir ;)

Das freut mich :aplaus:

Edit: Em was soll ich denn jetzt machen? Einfach löschen oder wie beseitige ich diese Probleme?

Hallo nochmal,

Warkeys dürfte ein legitimes Programm sein oder? Sagt dir das hier was?

Speicher dir bitte mal dieses CMD-Script auf dem Desktop ab und klick es danach doppelt an.
Es löscht zuerst alle Tempdateien und Cookies und listet alle Dateien und Ordner auf. Zum Ende öffnet sich automatisch der Editor - versuch mal den gesamten Inhalt hier als CODE (erste Schaltflächte rechts neben der Zitatfunktion) zu posten.

Führe auch bitte mal ein Check mit eScan durch, folge dem Link in meiner Signatur.

Es geht net mit dem code und ohne ist es zu lang ^^. Was jetzt?

Ähm, okay, es sollte auch reichen, wenn du nur die Dateien der letzten 30 Tage postest.

h**p://w*w.webfilehost.com/?mode=viewupload&id=5717938

Also ich habs mal geupt, weil anderest hab ichs nicht hinbekommen, sry.
Wäre sehr nett, wenn du dir die Arbeit machst und es anschaust.

Schau mal in den Ordner

Zitat:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Admin Inter 1 Mags

ob sich dort verdächtige Dateien drin befinden und werte sie ggf. bei Virustotal aus.

Zitat:

C:\Programme\Save

Stammt wohl von Spy-/Adware "saveNow", probier diese über Systemsteuerung, Software zu deinstallieren.

Zitat:

C:\windows\tasks\A96F938A90340C62.job

Dieser scheduled task kommt mir verdächtig vor - überprüf das mal und lösch ggf. diese Datei.

Mach bitte noch den eScan und poste außerdem ein Logfile mit Silentrunners.

Ich danke dir Cosinus, habe paar Sachen Deinstalliert die verdächtig waren und jetzt ist mein Problem weg ;). Müsste mehr so Leute wie dich geben!

VIELEN DANK :aplaus:

Ok super :)
Auch wenn das Problem behoben ist, mach doch bitte noch den Check mit eScan, ob wir nicht was übersehen haben. Das ist zwar auch keine 100%ige Garantie aber besser als nichts.

Ja, werde ich mehr dir zu Liebe tun, aber erst morgen :). Bin tot müde. Danke nochmal!