Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Probleme mit Internetexplorer (https://www.trojaner-board.de/43940-probleme-internetexplorer.html)

Aney 26.09.2007 15:11
Probleme mit Internetexplorer
 
Hallo,
habe in letzter Zeit große Probleme mit dem internetexplorer, im Task-manager wird mir ständig angezeigt, IEXPLORER.EXE wäre 2 mal geöffnet. Wenn ich eine von beiden schließe öffnet sich sofort ein neuer IEXPLORER.EXE eintrag.
Ab und an öffnen sich dann einfach Fenster (internet explorer) mit werbung. Ich benutze eigentlich ausschließlich den Firefox, brauche den Internetexplorer jedoch noch um zb meine arbeitszeiten online einzusehen (geht nur mit iexplorer).
Vll kennt jemand das Problem und kann mir weiterhelfe, wäre sehr dankbar.

Ich Poste mal nen Hijack Bericht:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Steam\Steam.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Instafinder\instafinder.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsft Security Monitor Process] mssmpp.exe
O4 - HKLM\..\Run: [Windows Config System] config.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Instafinder] C:\Programme\Instafinder\instafinder.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NetPumper] "C:\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [find trust seek mail] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Defy Memo Find Trust\Math Real.exe
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] mssmpp.exe
O4 - HKLM\..\RunServices: [Windows Config System] config.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Steam] "c:\steam\steam.exe" -silent
O4 - HKCU\..\Run: [AnyDVD] C:\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [blahdefault] C:\DOKUME~1\sibbi\ANWEND~1\IDLEOB~1\hope rdr bib.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Wireless Configuration Utility HW.61.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless CardBus & PCI Adapter HW.61 V.1.10\WlanCU.exe
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: Download with NetPumper - C:\NetPumper\AddUrl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O15 - Trusted Zone: http://*.shoutcast.com
O15 - Trusted Zone: www.winamp.com
O15 - Trusted Zone: http://www.winamp.com
O15 - Trusted Zone: http://*.winamp.com
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)

nochdigger 26.09.2007 17:49
Hallo

es sieht ziemlich düster aus mit deinem System, da ist einiges im argen.

Mach bitte alle versteckten Dateien und Ordner sichtbar und lass dann diese Dateien :

mssmpp.exe <-- bitte suchen
config.exe <-- bitte suchen
C:\WINDOWS\System32\wdfmgr.exe <-- wenn vorhanden

hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 33 AntiVirus Engine, Last Update(070917)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Aney 27.09.2007 21:46
Schonmal Danke für die Hilfe.

MSSMPP (131 KB) spuckt folgende Daten aus (ich kann damit absoulut nichts anfangen)
MD5: 044bfda21be6cb1f85f4bccc8e59c2e2
SHA1: f37146f2ceaff5c939a671932c2c1afc45ed430d


AhnLab-V3 2007.9.28.0 2007.09.27 Win32/IRCBot.worm.variant

AntiVir 7.6.0.15 2007.09.27 Worm/Rbot.134144.21

Authentium 4.93.8 2007.09.27 Possibly a new variant of
W32/Internet-Trojan-patched-based!Maximus

Avast 4.7.1043.0 2007.09.26 Win32:Rbot-DFQ

AVG 7.5.0.488 2007.09.27 IRC/BackDoor.SdBot2.RIT

BitDefender 7.2 2007.09.27 Backdoor.Rbot.QG

CAT-QuickHeal 9.00 2007.09.27 Backdoor.Rbot.gen

ClamAV 0.91.2 2007.09.27 Trojan.SdBot-4693

DrWeb 4.33 2007.09.27 Win32.HLLW.MyBot

eSafe 7.0.15.0 2007.09.23 Win32.Rbot.gen

eTrust-Vet 31.2.5169 2007.09.27 Win32/Rbot.GNZ

Ewido 4.0 2007.09.27 Backdoor.Rbot

FileAdvisor 1 2007.09.27 High threat detected

Fortinet 3.11.0.0 2007.09.27 W32/RBot!tr.bdr

F-Prot 4.3.2.48 2007.09.27

W32/Internet-Trojan-patched-based!Maximus

F-Secure 6.70.13030.0 2007.09.27 Trojan.Win32.Pakes.df

Ikarus T3.1.1.12 2007.09.27 Backdoor.Rbot.QG

Kaspersky 7.0.0.125 2007.09.27 Trojan.Win32.Pakes.df

McAfee 5129 2007.09.27 W32/Sdbot.worm!MS06-040

Microsoft 1.2803 2007.09.27 Backdoor:Win32/Rbot!D00C

NOD32v2 2554 2007.09.26 Win32/Rbot

Norman 5.80.02 2007.09.27 W32/Spybot.BGHR

Panda 9.0.0.4 2007.09.27 Bck/Iroffer.BW

Prevx1 V2 2007.09.27 -
Rising 19.42.32.00 2007.09.27 Backdoor.Mybot.gec

Sophos 4.21.0 2007.09.27 Mal/Packer

Sunbelt 2.2.907.0 2007.09.26 Backdoor.Win32.IRCBot.bl

Symantec 10 2007.09.27 W32.Spybot.Worm

TheHacker 6.2.6.072 2007.09.27 Backdoor/Rbot.gen

VBA32 3.12.2.4 2007.09.26 Win32.HLLW.MyBot

VirusBuster 4.3.26:9 2007.09.27 Worm.Rbot.MCH

Webwasher-Gateway 6.0.1 2007.09.27 Worm.Rbot.134144.21


config.exe(68KB) Zeigt folgendes an (scheint ok zu sein):
MD5: 8c04dfec2438cf43d575b2b03f23e24a
SHA1: 739b0f9afb2e1a79d726b762a4a6a26402b8594f

AhnLab-V3 2007.9.28.0 2007.09.27 -
AntiVir 7.6.0.15 2007.09.27 -
Authentium 4.93.8 2007.09.27 -
Avast 4.7.1043.0 2007.09.26 -
AVG 7.5.0.488 2007.09.27 -
BitDefender 7.2 2007.09.27 -
CAT-QuickHeal 9.00 2007.09.27 -
ClamAV 0.91.2 2007.09.27 -
DrWeb 4.33 2007.09.27 -
eSafe 7.0.15.0 2007.09.23 -
eTrust-Vet 31.2.5169 2007.09.27 -
Ewido 4.0 2007.09.27 -
FileAdvisor 1 2007.09.27 -
Fortinet 3.11.0.0 2007.09.27 -
F-Prot 4.3.2.48 2007.09.27 -
F-Secure 6.70.13030.0 2007.09.27 -
Ikarus T3.1.1.12 2007.09.27 -
Kaspersky 7.0.0.125 2007.09.27 -
McAfee 5129 2007.09.27 -
Microsoft 1.2803 2007.09.27 -
NOD32v2 2554 2007.09.26 -
Norman 5.80.02 2007.09.27 -
Panda 9.0.0.4 2007.09.27 -
Prevx1 V2 2007.09.27 -
Rising 19.42.32.00 2007.09.27 -
Sophos 4.21.0 2007.09.27 -
Sunbelt 2.2.907.0 2007.09.26 -
Symantec 10 2007.09.27 -
TheHacker 6.2.6.072 2007.09.27 -
VBA32 3.12.2.4 2007.09.26 -
VirusBuster 4.3.26:9 2007.09.27 -
Webwasher-Gateway 6.0.1 2007.09.27 -

Und bei wdfmgr(38KB) folgendes (scheint auch ok zu sein) :
MD5: ab0a7ca90d9e3d6a193905dc1715ded0
SHA1: 681ba7f162bf3799a49996529b587c9fa4b34247

AhnLab-V3 2007.9.28.0 2007.09.27 -
AntiVir 7.6.0.15 2007.09.27 -
Authentium 4.93.8 2007.09.27 -
Avast 4.7.1043.0 2007.09.26 -
AVG 7.5.0.488 2007.09.27 -
BitDefender 7.2 2007.09.27 -
CAT-QuickHeal 9.00 2007.09.27 -
ClamAV 0.91.2 2007.09.27 -
DrWeb 4.33 2007.09.27 -
eSafe 7.0.15.0 2007.09.23 -
eTrust-Vet 31.2.5169 2007.09.27 -
Ewido 4.0 2007.09.27 -
FileAdvisor 1 2007.09.27 -
Fortinet 3.11.0.0 2007.09.27 -
F-Prot 4.3.2.48 2007.09.27 -
F-Secure 6.70.13030.0 2007.09.27 -
Ikarus T3.1.1.12 2007.09.27 -
Kaspersky 7.0.0.125 2007.09.27 -
McAfee 5129 2007.09.27 -
Microsoft 1.2803 2007.09.27 -
NOD32v2 2554 2007.09.26 -
Norman 5.80.02 2007.09.27 -
Panda 9.0.0.4 2007.09.27 -
Prevx1 V2 2007.09.27 -
Rising 19.42.32.00 2007.09.27 -
Sophos 4.21.0 2007.09.27 -
Sunbelt 2.2.907.0 2007.09.26 -
Symantec 10 2007.09.27 -
TheHacker 6.2.6.072 2007.09.27 -
VBA32 3.12.2.4 2007.09.26 -
VirusBuster 4.3.26:9 2007.09.27 -
Webwasher-Gateway 6.0.1 2007.09.27 -


Ich hoffe diese Angaben helfen dir mir zu helfen :)
Oder ist nichts mehr zu retten und ich sollte besser komplett formatieren?

Gruß
Aney

nochdigger 28.09.2007 05:22
Hallo

Zitat:
Ich hoffe diese Angaben helfen dir mir zu helfen
Ja, bei diesem Fund
Zitat:
Worm/Rbot.134144.21
gibt es leider nur eine sichere art den Rechner wieder vertrauenswürdig wiederherzustellen,
Zitat:
Oder ist nichts mehr zu retten und ich sollte besser komplett formatieren?
und leider wieder ein Ja, folge dieser Anleitung zum Neuaufsetzen des Systems und anschliessende Absicherung!
Ändere nach der Neuinstallation alle deine Pass/Kennwörter.

MFG


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:11 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131