![]() |
iexplore.exe im hintergrund und office installation? Guten Morgen! Habe das Problem dass sich sobald ich den Arbeitsplatz öffne im Hintergrund mehrere iexplore.exe öffnen. Das ist schonmal soweit gegangen dass sich über Nacht so viele geöffnet habn dass der cpu heißgelaufen ist. Der computer hat auch schon ohne etwas zu starten Werbesounds abgespielt... ist aber nur 1 mal passiert... Außerdem startet er ab und zu ohne ersichtlichem Grund das Office Installationsprogramm und will dass ich die cd einlege. Habe schon versucht mit spybot, tuneup 2007, ccleaner, ad-aware, tweakxp und gdata antivirenkit das Problem zu lösen. Leider ohne Erfolg. Spybot hat mir (nach dem systemstart) die meldung gebracht dass C:\WINDOWS\system32\xydzyh.exe in der registry was ändern will. Der prozess läuft aber nicht und nach dem löschen nach dem reboot wieder im Verzeichniss. Ich hoffe ihr könnt mir helfen! Hier meine hijackthis logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:01:09, on 16.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Daphne\Daphne.exe C:\WINDOWS\explorer.exe C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe C:\Programme\Winamp\winamp.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Dokumente und Einstellungen\****\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,rundll32.exe start O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [xydzyh] C:\WINDOWS\system32\xydzyh.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~2\WEBFIL~1\System\Scripts\off_collector_sel.htm O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} - O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - O17 - HKLM\System\CCS\Services\Tcpip\..\{22A87F93-B875-450A-9029-4C7D3828F400}: NameServer = 192.168.10.254,192.168.10.1,195.58.161.122 O17 - HKLM\System\CCS\Services\Tcpip\..\{258FD1BC-0545-44ED-A681-5D3BFC5D4D6F}: NameServer = 195.58.161.122,195.58.160.194 O17 - HKLM\System\CS1\Services\Tcpip\..\{22A87F93-B875-450A-9029-4C7D3828F400}: NameServer = 192.168.10.254,192.168.10.1,195.58.161.122 O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Indexing Helps (Indexingbox) - Unknown owner - C:\WINDOWS\system\svchest.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe |
Hi und :) Herzlich Willkommen im Trojaner-Board :) 1)Schauen wir erst mal was du alles auf deinem Rechner laufen hast. Teatimerdeativierung Deaktiviere bitte den Teatimer wie folgt : Starte Spybot S&D --> klicke auf "Modus" --> hake an "Erweiterte Modus" --> mit "Ja" bestätigen --> klicke auf "Werkzeuge" --> klicke auf "Resident" --> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) --> beende Spybot S&D. * Dateien Online Überprüfen (versteckte Ordner und Dateien anzeigen lassen) 1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen: 2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg 3. Geschützte Systemdateien ausblenden -> Haken weg 4. Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden) 5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen (Dateien online überprüfen) 6. Speicher dir die unten angebenen Dateien auf einen externen Datenträger, falls du keine Internetverbindung hast. 7. lade die Seite von Virustotal (alternativ Jotti) 8. lade in der dafür vorgesehen Box folgende Datei(en) hoch Zitat:
10. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein * MWAV (eScan) - Free Antivirus 1. Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan (Sollte der Hinweis erscheinen, dass du nur mit der Vollversion die Funde löschen kannst, breche den Scan NICHT ab) 2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. - rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop) - führe die find.bat aus - das erstellte Log kopierst du ab und postest in deinen nächsten Beitrag 3. Entferne bitte nicht selber von escan alarmierte Funde. Es sind erfahrungsgemäß viele Fehlalarme dabei 2) Sagt dir diese Umleitung was: Zitat:
|
hi! Teatimer war schon deaktiviert... Totalvirus log : xydzyh.exe: Code: Antivirus Version letzte aktualisierung Ergebnis Code: Antivirus Version letzte aktualisierung Ergebnis escan log : Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Zitat:
hoffentlich hab ich alles richtig gemacht! |
Zitat:
* Anleitung Avenger 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
4.) Danach das System unverzüglich neu starten lassen 5.) Poste den Inhalt der C:\avenger.txt * CCleaner - Lade dir den CCleaner runter - Ccleaner installieren (die toolbar nicht installieren) und starten - wähle unter Options --> Settings --> German - bereinige dein System - lass auch die fehler in der registry beheben --> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben danach bitte ein neues hijackthis + escan + silentrunner * Silentrunners Logfile 1. Lade dir das Tool -> Silentrunners 2. Entpacke das Script in einen Ordner deiner Wahl 3. Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen 4. System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt (Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“ erstellen, ignoriere dieses und arbeite weiter!) 5. Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein. (die Datei wird im selben Ordner wie das Tool gespeichert) Falls das Script eine Fehlermeldung ausgibt: - starte regedit.exe über Start => Ausführen (oder Windowstaste+R) - navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings - stell sicher, dass dort die Zeichenfolge "Enabled" ist und den Wert 1 hat mfg Cleriker |
Avanger: Code: Logfile of The Avenger version 1, by Swandog46 hijackthis: Code: Logfile of Trend Micro HijackThis v2.0.2 silentrunners: Code: "Silent Runners.vbs", revision 52, http://www.silentrunners.org/ logfile bis jetzt : Code: m~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Code: Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. |
* HijackThis - Fix Cecked - Wechsel in den abgesicherten Modus (beim Booten F8 drücken) - Führe deine Hijackthis.exe - Datei aus (bestätige die eventuelle Warnung mit "ok") - Wähle die Option "Do only a System Scan" - Setze bei folgenden Einträgen links im Kästchen einen Haken Zitat:
- Neustart in den Normalmodus Der Rest mit escan kommt dann am Montag. Ich bin im Weekend. Schönes Wochenende bye mfg Cleriker |
ok dann schonmal vielen dank und schönes wochenende ;) |
Morgen, Zitat:
dass ich nun deine komplette Auswertung bekomme. Poste das gesamte find.bat - Protokoll. mfg Cleriker |
hi! sorry ich musste leider am freitag den scan abbrechn und hatte die tage leider keine zeit für einen neuen... hier nun die komplette auswertung: Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
Zitat:
genau, welche Auswirkungen diese Dateien haben, aber ganz koscher kommen mir die UnrealTournemant-Dateien nicht vor. Vielleicht kannst du mir da weiter helfen. Ansonsten ist dein Log sauber. Hast du denn noch die Probleme? Edit: Zitat:
mfg Cleriker |
die datein sind irgend ein backup von meinem bruder... bald wieder gelöscht ;)... probleme hab ich eigentlich keine mehr aber mir kommts n bisschen komisch vor dass escan 13? viren angezeigt hat... 9 davon hat er gleich am anfang von der c platte gefunden?! naja wenn ich eh am schlafen bin und danach gleich zur arbeit muss isses mir egal wie lang mein computer braucht ;)... |
Sonst is der escan clean, - Lauter Fehlalarme am Anfang, - Laufwerk D ist wohl dein CD-ROM /DVD-Rom - Scanfehler durch passwortgeschützes Nero |
Alle Zeitangaben in WEZ +1. Es ist jetzt 10:35 Uhr. |
Copyright ©2000-2025, Trojaner-Board