iexplore.exe im hintergrund und office installation?
 

Guten Morgen!

Habe das Problem dass sich sobald ich den Arbeitsplatz öffne im Hintergrund mehrere iexplore.exe öffnen. Das ist schonmal soweit gegangen dass sich über Nacht so viele geöffnet habn dass der cpu heißgelaufen ist. Der computer hat auch schon ohne etwas zu starten Werbesounds abgespielt... ist aber nur 1 mal passiert...
Außerdem startet er ab und zu ohne ersichtlichem Grund das Office Installationsprogramm und will dass ich die cd einlege.
Habe schon versucht mit spybot, tuneup 2007, ccleaner, ad-aware, tweakxp und gdata antivirenkit das Problem zu lösen. Leider ohne Erfolg.
Spybot hat mir (nach dem systemstart) die meldung gebracht dass C:\WINDOWS\system32\xydzyh.exe in der registry was ändern will. Der prozess läuft aber nicht und nach dem löschen nach dem reboot wieder im Verzeichniss.
Ich hoffe ihr könnt mir helfen!


Hier meine hijackthis logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:01:09, on 16.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Daphne\Daphne.exe
C:\WINDOWS\explorer.exe
C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Dokumente und Einstellungen\****\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,rundll32.exe start
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [xydzyh] C:\WINDOWS\system32\xydzyh.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~2\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm
O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} -
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} -
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{22A87F93-B875-450A-9029-4C7D3828F400}: NameServer = 192.168.10.254,192.168.10.1,195.58.161.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{258FD1BC-0545-44ED-A681-5D3BFC5D4D6F}: NameServer = 195.58.161.122,195.58.160.194
O17 - HKLM\System\CS1\Services\Tcpip\..\{22A87F93-B875-450A-9029-4C7D3828F400}: NameServer = 192.168.10.254,192.168.10.1,195.58.161.122
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Indexing Helps (Indexingbox) - Unknown owner - C:\WINDOWS\system\svchest.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Hi und :) Herzlich Willkommen im Trojaner-Board :)

1)Schauen wir erst mal was du alles auf deinem Rechner
laufen hast.
Teatimerdeativierung
Deaktiviere bitte den Teatimer wie folgt :
Starte Spybot S&D --> klicke auf "Modus"
--> hake an "Erweiterte Modus" --> mit "Ja" bestätigen
--> klicke auf "Werkzeuge" --> klicke auf "Resident"
--> das Häkchen entfernen aus der "Resident "TeaTimer"
(Schutz aller Systemeinstellungen) --> beende Spybot S&D.

* Dateien Online Überprüfen
(versteckte Ordner und Dateien anzeigen lassen)
1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
3. Geschützte Systemdateien ausblenden -> Haken weg
4. Inhalte von Systemordnern anzeigen -> Haken setzen
(diese Option ist bei Windows 2000 nicht vorhanden)
5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen
(Dateien online überprüfen)
6. Speicher dir die unten angebenen Dateien auf einen externen Datenträger,
falls du keine Internetverbindung hast.
7. lade die Seite von Virustotal (alternativ Jotti)
8. lade in der dafür vorgesehen Box folgende Datei(en) hoch
9. Warte die Auswertung ab
10. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
(Sollte der Hinweis erscheinen, dass du nur mit der Vollversion
die Funde löschen kannst, breche den Scan NICHT ab)
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
- rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)
- führe die find.bat aus
- das erstellte Log kopierst du ab und postest in deinen nächsten Beitrag
3. Entferne bitte nicht selber von escan alarmierte Funde.
Es sind erfahrungsgemäß viele Fehlalarme dabei

2) Sagt dir diese Umleitung was:
mfg Cleriker

hi!

Teatimer war schon deaktiviert...

Totalvirus log :

xydzyh.exe:

svchest.exe:


escan log :


ja das ist mein internetan bieter ;)


hoffentlich hab ich alles richtig gemacht!

ja Super, so lobe ich mir das. :daumenhoc

* Anleitung Avenger
1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt

* CCleaner
- Lade dir den CCleaner runter
- Ccleaner installieren (die toolbar nicht installieren) und starten
- wähle unter Options --> Settings --> German
- bereinige dein System
- lass auch die fehler in der registry beheben
--> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben

danach bitte ein neues hijackthis + escan + silentrunner
* Silentrunners Logfile
1. Lade dir das Tool -> Silentrunners
2. Entpacke das Script in einen Ordner deiner Wahl
3. Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
4. System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
5. Dann öffne die Silent Runners xxx.txt mit einem Editor
und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(die Datei wird im selben Ordner wie das Tool gespeichert)
Falls das Script eine Fehlermeldung ausgibt:
- starte regedit.exe über Start => Ausführen (oder Windowstaste+R)
- navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
- stell sicher, dass dort die Zeichenfolge "Enabled" ist und den Wert 1 hat

mfg Cleriker

Avanger:

bho.dll hab ich nicht gefunden...

hijackthis:



silentrunners:

escan ist immernoch am suchn... kann sich nur noch um stunden handeln ;)...

logfile bis jetzt :

virusprotokoll von escan: (keine ahnung ob das hilfreich ist)

* HijackThis - Fix Cecked
- Wechsel in den abgesicherten Modus (beim Booten F8 drücken)
- Führe deine Hijackthis.exe - Datei aus
(bestätige die eventuelle Warnung mit "ok")
- Wähle die Option "Do only a System Scan"
- Setze bei folgenden Einträgen links im Kästchen einen Haken
- Scrolle nach unten und klicke auf "Fix checked"
- Neustart in den Normalmodus

Der Rest mit escan kommt dann am Montag. Ich bin im
Weekend. Schönes Wochenende bye

mfg Cleriker

ok dann schonmal vielen dank und schönes wochenende ;)

Morgen,

mit escan am Montag dachte ich eigentlich daran,
dass ich nun deine komplette Auswertung bekomme.
Poste das gesamte find.bat - Protokoll.

mfg Cleriker

hi!

sorry ich musste leider am freitag den scan abbrechn und hatte die tage leider keine zeit für einen neuen...

hier nun die komplette auswertung:

Ich weiß nicht was du damit vor hast. Ich weiß auch nicht
genau, welche Auswirkungen diese Dateien haben, aber
ganz koscher kommen mir die UnrealTournemant-Dateien
nicht vor. Vielleicht kannst du mir da weiter helfen. Ansonsten
ist dein Log sauber. Hast du denn noch die Probleme?

Edit:

Zitat:

Dauer des Scans bisher: 09:39:41

Respekt, so viel Geduld haben die wenigsten.
mfg Cleriker

die datein sind irgend ein backup von meinem bruder... bald wieder gelöscht ;)...

probleme hab ich eigentlich keine mehr aber mir kommts n bisschen komisch vor dass escan 13? viren angezeigt hat... 9 davon hat er gleich am anfang von der c platte gefunden?!

naja wenn ich eh am schlafen bin und danach gleich zur arbeit muss isses mir egal wie lang mein computer braucht ;)...

Sonst is der escan clean,
- Lauter Fehlalarme am Anfang,
- Laufwerk D ist wohl dein CD-ROM /DVD-Rom
- Scanfehler durch passwortgeschützes Nero