Trojaner-Board - Iexplore.exe startet automatisch und kein sound

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Iexplore.exe startet automatisch und kein sound (https://www.trojaner-board.de/88032-iexplore-exe-startet-automatisch-kein-sound.html)

Iexplore.exe startet automatisch und kein sound

hi also seit einigen tagen startet bei mir iexplore.exe automatisch und lässt sich nicht schließene und mein sound geht auch nich ich habe schon einige scans mit meinem antivir programm gemacht aber der hat nix gefunden ich hab auch schon in google nachgeschaut aber nix gefunden meinen pc hatte ich auch schon formatiert und neu xp drauf gesetzt aber half nix was ich komisch fand ich hoffe ihr könnt mir helfen

hijackthis logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:55:57, on 11.07.2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Lavasoft\Ad-Aware\AAWService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\Programme\Avira\AntiVir Desktop\avshadow.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe

C:\WINDOWS\System32\dllhost.exe

C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe

C:\Programme\Avira\AntiVir Desktop\avwsc.exe

C:\Programme\Internet Explorer\IEXPLORE.EXE

C:\Programme\Mozilla Firefox\firefox.exe

C:\Dokumente und Einstellungen\****\Desktop\HiJackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://dsl-start.computerbild.de/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von COMPUTER BILD

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1278731992811

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
 

--

End of file - 3894 bytes

-----

Bitte den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.

Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Code:

Bootkit Remover version 1.0.0.1

(c) 2009 eSage Lab

www.esagelab.com
 

\\.\C: -> \\.\PhysicalDrive0

MD5: b19ee33a0168d5f0bb9afbe12e2bc035

\\.\E: -> \\.\PhysicalDrive1

MD5: b19ee33a0168d5f0bb9afbe12e2bc035
 

     Size  Device Name          MBR Status

 --------------------------------------------

    76 GB  \\.\PhysicalDrive0   Unknown boot code

   153 GB  \\.\PhysicalDrive1   Unknown boot code
 

Unknown boot code has been found on some of your physical disks.

To inspect the boot code manually, dump the master boot sector:

remover.exe dump <device_name> [output_file]

To disinfect the master boot sector, use the following command:

remover.exe fix <device_name>
 
 

Press any key to quit...

Bitte mal die Konsole starten über Start, Ausführen, cmd eintippen, ok.

Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen:

Code:

remover.exe fix \\.\PhysicalDrive0

Anschließend das auch auf die zweite Platte (e:) anwenden:

Code:

remover.exe fix \\.\PhysicalDrive1

Falls der den Befehl remover.exe nicht findet, die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren!

Vielen dank es hat funktioniert :applaus: iexplore.exe is weg und der sound geht wieder danke :lach:

Ok. :)
Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

ok hier sind sie und nochmal danke für deine hilfe :)

Malwarebytes Logfile:

Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4306
 

Windows 5.1.2600 Service Pack 2

Internet Explorer 8.0.6001.18702
 

12.07.2010 22:52:34

mbam-log-2010-07-12 (22-52-34).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)

Durchsuchte Objekte: 167340

Laufzeit: 37 Minute(n), 15 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

SUPERAntiSpyware Logfile:

Code:

SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 07/12/2010 at 11:43 PM
 

Application Version : 4.40.1002
 

Core Rules Database Version : 5186

Trace Rules Database Version: 2998
 

Scan type       : Complete Scan

Total Scan Time : 00:50:01
 

Memory items scanned      : 411

Memory threats detected   : 0

Registry items scanned    : 4705

Registry threats detected : 0

File items scanned        : 45712

File threats detected     : 46
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\kasim\Cookies\kasim@zanox-affiliate[1].txt

        C:\Dokumente und Einstellungen\kasim\Cookies\kasim@zanox[1].txt

        C:\Dokumente und Einstellungen\kasim\Cookies\kasim@atdmt[1].txt

        cdn5.specificclick.net [ C:\Dokumente und Einstellungen\kasim\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67TTJ5FV ]

        media.mtvnservices.com [ C:\Dokumente und Einstellungen\kasim\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67TTJ5FV ]

        C:\Dokumente und Einstellungen\LocalService\Cookies\system@ad.adition[1].txt

        C:\Dokumente und Einstellungen\LocalService\Cookies\system@ad.yieldmanager[1].txt

        C:\Dokumente und Einstellungen\LocalService\Cookies\system@ad.zanox[1].txt

        C:\Dokumente und Einstellungen\LocalService\Cookies\system@adfarm1.adition[2].txt

        C:\Dokumente und Einstellungen\LocalService\Cookies\system@ads.creative-serving[1].txt

        C:\Dokumente und Einstellungen\LocalService\Cookies\system@adserver.adtechus[1].txt

        C:\Dokumente und Einstellungen\LocalService\Cookies\system@adtechus[1].txt

        C:\Dokumente und Einstellungen\LocalService\Cookies\system@adtech[2].txt

        C:\Dokumente und Einstellungen\LocalService\Cookies\system@collective-media[2].txt

        C:\Dokumente und Einstellungen\LocalService\Cookies\system@content.yieldmanager[2].txt

        C:\Dokumente und Einstellungen\LocalService\Cookies\system@content.yieldmanager[3].txt

        C:\Dokumente und Einstellungen\LocalService\Cookies\system@game-advertising-online[1].txt

        C:\Dokumente und Einstellungen\LocalService\Cookies\system@media6degrees[1].txt

        C:\Dokumente und Einstellungen\LocalService\Cookies\system@revsci[2].txt

        C:\Dokumente und Einstellungen\LocalService\Cookies\system@shop.zanox[2].txt

        C:\Dokumente und Einstellungen\LocalService\Cookies\system@track.effiliation[1].txt

        C:\Dokumente und Einstellungen\LocalService\Cookies\system@track.effiliation[2].txt

        C:\Dokumente und Einstellungen\LocalService\Cookies\system@tracking.quisma[1].txt

        C:\Dokumente und Einstellungen\LocalService\Cookies\system@traffictrack[1].txt

        C:\Dokumente und Einstellungen\LocalService\Cookies\system@webmasterplan[1].txt

        C:\Dokumente und Einstellungen\LocalService\Cookies\system@www.zanox-affiliate[1].txt

        C:\Dokumente und Einstellungen\LocalService\Cookies\system@xm.xtendmedia[1].txt

        C:\Dokumente und Einstellungen\LocalService\Cookies\system@zanox-affiliate[1].txt

        C:\Dokumente und Einstellungen\LocalService\Cookies\system@zanox[1].txt

        C:\Dokumente und Einstellungen\LocalService\Cookies\system@zbox.zanox[2].txt

        C:\Dokumente und Einstellungen\NetworkService\Cookies\system@ad.adition[2].txt

        C:\Dokumente und Einstellungen\NetworkService\Cookies\system@ad.yieldmanager[2].txt

        C:\Dokumente und Einstellungen\NetworkService\Cookies\system@ad.zanox[1].txt

        C:\Dokumente und Einstellungen\NetworkService\Cookies\system@adfarm1.adition[1].txt

        C:\Dokumente und Einstellungen\NetworkService\Cookies\system@ads.creative-serving[1].txt

        C:\Dokumente und Einstellungen\NetworkService\Cookies\system@adserver.adtechus[1].txt

        C:\Dokumente und Einstellungen\NetworkService\Cookies\system@adtechus[1].txt

        C:\Dokumente und Einstellungen\NetworkService\Cookies\system@adtech[2].txt

        C:\Dokumente und Einstellungen\NetworkService\Cookies\system@collective-media[2].txt

        C:\Dokumente und Einstellungen\NetworkService\Cookies\system@content.yieldmanager[2].txt

        C:\Dokumente und Einstellungen\NetworkService\Cookies\system@content.yieldmanager[3].txt

        C:\Dokumente und Einstellungen\NetworkService\Cookies\system@game-advertising-online[1].txt

        C:\Dokumente und Einstellungen\NetworkService\Cookies\system@revsci[1].txt

        C:\Dokumente und Einstellungen\NetworkService\Cookies\system@traffictrack[1].txt

        C:\Dokumente und Einstellungen\NetworkService\Cookies\system@zanox-affiliate[1].txt

        C:\Dokumente und Einstellungen\NetworkService\Cookies\system@zanox[1].txt

iexplore.exe ist nach ein paar stunden wieder da gewesen ich habe ein paar dateien die ich vorm formatieren auf eine externe festplatte getan habe wieder drauf gemacht und war eine stunde im internet hab mich wohl zufrüh gefreut naja ich habe geduld :)

Wie jetzt? Du hast schon in der zwischenzeit formatiert?

nein wie ich schon oben geschrieben habe hatte ich versucht den pc zu formatieren um iexplore.exe wegzubekommen da hatte ich noch einige dateien auf eine externe platte verschoben ich habe sie gestern wieder drauf gemacht als ich meine platte wieder bekam

Hast Du Programme von der extplatte rüberkopiert und gestartet oder direkt gestartet?
Oder hast Du die Platte nur angesteckt und reine Daten rüberkopiert?

ich habe eig direkt gestartet und ich habe keine programme drauf gehabt sondern nur videos und bilder sonst nix ich hatte nach dem ich alles drauf hatte das mit dem remover.exe nochmal gemacht seitdem habe ich iexplore.exe nicht mehr gesehen sound läuft ohne probleme und mein pc läuft als ob er neu wäre :)

Steck aber Deine ext. Platte bitte nochmal an und führe den Flash Disinfector aus. => Flash Disinfector – free autorun.inf trojans removal tool | My Anti Spyware

ah die ext habe ich garnicht mehr die gehört meinem bruder die is weg ich hatte sie mir nur ausgeliehen ist das noch wichtig oder muss ich noch irgendwas machen? :)