|
Nicht zu beendende iexplorer.exe Hi Leute! Ich hoffe hier kann mir jemand helfen, bin nämlich mit meinem Wissen, das Viren etc. betrifft nicht sehr groß ist, am Ende! Zunächst einmal habe ich vor nicht einmal einer Stunde ein Update für den MSN-messsenger geladen und installiert, woraufhin mein AntiVir mir 6 Trojanerwarnungen schickte. Ich bearbeitete alle wie immer, mit löschen - wie auch sonst?... Naja jedenfalls ging der Mist dann damit weiter, dass ich ein paar Dateien wie Cassino.exe oder son Müll auf meinen Desktop geladen bekam, meine standart Internetseite (google.de) auf eine nicht vorhandene Adresse wie in etwa kajdfhkjasdhjahskjhasd.bin verändert wurde und der Rechner immer langsamer wurde. Ich dacht mir keine Panik sowas haste schonma gehabt, hab mein Antivir update gestartet, welches sich jedoch sogleich wegen eines Fehlers wieder schloss... Ich also das ANtivir ohne update gestartet, ohne Erfolg... (nach 20 Minuten hing das Teil) Inzwischen habe ich sämtliche Dateien vom MSN-Messenger gelöscht, meinen Internetcache gelöscht und den Papierkorb geleert. Jetzt bin ich gerade auf die beiden Prozesse im Taskmanager gestoßen, beide heißen iexplorer.exe und starten sich sobald ich sie abschieße wieder neu... Für kurze Zeit ändert sich dann der Name der Anwendung in Greybind.exe oder surfhopeoption.exe. Nach beiden Dateien habe ich gesucht und sie gefunden, doch löschen lassen die sich nich so einfach, da die Prozesse ja noch am laufen sind und nicht beendet werden können! Jetzt hab ich wirklich alles versucht was ging, mein Ad-awareprogy stürzt auch immer nach 5 Minuten ab, also hab ich im ÄInternet gesucht und bin prompt auf dieses Forum gestoßen. Hab mir auch gleich dieses Hijackthis geladen und ein Protokoll erstellen lassen. Sieht folgendermaßen aus: [edit] bitte editiere deine links zukünftig, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/showpost.php?p=171957&postcount=1 danke GUA [/edit] |
Hier is noch die Reportdatei vom AntiVir da steht auch der Name vom Trojaner, was wohl hilfreich sein mag! Ich werd auch gleich mal im Internet nach weiterer Hilfe suchen. 21.10.2005,15:08:35 --------------------------------------------------------- 21.10.2005,15:08:35 [INIT] Der AVGuard Service wird gestarted. 21.10.2005,15:08:38 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion! 21.10.2005,15:08:41 [INFO] Start Filter Device. 21.10.2005,15:08:41 [INIT] AntiVirService Version: 6.32.00.06 AVE Version 6.32.0.6 VDF Version: 6.32.0.54 21.10.2005,15:08:41 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet! 21.10.2005,16:43:37 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Swizzor.bo! C:\DOKUME~1\RAZOR\ANWEND~1\SOFTIDLEATOM\SCR OKAY.EXE [INFO] Die Datei wurde gelöscht! 21.10.2005,16:43:47 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Swizzor.bo! C:\DOKUMENTE UND EINSTELLUNGEN\RAZOR\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\M5ITCP4B\UPDBHO2[1].INT [INFO] Die Datei wurde gelöscht! 21.10.2005,16:43:55 [WARNUNG] Ist das Trojanische Pferd TR/Swizzor.GF! C:\DOKUME~1\RAZOR\ANWEND~1\DVDDOW~1\BIKEACIDEXTRABLEH.EXE [INFO] Die Datei wurde gelöscht! 21.10.2005,16:44:00 [WARNUNG] Ist das Trojanische Pferd TR/Swizzor.GF! C:\DOKUMENTE UND EINSTELLUNGEN\RAZOR\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\M5ITCP4B\UPD_ADMN[1].INT [INFO] Die Datei wurde gelöscht! 21.10.2005,16:44:04 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Swizzor.cb! C:\DOKUME~1\RAZOR\ANWEND~1\DVDDOW~1\BOLT FIRST ELSE.EXE [INFO] Die Datei wurde gelöscht! 21.10.2005,16:44:06 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Swizzor.cb! C:\DOKUMENTE UND EINSTELLUNGEN\RAZOR\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\M5ITCP4B\KR2[1].INT 21.10.2005,16:46:30 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt. 21.10.2005,16:46:30 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaf0861d. 21.10.2005,17:37:21 --------------------------------------------------------- 21.10.2005,17:37:21 [INIT] Der AVGuard Service wird gestarted. 21.10.2005,17:37:25 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion! 21.10.2005,17:37:27 [INFO] Start Filter Device. 21.10.2005,17:37:27 [INIT] AntiVirService Version: 6.32.00.06 AVE Version 6.32.0.6 VDF Version: 6.32.0.54 21.10.2005,17:37:27 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet! 21.10.2005,18:30:09 --------------------------------------------------------- 21.10.2005,18:30:09 [INIT] Der AVGuard Service wird gestarted. 21.10.2005,18:30:12 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion! 21.10.2005,18:30:15 [INFO] Start Filter Device. 21.10.2005,18:30:15 [INIT] AntiVirService Version: 6.32.00.06 AVE Version 6.32.0.6 VDF Version: 6.32.0.54 21.10.2005,18:30:15 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet! 21.10.2005,19:01:24 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt. 21.10.2005,19:01:24 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaab7b7d7. |
Zitat:
Logfile of HijackThis v1.99.1 Scan saved at 18:45:16, on 21.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\PC-Zeit\trap.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\iPod\bin\iPodService.exe c:\progra~1\intern~1\iexplore.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\wisptis.exe D:\Programme\Hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.ctvlgzxktdesxecefeoef.com/yYFbZRqvKiMjmYMWcw5n9zeV/aHtWmTlTVSe05jux0znikbSpIcWifVztko78Il2.jpg R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {58C4ED5B-BF92-4326-9409-8F8B11662515} - C:\DOKUME~1\*****\ANWEND~1\SOFTID~1\scr okay.exe (file missing) O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [NetPumper] "C:\NetPumper\NetPumperIEProxy.exe" O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [OyES4fH] C:\WINDOWS\ecwkj.exe O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe O4 - HKLM\..\Run: [liesballaxis4] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\drive junk lies ball\Grid Axis.exe O4 - HKLM\..\Run: [pczeit] "C:\Programme\PC-Zeit\trap.exe" O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe O4 - HKLM\..\Run: [SUPPORTSECTMEALEXTRA] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\blehthissupportsect\Greybind.exe O4 - HKCU\..\Run: [title way] C:\DOKUME~1\razor\ANWEND~1\DVDDOW~1\Surfhopeoption.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O8 - Extra context menu item: Download with NetPumper - C:\NetPumper\AddUrl.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098139004937 O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - h**p://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - h**p://xtraz.icq.com/xtraz/activex/MISBH.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe So ich hoffe ich hab alles editiert was nötig war... Danke nochmal! |
Habe gerade in einem anderen Forum einen Eintrag über diesen Trojaner gefunden. Wenn trotzdem jemand einen Rat für mich hat, nehme ich diesen natürlich trotzdem gerne, ansonsten ist mir jetzt wohl erstmal geholfen. Sollte ich Probleme mit den Anweisungen des anderen Forums haben, melde ich mich wieder. Gruß Razor |
Hi... Ich bekomme kaum bzw. überhaupt keinen Kontakt mehr mit den Internetseiten auf die ich gestern Abend gestoßen bin die mir in Bezug des Trojaners helfen können. Bei dieser Seite kam auch erst die ganze Zeit Pageerror oder sowas nettes... Kann ich irgendwas dagegen tun? ich brauche Kontakt zu dem andern Forum!!! |
Hallo, welches Forum hast du denn bzgl. deines Problems kontaktiert? Ansonsten solltest du dies mal lesen: http://www.trojaner-board.de/showpos...71&postcount=3 |
Ah ok das erklärt natürlich warum ich auf einige Seiten nicht zugreifen konnte... Ich suche momentan immernoch nach Hilfe auf Protecus Security Forum, jedoch scheint da niemand meinen Hilferuf zu beachten... Inzwischen habe ich escan durchlaufen lassen, mit dem Ergebnis von ca 180 total Errors (was auch immer das sein mag) und ca 40 Viren Wie es scheint werd ich auf denen noch ein Weilchen sitzen bleiben.. Gruß Razor |
Nun du hast LOP aufm Rechner. Der ist mit MessengerPlus3 gekommen. Gehe in die Systemsteuerung Software und deinstalliere MessengerPlus3 und Power Scan dabei sollte auch LOP entfernt werden. Wenn Du MessengerPlus3 weiter benutzen willst installiere es erneut aber diesmal ohne "Sponsor" (während der installation wirst Du gefragt.) Starte HijackThis und fixe diese: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.ctvlgzxktdesxecefeoef.com/yYFbZRqvKiMjmYMWcw5n9zeV/aHtWmTlTVSe05jux0znikbSpIcWifVztko78Il2.jpg R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: (no name) - {58C4ED5B-BF92-4326-9409-8F8B11662515} - C:\DOKUME~1\*****\ANWEND~1\SOFTID~1\scr okay.exe (file missing) O4 - HKLM\..\Run: [OyES4fH] C:\WINDOWS\ecwkj.exe O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe O4 - HKLM\..\Run: [liesballaxis4] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\drive junk lies ball\Grid Axis.exe O4 - HKLM\..\Run: [SUPPORTSECTMEALEXTRA] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\blehthissupportsect\Greybind .exe O4 - HKCU\..\Run: [title way] C:\DOKUME~1\razor\ANWEND~1\DVDDOW~1\Surfhopeoption .exe |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:00 Uhr. |
Copyright ©2000-2025, Trojaner-Board