|
Codeeinschleusung Explorer.exe *Hilfe* Hallo, vor einigen Tagen hatte ich den Vorfall, dass meine KerioPersonalFirewall während des Surfens mit dem IE 6 einen "Eindringversuch blockiert" vom Typ "Codeeinschleusung" meldete. Diese Blockierung verhindert nun die komplette Nutzung von IE 6 (d.h., dass mein Status auf "offline" ist), sowohl ich auch Probleme bei der Nutzung von ICQ habe. Denn für ICQ muss ich die Firewall nun kurz ausschalten, damit die pers. Einstellungen geladen werden können. Beim Firefox habe ich absolut keine Probleme mit der explorer.exe, das heisst ich kann weiterhin online sein. Jedoch kommt nach 1-2 min. immer wieder die Meldung dieses Eindringversuches, was nicht zuletzt ziemlich nervend ist. Hier die Details der Firewall: Technische Details für den Eindringversuch: Injektoranwendung: C:\WINDOWS\Explorer.EXE Beschreibung: Windows Explorer Dateiversion: 6.00.2600.0000 (xpclient.010817-1148) Produktname: Betriebssystem Microsoft® Windows® Produktversion: 6.00.2600.0000 Erstellt: 2001/8/18, 12:00:00 Geändert: 2001/8/18, 12:00:00 Zugegriffen: 2006/11/5, 10:12:55 Zielanwendung: C:\Programme\ICQ\Icq.exe Beschreibung: ICQ Dateiversion: 5,5,6,3916 Produktname: ICQ Produktversion: 2003b Erstellt: 2006/10/10, 22:29:10 Geändert: 2003/10/14, 17:03:50 Zugegriffen: 2006/11/5, 10:24:36 Adresse der Injektion: 0x00D214E3 - Hier z.B. ist es Icq. Hijack: Logfile of HijackThis v1.99.1 Scan saved at 12:34:28, on 05.11.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\WINDOWS\System32\msasvc.exe C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Programme\ICQ\Icq.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\******\Eigene Dateien\Downloads\hijackthis_199\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe Also kann jemand von euch mir helfen, was das ist und wie ich es wegmachen kann ? Vielen Dank im Vorraus, grüße Classic |
@classic.me Zitat:
Zitat:
Säuberung: http://www.trojaner-board.de/12154-a...sicherung.html |
Wenn ich dieses msasvc mit killbox lösche, besteht dann weiterhin diese backdoor, oder kann es nur sein, dass durch die bestandende backdoor schon dateien verändert wurden ?! was hab ich mir da bloß eingefangen.... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:09 Uhr. |
Copyright ©2000-2025, Trojaner-Board