#1 21. Januar 2010 Vorab: Hoffe ich bin hier im richtigen Bereich. Kurze Beschreibung: Seit einer Woche hatte ich schon das Gefühl, dass sich bei mir langsam was einschleicht. Heute hat sich dies als bewahrheitet herausgestellt. Ständig finde ich den Prozess "iexplore.exe" im Taskmanager, neben einigen anderen .exe, die ich nicht kenne. Im übrigen bugt mein FF dadurch alle 2 Minuten und ab und zu werden random-Sounds abgespielt. Wahrscheinlich durch den IE, der jedoch nicht einmal geöffnet ist (Sounds hören sich nach Werbung an). Scheinbar scheint dies für den iexplore.exe zu sprechen, da dieser wohl Werbe-PopUps öffnen soll. Hier der Auszug aus Hijackthis: Spoiler Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:44:53, on 21.01.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\CTHELPER.EXE C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\devldr32.exe C:\Dokumente und Einstellungen\Basti\Desktop\HiJackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\wuauclt.exe C:\PROGRA~1\GEMEIN~1\MICROS~1\Msinfo\OFFPROV.EXE C:\WINDOWS\system32\taskmgr.exe C:\Programme\Internet Explorer\iexplore.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Update Service (gupdate1c9dd84eaeaa4bc) (gupdate1c9dd84eaeaa4bc) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe -- End of file - 4950 bytes Habe auch schon bereits gegoogled/sufu genutzt. Aber wie das so ist, sind viele Antworten in den Foren ungenau und sehr schlecht. Und wenn man etwas findet, scheint die Behandlung nicht gezielt genug oder die Beschreibungen passen nicht mehr auf die Symptome. Also bitte keine Posts wie "Guck doch im Internet nach" etc. da ich ja hier noch eventuell nachfragen kann, wenn ich etwas nicht verstanden habe. Edit: Kann sein, dass ich eventuell einige n00b Fragen stellen muss (z.B, wie starte ich mein System noch mal im abgesicherten Modus?), also nicht an mir verzagen und danke schon mal für's Lesen und hoffentlich antworten! + Multi-Zitat Zitieren
#2 21. Januar 2010 AW: iexplore.exe und eventuell mehr das ist der einzige Fund. Starte nochmal zusätzlich folgendes: malwarebytes-anti-malware.html und Combofix und poste uns die Logs. Da dein PC laut dir auffällig ist, und HJT nichts richtiges gefunden hat, muss man mit anderen Programmen weiter suchen. Evtl. machst du noch einen Onlinescan ohne Antivir von dieser Seite hier: http://virus-protect.org/onlinescan.html Wenn du dann ein richtiges Ergebnis hast, können wir besser nach der Ursache suchen. Gruß R0cka edit:// es gibt dort doch 20 verschiedene Onlinescanner. Wenn KAspersky nicht geht, nimmste Panda oder einen ganz anderen, genügend Auswahl ist da. + Multi-Zitat Zitieren
#3 21. Januar 2010 AW: iexplore.exe und eventuell mehr Das Setup von mbma lässt sich nicht starten (kann AntiVir zB. auch nicht starten. Irgendwas hat sich da wirklich in's System gefressen.) Der DL-Link von Combofix ist scheinbar broke Und Das Leben ist gegen mich. Werde mal neustarten und Internet kappen um zu versuchen, das Setup zum Laufen zu bekommen. Im übrigen stürzt mir angeblich der "google installer" ständig ab Edit: Hat nichts gebracht mit reboot. Zudem wird scheinbar mein FF jedes mal als Standardbrowser ausgetragen. Versuche es jetzt mal im abgesicherten Modus.. + Multi-Zitat Zitieren
#4 21. Januar 2010 AW: iexplore.exe und eventuell mehr http://download.bleepingcomputer.com/sUBs/ComboFix.exe hier der Direktdownloadlink zu Combofix der definitiv geht. Und siehe mein Edit oben bitte. Gruß R0cka + Multi-Zitat Zitieren
#5 21. Januar 2010 AW: iexplore.exe und eventuell mehr Fehler: Server nicht gefunden Edit habe ich gesehen, werd ich ma machen Edit: In der Taskleiste rechts werden mir meine üblichen Symbole wie Soundausgabe nicht mehr angezeigt. Stattdessen nur noch dieses gelbe Schild von Windows, das mir sagt, das neue Updates zur Verfügung stehen. + Multi-Zitat Zitieren
#6 21. Januar 2010 AW: iexplore.exe und eventuell mehr Sry für DP Panda Online Viren Check hat nichts ergeben. Die Setup File lässt sich auch über den abgesicherten Modus nicht öffnen und der Link zu Combofix will nicht gehen. Kann mir jemand die .exe (.exe Dateien kann ich zum Glück noch ausführen) auf xup.in oder so hoch schieben? Edit: zum Hijackthis Protokoll: iexplore.exe Spyware/Trojaner wird nicht erkannt @ Security (Viren, Trojaner, Spam) - tutorials.de: Tutorial, Forum, Anleitung & Hilfe Wühle mich mal weiter durch anderen Foren + Multi-Zitat Zitieren
#7 21. Januar 2010 AW: iexplore.exe und eventuell mehr ein freund von mir hatte das auch. Haben mit security taskamanger die prozesse beendet und dann anti vir gestartet. Falls das bei dir aber nicht so ist nimm doch einfach Knoppicillin findest in der neusten ct + Multi-Zitat Zitieren
#8 21. Januar 2010 AW: iexplore.exe und eventuell mehr Kann iexplore.exe sooft löschen wie ich will, stellt sich immer wieder her. Kann Setups immer noch nicht starten. Anti Vir lief auch schon fleißig.. + Multi-Zitat Zitieren
#9 21. Januar 2010 AW: iexplore.exe und eventuell mehr Versuche es wirklich mal, wie Kleinkind94 gesagt hat, mit einer Live-CD. Knoppicilin z.B. Gibt auch noch andere, du musst das image herunterladen, dann auf ne CD brennen und von der dann booten + Multi-Zitat Zitieren
#10 21. Januar 2010 AW: iexplore.exe und eventuell mehr Ich hab nicht mal Rohline hier. Es muss doch andere Möglichkeiten geben -.- + Multi-Zitat Zitieren
#11 26. Januar 2010 AW: iexplore.exe und eventuell mehr Wenn du ganz einfach die iexplorer.exe löscht hast du zwar nicht das problem behoben, aber die symptome verschwinden. ich hoffe du verwendest Firefox o.a. lg Tgx + Multi-Zitat Zitieren
#12 26. Januar 2010 AW: iexplore.exe und eventuell mehr Wie werde ich einen Virus los in 10 Schritten oder nur in einem. Die einfach Lösung- Private Daten des PC sichern und das Betriebssystem neu installieren. Bringt als einzige Vorgehensweise eine "garantierte" Lösung Dauert so ca. 30 Minuten bis 3 Stunden ... Je nachdem, wie gut du Vorbereitet bist und wie oft du soetwas schon gemacht hast. ODER die 10 Schritte. 1. Feststellen, dass da etwas nicht in Ordnung ist. > das haben wir hier. 2. Die Schadsoftware erkennen > Bislang haben wir hier ein Problem mit der Iexcplore.exe ... ob das alles ist? mit Sicherheit nicht. 3. Die Schadsoftware Identifizieren > wenn man nicht weiß gegen wen man antritt kann man nicht dagegen angehen. 4 + 5 . Die Schadsoftware deaktivieren. Das bedeutet, dass Sie beim Computerstart nicht mehr starten darf. 6 + 7. Die Schadsoftware entfernen. 8. Den Computer durch Updates auf aktuellen Stand bringen, 9. Antivirensoftware ggf. neu installieren. - sofern benötigt. 10. Die Systemlücken > Und daran hapert es meistens > die durch die Schadsoftware geöffnet wurden müssen neu geschlossen werden. Da man bei Punkt 3 Die Schadsoftware identifiziert könnte man theoretisch nachvollziehen was am System geändert wurde. Und diese Änderungen rückgängig machen. Jetzt seien wir mal ehrlich. 1. kaum einer der von der Malware betroffen wird befolgt diese Schritte komplett. 2. jeder der sich länger mit der Materie befasst hat befolgt diese 10 Schritte Anleitung - er geht direkt in den "Neu installieren" Modus 3. Zeitaufwand rechtfertigt Ergebnis nicht. denn für die kompletten 10 Schritte benötigst du weit mehr Zeit als diese 3 Stunden für eine Neuinstallation. + Multi-Zitat Zitieren