iexplorer dauerhaft an

Dieses Thema im Forum "Windows" wurde erstellt von Thor, 24. Mai 2006 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 24. Mai 2006
    Hi @all

    Ich hab da ein riessen Problem.
    Und zwar ist bei mir im Taskmanager der iexplorer immer offen obwohl ich den gar nicht benutze.
    Wenn ich den Prozess beende kommt er nach kurzer Zeit (paar sekunden) wieder.
    Manchmal is er auch 2mal offen.
    Hab den iexplorer auch schon deinstalliert. Registry gesäubert. Virendingsbums laufen lassen, gegoogelt, doch ohne Erfolg.
    Er will einfach nicht verschwinden. ?(

    Mir wärs ja auch ziemlich egal wenn der da drin is, ABER manchmal braucht der 100MB Speicher.
    Für was frag ich mich da?

    Ich wäre um jede hilfe dankbar. vlt. habe ich mir irgendein Trojaner eingefangen o.ä.

    Mfg Thor

    EDIT:///

    Sorry wegen dem Bedankomat. Kann des irgendwie nichtmehr ändern ?(
     
  2. 24. Mai 2006
    das ist der bifrost trojaner der sich in die iexplorer einschweist
     
  3. 24. Mai 2006
    Ja wie? Echt jetzt?

    Also mein Scanner erkennt da nix. Wie bekomm ich den runter von meinem Rechner?
     
  4. 24. Mai 2006
    naja.. wenn du wirklich nen trojana hast und dein virenprogramm den net findet.. musste ihn entweder versuchen selbst zu finden und dann zu töten oder den rechner formatieren...

    es kann aba auch einfach ein system fehler sein.. dann musst du beim nächsten mal anstatt "prozess beenden" .. "prozess struktur beenden machen" und dann hält ders maul..
     
  5. 24. Mai 2006
    vieleicht postes du mal ein HJT logfile!!

    Anleitung
    Download <-- nur auf "direktdownload" klicken!

    Mfg Nanuk
     
  6. 24. Mai 2006
    Ha jo hier:

    http://rapidshare.de/files/21251379/hijackthis.log.html

    edit by silent.felix:

    Code:
    Logfile of HijackThis v1.99.1
    Scan saved at 12:28:14, on 24.05.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\rundll32.exe
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
    c:\progra~1\intern~1\iexplore.exe
    C:\Programme\FRITZ!DSL\StCenter.exe
    C:\Programme\FRITZ!DSL\FwebProt.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\FRITZ!DSL\IGDCTRL.EXE
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Skype\Phone\Skype.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\DOKUME~1\Admin\LOKALE~1\Temp\Rar$EX00.641\HijackThis.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.avm.de/fritz_box_fon_5050_firmware/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_22.dll
    O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
    O2 - BHO: (no name) - {DE8B397A-BEE9-85FE-DD08-83D2CE1A8CD3} - (no file)
    O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
    O4 - HKLM\..\Run: [TRIXX] "C:\Programme\TRIXX\TRIXX.exe" -s
    O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Programme\AGEIA Technologies\TrayIcon.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKLM\..\Run: [webHancer Agent] "C:\Program Files\webHancer\Programs\whAgent.exe"
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [64 KNOB] C:\DOKUME~1\Admin\ANWEND~1\Mp3 dog\manager shim.exe
    O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
    O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
    O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
    O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
    O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
    O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
    O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O10 - Hijacked Internet access by New.Net
    O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
    O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
    O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
    O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
    O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
    O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
    O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/webmasterexe/drsmartload464a.exe
    O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c2.cab
    O16 - DPF: {A1426AC5-8CE5-4A00-B71E-011D35709AC6} - http://advnt01.com/dialer/int_ver34.CAB
    O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
    O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    
    

    EDIT:///

    Thanxs silentfelix
     
  7. 24. Mai 2006
    Zuletzt von einem Moderator bearbeitet: 13. April 2017
    k, also, das kann schon ein wenig dauern.

    du hast webhancer und newdotnet
    leider kann ich nicht sagen, welche version von newdotnet.

    beides sind spyware programme, die versuchen über den ie ins internet zu gelangen.

    webhancer kann man normalerweise über start systemsteuerung software deinstallieren.

    danach muss jedoch die registry bereinigt werden, und ein paar zusätzliche dateien manuell entfernt werden.

    newdotnet is jedoch problematischer.


    erstmal die kurzauswertung zu deiner log
    Code:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : - Eventuell Böse
    O2 - BHO: URLLink - {4a2aaCF3-aDF6-11D5-98a9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_22.dll - Böse
    
    O2 - BHO: (no name) - {DE8B397a-BEE9-85FE-DD08-83D2CE1a8CD3} - (no file) - Unbekannt
    O4 - HKLM\..\Run: [TRIXX] "C:\Programme\TRIXX\TRIXX.exe" -s - Unbekannt
    O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRa~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s - Böse
    
    O4 - HKLM\..\Run: [aGEIa PhysX SysTray] C:\Programme\aGEIa Technologies\TrayIcon.exe - Unbekannt
    O4 - HKLM\..\Run: [webHancer agent] "C:\Program Files\webHancer\Programs\whagent.exe" - Böse
    
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8a56B10aa}] "C:\Programme\Gemeinsame Dateien\ahead\lib\NMBgMonitor.exe" - Unbekannt
    O4 - HKCU\..\Run: [64 KNOB] C:\DOKUME~1\admin\aNWEND~1\Mp3 dog\manager shim.exe - Unbekannt
    O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe - Unbekannt
    O10 - Hijacked Internet access by New.Net - Böse
    
    O16 - DPF: {42F2C9Ba-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/webmasterexe/drsmartload464a.exe - Böse
    
    O16 - DPF: {8FCDF9D9-a28B-480F-8C3D-581F119a8aB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c2.cab - Eventuell Böse
    
    O16 - DPF: {a1426aC5-8CE5-4a00-B71E-011D35709aC6} - http://advnt01.com/dialer/int_ver34.CaB - Böse
    
    am ende werd ich dich bitten, erneut ein hjt log zu machen, indem KEINER der hier aufgeführten Einträge mehr sein darf.

    dann befolge jetzt diese anleitung schritt für schritt

    vorbereitungen, folgende sachen downloaden, und ggf updaten.
    Download CCleaner
    escan anleitung


    1. deaktiviere die systemwiederherstellung in windows. und starte im abgesicherten modus

    2. deinstalliere über start systemsteuerung software den eintrag zu webhancer. deinstalliere auch weitere dir unbekannte dort aufgeführte programme.

    3. Download CCleaner
    Lösche mit dem CCleaner deine Temporären Dateien

    4. escan anleitung Bearbeite das Logfile (mwav.log) vom escan . indem du die mwav.log mit einem Texteditor öffnest, und jede Zeile/Eintrag die das wort "infected" enthällt in deiner nächsten antwort wiedergibts.

    5-7. http://board.protecus.de/t9373.htm, die schritte mit adware und spybot machen.

    8. poste noch die ergebnisse eines onlinvirenscan von panda und pestpatrol.
    http://www.securityinfo.ch/pestscan.html
    und
    http://www.pandasoftware.com/activescan/com/activescan_principal.htm

    dann sehen wir weiter.

    alternativ kannst du natürlich auch deine festplatte formatieren und windows neu installieren.

    mfg spotting
     
  8. 24. Mai 2006
    selbst microsoft weiß das wenn man einmal einen virus hat man nocht mehr hinterherkommt die damit
    verbundenen backdoors zu löschen, also spiele ein backup auf oder setze dein system neu auf.

    hier der technet link: http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx
     
  9. 24. Mai 2006
    Bei mir was das auch vor nicht all zu langer zeit ich hab einfach mit dem prozessExplorer geschaut was passiert wenn ich die iexploerer schließe -> es haben sich dann zwei programe geöfftet und von denen hab ich mir die ornder gemerkt, abgesicherter modus (oder auch in dos) hab ich dann die kagge gelöscht und dann war der scheiß weg :]

    die iexplorer exe kan man ja dann wieder irgendwo ausm inet holen
     
  10. 24. Mai 2006
    lol,,, den link hat er doch bestimmt von mir ...

    stimmt, was du da sagst, aber trotzdem, wer ist denn schon bereit sein windows neu aufzusetzen, oder ein backup einzuspielen, ohne zumindest vorher es probiert zu haben sein system zu retten.
    was auch oftmals möglich ist.

    naja, hier noch ein paar weitere links, die interessant sein könnten

    [1] CCC Vorträge vortraege/pfw/
    [2] www.ntsvcfg.de
    [6] microsoft.com Offizielle Stellungnahme von Windows. Inhaltlich Identisch mit den Forderungen von http://www.ntsvcfg.de
    [7] www.heise.de -- 43763 Sicherheitsloch in Outpost Firewall ... als Beispiel, davon gibt es noch viele mehr bei Heise.de zu anderen Firewalls !!!
    [8] www.dingens.org/ Wie ntsvcfg.de nur das script mit Gui, und ohne ein paar der Funktionen
    [9] ulm.ccc.de - windows-security allgemeiner Vortrag zu Sicherheit unter Windows
     
  11. 25. Mai 2006
    hi
    du solltest dir keine sorgen machen der prozess is eigentlich imma an!
    icq z.b. nutz ihn

    cu
     
  12. 25. Mai 2006
    oO Die Aussage macht mir Angst...

    Auf jeden Fall mit genannten Mitteln das Probelm beheben.. Das is nen Scheunentor der Prozess..

    greetz
     
  13. 25. Mai 2006
    Du hast das was ich auch hatte.

    Nimm Spysweeper und lass drüberlaufen, dann starteste neu, deinstalliert spysweeper und dann starteste nochmal neu.
    Dann sollts funtkinoiern!
     
  14. 25. Mai 2006
    Also, erstmal möchte ich für die mühe bedanken. Find ich echt spitze das ich so schnell Feedback bekommen habe!

    Nun hab ichs irgendwie geschafft das des besch(piep) Ding weg is. NUR is jetzt mein Rechner 5mal Langsamer beim Hoch-und Runterfahren.

    Werd mich aber erst wieder am Wochenende drum kümmern. (Hoffentlich bleibt er bis dato Rein).

    Grosses DANKE noch an spotting. Hast mir sehr sehr sehr sehr geholfen. (10er is raus)

    P.S. werde in den nächsten Tagen mal meine Ergebnisse posten

    Bis denne

    Mfg Thor
     
  15. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.