#1 24. Mai 2006 Hi @all Ich hab da ein riessen Problem. Und zwar ist bei mir im Taskmanager der iexplorer immer offen obwohl ich den gar nicht benutze. Wenn ich den Prozess beende kommt er nach kurzer Zeit (paar sekunden) wieder. Manchmal is er auch 2mal offen. Hab den iexplorer auch schon deinstalliert. Registry gesäubert. Virendingsbums laufen lassen, gegoogelt, doch ohne Erfolg. Er will einfach nicht verschwinden. ?( Mir wärs ja auch ziemlich egal wenn der da drin is, ABER manchmal braucht der 100MB Speicher. Für was frag ich mich da? Ich wäre um jede hilfe dankbar. vlt. habe ich mir irgendein Trojaner eingefangen o.ä. Mfg Thor EDIT:/// Sorry wegen dem Bedankomat. Kann des irgendwie nichtmehr ändern ?(
#3 24. Mai 2006 Ja wie? Echt jetzt? Also mein Scanner erkennt da nix. Wie bekomm ich den runter von meinem Rechner?
#4 24. Mai 2006 naja.. wenn du wirklich nen trojana hast und dein virenprogramm den net findet.. musste ihn entweder versuchen selbst zu finden und dann zu töten oder den rechner formatieren... es kann aba auch einfach ein system fehler sein.. dann musst du beim nächsten mal anstatt "prozess beenden" .. "prozess struktur beenden machen" und dann hält ders maul..
#5 24. Mai 2006 vieleicht postes du mal ein HJT logfile!! Anleitung Download <-- nur auf "direktdownload" klicken! Mfg Nanuk
#6 24. Mai 2006 Ha jo hier: http://rapidshare.de/files/21251379/hijackthis.log.html edit by silent.felix: Code: Logfile of HijackThis v1.99.1 Scan saved at 12:28:14, on 24.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe c:\progra~1\intern~1\iexplore.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\Admin\LOKALE~1\Temp\Rar$EX00.641\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.avm.de/fritz_box_fon_5050_firmware/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_22.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: (no name) - {DE8B397A-BEE9-85FE-DD08-83D2CE1A8CD3} - (no file) O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [TRIXX] "C:\Programme\TRIXX\TRIXX.exe" -s O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Programme\AGEIA Technologies\TrayIcon.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [webHancer Agent] "C:\Program Files\webHancer\Programs\whAgent.exe" O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [64 KNOB] C:\DOKUME~1\Admin\ANWEND~1\Mp3 dog\manager shim.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Hijacked Internet access by New.Net O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/webmasterexe/drsmartload464a.exe O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c2.cab O16 - DPF: {A1426AC5-8CE5-4A00-B71E-011D35709AC6} - http://advnt01.com/dialer/int_ver34.CAB O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe EDIT:/// Thanxs silentfelix
#7 24. Mai 2006 Zuletzt von einem Moderator bearbeitet: 13. April 2017 k, also, das kann schon ein wenig dauern. du hast webhancer und newdotnet leider kann ich nicht sagen, welche version von newdotnet. beides sind spyware programme, die versuchen über den ie ins internet zu gelangen. webhancer kann man normalerweise über start systemsteuerung software deinstallieren. danach muss jedoch die registry bereinigt werden, und ein paar zusätzliche dateien manuell entfernt werden. newdotnet is jedoch problematischer. erstmal die kurzauswertung zu deiner log Code: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : - Eventuell Böse O2 - BHO: URLLink - {4a2aaCF3-aDF6-11D5-98a9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_22.dll - Böse O2 - BHO: (no name) - {DE8B397a-BEE9-85FE-DD08-83D2CE1a8CD3} - (no file) - Unbekannt O4 - HKLM\..\Run: [TRIXX] "C:\Programme\TRIXX\TRIXX.exe" -s - Unbekannt O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRa~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s - Böse O4 - HKLM\..\Run: [aGEIa PhysX SysTray] C:\Programme\aGEIa Technologies\TrayIcon.exe - Unbekannt O4 - HKLM\..\Run: [webHancer agent] "C:\Program Files\webHancer\Programs\whagent.exe" - Böse O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8a56B10aa}] "C:\Programme\Gemeinsame Dateien\ahead\lib\NMBgMonitor.exe" - Unbekannt O4 - HKCU\..\Run: [64 KNOB] C:\DOKUME~1\admin\aNWEND~1\Mp3 dog\manager shim.exe - Unbekannt O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe - Unbekannt O10 - Hijacked Internet access by New.Net - Böse O16 - DPF: {42F2C9Ba-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/webmasterexe/drsmartload464a.exe - Böse O16 - DPF: {8FCDF9D9-a28B-480F-8C3D-581F119a8aB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c2.cab - Eventuell Böse O16 - DPF: {a1426aC5-8CE5-4a00-B71E-011D35709aC6} - http://advnt01.com/dialer/int_ver34.CaB - Böse am ende werd ich dich bitten, erneut ein hjt log zu machen, indem KEINER der hier aufgeführten Einträge mehr sein darf. dann befolge jetzt diese anleitung schritt für schritt vorbereitungen, folgende sachen downloaden, und ggf updaten. Download CCleaner escan anleitung 1. deaktiviere die systemwiederherstellung in windows. und starte im abgesicherten modus 2. deinstalliere über start systemsteuerung software den eintrag zu webhancer. deinstalliere auch weitere dir unbekannte dort aufgeführte programme. 3. Download CCleaner Lösche mit dem CCleaner deine Temporären Dateien 4. escan anleitung Bearbeite das Logfile (mwav.log) vom escan . indem du die mwav.log mit einem Texteditor öffnest, und jede Zeile/Eintrag die das wort "infected" enthällt in deiner nächsten antwort wiedergibts. 5-7. http://board.protecus.de/t9373.htm, die schritte mit adware und spybot machen. 8. poste noch die ergebnisse eines onlinvirenscan von panda und pestpatrol. http://www.securityinfo.ch/pestscan.html und http://www.pandasoftware.com/activescan/com/activescan_principal.htm dann sehen wir weiter. alternativ kannst du natürlich auch deine festplatte formatieren und windows neu installieren. mfg spotting
#8 24. Mai 2006 selbst microsoft weiß das wenn man einmal einen virus hat man nocht mehr hinterherkommt die damit verbundenen backdoors zu löschen, also spiele ein backup auf oder setze dein system neu auf. hier der technet link: http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx
#9 24. Mai 2006 Bei mir was das auch vor nicht all zu langer zeit ich hab einfach mit dem prozessExplorer geschaut was passiert wenn ich die iexploerer schließe -> es haben sich dann zwei programe geöfftet und von denen hab ich mir die ornder gemerkt, abgesicherter modus (oder auch in dos) hab ich dann die kagge gelöscht und dann war der scheiß weg :] die iexplorer exe kan man ja dann wieder irgendwo ausm inet holen
#10 24. Mai 2006 lol,,, den link hat er doch bestimmt von mir ... stimmt, was du da sagst, aber trotzdem, wer ist denn schon bereit sein windows neu aufzusetzen, oder ein backup einzuspielen, ohne zumindest vorher es probiert zu haben sein system zu retten. was auch oftmals möglich ist. naja, hier noch ein paar weitere links, die interessant sein könnten [1] CCC Vorträge vortraege/pfw/ [2] www.ntsvcfg.de [6] microsoft.com Offizielle Stellungnahme von Windows. Inhaltlich Identisch mit den Forderungen von http://www.ntsvcfg.de [7] www.heise.de -- 43763 Sicherheitsloch in Outpost Firewall ... als Beispiel, davon gibt es noch viele mehr bei Heise.de zu anderen Firewalls !!! [8] www.dingens.org/ Wie ntsvcfg.de nur das script mit Gui, und ohne ein paar der Funktionen [9] ulm.ccc.de - windows-security allgemeiner Vortrag zu Sicherheit unter Windows
#11 25. Mai 2006 hi du solltest dir keine sorgen machen der prozess is eigentlich imma an! icq z.b. nutz ihn cu
#12 25. Mai 2006 oO Die Aussage macht mir Angst... Auf jeden Fall mit genannten Mitteln das Probelm beheben.. Das is nen Scheunentor der Prozess.. greetz
#13 25. Mai 2006 Du hast das was ich auch hatte. Nimm Spysweeper und lass drüberlaufen, dann starteste neu, deinstalliert spysweeper und dann starteste nochmal neu. Dann sollts funtkinoiern!
#14 25. Mai 2006 Also, erstmal möchte ich für die mühe bedanken. Find ich echt spitze das ich so schnell Feedback bekommen habe! Nun hab ichs irgendwie geschafft das des besch(piep) Ding weg is. NUR is jetzt mein Rechner 5mal Langsamer beim Hoch-und Runterfahren. Werd mich aber erst wieder am Wochenende drum kümmern. (Hoffentlich bleibt er bis dato Rein). Grosses DANKE noch an spotting. Hast mir sehr sehr sehr sehr geholfen. (10er is raus) P.S. werde in den nächsten Tagen mal meine Ergebnisse posten Bis denne Mfg Thor