iexplore.exe immer wieder da - was stimmt da nicht?

[koepenick]

hi!

in meinem taskmanager befinden sich stets zwei iexplore.exe ... wenn ich diese jeweils versuche zu beenden, starten sich diese wieder neu, obwohl ich den iexplore gar nicht mehr benutze bzw. nicht gestartet habe...

schaut es euch bitte einmal an, danke!

Code:

 Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
f:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
f:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\system32\DVDRAMSV.exe
f:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
F:\Programme\DU Meter\DUMeter.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
F:\Programme\RivaTuner v2.0 RC 15.6\RivaTuner.exe
F:\Programme\Cherry\KeyMan\KeyMan.exe
F:\Programme\Motherboard Monitor 5\MBM5.EXE
F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\RK Launcher\RKLauncher.exe
c:\progra~1\intern~1\iexplore.exe
F:\Programme\Cherry\CDI\CDI.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Dom\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hnmmazpgtwebmwlgiufxbqgtx...iYSAMqpACl.asp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
*new-search.net*;*x-google.net*
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 82.179.166.192 new-search.net
O1 - Hosts: 82.179.166.190 x-google.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {C7806610-CE16-DA97-8BAC-22DAF83FA763} - C:\DOKUME~1\Dom\ANWEND~1\INTERN~1\Dumb Proxy.exe
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] f:\Programme\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [DU Meter] F:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] f:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [RivaTuner] "f:\Programme\RivaTuner v2.0 RC 15.6\RivaTuner.exe" /T
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "f:\Programme\RivaTuner v2.0 RC 15.6\RivaTuner.exe" /S
O4 - HKLM\..\Run: [NVIDIA nTune] "F:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [CherryKeyMan] "F:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [CloneCDTray] "f:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [MBM 5] "F:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [AVG7_EMC] f:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [messpokefourref] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aimmfcdmesspoke\ArmySettings.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [RK Launcher] C:\Programme\RK Launcher\RKLauncher.exe
O4 - HKCU\..\Run: [Jump Bait] C:\DOKUME~1\Dom\ANWEND~1\DRIVEM~1\Media Creative.exe
O4 - Startup: wichtig.txt
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - F:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download the &current page with Offline Explorer - file://F:\Programme\Offline Explorer\Add_AllO.htm
O8 - Extra context menu item: Download using Offline &Explorer - file://F:\Programme\Offline Explorer\Add_UrlO.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - F:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send to Keyman - F:\Programme\Cherry\KeyMan\IEMenuExtKeyman.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\Programme\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\Programme\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.co...haringctrl.cab
O16 - DPF: {5DA9D8E0-5A57-11CF-9E36-00C0930198C0} (Pegasus ImagN' 32-bit (Windowed) ActiveX Control v4.00) - http://192.168.0.221/LNetCam.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1102622603081
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4FF3269-3D64-460D-9D04-06678930034E}: NameServer = 192.168.0.1
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - (no file)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - f:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - f:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - F:\Programme\Cherry\CDI\CDI.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: DVD-RAM_Service - Matsu****a Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - f:\Programme\Kerio\Personal Firewall\persfw.exe

[Speedy]

hi

1)

hijackthis starten -> open the misc tools section -> open uninstall manager -> save list -> dieses logfile speichern und anschließend den inhalt hier posten.

hijackthis starten -> open the misc tools section -> open prozess manager -> auf die kleine gelbe diskette drücken, dieses logfile speichern und den inhalt hier posten.

2)
dein logfile ist nicht komplett, die systeminformation fehlt, bitte daher ein aktuelles logfile posten

3)
HijackThis so anlegen C:\Programme\HijackThis\HijackThis.exe dann klappt es auch mit dem backup

4)
Logfile bitte zwischen [code] und [/code)->klammer soll eckig sein posten, oder
alternativ das eingefügte logfile markieren und drücken

[koepenick]

**habe mittlerweile mehrere scans hinter mir und mit security taskmanager "media creative.exe" bzw. "army settings.exe" in quarantäne geschickt...

Code:

Logfile of HijackThis v1.99.1
Scan saved at 15:31:03, on 10.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
f:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
f:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\system32\DVDRAMSV.exe
f:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
F:\Programme\DU Meter\DUMeter.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
F:\Programme\RivaTuner v2.0 RC 15.6\RivaTuner.exe
F:\Programme\Cherry\KeyMan\KeyMan.exe
F:\Programme\Motherboard Monitor 5\MBM5.EXE
F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\RK Launcher\RKLauncher.exe
C:\WINDOWS\system32\RAMASST.exe
F:\Programme\Cherry\CDI\CDI.exe
F:\Programme\foobar2000\foobar2000.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Dom\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {C7806610-CE16-DA97-8BAC-22DAF83FA763} - C:\DOKUME~1\Dom\ANWEND~1\INTERN~1\Dumb Proxy.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] f:\Programme\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [DU Meter] F:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] f:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [RivaTuner] "f:\Programme\RivaTuner v2.0 RC 15.6\RivaTuner.exe" /T
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "f:\Programme\RivaTuner v2.0 RC 15.6\RivaTuner.exe" /S
O4 - HKLM\..\Run: [NVIDIA nTune] "F:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [CherryKeyMan] "F:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [CloneCDTray] "f:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [MBM 5] "F:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [AVG7_EMC] f:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [RK Launcher] C:\Programme\RK Launcher\RKLauncher.exe
O4 - Startup: wichtig.txt
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.co...haringctrl.cab
O16 - DPF: {5DA9D8E0-5A57-11CF-9E36-00C0930198C0} (Pegasus ImagN' 32-bit (Windowed) ActiveX Control v4.00) - http://192.168.0.221/LNetCam.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1102622603081
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4FF3269-3D64-460D-9D04-06678930034E}: NameServer = 192.168.0.1
O18 - Filter: text/html - (no CLSID) - (no file)
O20 - AppInit_DLLs: ,
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - f:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - f:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - F:\Programme\Cherry\CDI\CDI.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: DVD-RAM_Service - Matsu****a Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - f:\Programme\Kerio\Personal Firewall\persfw.exe


3D-Fahrschule 2
Ad-Aware SE Personal
Adobe Acrobat 6.0.1 Professional - English, Français, Deutsch
Advanced Archive Password Recovery
Anti-Leech Plugin for Internet Explorer
Anti-Leech Plugin for Netscape, Mozilla, Opera
ArcSoft Camera Suite 1.3
ATI - Software Uninstall Utility
ATI Control Panel
ATI Display Driver
ATITool Overclocking Utility
AVG Free Edition
AVI/MPEG/RM/WMV Joiner 4.81
Bradford Smith Easy SFV Creator
Cheating-Death 4.29.5
Cherry Keyboard Manager V2.4 Build 15
ClearType Tuning Control Panel Applet
CloneCD
CloneDVD2
DAEMON Tools
DC++ 0.670
Digital TV
Digital TV UPDATE v2.1.7
Disk Space Inspector v.2.9.6
DivX Player
DU Meter
DVD Decrypter (Remove Only)
DVD Shrink 3.1.7
DVD2one 1.5.2
DVD-RAM-Treiber
eMule
Euro-Fahrschule 2005
FlashFXP v3
FlashGet(JetCar)
FlyakiteOSX v2.0
Folder Lock
foobar2000
GTA San Andreas
GTK+ Runtime 2.6.7 rev a (nur entfernen)
HijackThis 1.99.1
HyperVcam Mobile
iColorFolder
ICQ
IrfanView (remove only)
IsoBuster 1.7
J2SE Runtime Environment 5.0 Update 2
Jasc Paint Shop Pro 9
Java 2 Runtime Environment, SE v1.4.2_06
Kerio Personal Firewall 2.1.5
Mac:MSN Skin
Macromedia Shockwave Player
Magic ISO Maker v4.9 (build 0144)
Microsoft Encarta Enzyklopädie 2005
Microsoft Office Professional Edition 2003
Microsoft Plus! for Windows XP
Microsoft® Winter Fun Pack 2004 for Windows® XP
mIRC
Motherboard Monitor 5
Motherboard Monitor 5 Languages
Mozilla Firefox (1.0.4)
Mozilla Thunderbird (1.0)
Mozilla Thunderbird (1.0.2)
MSN Messenger 7.0
Need for Speed Underground 2
Nero 6 Enterprise Edition
NetLimiter 1.30 (remove only)
NVIDIA Drivers
NVIDIA nTune
O&O Defrag Professional Edition
PowerDVD
PowerStrip 3 (remove only)
QuickTime
RealPlayer
Remove DivX Codec
RivaTuner v2.0 RC 15.6
RollerCoaster Tycoon 2
Shockwave
Skype 1.2
Sound Blaster Live!
Spybot - Search & Destroy 1.4
Spyware Doctor 3.2
TMPGEnc Plus 2.5
TV-Browser 1.0
TVgenial
Tweak UI
USB MP3 Player WIN98 Drivers
VideoLAN VLC media player 0.8.1
VNC 4.0
Wecker 2.2 2.2
Windows Installer 3.1 (KB893803)
Windows XP Service Pack 2
Windows XP-Hotfix - KB834707
Windows XP-Hotfix - KB867282
Windows XP-Hotfix - KB873333
Windows XP-Hotfix - KB873339
Windows XP-Hotfix - KB885250
Windows XP-Hotfix - KB885835
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB886185
Windows XP-Hotfix - KB887472
Windows XP-Hotfix - KB887742
Windows XP-Hotfix - KB888113
Windows XP-Hotfix - KB888302
Windows XP-Hotfix - KB890047
Windows XP-Hotfix - KB890175
Windows XP-Hotfix - KB890859
Windows XP-Hotfix - KB890923
Windows XP-Hotfix - KB891781
Windows XP-Hotfix - KB893066
Windows XP-Hotfix - KB893086
WinRAR Archivierer
Xfire (remove only)
xp-AntiSpy 3.92
XPlite PROFESSIONAL

Process list saved on 15:29:41, on 10.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)

[pid]	[full path to filename]		[file version]	[company name]
536	C:\WINDOWS\System32\smss.exe		5.1.2600.2180	Microsoft Corporation
600	C:\WINDOWS\system32\csrss.exe		5.1.2600.2180	Microsoft Corporation
624	C:\WINDOWS\SYSTEM32\winlogon.exe		5.1.2600.2180	Microsoft Corporation
672	C:\WINDOWS\system32\services.exe		5.1.2600.2180	Microsoft Corporation
684	C:\WINDOWS\system32\lsass.exe		5.1.2600.2180	Microsoft Corporation
852	C:\WINDOWS\system32\Ati2evxx.exe		6.14.10.4115	ATI Technologies Inc.
864	C:\WINDOWS\system32\svchost.exe		5.1.2600.2180	Microsoft Corporation
944	C:\WINDOWS\system32\svchost.exe		5.1.2600.2180	Microsoft Corporation
952	C:\WINDOWS\system32\devldr32.exe		1.0.0.22	Creative Technology Ltd.
1016	C:\WINDOWS\System32\svchost.exe		5.1.2600.2180	Microsoft Corporation
1072	C:\WINDOWS\System32\svchost.exe		5.1.2600.2180	Microsoft Corporation
1188	C:\WINDOWS\System32\svchost.exe		5.1.2600.2180	Microsoft Corporation
1332	C:\WINDOWS\system32\spoolsv.exe		5.1.2600.2180	Microsoft Corporation
1524	f:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe		7.1.0.321	GRISOFT, s.r.o.
1560	f:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe		7.1.0.321	GRISOFT, s.r.o.
1584	C:\WINDOWS\system32\crypserv.exe		5.4.0.0	Kenonic Controls Ltd.
1604	C:\WINDOWS\system32\DVDRAMSV.exe		2.0.7.0	Matsu****a Electric Industrial Co., Ltd.
1664	f:\Programme\Kerio\Personal Firewall\persfw.exe		2.1.5.0	Kerio Technologies
1756	C:\WINDOWS\System32\svchost.exe		5.1.2600.2180	Microsoft Corporation
2036	C:\WINDOWS\System32\alg.exe		5.1.2600.2180	Microsoft Corporation
1104	C:\WINDOWS\SYSTEM32\Ati2evxx.exe		6.14.10.4115	ATI Technologies Inc.
1408	C:\WINDOWS\Explorer.EXE		6.0.2900.2180	Microsoft Corporation
2028	F:\Programme\DU Meter\DUMeter.exe		3.0.7.192	Hagel Technologies
248	F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe		7.1.0.321	GRISOFT, s.r.o.
1940	F:\Programme\RivaTuner v2.0 RC 15.6\RivaTuner.exe		2.0.15.6	
1900	F:\Programme\Cherry\KeyMan\KeyMan.exe		2.4.0.15	Cherry GmbH
436	F:\Programme\Motherboard Monitor 5\MBM5.EXE		5.3.7.0	Alex van Kaam
1896	F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe		7.1.0.321	GRISOFT, s.r.o.
784	C:\Programme\RK Launcher\RKLauncher.exe		0.4.0.0	RaduKing
520	C:\WINDOWS\system32\RAMASST.exe		1.0.9.0	Matsu****a Electric Industrial Co., Ltd.
332	F:\Programme\Cherry\CDI\CDI.exe		2.2.1.11	Cherry Gmbh, Auerbach Germany, www.cherry.de
2876	F:\Programme\foobar2000\foobar2000.exe			
2360	C:\Programme\Mozilla Thunderbird\thunderbird.exe		1.0.2.0	Mozilla.org
2908	C:\Programme\Mozilla Firefox\firefox.exe		1.0.4.0	Mozilla
3124	C:\Dokumente und Einstellungen\Dom\Desktop\HijackThis.exe		1.99.0.1	Soeperman Enterprises Ltd.

[Speedy]

hi

1) es kommt keine ie.exe im neuen logfile vor
2) kennst du alle diese programme (mit funktion )
3) das bei Jotti oder Virustotal überprüfen lassen, ergebnis hier posten.

F:\Programme\foobar2000\foobar2000.exe
C:\Programme\RK Launcher\RKLauncher.exe und auch die
media creative.exe" und "army settings.exe

--------------------------------------
meist gibt es bei antivirenprogrammen einen infectet oder quarantäne-ordner, diesen bitte leeren.
---------------------------------------
start->systemsteuerung->internetoptionen->karteikarte allgemein->cookies und dateien löschen, verlauf leeren und bei einstellungen nie aktivieren
---------------------------------------
explorer starten C:\ markieren, rechte maustaste ->eigenschaften wählen->bereinigen->hier folgendes aktivieren übertragene programmdateien, temporary internet files, offlinewebseiten, papierkorb,temporäre dateien
(ordneransicht beachten, und alle temp. ordner suchen, sind noch dateien vorhanden manuell löschen)
> geschützte systemdateien ausblenden < deaktivieren und
> versteckte ordner und verzeichnisse < aktivieren
---------------------------------------
download von spybot s&d sowie ad aware (deutsche beschreibung), installieren, update ziehen, beenden. aktualisiere deine antivirensoftware, freeware gibt es hier
---------------------------------------
regcleaner von chip.de oder zdnet downloaden, unter options, language, select language, deutsch auswählen, beenden.
---------------------------------------
downlaod von winfix, verwende es nur, wenn nach der reinigung die internetverbindung nicht mehr klappt.
---------------------------------------
ms removal tool downloaden und den rechner damit scannen, bereinigen lassen, dadurch kann es sein, das im folgenden einige einträge im hijackthis-logfile nicht mehr aufscheinen , dies erleichtert uns aber die arbeit ungemein.
--------------------------------------
deaktiviere die systemwiederherstellung (gilt nur für win me und win xp) und
---------------------------------------
wechsle in den abgesicherten modus von windows: PC einschalten, warten bis die meldung "windows wird gestartet..." am bildschirm erscheint, nun drücke sofort die taste [F8].
es erscheint ein start-menü im textmodus. wählen hier "abgesichert" bzw. "abgesicherter modus" und bestätigen dies mit der [eingabe]-taste.
win95 win98/ME win2000 winxp
und fixe mit HijackThis die nachfolgenden einträge

O20 - AppInit_DLLs: ,
O18 - Filter: text/html - (no CLSID) - (no file)
O16 - DPF: {5DA9D8E0-5A57-11CF-9E36-00C0930198C0} (Pegasus ImagN' 32-bit (Windowed) ActiveX Control v4.00) - http://192.168.0.221/LNetCam.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.c...sharingctrl.cab
015 ALLE
O4 - Startup: wichtig.txt <--wofür ist das ?
O4 - HKCU\..\Run: [RK Launcher] C:\Programme\RK Launcher\RKLauncher.exe
R3 - Default URLSearchHook is missing
---------------------------------------
HijackThis-> config -> misc tools --> delete a file on reboot, wähle die zu löschende datei, die frage zum neustart mit nein beantworten, wieder delete a file on reboot wählen, nächste datei auswählen usw., bis du die letzte dateie ausgewählt hast, nun antwortest du auf die frage zum neustart mit JA
hier, werden dateien eingetragen, die beim onlinecheck als malware erkannt wurden. wurde keine malware erkannt ->
--------------------------------------
neustart wieder in den abgesicherten modus von windows, scanne und bereinige zuerst mit deiner antivirensoftware, dann mit adaware (alle optionen auf grün stellen) und zum schluss mit spybot s&d dein system (fehler beheben lassen).
-------------------------------------
wähle nun bei spybot s&d modus -> erweiterter modus -> nun unter werkzeug alles, bis auf abo kündigen aktivieren ->nun resident wählen und hier sd helper und tea timer aktivieren, nun wählst du hosts dateien -> hinzufügen, dann wechselst du noch zu ie spielereien und hier hosts liste zum schutz gegen hijacker schreibgeschützt sperren
-------------------------------------
regcleaner starten und unter tools, registry säubern, alles durchführen
------------------------------------
einen onlinescan mit panda-aktivscan explorer oder housecall auch mit alternativen browsern möglich, durchführen, ergebnis posten
------------------------------------
ein aktuelles Hijackthis-Logfile erstellen und so wie hier, in der ankündigung posten
-----------------------------------

[koepenick]

der iexplore ist nicht mehr drin, da ich ihn deinstalliert habe ... (nutze sowieso firefox, dennoch werde ich ihn nun wieder installieren, da einige seiten schlecht dargestellt werden über den firefox)

desweiteren konnte ich "army settings.exe" bzw. "media creative.exe" erfolgreich über den security taskmanager nach der quarantäne löschen - wahrscheinlich handelte es sich dabei um "Trojan-Downloader.Win32.Swizzor.bo", welcher auch in der datei "Dumb_Proxy.exe" steckt. diesen prozess kann ich jedoch nicht schließen bzw. löschen und er wird mir auch nicht im taskmanager aufgelistet.
cookies, tempärere dateien etc. habe ich bereits gelöscht und auch diverse scans hinter mir, inklusive dem microsoft-tool -> (nichts).

ich verstehe nur nicht was du mit dem "fixen per highjack" meinst - wie genau funktioniert das und was muss ich da angeben?

foobar.exe ist meine winampalternative und rklauncher.exe ist ein skin für windows xp (mac os look) - da steckt kein virus drin.

wieso muss ich die systemwiederherstellung deaktivieren (weil ich sonst die viren bzw. trojaner zu späteren zeitpunkten wieder drauf habe?) - nunja muss ich wohl in kauf nehmen ... auch wenn sie oft geholfen hat

wichtig.txt führt mir nur termine und erinnerungen auf

[Speedy]

hi

ich verstehe nur nicht was du mit dem "fixen per highjack" meinst - wie genau funktioniert das und was muss ich da angeben?

starte hijackthis, wähle Do a system scan only wenn der scan berendet ist, ist neben dem button save log -> fix checked nun wählst, markierst du jene einträge, die ich vorgeschlagen habe,

O20 - AppInit_DLLs: ,
O18 - Filter: text/html - (no CLSID) - (no file)
O16 - DPF: {5DA9D8E0-5A57-11CF-9E36-00C0930198C0} (Pegasus ImagN' 32-bit (Windowed) ActiveX Control v4.00) - http://192.168.0.221/LNetCam.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.c...sharingctrl.cab
015 ALLE
O4 - Startup: wichtig.txt <--wofür ist das ?
O4 - HKCU\..\Run: [RK Launcher] C:\Programme\RK Launcher\RKLauncher.exe
R3 - Default URLSearchHook is missing

es muss also vor jedem dieser einträge ein häkchen sein, dann drückst du fix checked, ok.

[koepenick]

habe das nun gemacht ...

rklauncher weggelassen, da ich mir bei dem programm sicher bin, habe es überprüfen lassen...

folgender fehler kam auch noch


error1

momentan geht es so richtig rund... mein ie lässt sich nicht mehr installieren (über die windowsprogrammerweiterung hat er ihn installiert, doch in c:\programme findet man keine iexplore.exe mehr vor ... manuell lässt er sich nicht mehr installieren: "sie haben bereits ein aktuelleres setup"...

einige programme spielen verrückt - meinen, dass dateien fehlen und in meinem firefox wackelt eine leiste wie wild hin und her - weshalb auch immer, weshalb ich mir überlege mein system neu aufzusetzen

werde mich allerdings die tage nochmal melden bzw. weiterhin versuchen es in den griff zu bekommen ...

[Speedy]

hi

wenn man den ie deinstalliert, dann kann es schon sein, das wichtige systemdateien miterrodiert werden, für die neuinstallation kann ich dir nur empfehlen, hier im board sich ein wenig umzusehen und nicos Internet & Computer Security • INCOSEC durchzulesen

[koepenick]

vielen dank, werde mich wieder melden

[Speedy]

hi, ok, meine anleitung ist nicht 100% auf dem laufenden, aber zur not reicht es

1) überprüfe deine persönlichen daten auf malwarebefall und sichere sie auf einem wechselmedium.
2) besorge dir alle für dein system benötigten treiber in der aktuellen version, für windows xp sollte das sp2 bereitliegen (cd bestellen bei Microsoft
ü) eine antivirensoftware mit aktueller virenerkennungsdatei und eine firewall sollten jedenfalls auch auf einem wechselmedium vorbereitet werden.
4) ein alternativer browser (mozilla firefox), ein mailprogramm (mozilla thunderbird) oder das komplett-paket, die (Mozilla Suite) kann (soll) ebenso vorbereitet werden.
vorteil: man kann die sicherheitseinstellungen vor der ersten internetverbindung überprüfen und korrigieren.
5) nt-dienste sicher konfigurieren und spybot s&d sollten hier auch nicht fehlen.
ebenso wie bhodemaon und ie spyads(links zu den genannten programmen findest du hier auf meiner HP security-tools)
6) der rechner soll vom netz (internet) getrennt sein !!
7) überlege dir, welche passwörter du verwenden möchtest.
8) anleitung zur (neu)installation von windows-xp, setze nach erfolgreicher installation von winxp sofort windows sp2 auf.
9) ein benutzerkonto ohne administratoren-rechte anlegen ( mit diesem wird gesurft)
10)internetexplorer --> einstellungen unter extras -> internetoptionen -> sicherheit-> stufe anpassen auf hoch stellen gegebenenfalls kontrollieren, auf automatisch sollte nichts stehen.
11)outlook (express) unter extras -> optionen -> sicherheit -> nur text aktivieren.
12)installiere nun dein antivirenprogramm, spybot s&d (aktiviere hier ie-imunisieren und tea-times), bhodemon, und deine personalfirewall (vorher muss allerdings die firewall von winxpsp2 deaktiviert werden)
1ü)installiere nun deinen browser und dein emailprogramm
antivrienprogramm, firewall, browser und mailprogramm konfigurieren
so, nun kannst du die verbindung zum internet herstellen, zuerst ein update deiner antiviren-software durchführen, dann windows-update.
überprüfe nun deine einstellungen des browsers und des mailprogramms über heise.de
bevor du nun deine persönlichen daten vom wechselmedium wieder auf die festplatte zurückspielst, die dateien mit deinem antivirenprogramm überprüfen, ob wirklich keine malware vorhanden ist.
nun kannst du deine benötigte software installieren. und in zukunft, programme nur vom hersteller oder aus sicherer quelle (z.b. von pc-magazinen)
verwenden, kein filesharing betreiben, keine dubiosen internetseiten besuchen und keine mailanhänge ohne vorherige ankündigung öffnen. windows-betriebssystem,-programme und die restliche sicherheitssoftware immer am aktuellen stand halten, wöchentlich auf mögliche update überprüfen.


melde dich bitte nach dem formatieren und neuaufsetzen hier im board, eventuell können wir dir noch den einen oder anderen vorschlag zur absicherung machen.