iexplore.exe

[hd.foe]

hallo,
wenn ich gmx.de aufrufe erscheint der Fehler
iexplore hat eine Problem festgestellt und muss beendet werden
Explorer bricht zusammen

ansonsten läuft der Explorer ohne Probleme
im Task Manager ist die iexplore.exe einmal eingetragen mit 24.616 KB

verwende BitDefender 10 plus
hier ist ein Virus erkannt worden cmdow.exe Spyware Hidewindows.A

kann der Fehler hierdurch verursacht worden sein ?
muss dazu sagen stecke nicht tief in der Materie - wer kann mir helfen?

[SIZE=8pt]EDIT: Supersani[/SIZE]

[SIZE=8pt]
[/SIZE]

[SIZE=8pt]Verschoben von "Fragen, Anregungen, Kritik" nach "Browser"! Nächstes mal bitte in die richtige Kategorie posten, das erleichtert den Überblick ungemein.[/SIZE]

 

[Xiaolong]

Hi

Arbeite bitte folgendes ab.

Please, Anmelden or Registrieren to view URLs content!

Dann nochmal bitte

Please, Anmelden or Registrieren to view URLs content!

Und

Please, Anmelden or Registrieren to view URLs content!

bitte auch gleich.

Log-Dateien in einer Textdatei als Anhang posten. Hab da so 'nen Verdacht, dass da der Wurm drin sitzt.

Greetz Supersani

 

[hd.foe]

Hallo,

habe das Problem gelöst mit einer Systemwiederherstellung.
Hatte den Wurm mit einem Programm eingeschleust.

Danke für die schnelle Antwort
:super:
:danke:

hd.foe

 

[Harry]

Hallo hd.foe,

den "Wurm" bist Du damit aber nicht los! Der versteckt sich nach wie vor in der Sys.-wiederherstellung!

nun solltest Du folgendes tun:

Deaktiviere in der Sys.-steuerung mal die Systemwiederherstellung kurzfristig. Das machst Du, indem Du in das Kästchen "Sys.-wiederherstellung deaktivieren" einen Haken setzt. Auf übernehmen klicken!
Dieser Vorgang kann ein paar Minuten dauern. Mit dieser Aktion werden alle bisherigen Wiederherstellungspunkte gelöscht ( und somit auch der Wurm).

Dann wieder den Haken in dem Kästchen "Sys.-wiederhestellung deaktivieren" raus nehmen. auf "übernehmen klicken und ok.

Alle Sys.-wiederherstellungspunkte sind nun vom System entfernt.

Im übrigen wäre es von Vorteil, wenn Du die Tipps von Supersani auch noch durchführen würdest.

Please, Anmelden or Registrieren to view URLs content!

Please, Anmelden or Registrieren to view URLs content!

Please, Anmelden or Registrieren to view URLs content!

L.G.
Harry

 

[hd.foe]

Hallo Harry,
danke für Deine Antwort habe die Systemwiederherstellung nach Deinen Hinweisen abgearbeitet

die Hinweise von supersani habe ich durchgeführt
die Auswertung hat Bitdefender durchgeführt, da ich Ihnen eine Mail geschrieben hatte, dass mein System mit einem Wurm infiziert ist den Ihr System durchgelassen hat.
Sie haben lediglich moniert, dass ich zwei AntivirenProgramme installiert hatte.
Hatte die Empfehlung von Supersani durchlaufen lassen - habe es wieder deinstalliert - damit müssen sie leben dass es noch andere Anbieter gibt -
wer wie gut ist kann ich mir kein Urteil erlauben, da ich nicht in dieser Materie stecke.
Ich finde es super, dass es Leute wie Euch gibt, die uns älteren so hilfreich unter die Arme greifen - ich habe alles als Autodidakt erlernt - da fehlt hier und ad doch so manches - :danke:hd.foe

 

[McFly]

Falls da was fehlen sollte, kann es nur besser werden..

 

[Harry]

Hallo hd.foe,

um wirklich ganz sicher zu sein daß Dein System "clear" ist, solltest Du uns noch den Logfile von HJT hier als Dateianhang posten.

Please, Anmelden or Registrieren to view URLs content!

L.G.
Harry

 

[lammbock]

hallo,

ja...ich habe auch das problem mit dem iexplore-prozess...
hier meine logfiles:
...hoffe die reichen aus...

Logfile of HijackThis v1.99.1
Scan saved at 18:14:34, on 10.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Razer\Diamondback\razerhid.exe
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\WINDOWS\CTHELPER.EXE
F:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\Razer\Diamondback\razerofa.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\****\Desktop\HijackThis.exe
C:\WINDOWS\system32\taskmgr.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

Please, Anmelden or Registrieren to view URLs content!

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

Please, Anmelden or Registrieren to view URLs content!

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

Please, Anmelden or Registrieren to view URLs content!

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

Please, Anmelden or Registrieren to view URLs content!

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

Please, Anmelden or Registrieren to view URLs content!

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

Please, Anmelden or Registrieren to view URLs content!

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Love default global mess] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\great coal love default\Bin Dvd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [startCCC] C:\Programme\ATI
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [readme bike] C:\DOKUME~1\Thomas\ANWEND~1\NURBLI~1\Site Real Boob.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\RunServicesOnce: [washindex] C:\Programme\Washer\washidx.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\Gemeinsame Dateien\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\Gemeinsame Dateien\ICQ6\ICQ.exe
O11 - Options group: [iNTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {4EFA317A-8569-4788-B175-5BAF9731A549} (Microsoft Virtual Server VMRC Advanced Control) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) -

Please, Anmelden or Registrieren to view URLs content!

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: ipxwersv.dll confatm.dll
O20 - Winlogon Notify: atmmgr - atmmgr32.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winkve32 - winkve32.dll (file missing)
O20 - Winlogon Notify: wstdactx - C:\WINDOWS\system32\wstdactx.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. -
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O23 - Service: ZeitLimitService - Unknown owner - C:\Programme\ZeitLimit\ZeitLimitService.exe (file missing)

wäre echt nett, wenn einer mir sagen könnte, was alles gefixed werden muss.
vielen Dank schon mal... extrem hilfreich
lg lammbock

 

[McFly]

Also..fixen:

O4 - HKLM\..\Run: [Love default global mess] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\great coal love default\Bin Dvd.exe <-Spy
O4 - HKLM\..\Run: [startCCC] C:\Programme\ATI <-Defekt
O4 - HKCU\..\Run: [readme bike] C:\DOKUME~1\Thomas\ANWEND~1\NURBLI~1\Site Real Boob.exe <-Spy
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 <-Wurm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing) <-Defekt
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing) <-Defekt
O20 - AppInit_DLLs: ipxwersv.dll confatm.dll <-Wurm
O20 - Winlogon Notify: atmmgr - atmmgr32.dll (file missing) <-Wurm
O20 - Winlogon Notify: winkve32 - winkve32.dll (file missing) <-Wurm
O20 - Winlogon Notify: wstdactx - C:\WINDOWS\system32\wstdactx.dll (file missing) <-Wurm
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe <-Spy
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - <-Defekt
O23 - Service: ZeitLimitService - Unknown owner - C:\Programme\ZeitLimit\ZeitLimitService.exe (file missing) <-Spy

einige Pfadeinträge sind defekt deswegen musst du wohl auch einige Programme neu installieren.

Unter meinem Blog findest du einen Online Scanner von Eset/Nod32 installiere diesen und scanne im "Normal" und im "Abgesicherten Modus".

Ergebnisse bitte posten.

 

[lammbock]

Danke McFly,

die Einträge muss ich aber im abgesicherten modus mit hijackthis fixen, oder?

und wenn ich dann den eset-scan laufen lasse, kann ich den aber nur im normalen modus machen, weil ich im abgesicherten keinen internetzugriff habe, oder liege ich da falsch.

nochmals vielen dank für den vorherigen post.

gruß
lammbock

 

[lammbock]

So,
habe die Dateien jetzt gefixed...mit ad-aware habe ich vorher noch 2 einträge löschen können.
ich scanne jetzt das ganze system mit dem Eset Scanner - ich poste dann einen Eintrag wenn es fertig ist. Sieht gut aus bis jetzt.

Danke für die Tips
Gruß
lammbock

 

[McFly]

Falls du einige Einträge in Hijackthis nicht fixen kannst sind es Prozesse/Tasks die du zuerst beenden musst. Danach Nochmal Hijackthis laufen lassen und immer wieder kontrollieren ob gelöscht wurde.

Es gibt auch den "abgesicherten Modus mit Netzwerkunterstützung" siehe dazu:

Please, Anmelden or Registrieren to view URLs content!

Poste wenn du fertig bist bitte nochmal eine neue Hijackthis.log..