Systemprozess "IEXPLORE.EXE" verursacht Ärger -> Antivir findet nichts
- Ersteller sniper.de
- Erstellt am
sniper.de
Grand Admiral Special
hi Leute!
Ich habe da ein kleines Problem, dass ich einfach nicht wegbekomme.
Meiner Familie braucht den PC und ich gehe in 2 Wochen nach Australien...
Wenn windows hochfährt lädt sich automatisch im Hintergrund ein Prozess namens "IEXPLORE.EXE" mit, der nicht mit meinen Rechten läuft, sondern als Systemprozess seine Arbeit verrichtet.
Die dazugehörige Datei IEXPLORE.EXE findet sich nach jedem Neustart des PCs in einem anderen Verzeichnis meiner Windowspartition wieder.
Das läßt ja stark nach einem Virus/Trojaner o.ä. vermuten, da der Internetexplorer selber nur mit Userrechten läuft und kleingeschrieben wird.
Nun kommt aber das problem:
Keine Antivirensoftware findet etwas, auch Ad-Aware findet nichts.
Den prozess kann ich beenden, dann läuft alles wieder normal.
Dumm ist nur, dass der Prozess verhindert, dass der InternetExplorer gestartet werden kann und sämtliche Anwendungen nicht mehr ins Internet kommen.
Ich brauche EURE Hilfe, damit dieser dämliche Systemprozess wieder verschwindet!
Google brachte viele Methoden, aber keine Lösung des Problems, daher möchte ich euch um Rat bitten.
Vielen Dank
Sniper.de
Ich habe da ein kleines Problem, dass ich einfach nicht wegbekomme.
Meiner Familie braucht den PC und ich gehe in 2 Wochen nach Australien...
Wenn windows hochfährt lädt sich automatisch im Hintergrund ein Prozess namens "IEXPLORE.EXE" mit, der nicht mit meinen Rechten läuft, sondern als Systemprozess seine Arbeit verrichtet.
Die dazugehörige Datei IEXPLORE.EXE findet sich nach jedem Neustart des PCs in einem anderen Verzeichnis meiner Windowspartition wieder.
Das läßt ja stark nach einem Virus/Trojaner o.ä. vermuten, da der Internetexplorer selber nur mit Userrechten läuft und kleingeschrieben wird.
Nun kommt aber das problem:
Keine Antivirensoftware findet etwas, auch Ad-Aware findet nichts.
Den prozess kann ich beenden, dann läuft alles wieder normal.
Dumm ist nur, dass der Prozess verhindert, dass der InternetExplorer gestartet werden kann und sämtliche Anwendungen nicht mehr ins Internet kommen.
Ich brauche EURE Hilfe, damit dieser dämliche Systemprozess wieder verschwindet!
Google brachte viele Methoden, aber keine Lösung des Problems, daher möchte ich euch um Rat bitten.
Vielen Dank
Sniper.de
Daniel_23
Grand Admiral Special
-mit dem programm Startup.cpl (suchen über google) gucken ob das Programm über Registryschlüssel mitgestartet wird
-nach der Datei suchen und löschen (abgesicherter Modus oder BartPE/knoppix)
-in den diensten nach der Datei suchen
-nach der Datei suchen und löschen (abgesicherter Modus oder BartPE/knoppix)
-in den diensten nach der Datei suchen
sniper.de
Grand Admiral Special
wie such ich in den Dienstan am effektivsten?
Da is auf anhieb in der Verwaltung von Windows NICHTS mit Iexplorer.exe zu finden.
Das Proggie test ich mal aus.
EDIT: Mit dem Proggie ist nichts zu finden.
Und löschen der IEXPLORER.EXE bringt nichts, die taucht wieder auf.
Da is auf anhieb in der Verwaltung von Windows NICHTS mit Iexplorer.exe zu finden.
Das Proggie test ich mal aus.
EDIT: Mit dem Proggie ist nichts zu finden.
Und löschen der IEXPLORER.EXE bringt nichts, die taucht wieder auf.
Zuletzt bearbeitet:
Daniel_23
Grand Admiral Special
Ja irgendwoher muss sie ja kommen. Bei den diensten hilft nur alle durchgucken, die du nicht kennst. Wenn du in die Eigenschaften eines Dienstes reingest siehst du auch die zugehörige exe die da gestartet wird.
Auch könnte eine Startprotokollierung helfen, dafür beim Booten F8 drücken und Startprotokollierung auswählen. Is die exe im abgesicherten Modus auch da?
Auch könnte eine Startprotokollierung helfen, dafür beim Booten F8 drücken und Startprotokollierung auswählen. Is die exe im abgesicherten Modus auch da?
SirThor
Grand Admiral Special
IExplorer.exe mit r und nicht IExplore.exe ohne r? Hast du dir vielleicht sowas eingefangen?
http://www.sophos.de/security/analyses/w32mytobch.html
W32/Mytob-CH ist ein Massmailing-Wurm und ein Backdoortrojaner, der über das Internet-Relay-Chat (IRC)-Netzwerk gesteuert werden kann.
Wenn er erstmals gestartet wird, kopiert sich W32/Mytob-CH als iexplorer.exe in den Windows-Systemordner und erstellt die folgenden Registrierungseinträge:
HKLM\SOFTWARE\Microsoft\Ole
WINTASK
iexplorer.exe
HKCU\Software\Microsoft\Ole
WINTASK
iexplorer.exe
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
WINTASK
iexplorer.exe
HKCU\SYSTEM\CurrentControlSet\Control\Lsa
WINTASK
iexplorer.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
WINTASK
iexplorer.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WINTASK
iexplorer.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
WINTASK
iexplorer.exe
W32/Mytob-CH kopiert sich mit folgenden Dateinamen in den Stammordner:
funny_pic.scr
my_photo2005.scr
see_this!!.scr
Außerdem legt er die Datei hellmsn.exe (von Sophos als W32/Mytob-D erkannt) im selben Speicherort ab. Diese Komponente versucht, den Wurm zu verbreiten, indem sie die zuvor erwähnten SCR-Dateien über den Windows Messenger an alle Online-Kontakte sendet.
W32/Mytob-CH fügt außerdem Folgendes zur HOSTS-Datei hinzu, um den Zugriff auf Sicherheits-Websites zu blockieren:
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.trendmicro.com
W32/Mytob-CH kann sich über E-Mails und über die LSASS-Betriebssystemschwachstelle (MS04-011) verbreiten.
Die von W32/Mytob-CH gesendeten E-Mails haben folgende Merkmale:
Betreffzeile, ausgewählt aus:
Good day
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Text, ausgewählt aus:
'Mail transaction failed. Partial message is available.'
'The message contains Unicode characters and has been sent as a binary attachment.'
'The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.'
'The original message was included as an attachment.'
'Here are your banks documents.'
Die angehängte Datei besteht aus einem Basisnamen, gefolgt von der Erweiterung PIF, SCR, EXE oder ZIP. Der Wurm kann auch eine doppelte Erweiterung erzeugen, wobei die erste DOC, TXT oder HTM und die zweite PIF, SCR, EXE oder ZIP ist.
W32/Mytob-CH spürt E-Mail-Adressen in Dateien auf dem infizierten Computer und im Windows-Adressbuch sowie im Microsoft Internet Account Manager auf.
==========================
Dann viel Spaß beim Reparieren!
http://www.sophos.de/security/analyses/w32mytobch.html
W32/Mytob-CH ist ein Massmailing-Wurm und ein Backdoortrojaner, der über das Internet-Relay-Chat (IRC)-Netzwerk gesteuert werden kann.
Wenn er erstmals gestartet wird, kopiert sich W32/Mytob-CH als iexplorer.exe in den Windows-Systemordner und erstellt die folgenden Registrierungseinträge:
HKLM\SOFTWARE\Microsoft\Ole
WINTASK
iexplorer.exe
HKCU\Software\Microsoft\Ole
WINTASK
iexplorer.exe
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
WINTASK
iexplorer.exe
HKCU\SYSTEM\CurrentControlSet\Control\Lsa
WINTASK
iexplorer.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
WINTASK
iexplorer.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WINTASK
iexplorer.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
WINTASK
iexplorer.exe
W32/Mytob-CH kopiert sich mit folgenden Dateinamen in den Stammordner:
funny_pic.scr
my_photo2005.scr
see_this!!.scr
Außerdem legt er die Datei hellmsn.exe (von Sophos als W32/Mytob-D erkannt) im selben Speicherort ab. Diese Komponente versucht, den Wurm zu verbreiten, indem sie die zuvor erwähnten SCR-Dateien über den Windows Messenger an alle Online-Kontakte sendet.
W32/Mytob-CH fügt außerdem Folgendes zur HOSTS-Datei hinzu, um den Zugriff auf Sicherheits-Websites zu blockieren:
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.trendmicro.com
W32/Mytob-CH kann sich über E-Mails und über die LSASS-Betriebssystemschwachstelle (MS04-011) verbreiten.
Die von W32/Mytob-CH gesendeten E-Mails haben folgende Merkmale:
Betreffzeile, ausgewählt aus:
Good day
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Text, ausgewählt aus:
'Mail transaction failed. Partial message is available.'
'The message contains Unicode characters and has been sent as a binary attachment.'
'The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.'
'The original message was included as an attachment.'
'Here are your banks documents.'
Die angehängte Datei besteht aus einem Basisnamen, gefolgt von der Erweiterung PIF, SCR, EXE oder ZIP. Der Wurm kann auch eine doppelte Erweiterung erzeugen, wobei die erste DOC, TXT oder HTM und die zweite PIF, SCR, EXE oder ZIP ist.
W32/Mytob-CH spürt E-Mail-Adressen in Dateien auf dem infizierten Computer und im Windows-Adressbuch sowie im Microsoft Internet Account Manager auf.
==========================
Dann viel Spaß beim Reparieren!
nochdigger
Cadet
mOIn auch
@sniper.de erstelle mal so ein Logfile
HijackThis Download und Anleitung
und poste es anschließend hierher, dann kann man weiter sehen.
MFG
@sniper.de erstelle mal so ein Logfile
HijackThis Download und Anleitung
und poste es anschließend hierher, dann kann man weiter sehen.
MFG
sniper.de
Grand Admiral Special
danke, werde ich nachher gleich probieren, werde aber heute einfach mal windows reparieren. evtl hilfts ja.
@SirThor: nene es ist iexplore.exe....
.
EDIT :
.
Hier die Log:
@SirThor: nene es ist iexplore.exe....
.
EDIT :
.
Hier die Log:
Code:
Logfile of HijackThis v1.99.1
Scan saved at 21:55:08, on 20.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
D:\Programme\D-Tools\daemon.exe
D:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
D:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\AU_Backup\IEXPLORE.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Dokumente und Einstellungen\Jan\Desktop\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PCTVRemote] D:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
O4 - HKLM\..\Run: [**** Tools] "D:\Programme\****\****.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AudioDrvEmulator] "D:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "D:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [CTSysVol] D:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MsnMsgr] "D:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Google Search - res://d:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://d:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Backward Links - res://d:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://d:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with Scansoft PDF Converter 3.0 - res://D:\Programme\ScanSoft\OmniPage15.0\PDFConverter3\IEShellExt.dll /100
O8 - Extra context menu item: Similar Pages - res://d:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://d:\programme\google\GoogleToolbar1.dll/cmtrans.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - D:\Programme\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - D:\Programme\VisualRoute\vrie.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://us-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DirectX Service (DirectLydm) - Unknown owner - c:\windows\system32\directx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
Zuletzt bearbeitet:
SirThor
Grand Admiral Special
Du hast unter C:\Windows\system32 eine directx.exe. Sowas gibt es nicht. Das ist ein Schädling!
O23 - Service: DirectX Service (DirectLydm) - Unknown owner - c:\windows\system32\directx.exe
http://66.102.9.104/search?q=cache:xnq96M8sk_UJ:www.trojaner-board.de/archive/...
http://66.102.9.104/search?q=cache:6CCFHVAdI_kJ:www.avira.com/de/threats/section/fulldetails/id_vir/2350/bds_ciadoor.bo.html+directx.exe...
http://66.102.9.104/search?q=cache:0VAFlIW72Y0J:forum.antivir.de/thread.php...directx.exe...
O23 - Service: DirectX Service (DirectLydm) - Unknown owner - c:\windows\system32\directx.exe
http://66.102.9.104/search?q=cache:xnq96M8sk_UJ:www.trojaner-board.de/archive/...
http://66.102.9.104/search?q=cache:6CCFHVAdI_kJ:www.avira.com/de/threats/section/fulldetails/id_vir/2350/bds_ciadoor.bo.html+directx.exe...
http://66.102.9.104/search?q=cache:0VAFlIW72Y0J:forum.antivir.de/thread.php...directx.exe...
Zuletzt bearbeitet:
sniper.de
Grand Admiral Special
dem werde ich nachgehen, danke.
Habe mich schon gewundert, wieso der Service DIRECTX beim starten immer fehlschlägt -> Ereignisanzeige...
Der einzige Virenscanner, der das erkennt, ist NOD...
EDIT:
Naja also nur die directx.exe gibts, alle anderen beschriebenen Dateien gibt es auf meinem System nicht..
Habe mich schon gewundert, wieso der Service DIRECTX beim starten immer fehlschlägt -> Ereignisanzeige...
Der einzige Virenscanner, der das erkennt, ist NOD...
EDIT:
Naja also nur die directx.exe gibts, alle anderen beschriebenen Dateien gibt es auf meinem System nicht..
Zuletzt bearbeitet:
Daniel_23
Grand Admiral Special
Tja hab dir doch gesagt nach Diensten ausschau halten die du nicht kennst. Dxdiag ist kein Dienst, nur ein Programm 
sniper.de
Grand Admiral Special
wie kann ich dienste eigentlich entfernen, sodass sie auch nichtmehr in der Verwaltung -> Dienste auftauchen?
nochdigger
Cadet
mOIn sniper.de
dir kann man bei diesem Fund, nur ein Neuaufsetzen des Systems raten alles andere währe fahrlässig.
Auch kann dir niemand sagen ob und was für Daten durch die Backdoor geändert worden sind.
Mit anderen Worten dein System ist kompromittiert, also nicht mehr vertrauenswürdig, hier hilft wirklich nur ein Neuaufsetzen des Systems.
Sorry
MFG
dir kann man bei diesem Fund, nur ein Neuaufsetzen des Systems raten alles andere währe fahrlässig.
Auch kann dir niemand sagen ob und was für Daten durch die Backdoor geändert worden sind.
Mit anderen Worten dein System ist kompromittiert, also nicht mehr vertrauenswürdig, hier hilft wirklich nur ein Neuaufsetzen des Systems.
Sorry
MFG
Daniel_23
Grand Admiral Special
Also die Dienste mach ich immer über die Registry weg. Die Dienste beginnen meist mit Legacy, sind unter Services gelistet (verschiedene Oberschlüssel). Aber wie schon gesagt, neu neuinstallation wäre die beste Lösung.
SirThor
Grand Admiral Special
Ist auch meine Meinung. Sicher dir alle wichtigen Daten, Lizenzschlüssel, Konfigsachen, etc. und mach dann die Partition platt. Anschließend verbietest du jedem an diesem Rechner die Scheunentore IE, OE, MSMessanger und mIRC zu benutzen, sondern Alternativen. Sonst kannst recht bald wieder komplett ausmisten.
sniper.de
Grand Admiral Special
danke für die Antworten.
Sämtliche Funde, die nur NOD gefunden hatte, sind weg.
Leider kann ich das System jetzt so nicht neuaufsetzen, denn alles zu sichern und alle Programme wieder zu installen, ist für die wenige Zeit, ich bis zum Abflug habe, nicht drin.
Höchstens eine Reperaturinstalklation von Windows wäre möglich, wobei dort ja leider die Registry-Einträge der "Bösen" ebenfalls aktiv bleiben... oder?
Der PC wird dann von meinen Eltern genutzt, die NUR über den IE surfen...
schon allein aus diesem Grund wäre ein "plätten" unsinnig, da es eh bald wieder voll sein wird
Wenn ich aus Australien wiederkomme, dann wird geplättet
Ansonsten schützt hier nur der Router als Firewall, und eben Antivir Proggies mit sauerscan....
Mirc nutzt hier eh keiner, nur MSN, IE und das wars.
Danke für eure hilfe!
Sämtliche Funde, die nur NOD gefunden hatte, sind weg.
Leider kann ich das System jetzt so nicht neuaufsetzen, denn alles zu sichern und alle Programme wieder zu installen, ist für die wenige Zeit, ich bis zum Abflug habe, nicht drin.
Höchstens eine Reperaturinstalklation von Windows wäre möglich, wobei dort ja leider die Registry-Einträge der "Bösen" ebenfalls aktiv bleiben... oder?
Der PC wird dann von meinen Eltern genutzt, die NUR über den IE surfen...
schon allein aus diesem Grund wäre ein "plätten" unsinnig, da es eh bald wieder voll sein wird
Wenn ich aus Australien wiederkomme, dann wird geplättet
Ansonsten schützt hier nur der Router als Firewall, und eben Antivir Proggies mit sauerscan....
Mirc nutzt hier eh keiner, nur MSN, IE und das wars.
Danke für eure hilfe!
boidsen
Grand Admiral Special
Reparaturinstallation nützt bei Malware-Infektion Nullkommanix - nich nur die infizierten Registryeinträge bleiben erhalten, auch die Viren selber werden nich gelöscht, da ja die Platte nich formatiert wird! Im schlimmsten Fall schlägt sogar die Reparaturinstallation fehl und die Kiste fährt nichmehr hoch....
Und Deinen Eltern wirste ja wohl den Firefox beibringen können - der bedient sich doch genauso (eher noch einfacher)! Ansonsten kannste wohl alle paar Wochen Windows neu installieren...
BTW: Bei einem dermaßen verseuchten System musste übrigens nich nur Windows neu installieren, sondern ALLE Partitionen formatieren! Denn Malware versteckt sich oftmals leider auch auf den anderen Partitionen an den unterschiedlichsten Plätzen und somit wär das frisch installierte System in Minutenschnelle wieder genauso infiziert! Und wennde davon vorher Daten gesichert hast, musste diese natürlich vor dem Zurückkopieren unbedingt auf nem Linuxrechner oder von ner Live-CD aus sorgfältig mit nem aktuellen Virenscanner prüfen...
Und dann schau dir mal Kubuntu an (www.kubuntu.org) - das derzeit wohl benutzer- und auch umsteigerfreundlichste Linux. Denn Internet und Windows kannste mittlerweile echt so ziemlich vergessen und Linux wird sich eh in den nächsten Jahren zumindest für alles außer Zocken langsam aber sicher durchsetzen...
PS: Deine HP is ja echt cool - aber bitte empfiehl niemand, sich den K-Lite-Codecpack zu installieren!!! Für Videos gibts den VLC (www.videolan.org) - der bringt seine eigenen, problemlosen (und v.a. spywarefreien!) Codecs mit...
Und Deinen Eltern wirste ja wohl den Firefox beibringen können - der bedient sich doch genauso (eher noch einfacher)! Ansonsten kannste wohl alle paar Wochen Windows neu installieren...
BTW: Bei einem dermaßen verseuchten System musste übrigens nich nur Windows neu installieren, sondern ALLE Partitionen formatieren! Denn Malware versteckt sich oftmals leider auch auf den anderen Partitionen an den unterschiedlichsten Plätzen und somit wär das frisch installierte System in Minutenschnelle wieder genauso infiziert! Und wennde davon vorher Daten gesichert hast, musste diese natürlich vor dem Zurückkopieren unbedingt auf nem Linuxrechner oder von ner Live-CD aus sorgfältig mit nem aktuellen Virenscanner prüfen...
Und dann schau dir mal Kubuntu an (www.kubuntu.org) - das derzeit wohl benutzer- und auch umsteigerfreundlichste Linux. Denn Internet und Windows kannste mittlerweile echt so ziemlich vergessen und Linux wird sich eh in den nächsten Jahren zumindest für alles außer Zocken langsam aber sicher durchsetzen...
PS: Deine HP is ja echt cool - aber bitte empfiehl niemand, sich den K-Lite-Codecpack zu installieren!!! Für Videos gibts den VLC (www.videolan.org) - der bringt seine eigenen, problemlosen (und v.a. spywarefreien!) Codecs mit...
Zuletzt bearbeitet:
Daniel_23
Grand Admiral Special
Ach komm hör auf mit Linux. Wenn jeder Linux hat gibts dann halt n haufen Viren für Linux. Is doch klar.
@ Sniper: Du könntest versuchen alle Einräge der .exe Dateien in der Registry zu entfernen, mit der Suchfunktion. Dadurch wird die exe des Virus erstmal nicht mehr gestartet. Dann wie schon gesagt den ganzen Krams runter, was nicht wirklich zu Windows gehört.Dann gib den Adminaccount n Passwort, wenn du dir sicher bist daß der Virus weg ist. Den Useraccount gibst du nur eingeschränkte Rechte und auch ein Pw. Das sollte in der Not erstmal reichen.
@ Sniper: Du könntest versuchen alle Einräge der .exe Dateien in der Registry zu entfernen, mit der Suchfunktion. Dadurch wird die exe des Virus erstmal nicht mehr gestartet. Dann wie schon gesagt den ganzen Krams runter, was nicht wirklich zu Windows gehört.Dann gib den Adminaccount n Passwort, wenn du dir sicher bist daß der Virus weg ist. Den Useraccount gibst du nur eingeschränkte Rechte und auch ein Pw. Das sollte in der Not erstmal reichen.
boidsen
Grand Admiral Special
DAU-Alarm!!! ![:]](https://www.planet3dnow.de/vbulletin/images/smilies/rolleyes.gif "Augen rollen (sarkastisch) :]")
Schomal was davon gehört, dass Unix-basierte Systeme aufgrund ihrer vollkommen anderen Struktur grundsätzlich wesentlich schwieriger anzugreifen sind?!?BTW: Linux is mittlerweile nich zuletzt bei Firmen und Behörden weltweit gesehen so weit verbreitet, dass sich die Entwicklung von Malware dafür sehr wohl lohnen würde - zumal damit teilweise auch MacOS angegriffen werden könnte, nur isses eben kaum möglich...
Zuletzt bearbeitet:
Daniel_23
Grand Admiral Special
Weißt du es oder denkst du das?
Am Anfang haben auch alle gesagt Firefox is sicher bis dann mal die erste Sicherheitslücke kam.
Ich denke mal es liegt einfach daran daß Linux&Co nicht verbreitet genug sind bzw zu gut abgesichert sind.
Btw was heißt schwierig anzugreifen- die lücken sind mit Sicherheit da, nur noch nicht gefunden.
Am Anfang haben auch alle gesagt Firefox is sicher bis dann mal die erste Sicherheitslücke kam.
Ich denke mal es liegt einfach daran daß Linux&Co nicht verbreitet genug sind bzw zu gut abgesichert sind.
Btw was heißt schwierig anzugreifen- die lücken sind mit Sicherheit da, nur noch nicht gefunden.
boidsen
Grand Admiral Special
Ich weiß es - und zigtausende anderer Leute wissens noch wesentlich besser und genauer als ich
--> Informier dich halt mal über die Funktionsweisen und Unterschiede der verschiedenen Betriebssysteme - dann musste nich mehr "mal denken", sondern dann weißtes auch
--> Informier dich halt mal über die Funktionsweisen und Unterschiede der verschiedenen Betriebssysteme - dann musste nich mehr "mal denken", sondern dann weißtes auch
Daniel_23
Grand Admiral Special
Och nö da hab ich keine lust zu 
Es kommt auch immer drauf an wie man sein System pflegt. N gut geupdatetes und mit vernünftiger Firewall versehenes ist bestimmt nicht so schnell verwundbar wie ne XP installation ohne sämtliche Updates und Virenschutz.
Es kommt auch immer drauf an wie man sein System pflegt. N gut geupdatetes und mit vernünftiger Firewall versehenes ist bestimmt nicht so schnell verwundbar wie ne XP installation ohne sämtliche Updates und Virenschutz.
boidsen
Grand Admiral Special
Tja, der freiwillige Verzicht auf Bildung und Information is ja mittlerweile zu ner Volkskrankheit geworden - die von Konzernen wie MS weidlich ausgenutzt wird...Och nö da hab ich keine lust zu
Ach nee
--> Kleiner Rückzugsversuch durch Ablenkung mittels Plattitüden 
Zuletzt bearbeitet:
Daniel_23
Grand Admiral Special
Warum? Mich Interessiert Linux einfach nicht. Ich hab ne Knoppix CD da und mir reicht das was ich sehe. Was hat das mit Microsoft zu tun? Ich hab genug andere Sachen gelernt und ich denke ich bin in der Lage selber zu bestimmen was ich wissen will und was nicht.
Außerdem brauch man bei Google nur mal "Sicherheitslücken Linux" einzugeben, da kommen genug Treffer.
Außerdem brauch man bei Google nur mal "Sicherheitslücken Linux" einzugeben, da kommen genug Treffer.
boidsen
Grand Admiral Special
Knoppix kannste doch nich mit nem richtig installierten Linux vergleichen und man hat NIE "genug gelernt" im Leben
Wer Windows nutzt kann nich mehr soviel selber bestimmen in seinem Leben und klar hat auch Linux Lücken - nur sindse eben kaum ausnutzbar...
Wer Windows nutzt kann nich mehr soviel selber bestimmen in seinem Leben und klar hat auch Linux Lücken - nur sindse eben kaum ausnutzbar...
sniper.de
Grand Admiral Special
schönes Thema, aber irgendwie redet ihr am Thread vorbei.
Um mal wieder zurück zu kommen:
Habe alles, was mit den EXEn zu tun hatte, aus der Registry entfernt.. eigentlich stand da nur der Service für die DirectX drin...
Um mal wieder zurück zu kommen:
Habe alles, was mit den EXEn zu tun hatte, aus der Registry entfernt.. eigentlich stand da nur der Service für die DirectX drin...