Mehrere iee3xplorer im taskmanager?

Dieses Thema im Forum "Sicherheit" wurde erstellt von digit333, 28. Februar 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. digit333

    digit333 Byte

    Registriert seit:
    5. Dezember 2002
    Beiträge:
    54
    Hallo @ all

    Der rechner meiner frau ist mitlerweile grottenlangsam geworden..
    Im Tasmanager habe ich bis zu 3 ieexplorer am laufen gesehen obwohl der IE nicht geöffnet wae, der versuch die zu beenden geht zwar aber nach ca 30 sekunden sind die wieder da! Zum teil mit über 26.ooo kb wo kommen die her bzw. wie werde ich die wieder loß?
    Bitte um Hilfe
    gruß digit333

    Pc Duron 1300
    512 DDR Ram

    Anbei hickthis file

    http://www.hijackthis.de/logfiles/ac45882ff2116f1bce2cc988d35c9304.html
     
  2. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    gehe mal in den abgesicherten Modus (F8 beim booten drücken) und fixe (Haken davor und auf "fix checked") folgende Einträge mit HijackThis:
    O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - (no file)
    O2 - BHO: (no name) - {952B04F2-EECA-796B-122E-D670114AE545} - C:\DOKUME~1\Moosi\ANWEND~1\SETTIN~1\two mapi.exe (file missing)
    O2 - BHO: (no name) - {CEE8F154-7314-7D33-4417-CD96D59F7D89} - (no file)
    O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file)
    O4 - HKCU\..\Run: [Pop byte] C:\DOKUME~1\Moosi\ANWEND~1\FORKDO~1\thunk rect.exe
    O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - hxxp://advnt01.com/dialer/int_ver32b.CAB
    O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - hxxp://install.serviceurl.de/StarInstall.ocx
    O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} -hxxp://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab

    dann löschst du folgenden Ordner (immernoch im abgesicherten Modus):
    C:\DOKUME~1\Moosi\ANWEND~1\FORKDO~1

    Die Programme CFMinibar und Military Time sind dir bekannt und aus einer seriösen Quelle?

    Daraufhin machst du einen Onlinescan bei Panda und postest das Ergebnis.



    Grüße Jasager
     
  3. deniz1989

    deniz1989 Byte

    Registriert seit:
    24. Januar 2006
    Beiträge:
    81
    Hallo,

    hast du schon gefixt was nötig war?

    Wenn ja wie läuft der Computer den jetzt??
     
  4. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
  5. digit333

    digit333 Byte

    Registriert seit:
    5. Dezember 2002
    Beiträge:
    54
    Danke Jasager, danke Deniz, für eure schnellen Antworten!

    Wrde die sache gleich mal in die wege leiten, sobald meine frau mich an ihren PC lässt:) , ist grade am chatten...

    Melde mich dann...

    gruß digit
     
  6. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    achso, falls ihr nicht mit DSL ins Internet geht wäre es ev. wichtig den Dialer zu sichern, da ihr im Schadenfall beweisen müßt das die Kosten durch einen dialer verursacht wurden. Weiteres z.B. hier. Aber, wie gesagt, das ist nur problematisch wenn in dem PC ein angeschloßenes Modem existiert.


    Grüße Jasager
     
  7. digit333

    digit333 Byte

    Registriert seit:
    5. Dezember 2002
    Beiträge:
    54
    @ Jasager,

    habe im hijack this die von dir bezeichneten einträge gelöscht,
    allerdings habe ich folgenden eintrag nicht (nichtmehr) gefunden:

    O4 - HKCU\..\Run: [Pop byte] C:\DOKUME~1\Moosi\ANWEND~1\FORKDO~1\thunk rect.exe

    und den Ordner: C:\DOKUME~1\Moosi\ANWEND~1\FORKDO~1
    konnte ich auch nicht finden.
    Im taskmanager geistern weiterhin 3 ieexplorer rum einmal mit ca 24000 kb einmal mit ca. 4500 kb und einer mit ca. 1500 kb !

    Obwohl der IE nicht gestartet ist und wenn ich DSL Verbindung deaktiviere und die dinger lösche bzw. beende sind sie in ein paar sekunden wieder da, EINE IDEE was das ist ?

    PS. zum scann mit Panda komme ich erst morgen vormittag, poste das ergebniss dann..
    Danke für die hilfe bis jetzt:)

    gruß digit
     
  8. digit333

    digit333 Byte

    Registriert seit:
    5. Dezember 2002
    Beiträge:
    54

    Hallo Wolfgang,

    wie kommst denn auf DAS programm....hat meine Frau(leider * grins* ) nicht auf ihrem PC, auch wenn sie alles möglich mal eben runterläd:aua:

    gruß digit:)
     
  9. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    schade gerade der genannte Ordner(bzw. der O4 Eintrag) sollte eigentlich der Knackpunkt sein. Warten wir mal Panda ab, vielleicht hat Ewido allerdings meinen Hauptverdacht(Lop/Swizzor) schon beseitigt und die Einträge sind nur der Rest.

    Edit
    doch das Programm ist/war schon da siehe den O16 Eintrag:
    O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - hxxp://install.serviceurl.de/StarInstall.ocx



    Grüße Jasager
     
  10. digit333

    digit333 Byte

    Registriert seit:
    5. Dezember 2002
    Beiträge:
    54
    Hallo Jasager

    So so hat meine Frau sich einen ****odialer rutergeladen * grins* morgen mal damit ärgern....:bse:

    So werde morgen mal Panda rüberlaufen lassen, für heute feieraben

    gruß digit :)
     
  11. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    der ****odialer kann aber auch durchaus nachgeladen worden sein, oder von einer anderen unseriösen Seite stammen, muss nicht zwingend von ****oseiten stammen. Den Rest machen wir dann morgen.


    Grüße Jasager
     
  12. digit333

    digit333 Byte

    Registriert seit:
    5. Dezember 2002
    Beiträge:
    54
    So, wieder da bin :)

    Habe die datei :
    C:\DOKUME~1\Moosi\ANWEND~1\FORKDO~1

    und im hijack this :
    O4 - HKCU\..\Run: [Pop byte] C:\DOKUME~1\Moosi\ANWEND~1\FORKDO~1\thunk rect.exe

    doch noch gefunden und entfernt!

    Damit warn auch im task manager die ominösen ieexplorer verschwunden * freu*

    Anschließend von adaware,ewido,spybot usw system scannen lassen.... dann mit Panda, wie gewünscht, scannen lassen
    Ich hoffe ihr könnt mir bei den letzten problemen auch noch helfen

    Danke für eure mühe bis jetzt:)

    Hier der bericht von Panda:

    Incident Status Location

    Adware:adware/eshopper Not disinfected C:\WINDOWS\SYSTEM32\eshopperuninstall.exe
    Potentially unwanted tool:application/mywebsearch Not disinfected C:\WINDOWS\SYSTEM32\f3pssavr.scr
    Potentially unwanted tool:application/myway Not disinfected HKEY_CLASSES_ROOT\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}
    Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Moosi\Cookies\moosi@atdmt[1].txt
    Spyware:Cookie/Com.com Not disinfected C:\Dokumente und Einstellungen\Moosi\Cookies\moosi@com[2].txt
    Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Moosi\Cookies\moosi@doubleclick[2].txt
    Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Moosi\Cookies\moosi@mediaplex[1].txt
    Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oozebytewavewipe\2htm.exe
    Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oozebytewavewipe\Knobbias.exe
    Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oozebytewavewipe\Media Meal.exe
    Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oozebytewavewipe\mode peak.exe
    Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oozebytewavewipe\Phone else.exe
    Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oozebytewavewipe\seek dead.exe
    Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oozebytewavewipe\VIEWTRANS.exe
    Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skip Cdrom Multi Memo\PileThunk.exe
    Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skip Cdrom Multi Memo\SendOkay.exe
    Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Moosi\Cookies\moosi@atdmt[1].txt
    Spyware:Cookie/Com.com Not disinfected C:\Dokumente und Einstellungen\Moosi\Cookies\moosi@com[2].txt
    Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Moosi\Cookies\moosi@doubleclick[2].txt
    Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Moosi\Cookies\moosi@mediaplex[1].txt
    Potentially unwanted tool:Application/MyWebSearch Not disinfected C:\Programme\MSN Messenger\riched20.dll
    Potentially unwanted tool:Application/MyWebSearch Not disinfected C:\RECYCLER\S-1-5-21-842925246-1682526488-1060284298-500\Dc5\bar\1.bin\M9PLUGIN.DLL
    Potentially unwanted tool:Application/MyWebSearch Not disinfected C:\RECYCLER\S-1-5-21-842925246-1682526488-1060284298-500\Dc5\bar\1.bin\MGSBAR.DLL
    Potentially unwanted tool:Application/MyWebSearch Not disinfected C:\RECYCLER\S-1-5-21-842925246-1682526488-1060284298-500\Dc5\bar\1.bin\NPMYGLSH.DLL
    Adware:Adware/EShopper Not disinfected C:\WINDOWS\system32\eshopperuninstall.exe
    Incident Status Location

    Adware:adware/eshopper Not disinfected C:\WINDOWS\SYSTEM32\eshopperuninstall.exe
    Potentially unwanted tool:application/mywebsearch Not disinfected C:\WINDOWS\SYSTEM32\f3pssavr.scr
    Potentially unwanted tool:application/myway Not disinfected HKEY_CLASSES_ROOT\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}
    Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Moosi\Cookies\moosi@atdmt[1].txt
    Spyware:Cookie/Com.com Not disinfected C:\Dokumente und Einstellungen\Moosi\Cookies\moosi@com[2].txt
    Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Moosi\Cookies\moosi@doubleclick[2].txt
    Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Moosi\Cookies\moosi@mediaplex[1].txt
    Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oozebytewavewipe\2htm.exe
    Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oozebytewavewipe\Knobbias.exe
    Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oozebytewavewipe\Media Meal.exe
    Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oozebytewavewipe\mode peak.exe
    Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oozebytewavewipe\Phone else.exe
    Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oozebytewavewipe\seek dead.exe
    Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oozebytewavewipe\VIEWTRANS.exe
    Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skip Cdrom Multi Memo\PileThunk.exe
    Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skip Cdrom Multi Memo\SendOkay.exe
    Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Moosi\Cookies\moosi@atdmt[1].txt
    Spyware:Cookie/Com.com Not disinfected C:\Dokumente und Einstellungen\Moosi\Cookies\moosi@com[2].txt
    Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Moosi\Cookies\moosi@doubleclick[2].txt
    Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Moosi\Cookies\moosi@mediaplex[1].txt
    Potentially unwanted tool:Application/MyWebSearch Not disinfected C:\Programme\MSN Messenger\riched20.dll
    Potentially unwanted tool:Application/MyWebSearch Not disinfected C:\RECYCLER\S-1-5-21-842925246-1682526488-1060284298-500\Dc5\bar\1.bin\M9PLUGIN.DLL
    Potentially unwanted tool:Application/MyWebSearch Not disinfected C:\RECYCLER\S-1-5-21-842925246-1682526488-1060284298-500\Dc5\bar\1.bin\MGSBAR.DLL
    Potentially unwanted tool:Application/MyWebSearch Not disinfected C:\RECYCLER\S-1-5-21-842925246-1682526488-1060284298-500\Dc5\bar\1.bin\NPMYGLSH.DLL
    Adware:Adware/EShopper Not disinfected C:\WINDOWS\system32\eshopperuninstall.exe
     
  13. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    folgendes löschst du noch, falls es nicht geht mit killbox on reboot (bei den Ordnern mit deltree):

    C:\WINDOWS\SYSTEM32\eshopperuninstall.exe
    C:\WINDOWS\SYSTEM32\f3pssavr.scr
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oozebytewavewipe
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skip Cdrom Multi Memo\
    C:\Programme\MSN Messenger\riched20.dll


    Grüße Jasager
     
  14. digit333

    digit333 Byte

    Registriert seit:
    5. Dezember 2002
    Beiträge:
    54
    Hallo jasager,

    werde ich, nach chatende meiner frau, umsetzen...
    Die dateien die ich gestern nicht finden konnte: lag daran das ich mich im abgesicherten. als admin und nicht mit dem benutzernamen angemeldet hatte, da wurden sie nicht angezeigt
    Ps: dein link von panda funtzt nur halbwegs, auf der deutschen seite mach er keinen scan, nur wenn auf englische (normal) seite gehst und dich anmeldest funzt die sache

    Also nochmals vielen dank für deine hilfe bis hierhin---
    melde mich nachher nochmal mit ergebniss

    gruß digit
     
  15. digit333

    digit333 Byte

    Registriert seit:
    5. Dezember 2002
    Beiträge:
    54
    Hallo,:)

    Sorry etwas sät geworden..

    sohabe die angesprochenen dateien/einträge gelöscht! Nur C:\Programme\MSN Messenger\riched20.dll
    wird nicht angezeigt/nicht vorhanden ? Jedenfalls kann ich sie nicht löschen!?

    Was ist mit diesem eintrag: Potentially unwanted tool:application/myway Not disinfected HKEY_CLASSES_ROOT\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}
    soll ich den noch in der registry löschen?

    Gruß digit :)
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen