iexplore.exe lässt sich nicht beenden

Danny Debilo · 25.07.2010, 21:13

Moinsen,
wär euch sehr dankbar, wenn ihr euch mal meine HiJackThis Log.File angucken könnt. Mein Rechner hat seit einigen Tagen irgendwelche Macken... Zum einen ertönt andauernd das typische "Mausklick-Geräusch" manchmal auch schnell hintereinander und alles ohne, dass ich gerade irgendetwas an der Maus Drücke. Für den Moment geht die CPU-Auslastung immer hoch, was man bei der Anwendung iexplore.exe sehen kannt. Die Anwendung lässt sich nicht mehr beenden und das obwohl ich immer mit Firefox ins Netz geh. Kein Plan, ob das irgendwie zusammenhängt...auf jeden Fall stresst es.
Achja und manchmal ertönen auch irgendwelche sounds, die ich noch nie gehört habe, mal ein Stück aus einem Lied, mal ein kurzen Piepen. Klingt oft wie Cookies. Während ich schreibe verschwindet auch manchmal der Strich, der mir zeigt, wo im Text ich bin....das Fenster wird quasi abfixiert.

Habe bisher folgendes unternommen:

- Antivir Luke Firewalker Komplett-Scan gemacht
- Spybot Search & Destroy drüberlaufen lassen
- Malwarebytes drüberlaufen lassen
- Systemwiederherstellung auf eine Woche vorher, wo die Macken noch nicht da waren
natürlich alles im abgesicherten Modus mit Einsicht in alle Ordner. Auch hab ich die Progis vorher ordentlich geupdated (wenn man das so schreibt)

Danach hab ich ne HiJackThis Log.File erstellt, der unten zu sehen ist. An meiner Lage hat sich nichts geändert, der PC hat noch die gleichen Probs.

Die Log.File:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:53:15, on 21.07.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\*****\Desktop\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Programme\Lexmark 1200 Series\lxczbmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/Driver...sysreqlab3.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys

Wär euch sehr dankbar, wenn ihr euch das mal anguckt und eure Meinung sagt.
Peace
Danny

Gorthaur · 26.07.2010, 08:12

Ahoi!

Die Logfile sieht soweit ganz gut aus, lediglich die Nvidia-Treiber bergen ein gewisses Risiko. Hier kannst du dir die Logfile auch automatisch auswerten lassen.

Ansonsten solltest du alle unnötigen Prozesse, also alles außer Virenscanner u. Firewall aus dem Autostart (Start > Ausführen > msconfig) nehmen.

Evtl. hilft dir auch ein Online-Virenscan weiter. Sollte sich tatsächlich etwas in deinem System eingenistet haben, ist es möglich, dass Antivir bereits korumpiert wurde, und die Schadsoftware nicht mehr findet. Online-Scans bieten viele Anbieter von Virenscannern an; einfach mal google fragen.

Danny Debilo · 26.07.2010, 13:04

Alsooo......
Erst ma danke für die Antwort.
Zweitens: Hab das mal versucht mit msconfig > Systemstart.....also...hab nicht alles deaktiviert, aber zumindest das, was ich sowieso nicht so oft benutze....PLUS sw20.exe und sw24.exe, die ich besser nicht deaktiviert hätte. Nach dem Neustart kam nämlich eine üble Fehlermeldung, die mir sagte, der PC wird in 1er Minute runtergefahren weil services.exe iwelche Macken hat. Habs dann iwi geschafft, das in msconfig wieder rückgängig zu machen.
So, und nun zum wichtigsten Teil.... Die Anwendung iexplore.exe is nicht mehr bei den Prozessen aufgelistet, die Mausklicks und nervigen Popups kommen TROTZDEM noch.
Achja, vielleicht is es hilfreich zu erwähnen, dass mein PC heute morgen einfach abgeschmiert ist, quasi von 100 auf 0 in 1er Sekunde^^ Danach war die Anwendung wech.

Seltsame Welt...

Werd mal nen Onlinescan machen...und dann noch mal Bericht erstatten.

Peace
Danny

Gorthaur · 26.07.2010, 15:15

Also bei einem "gesunden" System kann man problemlos alle Systemstarteinträge deaktivieren ohne deratige Meldungen zu bekommen. Was dir da mit dieser sw20.exe und service.exe passiert ist, halte ich für sehr verdächtig.

Generell sollte man die Anwendungen im Systemstart immer im Auge behalten, und alles, was nicht benötigt wird, deaktivieren - denn leider glaubt heutzutage jedes noch so unwichtige Programm sich in den Systemstart eintragen zu müssen was in 90% der Fälle überflüssig ist und nur auf die Performance drückt.

Lies dir mal diese Anleitung durch und fertige nach den genannten Vorgaben eine neue Logfile an...

Danny Debilo · 26.07.2010, 23:53

Hab die Anweisungen befolgt. Die Schritte 1 bis 5 hab ich ja schon ordnungsgemäß durchgeführt, auch hab ich vorher die updates der diversen Progis gemacht, sowie alle Ordner sichtbar gemacht. Sogar bei Spybot S&D hab ich die Einstellungen vorgenommen und alles im abgesicherten Modus gemacht....
Hab jetzt auch Schritt 6 gemacht mit allem, was dazugehört.
Die filelist wegen allem, was die letzten 30. Tage so abging auf meinem Rechner is beim Anhang dabei.

Eine Sache hab ich aber iwi verhauen. Hab nen Online Scan gemacht mit BitDefender, hat wunderbar geklappt. Wollte die LogFile posten, aber der Anhang war zu groß...so hab ich die Datei soweit verstümmelt, bis sie klein genug, jedoch zu undetailliert war^^ also gelöscht und noch nen Online Scan gestartet...ging aber nicht mehr seltsamerweise.....
Fazit:
Krieg die LogFile nicht wieder. Kaspersky nimmt auch grad Wartungsarbeiten vor, weswegen DER Online Scan nicht verfügbar ist zur Zeit.
Kann mich aber noch daran erinnern, das der BitDefender Online Scan gesagt hat, dass über 400 versteckte Prozesse über Internet Explorer laufen.

Achja, zu aller Überraschung...die Anwndung "iexplore.exe" ist wieder aktiv, jedoch unsichtbar. Hab mal mit "Security Task Manager" nachgeguckt. Der schätzt die Anwendung als ungefährlich ein, behauptet aber folgendes:

"Nicht sichtbares Fenster
Keine Windows System Datei
Sendet an 92.197.129.6 auf Port www, , lauscht auf Port 1564."

&

"Es wurde ein Port geöffnet, um Informationen von außen zu empfangen oder dorthin zu senden."
"<Unbekanntes Programm lauscht oder sendet>"

Zur filelist:
Das sind alle Infos über die letzten 30 Tage

Gruß
Danny

Gorthaur · 27.07.2010, 08:11

Zitat:

Zitat von Danny Debilo

Kann mich aber noch daran erinnern, das der BitDefender Online Scan gesagt hat, dass über 400 versteckte Prozesse über Internet Explorer laufen.

Hört sich an, als hättest du dir dein System über den Internet Explorer ordentlich verseucht. Da du (wie mir gerade bei deiner Logfile auffällt) auch eine total veraltete und damit äußerst unsichere Version des Exploeres installiert hast, ist das auch kein Wunder.

Zitat:

Zitat von Danny Debilo

Achja, zu aller Überraschung...die Anwndung "iexplore.exe" ist wieder aktiv, jedoch unsichtbar. Hab mal mit "Security Task Manager" nachgeguckt. Der schätzt die Anwendung als ungefährlich ein, behauptet aber folgendes:

"Nicht sichtbares Fenster
Keine Windows System Datei
Sendet an 92.197.129.6 auf Port www, , lauscht auf Port 1564."

&

"Es wurde ein Port geöffnet, um Informationen von außen zu empfangen oder dorthin zu senden."
"<Unbekanntes Programm lauscht oder sendet>"

Naja, die iexplore.exe ist ja eigentlich auch nichts anderes als der Internet Exploerer und im Normalfall ungefährlich. Wenn der Prozess allerdings im Hintergrund läuft, obwohl du den Explorer nicht gestartet hast, ist dass nur ein Indiz mehr, dass dein Internet Explorer ein Eigenleben entwickelt hat.

Ich bin leider kein Experte auf dem Gebiet der virtuellen Schädlingsbekämpfung (ich selbst hatte damit nie ernsthafe Probleme), aber dennoch kann ich dir sagen, dass du dir dein System offenbar ordentlich verseucht hast und das die Bereinigung vermutlich langwierig und schwierig werden wird (McFly wäre da der richtige Ansprechpartner um dir zu helfen).

Hast du mal in Betracht gezogen, dass System neu aufzusetzen? Das geht womöglich schneller und einfacher als das Ausmerzen der Schadsoftware auf deinem Rechner...

McFly · 28.07.2010, 06:37

Hallo zusammen, wenn Bitdefender meint das " 400 versteckte Prozesse " laufen hast du nicht nur einen Schädling on Board, sondern eher eine ganze Reihe von Trojans eingefangen.

Besorg dir bitte die Rettungs CD unten in meiner Signatur brenne diese und geh Offline, lass dann von der CD booten und komplett scannen.

Logfile posten oder packen und posten, Dateien die dir verdächtig vorkommen (Nur aus System / System32 verzeichnis) kopieren, packen und mir schicken als Betreff bitte "verdächtig" eingeben und wo du diese genau gefunden hast.

an : jack-66[at]arcor.de

Ausserdem würde ich den Browser wechseln, am besten Firefox oder Opera, nicht Chrome da der einige Sicherheitslücken hat.
Desweiteren besorge dir das Programm Secunia PSI, es ist kostenlos und zeigt dir veraltete Programme auf deinem Rechner an, die ein Update brauchen und damit ein Sicherheitsproblem sein können.

Danny Debilo · 30.07.2010, 14:28

@Gorthaur

Zitat:

Hört sich an, als hättest du dir dein System über den Internet Explorer ordentlich verseucht. Da du (wie mir gerade bei deiner Logfile auffällt) auch eine total veraltete und damit äußerst unsichere Version des Exploeres installiert hast, ist das auch kein Wunder.

Ja, ich weiß zumindest schon mal, was ich beim nächsten Mal anders mache

Zitat:

Hast du mal in Betracht gezogen, dass System neu aufzusetzen? Das geht womöglich schneller und einfacher als das Ausmerzen der Schadsoftware auf deinem Rechner...

Sicherlich habe ich das, werd ich auch sehr bald tun, dachte nur, dass ich mein System von eventuellen Infizierungen befreie, bevor ich mein BackUp erstell.

PS: Ich liebe das Silmarillion

@McFly

Erst Mal danke, dass du dir die Zeit nimmst.

Zitat:

Besorg dir bitte die Rettungs CD unten in meiner Signatur brenne diese und geh Offline, lass dann von der CD booten und komplett scannen.

Hab deine Anweisungen befolgt, jedoch trat beim Booten von der Disk jedes Mal das selbe Problem auf:
Beim Suchen der Hardware blieb die Leiste jedes Mal bei 98% stehen, als ob eine bestimmte Hardware nicht gefunden werden konnte.
Des weiteren stand direkt im Anschluss auf die 98%:
"Einbetten der Geräte
/dev/fdo 0%"

&

"Status: Virusscanner nicht gestartet"

Jetzt stellt sich eben die Frage, ob ich kaputte (nicht installierbare) Hardware am Rechner hab, oder ob beim Brennen der Boot-CD 'was schiefgelaufen ist.
Möglicherweise hab ich auch einfach nur die falsche Datei heruntergeladen...
Geht man auf deinen Link, gibt es 2 Dateien unter dem Namen "Avira AntiVir Rescue System".
Hab die Datei mit dem CD-Icon runtergeladen und anschließend als Boot-Disk gebrannt.
Hätte ich die Anwendunsdatei mit selbigem Namen ebenfalls downloaden und mitbrennen sollen?

Zitat:

Ausserdem würde ich den Browser wechseln, am besten Firefox oder Opera, nicht Chrome da der einige Sicherheitslücken hat.

Ich benutze nie den Internet Explorer. Gehe immer mit Firefox in's Netz, das ich auch regelmäßig update. Genau deshalb ist es ja so seltsam, dass die Anwendung iexplore.exe im Hintergrund (versteckt) läuft und Daten sendet bzw. empfängt.

Gruß
Danny

Gorthaur · 02.08.2010, 11:52

Zitat:

Zitat von Danny Debilo

PS: Ich liebe das Silmarillion

Dann kann ich dir Die Kinder Húrins empfehlen.

Das ist zwar die gleiche Geschichte wie im Silmarillon, aber dafür etwas detailierter und veredelt mit tollen Bildern von Alan Lee; macht auf jeden Fall Lust zum erneuten Lesen..

Danny Debilo · 11.08.2010, 21:33

Hey noch mal,
McFly, du hast hoffentlich den Teil meines letzten Posts, der an dich gerichtet war, gelesen.

Hatte mich übrigens mit den angeblich 400 versteckten Prozessen geirrt...Bitdefender hatte lediglich gesagt:

Zitat:

QuickScan Beta 32-bit v0.9.9.30
-------------------------------
Überprüfungsdatum: Thu Aug 05 13:35:18 2010
Computer ID: DCD02037

Vorgang IEXPLORE.EXE (2872) - versteckte Prozesse!
Vorgang IEXPLORE.EXE (2948) - versteckte Prozesse!

Keine Infizierungen gefunden.

Die Nummer der Fehelermeldung hatte wohl nur die Bezeichnung "Vorgang IEXPLORE.EXE (400) oder (4000)"

Jedoch hat sich einiges verbessert, seit ich ein Paar weitere Schritte unternommen hab. Das Mausklickgeräusch ist nicht mehr da und auch die Popup-Sounds kommen nicht mehr.

Hab folgendes unternommen:

- Pecunia PSI installiert und alle alte oder unsichere Programme aktualisiert / deinstalliert.
- Panda AntiRootkit Pavark installiert und laufen lassen. Konnte jedoch nichts finden.
- Regcleaner installiert und alte Registrydateien aus der Registry gelöscht.
- Das selbe auch mit CCleaner

Also...hab gerade noch mal Security Task Manager angehauen. Die IEXPLORE.EXE war nicht mehr bei den Prozessen, jedoch sagt mir ein neuer Bitdefender Online Scan folgendes:

Zitat:

Autoruns und kritische Dateien
------------------------------
<verifiziert> AntiVir Desktop C:\Programme\Avira\AntiVir Desktop\avgnt.exe
<verifiziert> Apple Software Update C:\Programme\Apple Software Update\SoftwareUpdate.exe
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\browseui.dll
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\crypt32.dll
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\cscdll.dll
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\logonui.exe
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\sclgntfy.dll
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\shell32.dll
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\stobject.dll
<verifiziert> Betriebssystem Microsoft® Windows® c:\windows\system32\userinit.exe
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\wlnotify.dll
<verifiziert> Microsoft® Windows® Operating System C:\WINDOWS\system32\cryptnet.dll
<verifiziert> Microsoft® Windows® Operating System C:\WINDOWS\system32\ctfmon.exe
<verifiziert> Microsoft® Windows® Operating System C:\WINDOWS\system32\dumprep.exe
<verifiziert> NVIDIA Compatible Windows 2000 Display C:\WINDOWS\system32\nvcpl.dll
<verifiziert> NVIDIA Media Center Library C:\WINDOWS\system32\nvmctray.dll
<verifiziert> nwiz.exe C:\WINDOWS\system32\nwiz.exe
<verifiziert> Secunia PSI C:\Programme\Secunia\PSI\psi.exe
<verifiziert> sw20 Application C:\WINDOWS\system32\sw20.exe
<verifiziert> sw24.exe C:\WINDOWS\system32\sw24.exe
<verifiziert> Windows® Internet Explorer C:\WINDOWS\system32\webcheck.dll

SOWIE

fahlende Dateien
----------------
Datei nicht gefunden: C:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll
--> HLKM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0\"Path"

Datei nicht gefunden: C:\WINDOWS\System32\hidserv.dll
--> HKLM\System\ControlSet001\services\HidServ\Paramet ers\"ServiceDll"

Wenn sich das einer noch mal angucken könnte...