Vesaros
Hallo und liebe grüße miteinander,
ich mach es kurz und schmerzlos, ich habe seit einer langen Zeit das problem das sich einfach die "iexplorer.exe" nicht gewollt öffnet und alle anderen Anwendungen minimiert. Nicht zu verwechseln mit der "IEXPLORER.EXE", ich hab alle Anti Vir, Spy und Trojaner Programme ich (schon seit ich den PC gekauft hab) habe geupdatet und Scannen lassen, doch das ergebnis blieb aus. Und besonders ärgerlich ist es wenn man gerade WoW Spielt und sich das Fenster minimiert sich kurzzeitig (aber auch nur im Taskmanager zu sehen) eine "iexplorer.exe" öffnet und sich nach kurzer Zeit wieder verabschiedet. Nun habe ich einmal die Abstände berechnet in denen sich das Prozedere wiederholt und diese sind nicht synchron, also manchmal alle 5 Minuten dann mal alle 2 Minuten usw...
Nun bitte ich um Hilfe um das Problem endgütlig auszumerzen!
Zu meinem PC:
Seit ich den PC habe (schon in paar Jahre aufn Buckel) habe ich ihn NICHT formatiert, dies hat folgenden Grund, weil die programme welche ich darauf habe nicht oder kaum zu ersetzen sind und mir von höhster wichtigkeit.
Unten angehängt noch meine Hijackthis.log
Danke schoneinmal im vorraus. :)
Haui
Hallo,
| Zitat: |
O4 - HKLM\..\RunOnce: [UIKISI_1] cmd /c del C:\Programme\Gemeinsame Dateien\System Shared\chico.sda
O4 - HKLM\..\RunOnce: [UIKISI_2] cmd /c del C:\Programme\Gemeinsame Dateien\System Shared\chico.sda
O4 - HKLM\..\RunOnce: [UIKISI_3] cmd /c del C:\WINDOWS\system32\wdrvhook.dll |
|
diese drei Dateien sind mir unbekannt. Aber zumindest
C:\WINDOWS\system32\wdrvhook.dll sieht sehr schwer nach Malware aus. Was hast du schon unternommen - d.h. warum sind diese Löschbefehle im Autostart vorhanden?
| Zitat: |
| Nicht zu verwechseln mit der "IEXPLORER.EXE", |
|
Befindet sich die Datei in einem anderen Verzeichnis als
C:\Programme\Internet Explorer\? denn Windows kümmert sich ja nicht um Groß-/Kleinschreibung...
Poste mal ein
Silentrunenrs-Logfile und ein
Runscanner-Logfile (Nach dem Start
Expert Mode bestätigen ->
Scan computer -> warten ->
Save log file)
Dein Betriebssystem ist übrigens nicht auf dem neusten Stand - das Service Pack 3 fehlt...
Vesaros
| Zitat: |
Original von Haui
Hallo,
| Zitat: |
O4 - HKLM\..\RunOnce: [UIKISI_1] cmd /c del C:\Programme\Gemeinsame Dateien\System Shared\chico.sda
O4 - HKLM\..\RunOnce: [UIKISI_2] cmd /c del C:\Programme\Gemeinsame Dateien\System Shared\chico.sda
O4 - HKLM\..\RunOnce: [UIKISI_3] cmd /c del C:\WINDOWS\system32\wdrvhook.dll |
|
diese drei Dateien sind mir unbekannt. Aber zumindest C:\WINDOWS\system32\wdrvhook.dll sieht sehr schwer nach Malware aus. Was hast du schon unternommen - d.h. warum sind diese Löschbefehle im Autostart vorhanden?
|
|
Unternommen habe ich nichts, zumindest nichts bewusstes, möglich das eine Installtion diverser Programme diese hervorgerufen hat?
| Zitat: |
| Nicht zu verwechseln mit der "IEXPLORER.EXE", |
|
| Zitat: |
| Befindet sich die Datei in einem anderen Verzeichnis als C:\Programme\Internet Explorer\? denn Windows kümmert sich ja nicht um Groß-/Kleinschreibung... |
|
Nein befindet sich im selbigem verzeichnis, nur was mich stört ist das irgendein Befehl diese startet und womöglich etwas "schlimmes" treibt und dann wieder schließt. Und während dieses Treibens werden alle laufenden Anwendungen komplett minimiert...
| Zitat: |
Poste mal ein Silentrunenrs-Logfile und ein Runscanner-Logfile (Nach dem Start Expert Mode bestätigen -> Scan computer -> warten -> Save log file)
Dein Betriebssystem ist übrigens nicht auf dem neusten Stand - das Service Pack 3 fehlt... |
|
Wird noch updatet in kürze.
---------------------------------------------------------------------------
Update:
- Service Pack 3 Installiert
- Problem eingegrentzt:
Und zwar habe ich die SyGate Firewall installiert um zu sehen welcher Prozess dafür verantwortlich ist das die "iexplorer.exe" geöffnet wird und alle anderen Maximierten anwendungen minimiert werden.
SyGate erkennt dies als -> ndisuio.sys an.
Leider weiß ich nicht wie ich diese Terminieren kann und ob ich diese überhaupt Terminieren darf.
Haui
| Zitat: |
Original von Vesaros
Und zwar habe ich die SyGate Firewall installiert um zu sehen welcher Prozess dafür verantwortlich ist das die "iexplorer.exe" geöffnet wird und alle anderen Maximierten anwendungen minimiert werden.
SyGate erkennt dies als -> ndisuio.sys an.
Leider weiß ich nicht wie ich diese Terminieren kann und ob ich diese überhaupt Terminieren darf. |
|
Wenn diese Datei sich im richtigen Ordner befindet (
C:\Windows\System32\drivers) dann ist sie nicht schädlich.
Zu den Logs: entweder die Malware versteckt sich sehr gut, oder aber ich habe was übersehen - denn etwas direkt schädliches kann ich nicht entdecken - mal abgesehen von diesen Einträgen:
| code: |
1:
2:
|
047 Zone: 77.221.133.173 : http://77.221.133.173
048 Zone: 77.221.133.173 : http://77.221.133.173 |
|
Poste mal noch die Logs von
Blacklight (liegt nach dem Scan im gleichen Verzeichnis wie die fsbl.exe und heißt
fsbl-*ZAHLENFOLGE*.log) sowie von
GMER (Entpacken -> starten-> sicherstellen, dass oben der Reiter
Rootkit/Malware ausgewählt ist ->
Scan -> warten ->
Save)
Ich würde mich aber schon mal auf ein Neuaufsetzen einstellen - wenn sich etwas so gut versteckt ist das kein gutes Zeichen...
BTW: Handelt es sich überhaupt um eine legale Windows-Kopie? ->
C:\WINDOWS\system32\antiwpa.dll
dedie
C:\WINDOWS\system32\cc32\webtmr.exe
gehört meines wissens zu Kindersicherungs-Software, gibt es sowas auf deinem Rechner?
Ist der gewollt?
C:\WINDOWS\system32\wbem\wmiprvse.exe
Was ist wmiprvse.exe?
PS: Die "ndisuio.sys" stellt eine schnittstelle für kabelose verbindungen her.
Vesaros
| Zitat: |
Original von Haui
| Zitat: |
Original von Vesaros
Und zwar habe ich die SyGate Firewall installiert um zu sehen welcher Prozess dafür verantwortlich ist das die "iexplorer.exe" geöffnet wird und alle anderen Maximierten anwendungen minimiert werden.
SyGate erkennt dies als -> ndisuio.sys an.
Leider weiß ich nicht wie ich diese Terminieren kann und ob ich diese überhaupt Terminieren darf. |
|
Wenn diese Datei sich im richtigen Ordner befindet (C:\Windows\System32\drivers) dann ist sie nicht schädlich.
Zu den Logs: entweder die Malware versteckt sich sehr gut, oder aber ich habe was übersehen - denn etwas direkt schädliches kann ich nicht entdecken - mal abgesehen von diesen Einträgen:
| code: |
1:
2:
|
047 Zone: 77.221.133.173 : http://77.221.133.173
048 Zone: 77.221.133.173 : http://77.221.133.173 |
|
Poste mal noch die Logs von Blacklight (liegt nach dem Scan im gleichen Verzeichnis wie die fsbl.exe und heißt fsbl-*ZAHLENFOLGE*.log) sowie von GMER (Entpacken -> starten-> sicherstellen, dass oben der Reiter Rootkit/Malware ausgewählt ist -> Scan -> warten -> Save)
Ich würde mich aber schon mal auf ein Neuaufsetzen einstellen - wenn sich etwas so gut versteckt ist das kein gutes Zeichen...
BTW: Handelt es sich überhaupt um eine legale Windows-Kopie? -> C:\WINDOWS\system32\antiwpa.dll |
|
Logs unten angehängt. neu aufsetzen klingt nicht gerade erfreulich...
(Deine 2 Vorschläge haben jeweils unfreundliche Erignisse gefunden)
Ja es handelt sich um eine Orginale WinProf. Edition nur damals hatte ich kein Internet um die 30 tage Frist los zu werden und das Telefonat damals war mir zu teuer somit WPA Killer. Aber gute Idee, wird nachgeholt.
| Zitat: |
Original von dedie
C:\WINDOWS\system32\cc32\webtmr.exe
gehört meines wissens zu Kindersicherungs-Software, gibt es sowas auf deinem Rechner?
Ist der gewollt?
C:\WINDOWS\system32\wbem\wmiprvse.exe
Was ist wmiprvse.exe?
PS: Die "ndisuio.sys" stellt eine schnittstelle für kabelose verbindungen her. |
|
Nein explizit keine Kindersicherungs Software, datei dennoch gefunden und Terminiert.
wmiprvse.exe ist nicht gewollt und war in Unterschiedlichen verzeichnissen zu finden, alle bis auf die in /wbem terminiert.
Wie schalte ich diese komplett ab?
Zur "ndisuio.sys" hat diese etwas mit der Drahlosen Konfiguration in der Verwaltung zu tun?
Danke im vorraus für die Hilfe. :)
Haui
Wie vermutet...da hat sich ein Rootkit bei dir eingeschlichen (sieht man ja in beiden Logs). Das dürfte der Verantwortliche sein und ich kann dir somit nur raten das System neu aufzusetzen. Eine - wie auch immer geartete - Bereinigung würde in keinem Fall wieder ein absolut vertrauenswürdiges System zur Folge haben. Daher kann ich an dieser Stelle eigentlich nur noch hierauf verweisen:
->
Anleitung zum Neuaufsetzen
Vesaros
Nun da ich leider nichts von Rootkits verstehe, würde ich gerne ein paar Fragen stellen.
Was genau bewirken diese?
Was ist laut den Logs betroffen und "infiziert"?
Ist die Registry betroffen und wenn ja, ist es möglich wenigstens diese zu Säubern und ein Save anzulegen für das neu auferlegte System?
Wäre es sinnvoll alle Partitionen zu Formatieren oder reicht nur die Windows Parition + "gesäuberter" Registry Import?
Gibt es ein Programm mit welchem man die übersicht leichter gestaltet bekommt über die Registry?
~.~ *geht gleich weinen*
Danke für die Hilfe :/
Vimes
rootkit:
http://de.wikipedia.org/wiki/Rootkit
Kurz gesagt: Wer so was drauf hat, hat verloren.
Dann hat nämlich jemand anders es sich auf dem System gemütlich gemacht - und zwar so gemütlich, daß er die Spuren (größtenteils) verwischt und damit eine Entdeckung sehr schwer gemacht hat. Und er hat natürlich root- bzw. Administratorenrechte (für *nix bzw. Windows).
Generell gilt: Ist der Rechner befallen, ist es müßig, da rumdoktorn zu wollen - außer, man kennt sich wirklich gut aus und hat viel Zeit. Die Experten bei de.comp.security.misc rechnen mit 2 Tagen bis eine Woche für die Forensik - Fulltime, und das sind dann Profis. Der Laie hat keine Chance, weil heutzutage Code routinemäßig nachgeladen wird und die Virenkiller nicht alles finden (können).
Ganzes System platt machen, neu aufsetzen, rauskriegen, wie der Angriff durchgeführt wurde und diese Lücke schließen.
MfG
Vimes
Haui
| Zitat: |
Original von Vesaros
Was ist laut den Logs betroffen und "infiziert"? |
|
Im Blacklight-Logfile:
| code: |
1:
2:
3:
4:
5:
6:
|
12/06/0816:14:46[Info]:Hiddenprocess:C:\WINDOWS\system32\.4f9fa8f8d1f48811\4f9fa8f8d1f48811.exe
12/06/0816:21:48[Info]:Hiddenfile:c:\WINDOWS\system32\.4f9fa8f8d1f48811\4f9fa8f8d1f48811.AT.config
12/06/0816:21:48[Info]:Hiddenfile:c:\WINDOWS\system32\.4f9fa8f8d1f48811\4f9fa8f8d1f48811.core.dll
12/06/0816:21:48[Info]:Hiddenfile:C:\WINDOWS\system32\.4f9fa8f8d1f48811\4f9fa8f8d1f48811.exe
12/06/0816:21:48[Info]:Hiddenfile:c:\WINDOWS\system32\.4f9fa8f8d1f48811\4f9fa8f8d1f48811.ServerPlugin.config |
|
Im GMER-Log tauchen diese Einträge ebenfalls auf.
| Zitat: |
| Ist die Registry betroffen und wenn ja, ist es möglich wenigstens diese zu Säubern und ein Save anzulegen für das neu auferlegte System? |
|
Ja, sie ist "betroffen" und nein, ich sehe weder eine Möglichkeit, noch einen Sinn darin, sie zu "säubern". Was meinst du denn wäre so wichtiges in der Registry, was du auf dem neuen System unbedingt wieder brauchst?
| Zitat: |
Wäre es sinnvoll alle Partitionen zu Formatieren oder reicht nur die Windows Parition + "gesäuberter" Registry Import? |
|
Es sollte idR reichen nur die Systempartition zu formatieren - das mit der Registry würde ich mir wie gesagt gleich wieder aus dem Kopf schlagen
Vesaros
Soooo....
System neu aufgesetzt, musste mich somit von meinen vielen nicht
wieder ersetzbaren Programmen trennen, aber nun nachdem das
System neu aufgesetzt wurde, habe ich ein Problem welches ich einfach
nicht Lösen kann... und zwar den Sound.
Hab alles mögliche versucht aber es funktioniert nichts...
Hab ein ASRock 775i65PE Mainboard mit nem Realtek AC'97 Audio Treiber Sound on Board.
Meine vermutung...SP3, da als ich die On-Board treiber Installierte, der
Sound noch ging, sobald ich aber SP3 mit den Windows Updates
akutalisiert habe, PC neu gestartet und Sound weg....
Ich weiß dies ist ein Anti Viren Bereich, aber ich wäre euch sehr Dankbar
wenn ihr mir bei meinem letzen Problem noch helfen würdet.
Gruß Vesa
Hertener
Yo, wie sieht's im Gerätemanager aus? Gelbes Ausrufezeichen?
Vielleicht einfach mal den Treiber nochmal drüber bügeln?
Mehr fällt mir dazu momentan nicht ein.
HTH
Vesaros
| Zitat: |
Original von Hertener
Yo, wie sieht's im Gerätemanager aus? Gelbes Ausrufezeichen?
Vielleicht einfach mal den Treiber nochmal drüber bügeln?
Mehr fällt mir dazu momentan nicht ein.
HTH
|
|
Ebenfalls alles versucht, die Hardware wird normal erkannt und der
Treiber scheint normal Installiert zu sein. Also kein gelbes
Ausrufezeichen. habe auch andere Boxen und auch Kopfhörer versucht
anzuschließen, blieb ebenfalls erfolgslos.
dedie
Es gab da mal ein Problem mit Realtek in verbindung mit einem Windowspatch, bloß im moment will mir einfach nix gescheites dazu einfallen
Hertener
Mhm, ist der Treiber denn aktuell?
Und Windows ist auf c:\ installiert?
Nachtrag:
klick
Vesaros
| Zitat: |
Original von dedie
Es gab da mal ein Problem mit Realtek in verbindung mit einem Windowspatch, bloß im moment will mir einfach nix gescheites dazu einfallen
|
|
Hmm da bist du dir sicher?...sonst wäre dies Fatal und ich hätt doch
wieder meinen WPA Killer nutzen sollen...
| Zitat: |
Original von Hertener
Mhm, ist der Treiber denn aktuell?
Und Windows ist auf c:\ installiert?
|
|
Auch mit dem Aktuellsten Treiber funktionierte nichts somit wieder den
Standart Treiber von der CD versucht zu Installieren, beides führte zu
keinem Ergebnis. Und man kann den Pfad bei der Installation nicht
aussuchen :)
//EDIT: @Hertner: Zu deinem Nachtrag da kann ich irgendwie leider garnichts damit anfangen...als Laie blick ich da nicht durch. :/
Hertener
Hier noch was zu dem Realtek-Problem:
wintotal
"Ursache ist das Microsoft UAA Bus Driver for High Definition Audio."
Das wird auch in dem von mir oben verlinkten Blog erwähnt.
Vesaros
| Zitat: |
Original von Hertener
Hier noch was zu dem Realtek-Problem: wintotal
"Ursache ist das Microsoft UAA Bus Driver for High Definition Audio."
Das wird auch in dem von mir oben verlinkten Blog erwähnt.
|
|
Ich würde ja gerne die Schritte versuchen aber:
"2.) Microsoft UAA Bus Driver for High Definition Audio unter Systemgeräte deaktivieren"
In meinem geräte Manager finde ich kein "Microsoft UAA Bus Driver for
High Definition Audio" was nun?
Hertener
Also, laut
MS-KB dient die UAA (Universal Audio Architecture) dazu, die Standard-Audiolösung AC’97 zu ersetzen. Deinstalliere doch mal den Realtek-Treiber und probiere, ob die Soundkarte über die UAA läuft.
EDIT:
Ja, ich weiß, die UAA fehlt bei Dir. Aber wenn's trotzdem läuft, dann siehst Du sie nur nicht.
Wenn's nicht läuft, würde ich einfach nochmal den SP3 drüberbügeln. Irgendwo 'muss' die UAA herkommen.
Vesaros
Also ich hab jetzt die UAA File geladen dort finde ich dann eine .zip Datei,
darin komme ich zur einer Auswahl von Sprachen. "ger" habe ich
gewählt. Nun sind 4 ".exe" in diesem Ordner:
KB888111w2ksp4.exe - supports Windows 2000 SP4
KB888111xpsp1.exe - supports Windows XP SP1.
KB888111xpsp2.exe - supports Windows Xp SP2.
KB888111srvrtm.exe - supports Windows Server 2003 Standard (32-bit version only).
Dort ist nichts für SP3 vorhanden und sollte ich versuchen xpsp2.exe zu
starten kommt ein Error:
"Die Service Pack-Version dieses Systems ist neuer als das Update das
sie installieren möchten. Das Update muss nicht Installiert werden"
Sollte dies der moment sein an dem ich beginnen kann zu verzweifeln?
Ich scheine nicht der einzigste mit diesem Problem zu sein ->
| Zitat: |
Bei einem Rechner eines Kunden tritt das Problem auf das dieser keinen Sound abspielt.
Rechner:
OS WinXP Pro SP3
ATI 3800 Series
Realtek HDA
So nun das Problem, die Treiber wurden Ordungsgemäß installiert (kein Konflikt im Gerätemanager) doch es kommt einfach kein Ton heraus.
Im BIOS HDA auf enable, somit da schon OK.
Der Realtek wurde auch für Wiedergabe und der Gleichen ausgewählt, auch OK.
Das Mainboard hat keinen HW fehler, ist auch schon ausgeschlossen.
Hotfix (z.B. KB888111) schon vorhanden.
Auf 6 Baugleichen Rechnern mit der identischen Installation läuft der Sound.
Boxen funktionieren auch.
Bin da nun ratlos, kann mir jemand helfen?
Danke im Vorraus
|
|