 iexplore.exe Anwendung |
|
Vesaros
Mitglied
Dabei seit: 05.12.2008
Beiträge: 15
Level: 25 [?]
Erfahrungspunkte: 87.649
Nächster Level: 100.000
 |
|
Hallo und liebe grüße miteinander,
ich mach es kurz und schmerzlos, ich habe seit einer langen Zeit das problem das sich einfach die "iexplorer.exe" nicht gewollt öffnet und alle anderen Anwendungen minimiert. Nicht zu verwechseln mit der "IEXPLORER.EXE", ich hab alle Anti Vir, Spy und Trojaner Programme ich (schon seit ich den PC gekauft hab) habe geupdatet und Scannen lassen, doch das ergebnis blieb aus. Und besonders ärgerlich ist es wenn man gerade WoW Spielt und sich das Fenster minimiert sich kurzzeitig (aber auch nur im Taskmanager zu sehen) eine "iexplorer.exe" öffnet und sich nach kurzer Zeit wieder verabschiedet. Nun habe ich einmal die Abstände berechnet in denen sich das Prozedere wiederholt und diese sind nicht synchron, also manchmal alle 5 Minuten dann mal alle 2 Minuten usw...
Nun bitte ich um Hilfe um das Problem endgütlig auszumerzen! 
Zu meinem PC:
Seit ich den PC habe (schon in paar Jahre aufn Buckel) habe ich ihn NICHT formatiert, dies hat folgenden Grund, weil die programme welche ich darauf habe nicht oder kaum zu ersetzen sind und mir von höhster wichtigkeit.
Unten angehängt noch meine Hijackthis.log
Danke schoneinmal im vorraus. :)
|
|
05.12.2008 21:57 |
|
|
| |
|
Haui 
Haudegen
Dabei seit: 29.04.2005
Beiträge: 522
Level: 44 [?]
Erfahrungspunkte: 3.737.203
Nächster Level: 4.297.834
|
|
Hallo,
| Zitat: |
O4 - HKLM\..\RunOnce: [UIKISI_1] cmd /c del C:\Programme\Gemeinsame Dateien\System Shared\chico.sda
O4 - HKLM\..\RunOnce: [UIKISI_2] cmd /c del C:\Programme\Gemeinsame Dateien\System Shared\chico.sda
O4 - HKLM\..\RunOnce: [UIKISI_3] cmd /c del C:\WINDOWS\system32\wdrvhook.dll |
|
diese drei Dateien sind mir unbekannt. Aber zumindest C:\WINDOWS\system32\wdrvhook.dll sieht sehr schwer nach Malware aus. Was hast du schon unternommen - d.h. warum sind diese Löschbefehle im Autostart vorhanden?
| Zitat: |
| Nicht zu verwechseln mit der "IEXPLORER.EXE", |
|
Befindet sich die Datei in einem anderen Verzeichnis als C:\Programme\Internet Explorer\? denn Windows kümmert sich ja nicht um Groß-/Kleinschreibung...
Poste mal ein Silentrunenrs-Logfile und ein Runscanner-Logfile (Nach dem Start Expert Mode bestätigen -> Scan computer -> warten -> Save log file)
Dein Betriebssystem ist übrigens nicht auf dem neusten Stand - das Service Pack 3 fehlt...
__________________
Have you tried turning it off and on again?
/join #dedies-board.de
|
|
|
06.12.2008 00:06 |
|
|
| |
|
Vesaros
Mitglied
Dabei seit: 05.12.2008
Beiträge: 15
Level: 25 [?]
Erfahrungspunkte: 87.649
Nächster Level: 100.000
Themenstarter 
|
|
| Zitat: |
Original von Haui
Hallo,
| Zitat: |
O4 - HKLM\..\RunOnce: [UIKISI_1] cmd /c del C:\Programme\Gemeinsame Dateien\System Shared\chico.sda
O4 - HKLM\..\RunOnce: [UIKISI_2] cmd /c del C:\Programme\Gemeinsame Dateien\System Shared\chico.sda
O4 - HKLM\..\RunOnce: [UIKISI_3] cmd /c del C:\WINDOWS\system32\wdrvhook.dll |
|
diese drei Dateien sind mir unbekannt. Aber zumindest C:\WINDOWS\system32\wdrvhook.dll sieht sehr schwer nach Malware aus. Was hast du schon unternommen - d.h. warum sind diese Löschbefehle im Autostart vorhanden?
|
|
Unternommen habe ich nichts, zumindest nichts bewusstes, möglich das eine Installtion diverser Programme diese hervorgerufen hat?
| Zitat: |
| Nicht zu verwechseln mit der "IEXPLORER.EXE", |
|
| Zitat: |
| Befindet sich die Datei in einem anderen Verzeichnis als C:\Programme\Internet Explorer\? denn Windows kümmert sich ja nicht um Groß-/Kleinschreibung... |
|
Nein befindet sich im selbigem verzeichnis, nur was mich stört ist das irgendein Befehl diese startet und womöglich etwas "schlimmes" treibt und dann wieder schließt. Und während dieses Treibens werden alle laufenden Anwendungen komplett minimiert...
| Zitat: |
Poste mal ein Silentrunenrs-Logfile und ein Runscanner-Logfile (Nach dem Start Expert Mode bestätigen -> Scan computer -> warten -> Save log file)
Dein Betriebssystem ist übrigens nicht auf dem neusten Stand - das Service Pack 3 fehlt... |
|
Wird noch updatet in kürze.
---------------------------------------------------------------------------
Update:
- Service Pack 3 Installiert
- Problem eingegrentzt:
Und zwar habe ich die SyGate Firewall installiert um zu sehen welcher Prozess dafür verantwortlich ist das die "iexplorer.exe" geöffnet wird und alle anderen Maximierten anwendungen minimiert werden.
SyGate erkennt dies als -> ndisuio.sys an.
Leider weiß ich nicht wie ich diese Terminieren kann und ob ich diese überhaupt Terminieren darf.
Dieser Beitrag wurde 5 mal editiert, zum letzten Mal von Vesaros: 06.12.2008 08:43.
|
|
|
06.12.2008 01:54 |
|
|
| |
|
Haui
Haudegen
Dabei seit: 29.04.2005
Beiträge: 522
Level: 44 [?]
Erfahrungspunkte: 3.737.203
Nächster Level: 4.297.834
|
|
| Zitat: |
Original von Vesaros
Und zwar habe ich die SyGate Firewall installiert um zu sehen welcher Prozess dafür verantwortlich ist das die "iexplorer.exe" geöffnet wird und alle anderen Maximierten anwendungen minimiert werden.
SyGate erkennt dies als -> ndisuio.sys an.
Leider weiß ich nicht wie ich diese Terminieren kann und ob ich diese überhaupt Terminieren darf. |
|
Wenn diese Datei sich im richtigen Ordner befindet ( C:\Windows\System32\drivers) dann ist sie nicht schädlich.
Zu den Logs: entweder die Malware versteckt sich sehr gut, oder aber ich habe was übersehen - denn etwas direkt schädliches kann ich nicht entdecken - mal abgesehen von diesen Einträgen:
| code: |
1:
2:
|
047 Zone: 77.221.133.173 : http://77.221.133.173
048 Zone: 77.221.133.173 : http://77.221.133.173 |
|
Poste mal noch die Logs von Blacklight (liegt nach dem Scan im gleichen Verzeichnis wie die fsbl.exe und heißt fsbl-*ZAHLENFOLGE*.log) sowie von GMER (Entpacken -> starten-> sicherstellen, dass oben der Reiter Rootkit/Malware ausgewählt ist -> Scan -> warten -> Save)
Ich würde mich aber schon mal auf ein Neuaufsetzen einstellen - wenn sich etwas so gut versteckt ist das kein gutes Zeichen...
BTW: Handelt es sich überhaupt um eine legale Windows-Kopie? -> C:\WINDOWS\system32\antiwpa.dll
__________________
Have you tried turning it off and on again?
/join #dedies-board.de
|
|
|
06.12.2008 12:37 |
|
|
| |
|
Vesaros
Mitglied
Dabei seit: 05.12.2008
Beiträge: 15
Level: 25 [?]
Erfahrungspunkte: 87.649
Nächster Level: 100.000
Themenstarter
|
|
| Zitat: |
Original von Haui
| Zitat: |
Original von Vesaros
Und zwar habe ich die SyGate Firewall installiert um zu sehen welcher Prozess dafür verantwortlich ist das die "iexplorer.exe" geöffnet wird und alle anderen Maximierten anwendungen minimiert werden.
SyGate erkennt dies als -> ndisuio.sys an.
Leider weiß ich nicht wie ich diese Terminieren kann und ob ich diese überhaupt Terminieren darf. |
|
Wenn diese Datei sich im richtigen Ordner befindet (C:\Windows\System32\drivers) dann ist sie nicht schädlich.
Zu den Logs: entweder die Malware versteckt sich sehr gut, oder aber ich habe was übersehen - denn etwas direkt schädliches kann ich nicht entdecken - mal abgesehen von diesen Einträgen:
| code: |
1:
2:
|
047 Zone: 77.221.133.173 : http://77.221.133.173
048 Zone: 77.221.133.173 : http://77.221.133.173 |
|
Poste mal noch die Logs von Blacklight (liegt nach dem Scan im gleichen Verzeichnis wie die fsbl.exe und heißt fsbl-*ZAHLENFOLGE*.log) sowie von GMER (Entpacken -> starten-> sicherstellen, dass oben der Reiter Rootkit/Malware ausgewählt ist -> Scan -> warten -> Save)
Ich würde mich aber schon mal auf ein Neuaufsetzen einstellen - wenn sich etwas so gut versteckt ist das kein gutes Zeichen...
BTW: Handelt es sich überhaupt um eine legale Windows-Kopie? -> C:\WINDOWS\system32\antiwpa.dll |
|
Logs unten angehängt. neu aufsetzen klingt nicht gerade erfreulich...
(Deine 2 Vorschläge haben jeweils unfreundliche Erignisse gefunden)
Ja es handelt sich um eine Orginale WinProf. Edition nur damals hatte ich kein Internet um die 30 tage Frist los zu werden und das Telefonat damals war mir zu teuer somit WPA Killer. Aber gute Idee, wird nachgeholt.
| Zitat: |
Original von dedie
C:\WINDOWS\system32\cc32\webtmr.exe
gehört meines wissens zu Kindersicherungs-Software, gibt es sowas auf deinem Rechner?
Ist der gewollt?
C:\WINDOWS\system32\wbem\wmiprvse.exe
Was ist wmiprvse.exe?
PS: Die "ndisuio.sys" stellt eine schnittstelle für kabelose verbindungen her. |
|
Nein explizit keine Kindersicherungs Software, datei dennoch gefunden und Terminiert.
wmiprvse.exe ist nicht gewollt und war in Unterschiedlichen verzeichnissen zu finden, alle bis auf die in /wbem terminiert.
Wie schalte ich diese komplett ab?
Zur "ndisuio.sys" hat diese etwas mit der Drahlosen Konfiguration in der Verwaltung zu tun?
Danke im vorraus für die Hilfe. :)
|
|
|
06.12.2008 16:38 |
|
|
| |
|
Vimes
Super Moderator
Dabei seit: 27.03.2005
Beiträge: 1.316
Level: 49 [?]
Erfahrungspunkte: 9.465.071
Nächster Level: 10.000.000
|
|
rootkit: http://de.wikipedia.org/wiki/Rootkit
Kurz gesagt: Wer so was drauf hat, hat verloren.
Dann hat nämlich jemand anders es sich auf dem System gemütlich gemacht - und zwar so gemütlich, daß er die Spuren (größtenteils) verwischt und damit eine Entdeckung sehr schwer gemacht hat. Und er hat natürlich root- bzw. Administratorenrechte (für *nix bzw. Windows).
Generell gilt: Ist der Rechner befallen, ist es müßig, da rumdoktorn zu wollen - außer, man kennt sich wirklich gut aus und hat viel Zeit. Die Experten bei de.comp.security.misc rechnen mit 2 Tagen bis eine Woche für die Forensik - Fulltime, und das sind dann Profis. Der Laie hat keine Chance, weil heutzutage Code routinemäßig nachgeladen wird und die Virenkiller nicht alles finden (können).
Ganzes System platt machen, neu aufsetzen, rauskriegen, wie der Angriff durchgeführt wurde und diese Lücke schließen.
MfG
Vimes
__________________
1. Kor 3,11: "Einen anderen Grund kann niemand legen als den, der gelegt ist, welcher ist Jesus Christus."
gnupg-Key-ID: 7C6A8303; Fingerprint: 9D29 C76C 4C7E 4A5C 8915 8686 49DE 7906 7C6A 8303
|
|
|
06.12.2008 21:59 |
|
|
| |
|
Vesaros
Mitglied
Dabei seit: 05.12.2008
Beiträge: 15
Level: 25 [?]
Erfahrungspunkte: 87.649
Nächster Level: 100.000
Themenstarter
|
|
Also ich hab jetzt die UAA File geladen dort finde ich dann eine .zip Datei,
darin komme ich zur einer Auswahl von Sprachen. "ger" habe ich
gewählt. Nun sind 4 ".exe" in diesem Ordner:
KB888111w2ksp4.exe - supports Windows 2000 SP4
KB888111xpsp1.exe - supports Windows XP SP1.
KB888111xpsp2.exe - supports Windows Xp SP2.
KB888111srvrtm.exe - supports Windows Server 2003 Standard (32-bit version only).
Dort ist nichts für SP3 vorhanden und sollte ich versuchen xpsp2.exe zu
starten kommt ein Error:
"Die Service Pack-Version dieses Systems ist neuer als das Update das
sie installieren möchten. Das Update muss nicht Installiert werden"
Sollte dies der moment sein an dem ich beginnen kann zu verzweifeln? 
Ich scheine nicht der einzigste mit diesem Problem zu sein ->
| Zitat: |
Bei einem Rechner eines Kunden tritt das Problem auf das dieser keinen Sound abspielt.
Rechner:
OS WinXP Pro SP3
ATI 3800 Series
Realtek HDA
So nun das Problem, die Treiber wurden Ordungsgemäß installiert (kein Konflikt im Gerätemanager) doch es kommt einfach kein Ton heraus.
Im BIOS HDA auf enable, somit da schon OK.
Der Realtek wurde auch für Wiedergabe und der Gleichen ausgewählt, auch OK.
Das Mainboard hat keinen HW fehler, ist auch schon ausgeschlossen.
Hotfix (z.B. KB888111) schon vorhanden.
Auf 6 Baugleichen Rechnern mit der identischen Installation läuft der Sound.
Boxen funktionieren auch.
Bin da nun ratlos, kann mir jemand helfen?
Danke im Vorraus
|
|
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Vesaros: 07.12.2008 19:38.
|
|
|
07.12.2008 19:35 |
|
|
| |
|
