Nabend!

Hab grad mal in den Taskmanager geschaut und mir ist da aufgefallen dass da 2 mal ne Datei namens "IEXPLORE.EXE" geladen ist, die ich komischerweise nicht beenden kann. Wenn ich auf Prozess beenden geh ist sie kurz weg, 2 Sekunden später aber wieder da.

Kann mir vielleicht jemand sagen was das ist? Ich weiss dass das vor 2-3 Tagen noch nicht da war...

Und warum hab ich so viele "svchost.exe" Dateien gleichzeitig am laufen, ist das normal? :confused:

Anbei ein Bild um das ganze etwas anschaulicher zu machen.

http://img66.exs.cx/img66/2694/task3fh.jpg

Danke für die Hilfe!

Da du bestimmt mit dem IE surfst, dürfte der eine Eintrag davon sein.

Ich würde mir mehr sorgen über den Trojaner machen den du drauf hast. ;)
Schieße mal den Prozess "WinSys.exe" ab.

Troj/MoonPie-13 (http://www.sophos.de/virusinfo/analyses/trojmoonpie13.html)
und
winsys - winsys.exe - Process Information (http://www.liutilities.com/products/wintaskspro/processlibrary/winsys/)
oder
Detail of Winsys (http://www.windowsstartup.com/wso/detail.php?id=3340)

PS. Lade dir mal HijackThis (http://www.merijn.org/files/hijackthis.zip) runter und poste das Log hier rein.

Nein ich surf mit Firefox, das ist ja das kuriose an der Sache :|

btw. dein Link geht leider nicht :(

Ok habs mir jetzt woanders hergeholt. Hier die Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 21:23:14, on 13.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\RivaTuner v2.0 RC 15.3 New Year Edition\RivaTuner.exe
C:\WINDOWS\system32\WinSys.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Stefan\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oblrxheqjarey.net/c6DS0KzUg_zGbQJ6FjgpdOPYPpX0hr3uFM4Y82GNpXYGPAdNeYexktuzY2YHi0k2.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {252B011C-E014-3943-BF1A-38F170B13879} - C:\DOKUME~1\Stefan\ANWEND~1\TRUSTR~1\Keepgram.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [RivaTuner] "C:\Programme\RivaTuner v2.0 RC 15.3 New Year Edition\RivaTuner.exe" /T
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [WinSys] C:\WINDOWS\system32\WinSys.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [mixremote] C:\DOKUME~1\Stefan\ANWEND~1\BIKE4S~1\Wait Face.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\WinSys.exe -> Böse
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oblrxheqjarey.net/c6DS0KzUg_zGbQJ6FjgpdOPYPpX0hr3uFM4Y82GNpXYGPAdNeYe xktuzY2YHi0k2.htm -> ?
O2 - BHO: (no name) - {252B011C-E014-3943-BF1A-38F170B13879} - C:\DOKUME~1\Stefan\ANWEND~1\TRUSTR~1\Keepgram.exe -> ?
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock -> nVidia?
O4 - HKLM\..\Run: [WinSys] C:\WINDOWS\system32\WinSys.exe -> ?*
O4 - HKCU\..\Run: [mixremote] C:\DOKUME~1\Stefan\ANWEND~1\BIKE4S~1\Wait Face.exe -> ?

* Win-Spy - hast du das selbst installiert?
Wenn nicht weg damit.

C:\WINDOWS\system32\WinSys.exe -> Böse

Gelöscht, kam bis jetzt auch noch nicht wieder (nach Reboot)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oblrxheqjarey.net/c6DS0KzUg_zGbQJ6FjgpdOPYPpX0hr3uFM4Y82GNpXYGPAdNeYe xktuzY2YHi0k2.htm -> ?

Hab ich versucht zu löschen, auch in der Registry, doch nach nem Neustart steh dann da wieder ne andere ominöse Adresse ;(

O2 - BHO: (no name) - {252B011C-E014-3943-BF1A-38F170B13879} - C:\DOKUME~1\Stefan\ANWEND~1\TRUSTR~1\Keepgram.exe -> ?

Lässt sich nicht löschen, wird irgendwie auch nicht im Taskmanager angezeigt.

O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock -> nVidia?

Jup, nV ;)

O4 - HKLM\..\Run: [WinSys] C:\WINDOWS\system32\WinSys.exe -> ?*

Wie gesagt, ist weg!

O4 - HKCU\..\Run: [mixremote] C:\DOKUME~1\Stefan\ANWEND~1\BIKE4S~1\Wait Face.exe -> ?

Hab ich auch schon bemerkt und gelöscht.

* Win-Spy - hast du das selbst installiert?
Wenn nicht weg damit.

1. Systemwiederherstellung abschalten
2. Im abgesicherten Modus starten und nochmal versuchen zu löschen.

Reboot
Dann nochmal ein Log erstellen und posten.
Du kannst das Log einfach rein kopieren.

Zur Sicherheit auch mal Spybot Search&Destroy laufen lassen.

So, hab nun alles so gemacht wie beschrieben (Spybot hat auch was gefunden was ich entfernen lassen hab)

Hier der neue Log:

Logfile of HijackThis v1.99.0
Scan saved at 22:59:33, on 13.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\RivaTuner v2.0 RC 15.3 New Year Edition\RivaTuner.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.gjtltcyeocnrl.com/c6DS0KzUg_zGbQJ6FjgpdOPYPpX0hr3uFM4Y82GNpXbiKrqDx28NuduzY2YHi0k2.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [RivaTuner] "C:\Programme\RivaTuner v2.0 RC 15.3 New Year Edition\RivaTuner.exe" /T
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Das Problem mit der iexplore.exe scheint tatsächlich weg zu sein, sie erscheint beim öffnen des Browsers im TM und geht beim schließen wieder weg (und sie steht nur einmal da, vorhin stellenweise sogar 3 mal)

Bleibt nur noch dieser komische Serach Bar, schon merkwürdig dass nach dem löschen des Reg-Keys bei jedem Neustart was anderes dasteht...aber darüber kann ich hinwegsehen, benutz den IE ja sowieso nicht.

Auf jeden Fall vielen Dank für deine Hilfe und dass du dir die Zeit genommen hast mir das alles zu erklären! :up:

mmm...

Steht unter Start => Einstellungen => Systemsteuerung => Software vielleicht irgendeine komische Software drinne? ansonsten müsste man wissen, wie die Searchbar aussieht. Vielleicht kann man sie dann entfernen ...

ps: Warum hast du das Log fett geschrieben???