IEXPLORE.EXE in 3-facher ausführung... Trojaner!?!

Hallo, seit einigen Tagen habe ich ein ziemliches Problem… im Task Manager stehen (selbst wenn ich keinen I-Explorer geöffnet habe) immer 3 Einträge mit dem Namen IEXPLORE.EXE - diese lassen sich nicht beenden, bzw. tauchen innerhalb einer Sekunde wieder auf!

Begleitend zu diesem „Phänomen“ sind Werbefenster die trotz Popup Blocker erscheinen und das ohne dass ich auf entsprechenden Seiten bin.

Ich meine in einem anderen Forum gelesen zu haben, dass es sich dabei um einen äußerst widerspenstigen Trojaner handelt und die einzige Lösung sei, das ganze System neu aufzusetzen… Gibt es keine bessere Alternative? Dieser Trojaner lässt sich von Antivirenprogrammen und allen möglichen Scans nicht stören bzw. nicht finden (Er unterwandert diese einfach.)

(Temporär kann ich das Problem immer lösen, indem ich die exe. Files die er generiert im Abgesicherten Modus lösche (Die Namen dieser Files tauchen beim Beenden(Versuch) der IEXPLORE.EXE Tasks für einen Bruchteil einer Sekunde auf (bzw. der Name wird statt des „IEXPLORE“ kurz sichtbar)… aber nach kurzer Zeit generiert er neue Files und das Spiel beginnt von vorn)
— Hier zwei Beispiele für solche Files die sich in den Anwendungsdateien speichern und im Prefetch auftauchen: „browsejump.exe“, „new else.exe“ —

Kann mir jemand helfen? Hat irgendwer das gleiche Problem (gehabt)?

Freue mich über alle Beiträge…

Hallo Kopav

Hallo, seit einigen Tagen habe ich ein ziemliches Problem…
im Task Manager stehen (selbst wenn ich keinen I-Explorer
[…]
Popup Blocker erscheinen und das ohne dass ich auf
entsprechenden Seiten bin.

Gehe zu http://www.HiJackThis.de und lasse dir mal deine Registry von dem angebotenen Tool shecken. Im Zweifelsfall lasse dich in einem de angegebenen Fachforen beraten.

Ich meine in einem anderen Forum gelesen zu haben, dass es
sich dabei um einen äußerst widerspenstigen Trojaner ) handelt

Ob dies wirklich ein Trojaner http://de.wikipedia.org/wiki/Trojanisches_Pferd_%28C… ist, kann ich von hier aus nicht beurteilen. Falls ja, dann gibt es keine Alternative zu http://faq.jors.net/virus.html Warum deine hilflosen Rettungsversuche nicht funktionieren können, kannst du hier nachlesen: http://malte-wetz.de.vu/index.php?viewPage=sec-remov…

der hinterwäldler

Hier die Hijack Daten:

Logfile of HijackThis v1.99.1
Scan saved at 16:44:07, on 25.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\BitComet\BitComet.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Kingleo\LOKALE~1\Temp\Rar$EX00.781\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http: /www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\P\Spybot\SDHelper.dll
O2 - BHO: (no name) - {F1307DA8-3AD6-07D6-E32D-D607C7907162} - C:\DOKUME~1\Kingleo\ANWEND~1\UPCASH~1\BoldMags.exe
O4 - HKLM…\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM…\Run: [QuickTime Task] „C:\Programme\QuickTime\qttask.exe“ -atboottime
O4 - HKLM…\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [TkBellExe] „C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe“ -osboot
O4 - HKLM…\Run: [DAEMON Tools] „C:\Programme\DAEMON Tools\daemon.exe“ -lang 1033
O4 - HKLM…\Run: [avgnt] „C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe“ /min
O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM…\Run: [style settings time cdrom] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\boob safe style settings\exitsixth.exe
O4 - HKCU…\Run: [Poptons] C:\DOKUME~1\Kingleo\ANWEND~1\SIZETO~1\BROWSEJUMP.exe
O4 - HKCU…\Run: [BitComet] „C:\Programme\BitComet\BitComet.exe“
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra ‚Tools‘ menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra ‚Tools‘ menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http:/ go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http:/ update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127323564906
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http:/ update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1127323485453
O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http:/ simcity.ea.com/update/MaxisSimCity4PatcherX.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\PROGRAMME\FRITZ!\de_serv.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

_{–
[MOD] Links unanklickbar gemacht. -vdH}

Hallo Kopav

Ich hatte allerdings geschrieben, das du in den bei HiJackThis angegebenen Foren die Logfile posten sollst, ganz einfach weil dort die Bedingungen zur Auswertung wesentlich besser sind!

Nun ist mal passiert,

1. O2 - BHO: (no name) - {F1307DA8-3AD6-07D6-E32D-D607C7907162} - C:\DOKUME~1\Kingleo\ANWEND~1\UPCASH~1\BoldMags.exe

ist ein BrowserHilfsObjekt, das im Internet kein Mensch kennt. Gehe davon aus, das dies die Schadsoftware ist!

Dann befinden sich folgende „unbekannte“ Verweise in deiner Logfile:
O4 - HKLM…\Run: [style settings time cdrom] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\boob safe style settings\exitsixth.xxx
O4 - HKCU…\Run: [Poptons] C:\DOKUME~1\Kingleo\ANWEND~1\SIZETO~1\BROWSEJUMP.xxx
O4 - HKCU…\Run: [BitComet] „C:\Programme\BitComet\BitComet.xxx“

Selbstverständlich weiss ich, um was es sich bei dem Dateien handelt: Kostenpflichtiger Zugang, Filesharing etc. Von Ungefähr bekommt man solche Tools nicht ins System. Ich gehe davon aus, das bei dir ein Server installiert ist. Diesen wirst du nur wieder los, in dem du das System nach http://faq.jors.net/virus.html behandelst. Jede weiter Aktion ist illusorisch!

Lies bitte zuvor noch folgendes: http://www.hinterwaeldlers-home.de/NewsGroups/Sicher…

Noch ein paar Tips:
Die Daemon-Tools sowie Tools von „Alcohol“ sind unter XP eine erhebliche Fehlerquelle. Verzichte zukünftig aus diese! Du hast doch Nero, warum benutzt du nicht ImageDrive?

Auch habe ich irgendwo von Adobe AR5 gelesen. Dieses Teil ist mit sehr vielen Sicherheitslecks behaftet. Die aktuelle Version ist 7.xx

der hinterwäldler

Also die folgenden 2 Dateien sind tatsächlich Teil des Trojaners (oder was auch immer…)

Einstellungen\All Users\Anwendungsdaten\boob safe style
settings\exitsixth.xxx
C:\DOKUME~1\Kingleo\ANWEND~1\SIZETO~1\BROWSEJUMP.xxx

Aber ich konnte sie bislang (jetzt z.b auch gerade) immer ganz gut ausschalten bzw. löschen (im abgesicherten Modus).

• Folglich läuft das Internet jetzt gerade auch ohne diese Probleme (und dass meinst für einige Stunden)

… aber da ich keine Lust habe alle paar Stunden den Kram von Neuem wegzulöschen werde ich wohl oder übel formatieren müssen…

PS: Der Trojaner erstellt übrigens immer einen Ordner mit dem Namen „boob safe style settings“ in den Anwendungsdateien „All Users“ unter „Dokumente & Einstellungen“ … dort speichert er neben dem Prefetch auch immer die oben bereits benannten Dateien ab… ich habe diesen Ordner jetzt mal selbst neu erstellt und mit leeren Dateien besetzt (Mit den Namen der Dateien die der Wurm hier immer erstellt) - ich glaube zwar nicht wirklich, dass diese Aktion von Erfolg gekrönt sein wird, aber versuchen kann man es ja mal…

Hallo Kopav

Einstellungen\All Users\Anwendungsdaten\boob safe style
settings\exitsixth.xxx
C:\DOKUME~1\Kingleo\ANWEND~1\SIZETO~1\BROWSEJUMP.xxx

Aber ich konnte sie bislang (jetzt z.b auch gerade) immer ganz
gut ausschalten bzw. löschen (im abgesicherten Modus).

Wie naiv bist denn du? Begreifst du immer noch nicht, diese Schadsoftware lässt sich nicht weglöschen bzw. läd sich immer wieder von irgend woher nach. Sie wurde nicht zum Aufgeben programmiert! Das ist ihr Zweck. Einfach hier http://www.bsi.bund.de/av/vb/index.htm mal ein paar Beschreibungen lesen. Wenn du eine Datei löschst, bleibt alles das andere bestehen, was diese Schadsoftware gemacht hat.

der hinterwäldler

Das mag ja alles stimmen, aber diese „Schadsoftware“ nutzt weder meine Internet-Verbindung, noch stellt sie sonst irgendetwas an was mich stören würde (Jedenfalls solange ich sie nicht im Task-Manager habe) … also habe ich auch kein Problem mit ihr!

Das sie meinen Rechner als Server nutzt oder Mails versendet ist Schwachsinn - alle Verbindungen laufen normal und auch der Prozessor wird nicht belastet.

Folglich werde ich ersteinmal in diesem Zustand verbleiben und bei Gelegenheit irgendwann einmal formatieren! Denn wenn dieser Wurm nichts macht, was mich in irgendeiner Weise stören würde, ist er mir ziemlich gleichgültig!

Hi,

also ich muss hier mal Hinterwäldler recht geben.

Nur weil eine schadhafte Software zur Zeit nichts sichtbares anstellt, hat das nicht zu bedeuten, dass sie es gerade nicht tut oder auch in Zukunft nicht tun wird.

Zum einen kann sie eine Menge anstellen, von der Du nichts mitbekommst. Zum zweiten kann sie auf einen Stichtag reagieren und dann erst loslegen.

Was Du gerade machst kann man auch mit rückwärts Autofahren vergleichen. Da Du gegen die Fahrtrichtung sitzt, siehst Du jeden Baum, an den Du noch nicht gefahren bist und fühlst Dich daher sicher.

Ich an Deiner Stelle würde schleunigst meine Daten sichern und die Kiste platt machen.

Schönen Gruß

Christian

Danke @C.J.

Hallo Kopav

Das sie meinen Rechner als Server nutzt oder Mails versendet
ist Schwachsinn - alle Verbindungen laufen normal und auch der
Prozessor wird nicht belastet.

Woher nimst du eigentlich diese Gewissheit? Ich kenne eine ganze Menge Leute, die wissen nicht mehr, wie ein sauberer PC überhaupt läuft ))

Folglich werde ich ersteinmal in diesem Zustand verbleiben und
bei Gelegenheit irgendwann einmal formatieren! Denn wenn
dieser Wurm nichts macht, was mich in irgendeiner Weise stören
würde, ist er mir ziemlich gleichgültig!

Dem Autor eines installierten Bot http://de.wikipedia.org/wiki/Botnet ist es ziemlich gleichgültig was du darüber denkst. Für ihn zählt nur, ob er zu einem von ihm bestimmten Zeitpunkt einen DDoS-Attacke http://de.wikipedia.org/wiki/DDoS eines Servers mit einem weiteren verfügbaren System durchführen kann oder nicht. Bis zu diesem Zeitpunkt wird dein Würmchen nur mal kurz eine Anfrage an seinen Dienstherren stellen und abfragen ob dieser Zeitpunkt jetzt ist. Das dauert im Allgemeinen mit DSL nur Bruchteile einer Sekunde.

[loriot]
Seltsam ist in deinem Fall nur, warum das Teil einen Defekt hat und nicht nur falsch (sichtbar), sondern auch noch zu allem Überdruss gleich 3 x den IÄ aufruft. Wenn du das geklärt hast, kannst du dich ja wieder melden und uns Bericht erstatten.
[/loriot]

Näheres zu Häufigkeit und Bewertung defekter Malware kannst du auch hier nachlesen: http://www.heise.de/security/suche.shtml?T=Sch%E4dli…

Mit den freundlichsten Grüßen
der hinterwäldler

Das mag ja alles stimmen, aber diese „Schadsoftware“ nutzt
weder meine Internet-Verbindung, noch stellt sie sonst
irgendetwas an was mich stören würde (Jedenfalls solange ich
sie nicht im Task-Manager habe) … also habe ich auch kein
Problem mit ihr!

…bis Dir morgens um 04:00 die Bullen die Tür eintreten,
weil Deine Kiste Kinderpornos versendet.

Ich denke, dass ich den Wurm jetzt ganz gut unter kontrolle habe (soweit ich dass einschätzen kann) - ich habe 5 Scanner durchlaufen lassen und eine Firewall eingesetzt die alle Funktionen des Schädlings blockiert… hatte folglich seit mehreren Tagen keine Probleme mehr - und dass alles ohne formatieren.

Ich fühle mich soooo müüüüüüüdeeeeeeee
Hi,

sorry und bitte nicht persönlich nehmen, aber Dir ist nicht zu helfen.

Viel Spaß mit Deinem Wurm.

Schönen Gruß

Christian

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Danke, werde ich haben