Problem mit iexplore.exe

seese_7e04a1 · 30. August 2006 um 00:56

Nabend!

ich hab seit heut ein Problem.

Und zwar ist der Prozess iexplore.exe ständig aktiv. einmal mit 1-2 mb ohne systemauslastung, und eine die gleich fasg 50 mb frisst die zeitweise sogar 50% und mehr einnimmt…

wenn ich sie schliesse öffnen sie sich von allein sofort wieder. und in unregelmäßigen versuchen des schließens (^^) ist auch ganz kurz ein prozess „PLAYAN~1.exe“ zu sehen, der aber sofort wieder verschwindet.

ich hab schon die komplette festplatte und die regestry nach ähnlichem abgesucht, aber nix gefunden, iexplore.exe gibts auch nur eine (da wo sie hingehört).

ad-aware hat diesbezüglich nix gefunden…kriege das einfach nicht tot.
beihijackthis waren ein paar auffällige dinger:

O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll

alles andere konnte ich selbst zuordnen und war nich gefährlich, aber ich kann das auch nicht mit hijackthis fixen, dann kommt ein fehler…

bin ratlos, da ich in keinster weise einen ansatz habe wie ich das ding nun los werde

hoffe ihr wisst rat

seese

Hinterw_ldler_37172f · 30. August 2006 um 09:29

Moin seese

bei hijackthis waren ein paar auffällige dinger:
O10 - Unknown file in Winsock LSP:
c:\windows\system32\spacklsp.dll
[…]

Ist Google bei dir auch schon kaputt, Ich tippe mal ganz simpel auf eine defekte Zugangssoftware für T-Online. Wieso braucht man sowas überhaupt?

Normalerweise reicht es doch schon, wenn du in der Modem-Steuersoftware deine Zugangsdaten einträgst. Jeder DSL-Zugang sollte ohne spezielle Software des Anbieters möglich sein! Nehme FF+TB und trage beim ersten Start deine Zugangsdaten ein.

der hinterwäldler

seese_7e04a1 · 30. August 2006 um 16:35

Hallo,

ich benutze keine Zugangssoftware, sondern hab nen Router. Das war lediglich ein Speedmanager von T-Online um was zu testen, den ich nicht mehr gelöscht habe, aber jetzt isser weg. Desweiteren benutze ich normalerweise Firefox, IExplore nur selten um was runterzuladen, weil Firefox da irgendwie Probleme hat bei mir…

das problem besteht immernoch…

mfg
seese

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Schorsch_de7743 · 30. August 2006 um 16:59

wenn ich sie schliesse öffnen sie sich von allein sofort
wieder. und in unregelmäßigen versuchen des schließens (^^)
ist auch ganz kurz ein prozess „PLAYAN~1.exe“ zu sehen, der
aber sofort wieder verschwindet.

Wenn diese „PLAYAN~1.exe“ nicht wäre, würde ich ja sagen, du hast ein Problem mit Windows. Aber das sieht doch sehr stark nach einem versteckten Schädling aus. Dass Spielzeuge wie AdAware nichts finden, hat nichts zu heissen. Wenn du deinen Rechner ernsthaft auf Schädlinge untersuchen willst, boote diesen unter einem anderen Betriebssystem von einem schreibgeschützten oder nachträglich eingebauten Datenträger (oder baue die Festplatte in einen anderen Rechner ein).

Ich kenne die PLAYAN~1.exe nicht, aber die wenigen indonesischen Seiten, die Google mit diesem Suchbegriff findet, bieten einige Anhaltspunkte für die Infektion mit einem recht exotischen Schadprogramm, das aufzuspüren eine gewisse kriminalistische Begabung erfordern könnte. Ein anderer Ansatzpunkt für die Forensik wäre daher ein vollständiger Portscan auf dein laufendes System, auch der Einsatz von Active Ports http://www.protect-me.com/freeware.html könnte Aufschlüsse bringen.

Gruss
Schorsch

drambeldier · 31. August 2006 um 06:19

Welches Problem?
Moin, seese,

das problem besteht immernoch…

welches Problem? Ich sehe keines.

Nebenbei: es gibt keinen Grund, alles bisher Geschriebene zu zitieren. Das zwingt nur zum Blättern, erhöht aber keineswegs die Lesefreude.

Gruß Ralf

seese_7e04a1 · 31. August 2006 um 13:27

Na, das Problem das irgendwelche Prozesse laufen, die nicht laufen sollten?

Man kann das ganze natürlich ignorieren, aber irgendwie stört es mich, hier scheint allerdings niemand zu wissen was es mit diesem playan~1 auf sich hat…

mfg
seese

Hinterw_ldler_37172f · 31. August 2006 um 16:32

Hallo seese

Na, das Problem das irgendwelche Prozesse laufen, die nicht
laufen sollten?

Was für Prozesse und wie hast du sie gefunden? Welche Software hast du zur Identfizierung benutzt. Benutze den Processexplorer von http://www.sysinternals.com !!! Finde damit heraus, welche weiteren Dateien aufgerufen werden und welche Vorgänge sie auslösen.

Man kann das ganze natürlich ignorieren, aber irgendwie stört
es mich, hier scheint allerdings niemand zu wissen was es mit
diesem playan~1 auf sich hat…

Wenn du Playan~1.exe gefunden hast, dann wirst du uns sagen können, ob diese Datei eine Verbindung zu welcher Adresse im Internet sucht. Benutze zur Überwachung TCPView von SysInternals. Weiterhin ist es möglich, diese Datei http://virusscan.jotti.org/de/ oder http://www.virustotal.com/flash/index_en.html zur Online-Prüfung zu übergeben.

Zum Löschen einer Datei, die sich im normalen Play-Modus deiner Blechkiste nicht löschen läßt, startest du im abgesicherten Modus gem. http://www.tu-berlin.de/www/software/virus/savemode… und löschst sie in diesem. Bist du dir nicht ganz sicher, kannst du sie erstmal in ein Quarantäneverzeichnis verschieben und deine Playkube im Normalbetrieb beobachten. Vielleicht will danach ein Play nicht mehr so wie du dir das denkst.

Im Zweifelsfall mußt du davon ausgehen, das sie Bestandteil einer Malware ist. In diesem Fall gilt dein System als kompromittiert und ist gemäß dieser FAQ http://faq.jors.net/virus.html zu behandeln.

War das einfach genug erklärt fragt der hinterwäldler?

Und überhaupt:
Wieso machst du uns einen Vorwurf, wenn Google mit dem Dateinamen nichts anzufangen weiß? Es gibt mittlerweile rund 200.000 verschiedene Malware und täglich kommen weltweit weitere 70 dazu.