Forum
Tipps
News
Menu-Icon

antivir startet nicht mehr / iexplore.exe prozess nicht löschbar

Hallo,

1. Problem:

mein AntiVir Personal startet trotz mehrfacher Neuinstallation und vorherigem Durchlauf von Ccleaner nicht mehr. Ich klicke auf AntiVir Control Center und es passiert einfach nichts. Der Guard läuft auch nicht mehr.
Bevor selbst der Guard nicht mehr funktioniert hat, funktioniert nur da Control Center nicht. Ich konnte somit auch keine Virenprüfung machen.
Diese wollte ich aber aus folgendem Grund machen: Ich habe auf dem Bildschirm Pop-Ups von Windows Security Agents oder so erhalten. Nach den Pop-Ups zeigten sich auch Symbole (ein Windows-Schutzschild sowie ein weißes rot-weißes Kreuz im Tray.
Habe Ad-Aware 2007 installiert und durchlaufen lassen und habe bis jetzt noch keine neuen Pop-Ups oder Tray-Symbole bekommen.

Allerdings denk ich ist irgendwas kaputt. AntiVir lässt sich nun mal nicht mehr starten. Bin beim googlen auf Probleme gestoßen, die meinem sehr ähneln. Da die aber alle ein individuelles Logfile erfordern, habe ich einen neuen Beitrag erstellt.

Bitte helft mir. Möchte nicht allzu lange ohne Virenschutz den Rechner laufen lassen. Und ich brauche Sicherheit das nichts kaputt ist...
Sollte noch mehrere Scan-Programme erforderlich sein, könntet ihr dann einen Download-Link direkt dazu schicken? Momentan ist mir jede nicht bestätigte Seite suspekt und beim googlen laufe ich ja wohl Gefahr auf so Seiten zu kommen...

2. Problem: Habe unter Prozesse immer einen prozess namens "iexplore.exe" stehen, der sich nicht beenden lässt. verwende Internet Explorer aber nie.
Ist das ein Virus?

Warum ich das in einen Post packe? ich bringe beide Probleme irgendwie in Zusammenhang, glaube, ich habe mir was eingefangen


DANKE!!!

Mein HiJackThis Logfile hier:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:48:15, on 16.01.2010
Platform: Windows XP SP3, v.3244 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Razer\Diamondback\razerhid.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Razer\Diamondback\razertra.exe
C:\Programme\Razer\Diamondback\razerofa.exe
C:\Programme\iPod\bin\iPodService.exe
F:\Eigene Dateien (F)\Software\HJT\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Diamondback] C:\Programme\Razer\Diamondback\razerhid.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1212234594
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 8196 bytes
 



Antworten zu antivir startet nicht mehr / iexplore.exe prozess nicht löschbar:

    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
   

   O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
   

   O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
   

   O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

diese Fixen ......

dann :
MalwareBytes  Vollscan im Normal-Modus machen....
Achtung : Vor Scan >> 1x "Update" anklicken ...  !

Log   hier posten.
 

hier der Log:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3576
Windows 5.1.2600 Service Pack 3, v.3244
Internet Explorer 8.0.6001.18702

16.01.2010 16:59:25
mbam-log-2010-01-16 (16-59-21).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|)
Durchsuchte Objekte: 212261
Laufzeit: 39 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
\\?\globalroot\systemroot\SYSTEM32\H8SRTnqjuiybyik.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\SYSTEM32\antiwpa.dll (Trojan.I.Stole.Windows) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\MsMovies (Worm.P2P) -> No action taken.

Infizierte Dateien:
\\?\globalroot\systemroot\SYSTEM32\H8SRTnqjuiybyik.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\SYSTEM32\antiwpa.dll (Trojan.I.Stole.Windows) -> No action taken.
C:\WINDOWS\SYSTEM32\winlogon.Del (Heuristics.Reserved.Word.Exploit) -> No action taken.



wo ich mir das gerade schon durchlese...mein windows ist NICHT illegal. Habe ich mit meinem Dell PC zusammen erworben! 100% legal!

PC neu starten , Malwarebytes wiederholen .
"alle " löschen lassen !!

Allerdings : wegen VUNDO ...
ERSTE Empfehlung für danach ...
DATEN sichern
Formatieren

System neu installieren .
  

« Letzte Änderung: 16.01.10, 17:06:01 von HCK »

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Sichere Deine Daten zunächst mal und die einzigste Möglichkeit vor einer Neuinstallation wäre noch ein Löschen durch Combofix.

H8SRTnqjuiybyik.dll  ist ein Trojaner der beim Systemstart ausgeführt wird und deinen PC überwacht - Somit kannst du kein AntiVir mehr starten. Combofix ist in der Lage, diesen Typ von Trojaner zu löschen. ( Hab ich letztens schon den Fall gehabt bei nem Bekannten ).

Nun zur Anleitung:

Es ist wichtig alles so durchzuführen wie es wie folgt beschrieben wird!

 

Zitat
----> Zu Combofix <---
| Combofix durchsucht den Computer nach Maleware und  löscht die infizierten Dateien. Nach einem Neustart, wird ein ausführliches Logfile angezeigt, dass einem Moderator oder dem Auftraggeber in z.B. einem Forum zur Verfügung gestellt werden kann.

------------------------------------------------------------------------------------------
Diese Anleitung ist nur für fortgeschrittene Benutzer gedacht!

Combofix sollte nie auf eigene Initative benutzt werden! Der Verfasser dieses Tutorials trägt KEINE Schuld an Systemschäden, die bei nicht artgerechter Nutzung entstehen können!

Combofix erkennt: Viren, Spyware, Rootkits, Keyloggers, Code Injection, Trojaner, Worm

----------------------------------------------------------------------------------------

1. Download

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Speichert diese .exe Datei auf eurem Desktop, beim Download bennent ihr diese Datei Combo-Fix  ( Standard wäre Combofix, das aber von Viren erkannt werden könnte) und führt das Programm  >NOCH NICHT< aus.

Schaltet zuerst eure Antivirus-Software ab ( AntiVir, Kspersky, Mcafee... ) schließt alle offenen Fenster, dazu gehört auch der Internet Explorer. Deaktiviere außerdem noch die Firewall unter: Systemsteuerung>Sicherheitscenter> Firewall


2. Starten des Programmes

~>WICHTIG:

||Bewegt / Betätigt während Combofix ausführt bitte NICHT UNNÖTIG die Maus bzw. Tastatur. Das Programm könnte zum Absturz gebracht werden!||

Es kann auch durchaus möglich sein, dass es oft mal Piepstöne gibt - davon nicht erschrecken.

<~

Nun klickt ihr doppelt auf die Combofix.exe auf dem Desktop. Folgt den Anweisungen auf dem Bildschirm.

Nun wird der Systemwiederherstellungspunkt erstellt. Diese Aktion kann bis zu 10-20 Minuten, je nach Festplattengröße, dauern. Also GEDULD!

Es kann sein, dass danach eine Recovery-Konsole installiert werden muss. Wenn ihr dazu aufgefordert werdet, lasst sie installieren. Diese Aktion kann auch bis zu 10 Minuten, je nach Hardwareausführung des Pc´s dauern!

Wenn das geschehen ist, erfolgt der Scan.
Das kann wieder 30-40 Minuten dauern. Der Computer wird dann automatisch neugestartet.

Nach dem Neustart, schließt Combofix seine Aktionen ab und es erscheint eine Logfile. Speichert diese ab und kopiert sie in das Forum, in dem ihr den Post geschrieben habt, oder schickt einem ERFAHRENEM Benutzer diese Datei.

3. Deinstallation

Deinstalliert dieses Programm NICHT bevor es ausdrücklich empfohlen wurde.

Deinstallation erfolgt so:


Klickt auf Start > dann Ausführen > hier das eingeben: Combofix /U
Bestätigt mit Ok
Wenn sich nichts tut, dann das eingeben: C:\QooBox löschen



!----------------------> Ende des Leitfadens <----------------------!

Mögliche Fehler, die entstehen können:


Wenn der Pc nach dem automatischen neustart nur noch bis zum WindowsXP Bildschirm bootet ( Da wo der blaue Balken läuft ) und nach 5-10 Minuten nicht hochfährt müsst ihr den Pc ausschalten. Danach schaltet ihr ihn ein und drückt die ganze zeit F8 bis ein Menü kommt. ( Schwarzer Hintergrund mit weißer Schrift )
Wählt nun: Windows im abgesicherten Modus starten. Der Pc fährt nach einer Zeit hoch und Combofix läuft an. Macht während das Combofix-Fenster auf ist nichts und wartet einfach. Es erscheint nach einer Zeit die Logfile. Wenn das geschehen ist, speichert ihr diese Logfile am besten auf dem Desktop ab und fahrt den Pc herunter. Schaltet ihn wiederrum ein und startet Windows im normalen Modus. Nun sollte das System enfrei laufen =)

liebe Grüße
Benni17



 



Falls du dich für diese Methode entscheiden solltest, poste bitte den Logfile von Combofix KOMPLETT hier ins Forum.

greeZ
   
« Letzte Änderung: 17.01.10, 02:47:04 von Benni17 »

werde windows neu aufspielen. kann glaub ich eh nicht schaden, dass system mal neu aufzusetzen.

dazu aber eine frage: habe eine festplatte, unterteilt in zwei partitionen.
sollte ich beide formatieren oder nur die windows-partition?
und desweiteren: kennt jemand eine gute, genaue anleitung zum formatieren?

danke 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Du legst die Windows CD einfach ein, dann frägt er dich auf welche Partition das Windows soll. Wähle C:\ dann kommt eine Meldung :" Windows ist bereits installiert, soll dieses gelöscht werden?" Dann klickst du auf Ja und er spielt dir das Windows nochmal auf die C:\.

Die Festplatte wird dann automatisch formatiert und neues Windows ist drauf ;)

Musst dir aber sicher sein, dass auf der anderen PArtition sicher keine Viren drauf sind :o

greeZ

Okay. Danke. Da ich mir da nicht sicher sein kann, mach ich die auch platt. Daten sind bereits gesichert.

Die Windows-Partition zu formatieren scheint ja einfach zu sein. Aber wie sieht es mit der anderen aus, wir formatiere ich die?

das kannst Du danach über die Datenträgerverwaltung machen .
Oder per Rechtsklick auf die Platte , formatieren ...  ::)


« Windows Vista: PasswortWindows XP: softwarefälschung+tr rootkit.gen »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Controller
Ein Controller ist Teil der Hardware eines Rechners und hat zur Aufgabe verschiedene Vorgänge zu steuern und zu regeln. Beispielsweise ist er notwendig zur Ansteueru...

Grundstrich
Der Begriff des Grundstrichs im Bereich der Typografie, bezeichnet den senkrechten Strich der Buchstaben. Bei Schriftarten mit variabler Strichstärke, wie zum Beispi...

Bildschirmschoner
Der eigentliche Sinn des Bildschirmschoners ist, den Bildschirm vor dem Einbrennen des Monitorbildes zu schützen.Während das bei neueren Monitoren (außer ...