Task-Manager (iexplore.exe)

B

B52

0
Hi,
Ich hätte da mal ne frage ist es normal das iexplore.exe zwei mal im Task-Manager auftaucht? Ich verwende auch nicht einmal den Internet Explorer sonder nur Firefox.Seit einer Woche ist iexplore.exe aufgetaucht und schluckt viel Arbeitsspeicher. Kann mir wer tipps geben wie ich die aus schalten
kann. Ich hab auch mal mit Security Task-Manager ausprobiert es auszuschalten , kommt immer wieder. Hab schon AntiVurus laufen lasen und Spydoctor und Spybot-search&Destroy.
Wer cool wenn ihr mir paar Tips geben könnst.

Ps: Der Daten anhang ist nur ein screenShot vom Task-Manager, ich weis nicht wie man ein bild in dem Text feld einfügt.Sorry :(
 
normalerweise sollte der gar nicht auftauchen wenn du ihn nicht benutzt. mache doch mal einen scan mit hijackthis und poste das ergebnis im entsprechenden sammelthread. des weiteren würde ich mal auf www.sysinternals.com gehen und dort den process explorer runterladen. da bekommst du mehr infos. vielleicht ist es auch malware, die nur den namen iexplore benutzt ;-) das kannst du da dann erkennen.
 
Wenn du den Internet Explorer nicht benutzt, solltest du eigentlich keinen Prozess davon finden. Schon garnicht ohne Fenster.
Such mal nach einer 3. iexplore.exe auf deiner Festplatte (Die "normalen" sind bei C:\Programme\Internet Explorer\ und eventuell noch eine bei \ServicePackFiles\i386)

Solltest du irgendwo anders eine finden, dann kannst du die möglicherweise löschen.
Wenn du keine andere findest, wurde entweder die normale iexplore.exe infiziert oder es existiert eine andere, die aber versteckt wird. Oder X-andere Möglichkeiten.
Kommt drauf an wie sich das Ding schützt.
Da es zwei Prozesse sind, vermute ich ein Watchdog verfahren.
Schreibe ein Batch-Skript, dass beide prozesse schnell hintereinander beendet mit kill.exe.
Dann kannst du die vielleicht auch einfach löschen.

Dass du mit irgendwelchen Tools nichts findest ist nicht verwunderlich...
Möglicherweise ist dein System nämlich sogar noch viel schlimmer infiziert, und das einzige Symptom nach aussen, was du siehst sind die beiden Prozesse.

Empfehlung: System neu aufsetzen.

Ansonsten wünsch ich dir viel Spass bei einer aufwendigen forensischen Analyse deines Systems. Dafür gibt es einige schöne Seminare bei denen du dich eintragen kannst. :D
 
Naja das sind mal die HijackThis auswertung
halt die nicht Ok sind anscheinend.


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWSabout.htm - Eventuell Böse
O17 - HKLM\System\CCS\Services\Tcpip\..\{15687606-AAF9-42A5-A780-439B8C7171E0}: NameServer = 195.3.96.67 195.3.96.68 - Eventuell Böse
O17 - HKLM\System\CCS\Services\Tcpip\..\{20E23B47-A825-48BF-98D8-A17C79024856}: NameServer = 195.3.96.67,195.3.96.68 - Eventuell Böse
O17 - HKLM\System\CS1\Services\Tcpip\..\{15687606-AAF9-42A5-A780-439B8C7171E0}: NameServer = 195.3.96.67 195.3.96.68 - Eventuell Böse
O23 - Service: OTi Card Reader Service - Unknown owner - C:\Programme\CardReader2.0\OTiReader.exe (file missing) - Unbekannt
O23 - Service: Acronis Malware Shield Service (psh_svc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Malware Shield\psh_svc.exe (file missing) - Unbekannt

ps ich kann auch die ganze posten
 
poste mal die gesamte. dann können wir uns gleich ein bild von deinem system machen können

hier was zu den nameservereinträgen:

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\****>nslookup 195.3.96.67
Server: resolver1.opendns.com
Address: 208.67.222.222

Name: WS01IS01.highway.telekom.at
Address: 195.3.96.67


dürften also ok sein


und die c:\windows\about.htm würde ich mir mal in nem texteditor angucken
 
Das ist jetzt die ganze !!!!!!!!!


Logfile of HijackThis v1.99.1
Scan saved at 14:44:06, on 04.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
D:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Daniel.B52\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.at
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWSabout.htm
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: T1 - {4180A6C9-26D0-4A15-A2CD-A24E3178E386} - d:\PROGRA~1\LANGEN~1\Engine\mte\StdAlone\T1IE.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = D:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157124759109
O17 - HKLM\System\CCS\Services\Tcpip\..\{15687606-AAF9-42A5-A780-439B8C7171E0}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{20E23B47-A825-48BF-98D8-A17C79024856}: NameServer = 195.3.96.67,195.3.96.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{15687606-AAF9-42A5-A780-439B8C7171E0}: NameServer = 195.3.96.67 195.3.96.68
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OTi Card Reader Service - Unknown owner - C:\Programme\CardReader2.0\OTiReader.exe (file missing)
O23 - Service: Acronis Malware Shield Service (psh_svc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Malware Shield\psh_svc.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symfmeacsas - Unknown owner - (no file)
O23 - Service: SymWMI Service (SymWSC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe (file missing)
 
also so lässt sich kein wirklicher grund finden, wieso die iexplore.exe geladen wird. an welcher stelle geschieht dies? schon wenn du den rechner hochfährst oder erst bei einem bestimmten programmstart?

ich würde wirklich mal mit dem process explorer oder filemon gucken, ob du nicht rausfindest, was die datei so für dll's und prozesse hat und von was die aufgerufen wird.

allein aus sicherheitsgründen denke ich hier aber, dass eine neuinstallation das beste wäre. wer weiß was sich da wirklich in deinem system versteckt.
 
So da mal ich denk das Problem hat sich von selbst gelöst alls ich SpyDoctor gelöscht hab von der Festplatte ist auch 2mal das iexplore.exe verschwunden. Ich denk es war warscheinlich Plugins für den Internet Eplorer, halt zum schutz von Spyware und anderen mist. :D :D :D :D :D :D :D :D

Trotzdem danke an allen die mir helfen wollten.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben