IEXPLORE.EXE tager alt min cpu

Check om du i programmer/start har internet explorer liggende. Ligger den der, så slet genvej i programmer/start.

Det er snavs du har fået ind.
Tag en online scan her:
http://www.spywarefri.dk/onlinevark.htm
X-block for Spyware
Panda for Virus

En anden mulighed, er at lige prøve at starte systemet op i fejlsikret tilstand, og se om problemet er det samme ;)

http://www.wilderssecurity.net/specialinfo/rapidblaster.html
det kan være den, hent http://www.spywareinfo.com/downloads/rbkiller/rbkiller.exe
og kør det.

skægt, jeg er stærkt overbevist om det er et driverproblem ;)

The_collector: jeg har søgt alle startup, og programmet er startet før jeg logger på, så det kan ikke være det.

Fromsej: jeg har prøvet, og der var to spyware, men keine af dem virkede. stadigvæk IEXPLORE.EXE der starter op. og der var ingen rapidblaster :(

Grunken: har prøvet i fejl sikret tilstand, det samme sker der.

har lige opdateret mit antivirus, og stadigvæk ingenting :(

Så må det tunge skyts i gang.
Hent Hijackthis, start programmet, scan, save log, og kopier logfilen herind, et eller andet snavs er der på den maskine, det er jeg overbevist om.
http://www.spywarefri.dk/vaerktoj.htm#18

OK, her er den når den booter op med det der virus ting
Logfile of HijackThis v1.96.0
Scan saved at 22:06:54, on 07-08-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\r_server.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\VetMsgNT.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Documents and Settings\min bruger\Desktop\hijackthis\HijackThis.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {44A23DAB-8D31-43AE-9F68-5AC24CF7CE8C} - C:\WINDOWS\System32\msinfosys.dll (file missing)
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: PrimeSoft - {44A23DAB-8D31-43AE-9F68-5AC24CF7CE8C} - C:\WINDOWS\System32\msinfosys.dll (file missing)
O3 - Toolbar: De Gule Sider - {D4003A01-9B2C-4e24-9CD2-8D7DB1BDE096} - C:\WINDOWS\Downloaded Program Files\DGSToolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [VetTray] C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
O4 - HKLM\..\Run: [SysComp] C:\WINDOWS\System32\mslnmw.com
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: DU Meter.lnk = C:\Program Files\DU Meter\DUMeter.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Degulesider Toolbar (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/216a32736db359299806/netzip/RdxIE601.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37836.6912268519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D4003A01-9B2C-4E24-9CD2-8D7DB1BDE096} (De Gule Sider) - http://www.dgs.dk/tool/DGSCab.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/netbank/activex/DanskeSikker.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{90ECB7B0-88E4-4897-9C5D-84384096AD23}: NameServer = 194.239.134.83,193.162.153.164

og her efter jeg har logget af og på igen:
-----------------------------------------------

Logfile of HijackThis v1.96.0
Scan saved at 22:10:13, on 07-08-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\r_server.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\VetMsgNT.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Documents and Settings\min bruger\Desktop\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {44A23DAB-8D31-43AE-9F68-5AC24CF7CE8C} - C:\WINDOWS\System32\msinfosys.dll (file missing)
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: PrimeSoft - {44A23DAB-8D31-43AE-9F68-5AC24CF7CE8C} - C:\WINDOWS\System32\msinfosys.dll (file missing)
O3 - Toolbar: De Gule Sider - {D4003A01-9B2C-4e24-9CD2-8D7DB1BDE096} - C:\WINDOWS\Downloaded Program Files\DGSToolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [VetTray] C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
O4 - HKLM\..\Run: [SysComp] C:\WINDOWS\System32\mslnmw.com
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: DU Meter.lnk = C:\Program Files\DU Meter\DUMeter.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Degulesider Toolbar (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/216a32736db359299806/netzip/RdxIE601.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37836.6912268519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D4003A01-9B2C-4E24-9CD2-8D7DB1BDE096} (De Gule Sider) - http://www.dgs.dk/tool/DGSCab.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/netbank/activex/DanskeSikker.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{90ECB7B0-88E4-4897-9C5D-84384096AD23}: NameServer = 194.239.134.83,193.162.153.164

----------------------------------
den eneste forskel jeg kan se er at IExplore.exe kører, ikke andet, og jeg er ret lost derfra.

jeg har fundet ud af, at når jeg trykker "end Process" til IEXPLORE.EXE, så kommer der et program op der hedder msuowa.com i ca. 0,5 sekunder også lukker det ned og IEXPLORE.exe kommer op igen og tager alt CPU. det ligger i c:/WINDOWS/msagent. jeg kan ikke slette filen eller rename.
jeg kan ikke finde noget med den fil på nettet.

Ok. Fromsej og jeg har nu sammen gået igennem din log. Du får de første filer her fra mig, og om et øjeblik kommer resten fra fromsej.
Du må først fixe når du har fået dem allesammen.
Du markere alle de filer som vi beder dig om at fixe. Derefter lukker du alle vinduer undtagen HijackThis vinduet. Så klikker du på fix. Genstarter din computer og smider en ny log herind så vi kan se at alt nu også er væk.
VIGTIGT Husk at slå systemgendannelse fra imens du fixer. Dette gælder hvis du kører med XP eller ME andre styresystemer har ikke systemgendannelse.

Skal fixes:
O2 - BHO: (no name) - {44A23DAB-8D31-43AE-9F68-5AC24CF7CE8C} - C:\WINDOWS\System32\msinfosys.dll (file missing)
O3 - Toolbar: PrimeSoft - {44A23DAB-8D31-43AE-9F68-5AC24CF7CE8C} - C:\WINDOWS\System32\msinfosys.dll (file missing)


Er det noget du selv har bedt om at få ellers skal du fixe den.
O3 - Toolbar: De Gule Sider - {D4003A01-9B2C-4e24-9CD2-8D7DB1BDE096} - C:\WINDOWS\Downloaded Program Files\DGSToolbar.dll

Disse er unødvendige I din opstart. Hvis du ønsker at fjerne dem så gå i start – kør – skriv: msconfig – fanebladet start – fjeren vingen ud for følgende prg. Men vent med at gøre det til allersidst efter genstart.

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -

http://207.188.7.150/216a32736db359299806/netzip/RdxIE601.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{90ECB7B0-88E4-4897-9C5D-84384096AD23}: NameServer =

194.239.134.83,193.162.153.164  - Har du netværk og er de her interne DNS adresser, ellers skal de fixes.

r_server.exe  - Du har Remote Administrator kørende hele tiden, er det med vilje?

msuowa.com , den skal du finde og slette fra fejlsikret tilstand.
Omdøb den evt til msuowa.nej

I ER MINE HELTE, jeg lavede det der HijackThis, virkede ikke, prøvede at slette msuowa.com i fejlsikret tilstand, det kunne jeg ikke pga. filen blev brugt i en process, så jeg blev nødt til at finde min xp install disk, gå ind i recovery mode, og slette lortet(jeg havde glemt passwordet til admin kontoen, så jeg blev nødt til at cracke den :D ), også virker det nu!!!! jeg er fandeme glad nu :)

TAK TAK TAK TAK TAK TAK TAK TAK TAK TAK TAK TAK TAK

Velbekomme, det er altid rart når det lykkes.
Tak for point.*S*

Jeg siger også velbekommen og tak for Point;) Vi er lige så glade som du for at det lykkedes os at få dig clean.

Køb en hurtigere proceccor!

Fred2002>>Genialt forslag, hvorfor tænkte vi dog ikke på det, istedet for at få renset Spywaren ud af maskinen, tak for tippet, kan det også bruges hvis det er virus?