svchost.exe + iexplore.exe 99% CPU-Auslastung! |
||
---|---|---|
#0
| ||
18.08.2005, 11:11
...neu hier
Beiträge: 3 |
||
|
||
18.08.2005, 15:16
Member
Beiträge: 4730 |
#2
Überprüfe bei http://www.virustotal.com
C:\WINDOWS\system32\SLEE11.exe (Könnte etwas anderes sein, als es sich ausgibt) - poste das Ergebnis. Fixe mit HijackThis (HJT) (Häkchen vor Eintrag, "fix checked" klicken) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.accoona.com/search_assistant/accoona_search_assistant.jsp?&utm_id=400011&utm_content=leftnav&utm_source=wdz1&utm_medium=bund&utm_campaign=wdz0605a R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.accoona.com/search_assistant/accoona_search_assistant.jsp?&utm_id=400011&utm_content=leftnav&utm_source=wdz1&utm_medium=bund&utm_campaign=wdz0605a O2 - BHO: (no name) - {613DCBFA-B572-D999-36A1-50155A1B8C44} - C:\DOKUME~1\Frank\ANWEND~1\Softuser\Audio poke.exe O4 - HKLM\..\Run: [Cdrommealfindfork] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dupedashcdrommeal\PlusSlow.exe O4 - HKCU\..\Run: [Active Mpeg] C:\DOKUME~1\Frank\ANWEND~1\SIZE01~1\VIEW CHIN.exe Lade das Programm Killbox und entpacke es. Starte den PC neu und gehe in den abgesicherten Modus (während des Starts auf F8 drücken). Führe Killbox aus und aktiviere die Option "Delete on Reboot". Kopiere folgendes hinein und bestätige jeweils mit einem Klick auf das Kreuz. Die Abfragen nach dem Reboot erst nach der letzten Datei mit YES bestätigen. C:\DOKUME~1\Frank\ANWEND~1\Softuser\Audio poke.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dupedashcdrommeal\PlusSlow.exe C:\DOKUME~1\Frank\ANWEND~1\SIZE01~1\VIEW CHIN.exe PC wird neu gestartet. Lösche folgende Ordner: C:\DOKUME~1\Frank\ANWEND~1\Softuser\ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dupedashcdrommeal\ C:\DOKUME~1\Frank\ANWEND~1\SIZE01~1\ Mache einen Scan mit Ewido und teile uns das Ergebnis mit. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
18.08.2005, 16:10
...neu hier
Themenstarter Beiträge: 3 |
#3
Erstmal Danke für die große Mühe!
Zitat Überprüfe bei http://www.virustotal.comThis is a report processed by VirusTotal on 08/18/2005 at 15:39:44 (CET) after scanning the file "SLEE11.exe" file. Antivirus Version Update Result AntiVir 6.31.1.0 08.18.2005 no virus found Avast 4.6.695.0 08.17.2005 no virus found AVG 718 08.17.2005 no virus found Avira 6.31.1.0 08.18.2005 no virus found BitDefender 7.0 08.18.2005 no virus found CAT-QuickHeal 7.03 08.18.2005 no virus found ClamAV devel-20050725 08.18.2005 no virus found DrWeb 4.32b 08.18.2005 no virus found eTrust-Iris 7.1.194.0 08.17.2005 no virus found eTrust-Vet 11.9.1.0 08.18.2005 no virus found Fortinet 2.41.0.0 08.18.2005 no virus found F-Prot 3.16c 08.17.2005 no virus found Ikarus 0.2.59.0 08.17.2005 no virus found Kaspersky 4.0.2.24 08.18.2005 no virus found McAfee 4561 08.17.2005 no virus found NOD32v2 1.1196 08.17.2005 no virus found Norman 5.70.10 08.17.2005 no virus found Panda 8.02.00 08.17.2005 no virus found Sophos 3.96.0 08.18.2005 no virus found Sybari 7.5.1314 08.18.2005 no virus found Symantec 8.0 08.18.2005 no virus found TheHacker 5.8.2.091 08.18.2005 no virus found VBA32 3.10.4 08.17.2005 no virus found Der Scan mit Ewido dauert noch eine Weile, hat aber schon nach 7 Minuten, 26 Infizierte Objekte gefunden! Ich editiere Den Report von Ewido dann hier in den Post! Edit: --------------------------------------------------------- ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 16:34:04, 18.08.2005 + Report-Checksumme: D9A7ACA6 + Scanergebnis: HKU\S-1-5-21-2052111302-1078081533-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000010-6F7D-442C-93E3-4A4827C2E4C8} -> Spyware.InternetOptimizer : Gesäubert mit Backup HKU\S-1-5-21-2052111302-1078081533-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D} -> Spyware.MyWebSearch : Gesäubert mit Backup HKU\S-1-5-21-2052111302-1078081533-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA} -> Spyware.MyWebSearch : Gesäubert mit Backup HKU\S-1-5-21-2052111302-1078081533-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10E42047-DEB9-4535-A118-B3F6EC39B807} -> Spyware.SideFind : Gesäubert mit Backup HKU\S-1-5-21-2052111302-1078081533-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{86227D9C-0EFE-4F8A-AA55-30386A3F5686} -> Spyware.YourSiteBar : Gesäubert mit Backup HKU\S-1-5-21-2052111302-1078081533-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A3FDD654-A057-4971-9844-4ED8E67DBBB8} -> Spyware.ISTBar : Gesäubert mit Backup HKU\S-1-5-21-2052111302-1078081533-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} -> Dialer.Generic : Gesäubert mit Backup HKU\S-1-5-21-2052111302-1078081533-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F4E04583-354E-4076-BE7D-ED6A80FD66DA} -> Spyware.BargainBuddy : Gesäubert mit Backup :mozilla.15:C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Mozilla\Firefox\Profiles\v1wenj3p.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup :mozilla.17:C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Mozilla\Firefox\Profiles\v1wenj3p.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup :mozilla.18:C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Mozilla\Firefox\Profiles\v1wenj3p.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup :mozilla.19:C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Mozilla\Firefox\Profiles\v1wenj3p.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup :mozilla.29:C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Mozilla\Firefox\Profiles\v1wenj3p.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.48:C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Mozilla\Firefox\Profiles\v1wenj3p.default\cookies.txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\Gummy.class-657ed063-7a5c068d.class -> Trojan.Java.Femad : Gesäubert mit Backup C:\Dokumente und Einstellungen\Frank\Cookies\denis@adopt.euroclick[1].txt -> Spyware.Cookie.Euroclick : Gesäubert mit Backup C:\Dokumente und Einstellungen\Frank\Cookies\denis@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\Frank\Cookies\denis@rotator.adjuggler[1].txt -> Spyware.Cookie.Adjuggler : Gesäubert mit Backup C:\Dokumente und Einstellungen\Frank\Desktop\SICHERUNG\erledigt\Proggies [2,64 GB]\Serial 2k\Updates\s2k.011502.zip/hackertools.exe -> Dialer.Generic : Gesäubert mit Backup C:\Dokumente und Einstellungen\Frank\Desktop\SICHERUNG\erledigt\Proggies [2,64 GB]\Serial 2k\Updates\s2k.020102.zip/handyfun.exe -> Dialer.Generic : Gesäubert mit Backup C:\Dokumente und Einstellungen\Frank\Desktop\SICHERUNG\erledigt\Proggies [2,64 GB]\Serial 2k\Updates\s2k.080102.zip/hackertools.exe -> Dialer.Generic : Gesäubert mit Backup C:\Dokumente und Einstellungen\Frank\Desktop\SICHERUNG\erledigt\Proggies [2,64 GB]\Serial 2k\Updates\s2k.110101.zip/handyfun.exe -> Dialer.Generic : Gesäubert mit Backup C:\Dokumente und Einstellungen\Frank\Desktop\SICHERUNG\erledigt\Proggies [2,64 GB]\Serial 2k\Updates\s2k.111501.zip/Liveshow.exe -> Dialer.Generic : Gesäubert mit Backup C:\Dokumente und Einstellungen\Frank\Desktop\SICHERUNG\erledigt\Proggies [2,64 GB]\Serial 2k\Updates\s2k.120101.zip/hackerdownloads.exe -> Dialer.Generic : Gesäubert mit Backup C:\Dokumente und Einstellungen\Frank\Desktop\SICHERUNG\erledigt\Proggies [2,64 GB]\TMPGEnc\TMPGEnc.Plus.2.524.63.181_CRKEXE-FFF.zip/start.exe -> TrojanDownloader.IstBar.ja : Gesäubert mit Backup C:\Dokumente und Einstellungen\Frank\Desktop\Verknüpfungen\CrackSearcher.exe -> Not-A-Virus.HackTool.CrackSearch.a : Gesäubert mit Backup C:\Programme\Mozilla Firefox\plugins\NPMyWebS.dll -> Spyware.MyWebSearch : Gesäubert mit Backup C:\Programme\Uninstall My Web Search.dll -> Spyware.MyWebSearch : Gesäubert mit Backup C:\Programme\YAW 3.5\Quarantäne\969086896.dat.file -> Dialer.Generic : Gesäubert mit Backup ::Report Ende PS: @ Managor: Wollt nur kurz sagen, dass ich bei dir in der Nähe wohne, in Gießen Dieser Beitrag wurde am 18.08.2005 um 16:34 Uhr von sl4mdunk editiert.
|
|
|
||
18.08.2005, 16:40
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@sl4mdunk
scanne bitte noch mit escan (der erkennt die LOP-Verseuchung) und loesche dann alles, was angezeigt wird im abgesicherten Modus (oder poste vorher hier das Log) http://virus-protect.org/escan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.08.2005, 16:40
Member
Beiträge: 4730 |
#5
Gut, Ewido hat gute Arbeit geleistet
Wie läuft das System nun? PS: Ja, die Welt ist ein Dorf PPS: Den eScan-Vorschlag muss ich ja nun doch nicht mehr reineditieren. Sabina ist mir zuvor gekommen __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
18.08.2005, 17:14
...neu hier
Themenstarter Beiträge: 3 |
#6
Ja, viel besser geworden. Kann wieder normal arbeiten und spielen!!! Danke.
|
|
|
||
18.08.2005, 18:18
Member
Beiträge: 4730 |
#7
Was sagt denn escan? (siehe Sabinas Posting)
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
24.01.2006, 20:31
...neu hier
Beiträge: 3 |
#8
Hallo zusammen!
Ich habe nahezu das gleiche Problem. In unregelmäßigen Abständen hat eine zweite iexplore.exe 99% cpu-auslastung, was natürlich den computer bremst. Könnt ihr bitte mal über meinen hijack log drüber gucken? Schon mal danke. Logfile of HijackThis v1.99.1 Scan saved at 20:32:27, on 24.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\spoolsv.exe D:\Programme\AVPersonal\AVGUARD.EXE D:\Programme\AVPersonal\AVWUPSRV.EXE D:\WINDOWS\SYSTEM32\GEARSEC.EXE D:\Programme\VIA\RAID\raid_tool.exe D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe D:\WINDOWS\SOUNDMAN.EXE D:\Programme\Synaptics\SynTP\SynTPLpr.exe D:\Programme\Synaptics\SynTP\SynTPEnh.exe D:\WINDOWS\sm56hlpr.exe D:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe D:\Programme\AVPersonal\AVGNT.EXE D:\Programme\Internet Explorer\IEXPLORE.EXE D:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe D:\Programme\Miranda IM\miranda32.exe D:\Nils\löschen\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rp-online.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [RaidTool] D:\Programme\VIA\RAID\raid_tool.exe O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SynTPLpr] D:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] D:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Seri*hier nicht!*] sm56hlpr.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\CloneCD\CloneCDTray.exe" /s O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132970953125 O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab O20 - Winlogon Notify: OdysseyClient - D:\WINDOWS\ O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: GEARSecurity - GEAR Software - D:\WINDOWS\SYSTEM32\GEARSEC.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe |
|
|
||
25.01.2006, 00:57
Ehrenmitglied
Beiträge: 29434 |
#9
Baxter
weisst du , was das ist ? O20 - Winlogon Notify: OdysseyClient - D:\WINDOWS\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.01.2006, 18:25
...neu hier
Beiträge: 3 |
#10
Ne, weiß ich leider nicht.
Das komische ist, dass wenn ich dann den Prozess iexplore.exe beende werden direkt alle IE-Fenster geschlossen, was ja eigentlich bedeutet, dass es doch etwas mit dem IE zu tun hat. Dieser Beitrag wurde am 26.01.2006 um 18:29 Uhr von Baxter editiert.
|
|
|
||
27.01.2006, 00:29
Ehrenmitglied
Beiträge: 29434 |
#11
Baxter
stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
alle 65 Sekunden nimmt eine von den zwei iexplore.exe - Prozessen meine komplette CPU-Auslastung, für ca. 16 Sekunden, in der Zeit kann ich nichts machen! Das ist ziemlich nervig. Genauso ist es mit der svchost.exe, die kann man aber wenigstens noch beenden. Die iexplore.exe kommen immer wieder. Ich kann es mir nur mit Spyware oder Trojaner erklären!
Wäre Super wenn ihr mir Tipps geben könntet um das wieder zu beheben!
Zitat