100% system auslastung bei IE - Wieso?Thema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
22.12.2003, 23:50
Member
Beiträge: 27 |
||
 
|
|
|
|
23.12.2003, 08:58
Member
Beiträge: 3306 |
#62
@Tinchen:
Es hängt am OS (Windows) und am Browser (IE) und an den Seiten die man so ansurft (Pornos, Cracks etc.). Zeug wie Gator oder myss.b kann man sich auch ohne IE einfangen, aber diese ganzen Hijacker sind für den IE zugeschnitten. Mit dem IE ist es leider auch sehr leicht möglich irgendwelchen Mist installiert zu bekommen ohne es überhaupt zu merken. @Mezcal: Starte mal im abgesicherten Modus (beim Start F8 drücken) und lass den CWShredder nochmal drüber laufen. __________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. Dieser Beitrag wurde am 23.12.2003 um 08:59 Uhr von asdrubael editiert.
|
|
|
|
|
|
|
23.12.2003, 14:06
Member
Beiträge: 27 |
#63
 Leider nicht behoben! Die netten Tierchen sind wieder da.Das gibts doch nicht. Da muss doch irgendwo noch ein Programm laufen, der das Zeug doch wieder hinschreibt. __________ MfG Mezcal |
|
|
|
|
|
|
23.12.2003, 15:16
Moderator
Beiträge: 7805 |
#64
Poste bitte ein aktuelles Log, dann machen wir es per Hand. Ich gehe davon aus, das du alle Updates via www.windowsupdate.com installiert hast!? Sonst ist es kein wunder, das es immer wieder kommt.
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
23.12.2003, 15:33
Member
Beiträge: 27 |
#65
Logfile of HijackThis v1.97.7
Scan saved at 15:45:36, on 23.12.2003 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINNT\System32\ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\qttask.exe C:\WINNT\system32\Atiptaxx.exe C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\internat.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Super\Super.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Daniel1\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/freenet R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.bluewin.ch/ O1 - Hosts: 205.177.124.66 auto.search.msn.com O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe O4 - HKLM\..\Run: [QuickTime Task] C:\WINNT\System32\qttask.exe O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [Outpost Firewall] "C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37881.1689814815 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2EF79D3B-D81C-4AB4-90EE-87DEB519177F}: NameServer = 62.104.191.241 62.104.196.134 O19 - User stylesheet: C:\WINNT\hh.htt (HKLM) Windowsupdates sind aktuell! So, dann habe ich ein offenes Ohr!!!  __________ MfG Mezcal |
|
|
|
|
|
|
23.12.2003, 15:48
Moderator
Beiträge: 7805 |
#66
Bitte alle browserfenster schliessen und mal folgendes "fix"en:
O1 - Hosts: 205.177.124.66 auto.search.msn.com O19 - User stylesheet: C:\WINNT\hh.htt (HKLM) Nach einem Neustart C:\WINNT\hh.htt loeschen und den CWshredder nochmal laufen lassen. Ich hoffe das wars!  __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
23.12.2003, 16:18
Member
Beiträge: 27 |
||
|
|
|
|
|
23.12.2003, 16:43
Moderator
Beiträge: 7805 |
#68
HM, naechster agressiverer Versuch! Jetzt raeumen wir mal alles, was nicht zwingend notwendig ist!
Dieses "fix"en und zwar im abgesicherten Modus: Alles was unter R steht. O1 - Hosts: 205.177.124.66 auto.search.msn.com O4 - HKLM\..\Run: [QuickTime Task] C:\WINNT\System32\qttask.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2EF79D3B-D81C-4AB4-90EE-87DEB519177F}: NameServer = 62.104.191.241 62.104.196.134 O19 - User stylesheet: C:\WINNT\hh.htt (HKLM) Dann die C:\WINNT\hh.htt loeschen. Schau bei der Gelegenheit, ob du in der Win.ini einen RUN= Eintrag hast und wenn ja, welcher. BTW: Schon mal Adware(www.lavasoft.de) und SpybotSD(security.kolla.de) darauf angesetzt? __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
23.12.2003, 17:05
Member
Beiträge: 27 |
#69
Sind alle wieder da. Gibts doch nicht!In der Win.ini ist kein RUN-Eintrag. Adware und Spybot habe ich auch durchlaufen lassen. Aber alle Pferdchen kamen zurück. __________ MfG Mezcal |
|
|
|
|
|
|
23.12.2003, 17:19
Moderator
Beiträge: 7805 |
#70
Also ab nun nur noch alternativen Browser nutzen!
Man koennte noch Trick 17 versuchen. Loesche die hh.htt Datei, oeffne Notepad schreib dort irgendwas und speichere die Datei unter c:\winnt\ mit dem Dateinamen hh.htt . Danach die Datei mit einem Schreibschutz versehen.(ueber den Explorer da mit rechts auf den Dateinamen und unter Eigenschaften "Schreibgeschuetzt" anhaken. Alles im abgesicherten Modus. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
23.12.2003, 17:28
Member
Beiträge: 27 |
#71
Trick 17 funktioniert nicht, sobald ich es gelöscht habe, ist es auch schon wieder da. Das heist Goodbye Explorer!
Danke Dir!!! __________ MfG Mezcal |
|
|
|
|
|
|
23.12.2003, 18:07
Moderator
Beiträge: 7805 |
#72
Komisch, das kann im abgesicheren Modus eigentlich nicht moeglich sein!? Naja, warten wir es ab.
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
23.12.2003, 18:53
Member
Beiträge: 27 |
#73
Keine Chance, war gleich wieder da. C'est la vie. Aber ich gebe nicht auf. Lass mir nicht von ein Pferdchen aus dem Sattel schmeissen.
 __________ MfG Mezcal |
|
|
|
|
|
|
25.12.2003, 11:27
...neu hier
Beiträge: 5 |
#74
Hallo asdrubael und Hallo raman
vielen lieben Dank nochmal für eure Hilfe. Toll, dass es solche Foren wie dieses hier gibt :-) Der Compi meines Sohnes läuft nun wieder ohne Probleme.. ich hoffe, das bleibt nun auch erstmal so, sonst seht ihr mich bestimmt bald wieder hier *droh* *lach* Und dir Mezcal drücke ich die Daumen, dass dein Problem auch bald behoben ist. Liebe Grüße und Frohe Weihnachten... Tinchen
|
|
|
|
|
|
|
26.12.2003, 02:18
Member
Beiträge: 27 |
#75
 Danke Tinchen,ebenfalls Frohe Weihnachten an alle. Noch eine Frage zu meinem Pferdchen. Ebenfalls im Abgesicherten Modus meldet CWShredder die Hinweisbox mit: "Bitte alle Browserfenster schliessen... bla..bla...", zeigt er dies generell an beim Starten oder ist es möglich das irgendetwas im Hintergrund läuft??? Wenn ja, was könnte es sein? Muss ja irgendwas sein, warum es grad bei mir nicht weggeht, oder bin ich nicht allein mit dem Problem? __________ MfG Mezcal Dieser Beitrag wurde am 26.12.2003 um 04:03 Uhr von Mezcal editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Logfile of HijackThis v1.97.7
Scan saved at 23:58:08, on 22.12.2003
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\qttask.exe
C:\WINNT\system32\Atiptaxx.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Super\Super.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Daniel1\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/freenet
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.bluewin.ch/
O1 - Hosts: 205.177.124.66 auto.search.msn.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\WINNT\System32\qttask.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SIA] C:/Programme/Steganos Internet Anonym/itd.exe /booting
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37881.1689814815
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EF79D3B-D81C-4AB4-90EE-87DEB519177F}: NameServer = 62.104.191.241 62.104.196.134
O19 - User stylesheet: C:\WINNT\hh.htt (HKLM)
Grad das letzte O19 bekomme ich nicht weg. CWSHRADDER findet zwei Krüppel :
Done!
Removed from your system:
- CWS.Svchost32
- CWS.Tapicfg
Windows 2000 (5.00.2195 SP4)
CWShredder v1.39.8
Kaum 2 Sekunden später sind sie wieder da. Ebenfalls die hh.htt.
Wäre für Hilfe dankbar. Bin aber nur´n normaler Anwender. Das heisst bräuchte ne "einfache" Erklärung. Danke!
__________
MfG Mezcal