100% system auslastung bei IE - Wieso?

Moderator

Beiträge: 7805

#106 Wie genau lauten die Virennamen? Ich denke aber, das AVPE einfach nur die Spyware entdeckt.

Davon mal abgesehen, fixe mal das:
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {BDF6CE3D-F5C5-4462-9814-3C8EAC330CA8} - C:\WINDOWS\AdRoar.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2\bin\jusched.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [slmss] C:\Programme\Common Files\slmss\slmss.exe
O4 - HKLM\..\Run: [AdRoarUpdate] C:\WINDOWS\ARUpdate.exe

Nach einem Neustart, lasse Mcafee und AVPE nochmals scannen( aber bitte erst updaten)
Es waere nett, wenn du mir diese Dateien
C:\Programme\Common Files\slmss\slmss.exe
C:\WINDOWS\ARUpdate.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
an meine Adresse aus dem Profil oder an virrus@rokop-security.de schicken koenntest. Danach die Dateien bitte loeschen/verschieben.
__________
MfG Ralf
SEO-Spam Hunter

04.01.2004, 12:34

...neu hier

Beiträge: 6

#107 also der virus heißt
TR/SecondThoughtA1 und A3

die dateien hab ich dir geschickt, auf virrus@rokop-security.de - leider kann ich slmss.exe nicht finden.

udn vielen dank für deine hilfe!!

EDIT: hab slmss.exe doch gefunden - schicks dir gleich nochmal

Dieser Beitrag wurde am 04.01.2004 um 12:37 Uhr von digimortal editiert.

04.01.2004, 12:47

Moderator

Beiträge: 7805

#108 Ich habe dir eine falsche Emailadresse gegeben. nicht "Virrus" sonder natuerlich "virus", entschuldige!
__________
MfG Ralf
SEO-Spam Hunter

04.01.2004, 13:00

...neu hier

Beiträge: 6

#109 ok, hab sie dir nochmal geschickt.

04.01.2004, 13:34

Moderator

Beiträge: 7805

#110 Danke, habe sie bekommen. die slmss und die arupdate ist wohl Adware(teilweise als Trojaner klassifiziert). und zur P2P...exe gibt es satt infos. Zum Beispiel hier:
http://www.sysinfo.org/startuplist.php?filter=p2p+netw&count=&type=
__________
MfG Ralf
SEO-Spam Hunter

04.01.2004, 13:37

...neu hier

Beiträge: 6

#111 heißt das ich kann die löschen?

04.01.2004, 13:44

Moderator

Beiträge: 7805

#112 Ja, natuerlich, sie sind "nutzlos".
__________
MfG Ralf
SEO-Spam Hunter

04.01.2004, 13:45

...neu hier

Beiträge: 6

#113 vielen dank für die hilfe!

13.01.2004, 00:07

...neu hier

Beiträge: 4

#114 na da jetzt schon so vielen mit dem IE geholfen wurde versuch ich auch mal mein glück

und zwar hab ich das prob, dass bei einigen seiten die prozessorauslastung 70-80% hoch geht, dann 4-5sec gar nix passiert... und die seite am ende dann doch geladen wird ;D

das prob ist unter anderem bei www.t-online.de

da ich auch opera installiert hab... und das das gleich prob ist find ich das leicht komisch ;D

hijackthis log post ich auch mal:

Logfile of HijackThis v1.97.7
Scan saved at 00:02:12, on 13.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\VMware Workstation\vmware-authd.exe
C:\WINDOWS\System32\vmnat.exe
C:\WINDOWS\System32\vmnetdhcp.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\WebTemp\WebTemp.exe
C:\Programme\ICQ\ICQ.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
c:\programme\matadb\MantaSV.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Ad-aware 6\Ad-aware.exe
C:\WINDOWS\System32\dllhost.exe
C:\Programme\Norton AntiVirus\OPScan.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Admin\Desktop\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &MantaDB - {DEDEDE03-0000-0000-C000-00A300000043} - c:\programme\matadb\MantaCL.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\RunServices: [svchost] svhost.exe
O4 - HKCU\..\Run: [WebTemp] "C:\Programme\WebTemp\WebTemp.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKLM\..\RunOnce: [Q814995] rundll32.exe apphelp.dll,ShimFlushCache
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Sothink SWF Decompiler - C:\Programme\SWF Decompiler\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: SWFDecompiler (HKLM)
O9 - Extra 'Tools' menuitem: Sothink SWF Decompiler (HKLM)
O9 - Extra button: NeoTrace It! (HKCU)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37886.4925
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{25C639B0-5B25-456E-865C-121CA437D9D4}: NameServer = 192.168.0.1

jetzt schon mal thx 4 help

Dieser Beitrag wurde am 13.01.2004 um 00:18 Uhr von CommanderXP editiert.

13.01.2004, 09:36

Moderator

Beiträge: 7805

#115 Nimm das mal raus:
O4 - HKLM\..\RunServices: [svchost] svhost.exe

mache einen Neustart und teste die svhost.exe hier: http://www.kaspersky.com/remoteviruschk.html
__________
MfG Ralf
SEO-Spam Hunter

13.01.2004, 12:56

...neu hier

Beiträge: 4

#116 also zum rausnehmen und restarten hab ich jetzt keine zeit mehr ;D

mach ich dann heut abend

aber virenscan hab ich noch gemacht

Known viruses: 80529 Updated: 13.01.2004
File size (Kb): 13 Scan time: 00:00:01
Speed (Kb/sec): 13 Virus bodies: 0
Archives: 0 Packed: 0
Folders: 0 Files: 1
Suspicious: 0 Warnings: 0

scheint also nix zu sein

Dieser Beitrag wurde am 13.01.2004 um 12:56 Uhr von CommanderXP editiert.

13.01.2004, 14:14

Moderator

Beiträge: 7805

#117 Doch, das ist was. Schicke die Datei mal hierhin: virus@protecus.de
__________
MfG Ralf
SEO-Spam Hunter

13.01.2004, 16:58

...neu hier

Beiträge: 4

#118 ach shit ich bin ja auch blind ^^

hab auf die schnelle in der mittagspause net richtig geschaut ;D

hast recht die svhost.exe ist bzw. war ein virus...
hab ich aber schon länger entfernt. (ist nur noch der eintrag im autostart)

hab heut mittag die svchost.exe scannen lassen

und klar, dass die keinen virus hat.

außerdem hab ich norton 2004 mit neuesten updates... da sollte eigentlich nix mit viren sein

Dieser Beitrag wurde am 13.01.2004 um 16:59 Uhr von CommanderXP editiert.

15.01.2004, 17:17