Hi, ich habe ein Problem mit der Explorer.exe, die Auslastung liegt immer im Bereich von 50 bis 70%. Mein System ist Windows 7 Ultimate 64 und ich habe sowohl mit Kaspersky meinen PC gescannt als auch Windows neu installiert. Leider brachte das nicht den gewünschten Erfolg und es trat keinerlei Änderung ein. Durch ein wenig googlen kam Ich auf das Programm Combofix was bei jmd. die Probleme mit der Explorer.exe gelöst hatte. Wie ich hier nun lesen musste war es wohl nicht so gut das Programm ohne eurem anraten zu verwenden. Muss aber sagen das der Zustand des PCs sich nicht verschlechtert hat.

Hier mal der Log von Combofix

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-08-22.02 - diggas 22.08.2011  10:27:41.1.2 - x64
Microsoft Windows 7 Ultimate   6.1.7600.0.1252.49.1031.18.2047.1082 [GMT 2:00]
ausgeführt von:: c:\users\diggas\Desktop\Neuer Ordner 1\ComboFix.exe
AV: Kaspersky Security Suite CBE 11 *Disabled/Updated* {2EAA32A5-1EE1-1B22-95DA-337730C6E984}
FW: Kaspersky Security Suite CBE 11 *Disabled* {1691B380-548E-1A7A-BE85-9A42CE15AEFF}
SP: Kaspersky Security Suite CBE 11 *Disabled/Updated* {95CBD341-38DB-14AC-AF6A-08054B41A339}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-07-22 bis 2011-08-22  ))))))))))))))))))))))))))))))
.
.
2011-08-22 08:33 . 2011-08-22 08:33	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-08-22 08:22 . 2011-08-22 08:22	--------	d-----w-	c:\program files (x86)\MozBackup
2011-08-22 07:55 . 2011-08-22 07:55	--------	d-----w-	c:\program files (x86)\Microsoft Synchronization Services
2011-08-22 07:54 . 2011-08-22 07:54	--------	d-----w-	c:\windows\PCHEALTH
2011-08-22 07:54 . 2011-08-22 07:54	--------	d-----w-	c:\program files (x86)\Microsoft.NET
2011-08-22 07:54 . 2011-08-22 07:54	--------	d-----w-	c:\program files (x86)\Microsoft Sync Framework
2011-08-22 07:54 . 2011-08-22 07:54	--------	d-----w-	c:\program files (x86)\Microsoft SQL Server Compact Edition
2011-08-22 07:50 . 2011-08-22 07:50	--------	d-----w-	c:\program files (x86)\Microsoft Visual Studio 8
2011-08-22 07:49 . 2011-08-22 07:49	--------	d-----w-	c:\program files (x86)\Microsoft Analysis Services
2011-08-22 07:47 . 2011-08-22 08:03	--------	d-----w-	c:\programdata\Microsoft Help
2011-08-22 07:32 . 2011-08-22 07:32	526392	----a-w-	c:\windows\system32\drivers\sptd.sys
2011-08-22 07:31 . 2011-08-22 07:31	--------	d-----w-	c:\program files (x86)\DAEMON Tools Lite
2011-08-22 07:29 . 2011-08-22 07:29	--------	d-----w-	c:\programdata\DAEMON Tools Lite
2011-08-21 22:05 . 2011-08-21 22:05	--------	d-----w-	c:\program files (x86)\Common Files\Java
2011-08-21 22:05 . 2011-08-21 22:04	472808	----a-w-	c:\windows\SysWow64\deployJava1.dll
2011-08-21 22:04 . 2011-08-21 22:04	--------	d-----w-	c:\program files (x86)\Java
2011-08-21 20:56 . 2011-08-21 20:56	404640	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2011-08-21 20:56 . 2011-08-21 20:56	--------	d-----w-	c:\windows\SysWow64\Macromed
2011-08-21 20:38 . 2011-08-21 20:38	--------	d-----w-	c:\program files (x86)\jeak.de
2011-08-21 20:27 . 2011-08-21 20:27	--------	d-----w-	c:\program files (x86)\Opera
2011-08-21 20:03 . 2011-08-21 20:09	--------	d-----w-	c:\program files (x86)\KeePass Password Safe 2
2011-08-21 19:38 . 2011-08-22 08:37	--------	d-----w-	c:\programdata\Kaspersky Lab
2011-08-21 19:38 . 2011-08-21 19:38	--------	d-----w-	c:\program files (x86)\Kaspersky Lab
2011-08-21 19:37 . 2011-08-22 08:03	--------	d-sh--w-	c:\windows\Installer
2011-08-21 17:44 . 2011-08-16 06:48	8862544	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{B9605A61-3125-40A1-AD28-A23BF7D70309}\mpengine.dll
2011-08-21 17:44 . 2011-05-24 17:14	270720	------w-	c:\windows\system32\MpSigStub.exe
2011-08-21 17:04 . 2010-01-09 07:19	139264	----a-w-	c:\windows\system32\cabview.dll
2011-08-21 17:04 . 2010-01-09 06:52	132608	----a-w-	c:\windows\SysWow64\cabview.dll
2011-08-21 17:04 . 2009-12-29 08:03	220672	----a-w-	c:\windows\system32\wintrust.dll
2011-08-21 17:04 . 2009-12-29 06:55	172032	----a-w-	c:\windows\SysWow64\wintrust.dll
2011-08-21 15:16 . 2011-08-21 14:41	--------	d-----w-	c:\windows\Panther
2011-08-21 15:05 . 2011-08-21 15:05	--------	d-----w-	C:\Windows.old.000
2011-08-21 14:41 . 2011-08-21 14:42	--------	d-----w-	c:\users\diggas
2011-07-23 20:55 . 2011-08-21 22:29	--------	d-----w-	C:\Vistawinexit
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1475072]
"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2011-08-02 4910912]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"AVP"="c:\program files (x86)\Kaspersky Lab\Kaspersky Security Suite CBE 11\avp.exe" [2011-04-13 387696]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-04-08 254696]
"BCSSync"="c:\program files (x86)\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~3\KASPER~1\KASPER~1\mzvkbd3.dll c:\progra~3\KASPER~1\KASPER~1\sbhook.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files (x86)\Microsoft Office\Office14\GROOVE.EXE [2010-03-25 30969208]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
S0 sptd;sptd;c:\windows\\SystemRoot\System32\Drivers\sptd.sys [x]
S1 kl2;kl2;c:\windows\system32\DRIVERS\kl2.sys [x]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [x]
S3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\DRIVERS\klmouflt.sys [x]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2011-08-22 c:\windows\Tasks\qipdater.exe.job
- c:\program files (x86)\jeak.de\QIP Infium\qipdater.exe [2011-03-18 17:30]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x1
"AppInit_DLLs"=c:\progra~3\KASPER~1\KASPER~1\x64\sbhook64.dll c:\progra~3\KASPER~1\KASPER~1\x64\kloehk.dll
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: An OneNote s&enden - c:\progra~3\MICROS~1\Office14\ONBttnIE.dll/105
IE: Hinzufügen zu Anti-Banner - c:\program files (x86)\Kaspersky Lab\Kaspersky Security Suite CBE 11\ie_banner_deny.htm
IE: Nach Microsoft E&xcel exportieren - c:\progra~3\MICROS~1\Office14\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\users\diggas\AppData\Roaming\Mozilla\Firefox\Profiles\7sba650j.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://aspricawow.de/index.php|hxxp://www.bspforum.de/index.php|hxxp://www.mobmap.de/spell?id=18060|hxxp://wff-wow.eu/index.php?page=Index|hxxp://www.mmonerds.de/forum/forum.php
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
.
**************************************************************************
.
         

Hoffe jmd. kann mir sagen wie ich mein Problem lösen kann.

P.S. wen ich die Explorer.exe beende geht auch die Gesamtauslastung runter.


MfG Cine

Warum führst du CF ohne Anweisung aus?!

Einen ganz klaren Hinweis gibt es auch zu http://www.trojaner-board.de/95175-combofix.html

Zitat:

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Zitat:

Durch ein wenig googlen kam Ich auf das Programm Combofix was bei jmd. die Probleme mit der Explorer.exe gelöst hatte. Wie ich hier nun lesen musste war es wohl nicht so gut das Programm ohne eurem anraten zu verwenden. Muss aber sagen das der Zustand des PCs sich nicht verschlechtert hat.

Habe doch erklärt das ich auf einer Seite fand das dieses Programm hilft und danach las ich hier das es falsch war es ohne Anweisung zu nutzen


Hast du dir den Log angesehen?

Damit aber kein anderer auch auf die Idee kommt, poste ich diesen Hinweis falls jmd in seinem ersten Posting schon ein CF-Log postet!

Ich habs mir kurz angesehen, aber von allein hat CF ja noch nichts gelöscht.

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

So habe das nun wie beschrieben ausgeführt

Der Log von Malwarebytes:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7535

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

22.08.2011 20:12:16
mbam-log-2011-08-22 (20-12-16).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 609294
Laufzeit: 3 Stunde(n), 1 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 31

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\diggas\anwendungsdaten\desktopicon\ebayshortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\diggas\anwendungsdaten\thinstall\premiumsoft navicat 8.0 for mysql\1000000500002i\hh.exe (Rootkit.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\diggas\anwendungsdaten\thinstall\premiumsoft navicat 8.0 for mysql\4000009f600002i\navicat.exe (Rootkit.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\diggas\Desktop\neuer ordner\portable microsoft office 2003 - word und excel\thinstall\office 2003\10000001600002i\msiexec.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\diggas\Desktop\neuer ordner\portable microsoft office 2003 - word und excel\thinstall\office 2003\1000000b00002i\verclsid.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\diggas\Desktop\neuer ordner\portable microsoft office 2003 - word und excel\thinstall\office 2003\30000000baa00002i\WINWORD.EXE (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\diggas\Desktop\neuer ordner\portable microsoft office 2003 - word und excel\thinstall\office 2003\4000003900002i\multikill.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\diggas\Desktop\neuer ordner\thinstall\premiumsoft navicat 8.0 for mysql\10000001400002i\NOTEPAD.EXE (Rootkit.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\diggas\Desktop\neuer ordner\thinstall\premiumsoft navicat 8.0 for mysql\1000000500002i\hh.exe (Rootkit.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\diggas\Desktop\neuer ordner\thinstall\premiumsoft navicat 8.0 for mysql\300000003400002i\dwwin.exe (Rootkit.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\diggas\Desktop\neuer ordner\thinstall\premiumsoft navicat 8.0 for mysql\40000014100002i\wdservice.exe (Rootkit.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\diggas\Desktop\neuer ordner\WOW\addons+commands\gm hilfe by maik\Tools\navicat for mysql 8.0.23\300000003400002i\dwwin.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\smoker\Desktop\neuer ordner\WOW\addons+commands\gm hilfe by maik\Tools\navicat for mysql 8.0.23\300000003400002i\dwwin.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\smoker\eigene dateien\ICQ\418266331\receivedfiles\385632114 notox3\kopi_af_sony_vegas_v7.0b_keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\system volume information\_restore{6a0a7fd5-afee-4868-9628-519909016e69}\RP612\A0305359.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{6a0a7fd5-afee-4868-9628-519909016e69}\RP612\A0305362.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{6a0a7fd5-afee-4868-9628-519909016e69}\RP612\A0305365.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{6a0a7fd5-afee-4868-9628-519909016e69}\RP628\A0325265.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{6a0a7fd5-afee-4868-9628-519909016e69}\RP628\A0325266.exe (PUP.HackTool.HotKeysHook) -> Not selected for removal.
c:\system volume information\_restore{893100b2-100a-4616-8272-76806ef9a2bf}\RP10\A0000788.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\system volume information\_restore{893100b2-100a-4616-8272-76806ef9a2bf}\RP13\A0002528.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\system volume information\_restore{893100b2-100a-4616-8272-76806ef9a2bf}\RP13\A0002529.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\system volume information\_restore{893100b2-100a-4616-8272-76806ef9a2bf}\RP45\A0016947.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\system volume information\_restore{893100b2-100a-4616-8272-76806ef9a2bf}\RP9\A0000406.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\windows.old.000\program files (x86)\GetFLV\getflv.v9.0.2.0-loader.exe (PUP.Hacktool.Patcher) -> Not selected for removal.
c:\windows.old.000\program files (x86)\GetFLV\keygen.exe (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.
c:\windows.old.000\Users\diggas\AppData\Roaming\thinstall\premiumsoft navicat 8.0 for mysql\10000006a00002i\searchindexer.exe (Rootkit.Dropper) -> Quarantined and deleted successfully.
d:\dokumente und einstellungen\Tino\Desktop\neuer ordner\WOW\addons+commands\gm hilfe by maik\Tools\navicat for mysql 8.0.23\300000003400002i\dwwin.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
d:\programme\bie_o10install86.exe (Trojan.Agent.CK) -> Not selected for removal.
d:\system volume information\_restore{ba968798-f695-4d20-9f7f-f69606b58f38}\RP90\A0027154.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
d:\system volume information\_restore{ba968798-f695-4d20-9f7f-f69606b58f38}\RP90\A0027164.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
         

Scheint geholfen zu haben da Explorer.exe nun keine hohe Auslastung mehr hat

Leider kann ich kein OTL Log posten da er mir nachdem er gescannt hat "Out of Memory" angezeigt hat. Hatte es danach noch mal versucht und wieder das gleiche.


Hoffe das nun mein PC Virenfrei ist und bedanke mich an dieser Stelle für die Hilfe die ich hier bekam. Werde wen ich wieder mal ein Problem habe auf euch zurück kommen.



MfG Cine

Zitat:

c:\dokumente und einstellungen\smoker\eigene dateien\ICQ\418266331\receivedfiles\385632114 notox3\kopi_af_sony_vegas_v7.0b_keygen.exe

Mal ehrlich, wen wundert ein spinnender PC bei diesem Dreck?

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!

Keine Sorge, die Datei ist noch aus XP Zeiten ein Überbleibsel und wurde scheinbar nur vergessen zu löschen.

Mein Problem hab ich mir definitiv nicht so eingefangen da ich seit der XP Zeit schon keine gecrackten Programme benutze.


Wie gesagt danke für die tolle Hilfe

Nur ist das offensichtlich nicht der einzige Crack auf diesem Rechner.
Folge dem Artikel zur Neuinstallation von Windows.