hi.. ich hab ein problem mit meinem pc..
erstens ist er wenn ich ihn starte immer auf 100% cpu auslastung.. und das mehrmals hintereinander für ca. 30 sek.
laut ad-aware und antivir premium hab ich nichts auffem rechner...

ich hatte das mal mit im taskmanager mitbeobachtet.. und da is mir eine issas.exe und eine servic~1.exe aufgefallen.. hatten beide 50% der cpu auslastung soweit ich das mitverfolgen konnte... hab mal gegoogelt und laut einer seite is die issas.exe wohl ein trojaner oder sowas, wenn sie wohl nich im system32 drin ist.. aber da ist sie nicht und unter suchen hab ich sie auch nirgens anders gefunden ?! dann wollt ich den prozess beenden aber da kam nur die meldung:
"taskmanager konnte diesen kritischen prozess nicht beenden."
über die servic~1.exe hab ich nichts gefunden..

hab mal mit HijackThis ein logfile gemacht:


Logfile of HijackThis v1.99.1
Scan saved at 10:55:06, on 28.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\AVPersonalPremium\AVGUARD.EXE
C:\Programme\AVPersonalPremium\AVESVC.EXE
C:\Programme\AVPersonalPremium\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
d:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\AVPersonalPremium\AVGNT.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\System32\alg.exe
D:\Programme\Skype\Phone\Skype.exe
D:\Programme\ICQLite\ICQLite.exe
D:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Dokumente und Einstellungen\susi\Eigene Dateien\downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.ewetel.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ewetel.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy1.ewetel.de:8080
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - D:\Programme\iMesh\iMesh5\iMeshBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Zone Labs Client] "d:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonalPremium\AVGNT.EXE /min
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111008248803
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1C6FAD1-C854-48A7-982D-9C8709B635AD}: NameServer = 212.6.108.140 212.6.108.141
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - AntiVir PersonalProducts GmbH. - C:\Programme\AVPersonalPremium\AVMAILC.EXE
O23 - Service: AntiVir Service (AntiVirService) - AntiVir PersonalProducts GmbH - C:\Programme\AVPersonalPremium\AVGUARD.EXE
O23 - Service: AVE Service (AVEService) - AntiVir PersonalProducts GmbH - C:\Programme\AVPersonalPremium\AVESVC.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonalPremium\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: ewido security suite control - ewido networks - d:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

ich hoffe mir kann einer helfen..
gruß susi
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.
LG Cidre
S-Mod TB

@su-si
HJT soll aus einem speziell angelegten Ordner ausgeführt werden.
Bitte alle Links im Log deaktivieren (z.B. h**p statt http)
Benutzername unerkennbar machen.
Mach bitte noch Folgendes:
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen.
4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.

soo.. also den ganzen log kann ich nich posten.. der passt hier wohl nich rein.. also bin ich auf suchen gegangen und hab das mit tagged und infected rauskopiert...

Sat May 28 13:46:39 2005 => File C:\WINDOWS\system32\o infected by "Trojan-Downloader.BAT.Ftp.ab" Virus! Action Taken: No Action Taken.
Sat May 28 13:57:47 2005 => Scanning Folder: C:\Programme\AVPersonalPremium\INFECTED\*.*
Sat May 28 13:57:49 2005 => Scanning Folder: C:\Programme\AVPersonalPremium\MAIL\INFECTED\*.*
Sat May 28 14:24:53 2005 => File C:\WINDOWS\system32\o infected by "Trojan-Downloader.BAT.Ftp.ab" Virus! Action Taken: No Action Taken
Sat May 28 16:34:58 2005 => Total Disinfected Files: 0

Sat May 28 14:38:06 2005 => File D:\Programme\aida\aida_directx.dll tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken.
Sat May 28 14:38:05 2005 => File D:\Programme\aida\aida32.exe tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken.
Sat May 28 14:38:05 2005 => File D:\Programme\aida\aida32.bin tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken.
Sat May 28 14:27:43 2005 => File D:\eigene dateien\downloads\Neuer Ordner\Creatures 3 nocd.ace tagged as not-a-virus:CrackTool.Win32.AssasinPatch. No Action Taken.
Sat May 28 14:26:33 2005 => File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat May 28 13:45:14 2005 => File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.



is des richtig? hab des ja noch nie gemacht
noch etwas?

gruß susi

@su-si

Zitat:

soo.. also den ganzen log kann ich nich posten..

Das braucht auch keiner

Zitat:

is des richtig?

Fast. In der verlinkten Anleitung steht auch die Anweisung, die Datei Find.bat zu benutzen. Das hast du ignoriert.

Zitat:

File C:\WINDOWS\system32\o infected by "Trojan-Downloader.BAT.Ftp.ab" Virus! Action Taken: No Action Taken.

Bei einigen AV-Anbieter werden diesem Virus Backdoor -Eigenschaften zugeschrieben. Aus dem Grund und im Bezug auf von dir beschriebenen Bereinigungsversuche würde ich dir empfehlen , deinen PC neu aufzusetzen.