wenn ich gucke welche prozesse im task-manager laufen fällt mir sofort auf dass mein pc 2 mal IEXPLORER.EXE am laufen hat
der eine lastet 85 mb und der andere 3mb speicher aus
obwohl ich mit firefox surfe kriege ich werbungen mit dem Internet Explorer (sogar wenn ich mit dem internet nichts zu tun habe kommen werbungen)
sie fangen alle mit "CiD:" an
wenn ich im task manager eine davon lösche kommt sofort ein anderer mit steigendem mb
wenn ich alle beide lösche kommen sie in ungefähr 10-20 minuten wieder
manchmal wenn ich mit firefox surfe steigt der speicherauslastung von firefox über 200 mb
aber der unterschied ist dass ich immer wenn ich mein pc einschalte IEXPLORER.EXE sich automatisch öffnet und im hintergrund läuft
bei firefox ist es nicht so
woran könnte es liegen? wie könnte ich das problem beheben? obwol ich hier auf der site rumgesurft und gegoogled habe konnte ich das problem nicht beheben
könntet ihr mir mal hilflich sein bitte??

Erzeuge bitte ein HijackThis Logfile und poste es hier.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:33:14, on 06.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\A.Tepe\Desktop\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [Army Bleh] C:\DOKUME~1\A3EAA~1.TEP\ANWEND~1\AXISMA~1\HeartFrag.exe
O4 - HKLM\..\Policies\Explorer\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing)
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

--
End of file - 3269 bytes

Zitat:

Zitat von k-ibo

C:\WINDOWS\svchost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [Army Bleh] C:\DOKUME~1\A3EAA~1.TEP\ANWEND~1\AXISMA~1\HeartFrag.exe
O4 - HKLM\..\Policies\Explorer\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing)
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

Diese Sachen bitte fixen.
Lass bitte einmal MalwareBytes über das System

Navilog lasse bitte auch einmal über das System laufen.

Zitat:

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt deaktiviere daher zuerst den Hintergrundwächter deines Antivirenprogramms

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.
(Anleitung von Myrtille)

Zitat:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe

Der dick markierte Teil ist schädlich und müsste weg, vielleicht hat ein anderer Helfer ein Tool was das macht. Mir ist nur der Weg über editieren der Datei bekannt und das würde ich nur ungerne empfehlen.

als ich die dateien fixen wollte kam diese meldung (siehe: anhänge)
die datei "C:\WINDOWS\svchost.exe" stand überhaupt nicht in edr liste die aneren 5 konnte ich fixen
was sollte ich tun damit ich die auch fixen kann?

Hast du Novell Netware auf dem System?

da steht irgendwie no problems found.
edit: Nowell Netware!? habe ich nicht

Das Tool sieht ok aus. Hast du mal die anderen von mir vorhin geschriebenen Tipps befolgt?

ich konnte alle dateien fixen
aber die datei svchost im system 32 konnte ich nicht löschen
soll ich jetzt mit Malwarebytes und navilog weiter machen?
oder muss ich die datei svchost unbedingt vorher löschen?

kurz einmisch:

Du musst aufpassen ob svchost oder scvhost gemeint ist! Das ist ein kleiner, aber sehr feiner Unterschied!

ow ich habe die beiden dateien verwechselt
habe dannach im ordner system 32 nachgeguckt und hab die datei scvhost nicht gefunden und hab mit Malwarebytes weitergemacht
78 infiziwerten objekte wurden gefunden

Die Logs bitte hier posten, aber vorher private Sachen aus dem Log mit *** unleserlich machen.

Malwarebytes' Anti-Malware 1.19
Datenbank Version: 899
Windows 5.1.2600 Service Pack 2

14:09:17 06.07.2008
mbam-log-7-6-2008 (14-09-13).txt

Scan Art: Schnell Scan
Objekte gescannt: 43003
Scan Dauer: 8 minute(s), 11 second(s)

Infizierte Speicher Prozesse: 1
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 33
Infizierte Registrierungswerte: 3
Infizierte Datei Objekte der Registrierung: 3
Infizierte Verzeichnisse: 18
Infizierte Dateien: 20

Infizierte Speicher Prozesse:
C:\WINDOWS\svchost.exe (Trojan.Agent) -> No action taken.

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\n.cs4 (BackDoor.Ciadoor) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{e14dce67-8fb7-4721-8149-179baa4d792c} (BackDoor.Ciadoor) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{0958c4c9-77b0-4aa8-9364-7886bfca7e39} (BackDoor.Ciadoor) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{c9f1c5a0-f3d8-48e2-8b8c-3e86b4cac7e3} (BackDoor.Ciadoor) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.iebutton (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.iebutton.1 (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c9ccbb35-d123-4a31-affc-9b2933132116} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.hbinfoband (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.hbinfoband.1 (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a7cddcdc-beeb-4685-a062-978f5e07ceee} (Adware.Shopping.Report) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{a7cddcdc-beeb-4685-a062-978f5e07ceee} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.iebuttona (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.iebuttona.1 (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a16ad1e9-f69a-45af-9462-b1c286708842} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.hbax (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.hbax.1 (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{20ea9658-6bc3-4599-a87d-6371fe9295fc} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.rprtctrl (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.rprtctrl.1 (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{8ad9ad05-36be-4e40-ba62-5422eb0d02fb} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{aebf09e2-0c15-43c8-99bf-928c645d98a0} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{d8560ac2-21b5-4c1a-bdd4-bd12bc83b082} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{cdca70d8-c6a6-49ee-9bed-7429d6c477a2} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{d136987f-e1c4-4ccc-a220-893df03ec5df} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{e343edfc-1e6c-4cb5-aa29-e9c922641c80} (Adware.Shopping.Report) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.Shopping.Report) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.Shopping.Report) -> No action taken.
\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\shoppingreport (Adware.Shopping.Report) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\powermanager (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\powermanager (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\powermanager (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\ShoppingReport (Adware.Shopping.Report) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\ShoppingReport (Adware.Shopping.Report) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.Shopping.Report) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.Shopping.Report) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> No action taken.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Bot) -> Data: c:\windows\system32\ntos.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,) Good: (userinit.exe) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\System\DisableCMD (Hijack.CMDPrompt) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\A.Tepe\Anwendungsdaten\ShoppingReport (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ShoppingReport\cs (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ShoppingReport\cs\db (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ShoppingReport\cs\dwld (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ShoppingReport\cs\report (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ShoppingReport\cs\res2 (Adware.Shopping.Report) -> No action taken.
C:\Programme\ShoppingReport (Adware.Shopping.Report) -> No action taken.
C:\Programme\ShoppingReport\Bin (Adware.Shopping.Report) -> No action taken.
C:\Programme\ShoppingReport\Bin\2.5.0 (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Standart\Anwendungsdaten\VideoEgg (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\Standart\Anwendungsdaten\VideoEgg\Loader (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\Standart\Anwendungsdaten\VideoEgg\Loader\4665 (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\Standart\Anwendungsdaten\VideoEgg\Publisher (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\Standart\Anwendungsdaten\VideoEgg\Publisher\4665 (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\Standart\Anwendungsdaten\VideoEgg\Updater (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Anwendungsdaten\wsnpoem (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\wsnpoem (Trojan.Agent) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\wsock32.sys (BackDoor.Ciadoor) -> No action taken.
C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ShoppingReport\cs\Config.xml (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ShoppingReport\cs\db\Aliases.dbs (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ShoppingReport\cs\db\Sites.dbs (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ShoppingReport\cs\dwld\WhiteList.xip (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ShoppingReport\cs\report\aggr_storage.xml (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ShoppingReport\cs\report\send_storage.xml (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ShoppingReport\cs\res2\WhiteList.dbs (Adware.Shopping.Report) -> No action taken.
C:\Programme\ShoppingReport\Uninst.exe (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Standart\Anwendungsdaten\VideoEgg\Uninstall.exe (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\Standart\Anwendungsdaten\VideoEgg\Loader\4665\npvideoegg-loader.dll (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\Standart\Anwendungsdaten\VideoEgg\Updater\updater.exe (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\Standart\Anwendungsdaten\VideoEgg\Updater\VideoEggBroker.exe (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Anwendungsdaten\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\svchost.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ntos.exe (Backdoor.Bot) -> No action taken.
C:\Dokumente und Einstellungen\Standart\Anwendungsdaten\addon.dat (Malware.Trace) -> No action taken.

Mach bei Malwarebytes bitte dringend ein Update und scanne erneut!
Danach lade dir Lavasofts Ad-Aware 2008 (die kostenlose Version reicht) herunter, updaten und einmal über das System scannen/säubern lassen.
Danach wieder einmal Malwarebytes laufen lassen.

Bitte einen vollständigen Scan, keinen schnellen Scan machen!

soll ich die logs danach kopieren und iher posten oder sie direkt löschen?