Hi Leutz,

ich hab folgendes Phänomen in den letzten Wochen schon auf drei verschiedenen PCs (win2K sp4, winXP sp2) beobachtet:

explorer.exe ist ständig zwischen 40% und 99% ausgelastet, ohne die Priorität des Prozesses runter zu drehen, ist das System praktisch unbenutzbar.

Dies ist mein erstes Posting hier, deshalb gibts HijackThis Log erst morgen, die Rechner stehen nicht bei mir zuhause.

Ich hab vorerst mal im Abgesicherten nach Viren/troj/malw/spyware gescannt und habe erstmal alle gefundenen Probleme beheben können, nur der Effekt mit der hohen Auslastung von explorer.exe liess sich dadurch nicht beseitigen.
Man sieht auch Pakete über die LAN Verbindung (DSL mit Router) raus gehen.
Das System (Win2K SP4) wurde von mir auf den letzten Stand hochgepatched (windowsupdate.micro$oft.com), zuvor wurde seit win2K SP2 noch nix ge- updated *schauder*

Ich werde morgen mal das Log von HijackThis posten, sobald ich es geschickt bekomme.

Hat schon jemand Vorabinfos in Bezug auf "übliche Verdächtige" für mich?
Auf Deutsch: Welcher Schädling könnte für den Effekt verantwortlich sein?


Greetz,
makro

---

bugs are perfect. they always do their job.

Hallo,

zunächst einmal wäre es wichtig, wenn du den Pfad der Explorer.exe posten würdest.
Die Explorer.exe sollte sich hier C:\Windows\Explorer.exe befinden, wenn nicht, dann ist dies eine aktive Malware.

Zitat:

Ich hab vorerst mal im Abgesicherten nach Viren/troj/malw/spyware gescannt und habe erstmal alle gefundenen Probleme beheben können

Was wurde identifiziert und gelöscht?

Was wurde gelöscht?

Viiiiiel.

Bagle, Bugbear, bei Adaware hab ich nicht mal hingesehen was gelöscht wurde.
Spybot fand auch noch so einiges...

Aber: Der Norton Scanner geht nicht auf, regedit auch nicht, netstat -an zeigt nur selten was an.

Da nur eine explorer.exe läuft und sich die Taskleiste beim Abschiessen des Tasks verabschiedet, denke ich mal dass es DER Windows Explorer ist (c:\winnt\explorer.exe). Pfad sieht man im Task "Manager" eigentlich nicht... winmsd ging glaub ich auch nicht öffnen, dort hätte ich den Pfad sehen können.

Ich weiss, Ferndiagnosen sind immer schei**e, aber was könnte das sein?

Gruss,
der warscheinlich intellektuellste Prolet der Welt

Zitat:

Ich weiss, Ferndiagnosen sind immer schei**e, aber was könnte das sein?

Das wird uns letztendlich das HJT Log-File verraten.
Denn diese von dir beschriebenen Symptome deuten auf aktive Malware hin.

Zitat:

Aber: Der Norton Scanner geht nicht auf, regedit auch nicht, netstat -an zeigt nur selten was an.

ok, danke erstmal.

Bis morgen!

Büdde sehr:

Logfile of HijackThis v1.97.7
Scan saved at 14:38:48, on 04.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\LAPLIN~1\TSIINET.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\ESM2\SAgentNT.exe
C:\ESM2\EBRR.EXE
C:\WINNT\System32\TSIRCSRV.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\TSI32\tsircusr.exe
C:\WINNT\Explorer.EXE
C:\Programme\MouseWarePro\MWProEng.exe
C:\Programme\Common Files\LapLink\Scheduler\LLSCHED.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\system32\internat.exe
C:\Programme\Common Files\LapLink\Scheduler\LLSCHENG.EXE
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\system32\taskmgr.exe
C:\WINNT\System32\svchost.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XMJ4P6R\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.exzelsior.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.at
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\TSI32\tsircusr.exe
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINNT\Downloaded Program Files\ycomp5_3_18_0.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - C:\WINNT\dealhlpr.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINNT\Downloaded Program Files\ycomp5_3_18_0.dll
O4 - HKLM\..\Run: [MWProEng] C:\Programme\MouseWarePro\MWProEng.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LapLink Scheduler] "C:\Programme\Common Files\LapLink\Scheduler\LLSCHED.EXE"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [sp] C:\sp.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ssgrate.exe] C:\WINNT\system32\winsystems.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.at
O16 - DPF: HushEncryptionEngine - https://mailserver3.hushmail.com/sha...tionEngine.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/game...ts/y/ct1_x.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.ntsearch.com/popengine/POP.CHM::/sp.exe
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...942.2849652778
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.comp...io5_3_18_0.cab
O16 - DPF: {FE4BBEA8-1EFD-4B8A-BD1B-341CCDBEEAA6} (Dhsigned Control) - http://ads.dealhelper.com/updates/DealHelperNew.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C7598F8-B367-4CC7-A5DC-C8450830AF91}: NameServer = 212.185.252.201
O17 - HKLM\System\CCS\Services\Tcpip\..\{C939294E-61A4-4F8E-A6EC-6C6C6FC08CC1}: NameServer = 195.3.96.67,195.3.96.68

Greetz,
der warscheinlich übelste Raser seiner Gegend

Hallo makrospex,

MSIE: Internet Explorer v5.00 (5.00.2920.0000) - Du verwendest eine antike Version des IE, bitte updaten!: www.windowsupdate.com

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Zitat:

Logfile of HijackThis v1.97.7

das ist eine veraltete Version von Hijack This. Lade die aktuelle Version runter: http://www.trojaner-board.de/51130-a...ijackthis.html erstelle damit ein neues HiJack This Logfile und poste es.

SD

Alte Version?

Sh*t, hab ich beim Download gar ned gecheckt...
Naja, dann werd ich morgen nochmal nen Scan + Log mit der neuesten Version machen lassen und posten. Wie man sehen kann ist ja einiges an Toolbars (und so Dreck) drauf. Liegt auch sicher am veralteten IE.

Ich kann den Rechner immer nur am Wochenende angreifen, weil der produktiv ist (Buchhaltung). Für die Zukunft habe ich das surfen und mailen auf dem PC jedoch untersagt, das hält neue, unliebsame (binäre) Gäste fern

Greetz,
der vielleicht gestressteste eine-Minute-vor-Ladenschluss-Einkäufer der Rewe Kette.

Hi,

vielen Dank für die Hilfe und Tips, habs mit eScan und HijackThis in den Griff bekommen und den IE upgedated (und den upgedateten IE gepatched).
Seitdem keine Probleme mehr, es konnten sogar 24MB Speicher frei gemacht werden, indem nutzlose Tools (von lange nicht mehr angeschlossener Hardware) und Services deinstalliert/deaktiviert wurden.

Rechner gibts, tz tz tz...

Greetz,
makro

hallo cidre

sobald ich versuche einen simplen ordner zu öffnen, um bilder oder ein movie mit vlc media player anzuschauen (was bis vor ca. einer woche nicht das geringste proble war) springt meine explorerauslastung auf 96-100%. deutet das nun auf ein virus hin oder ist das problem banaler?
ich nutze windows xp pro version und hab mit hjt einen scan durchgeführt.
ist da was auffälliges? wenn nicht, wohin kann ich mich dann wenden?

dankö mandy

Logfile of HijackThis v1.99.0
Scan saved at 17:46:40, on 24.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\NORTON~2\GHOSTS~2.EXE
C:\Programme\Dantz\Retrospect\retrorun.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Daemon-Tools\daemon.exe
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
C:\WINDOWS\MXOALDR.EXE
C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\webshots.scr
C:\WINDOWS\System32\taskmgr.exe
D:\Opera\opera.exe
C:\WINDOWS\explorer.exe
D:\WINZIP\winzip32.exe
C:\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Daemon-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Startup: Webshots.lnk = D:\Programme\Webshots\Launcher.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: GhostStartService - Symantec Corporation - D:\NORTON~2\GHOSTS~2.EXE
O23 - Service: Retrospect Launcher - Dantz Development Corporation - C:\Programme\Dantz\Retrospect\retrorun.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

@ MandyPH

Dein Log-File sieht sauber aus, muss aber letztendlich nicht auf dein System zutreffen.

Ich denke nicht, das es sich in deinem Fall um Malware handelt.
Mögliche Abhilfe wäre:
Deinstalliere und installiere anschliessend den VLC Player neu
Eventuell auch mal die passenden Codecs aufspielen

Ausserdem wäre aus Sicherheitsgründen das SP2 anzuraten.

vielen lieben dank erstmal. es ist ja schon beruhigend, daß es wohl kein virus ist. wieso aber springt die auslastung so hoch, wenn ich auch nur bilder anschaun will? erst nachdem ich alles wieder geschlossen habe, ist wieder ruhe. völig bekloppt, ich kann quasi nix machen ohne die auslastung zu riskieren.


bin für jeden hinweis irre dankbar und werde auch gleich sehen, daß ich den player update.