Trojaner-Board - CPU >90% iexplore.exe

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - CPU >90% iexplore.exe (https://www.trojaner-board.de/110609-cpu-90-iexplore-exe.html)

CPU >90% iexplore.exe

Hallo zusammen,

ich hatte die letzten Tage das Problem, dass ich den Internet Explorer meist nicht öffnen konnte und wenn doch, dann blieb er auch meist in einem "weissen, leeren Fenster" hängen. Zudem bekam ich viele "Werbefenster". (Entschuldigt die Laiensprache aber ich habe echt wenig Ahnung von IT)
Mein Laptop ist erst einen Monat alt und daher wohl kaum "Vermüllt".
Nun habe ich einen SuperAntiSpyware Scan und einen Malwarebytes Scan durchgeführt und folgende "logs" waren das Resultat:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 02/28/2012 at 11:13 PM

Application Version : 5.0.1144

Core Rules Database Version : 8286
Trace Rules Database Version: 6098

Scan type : Quick Scan
Total Scan Time : 00:08:38

Operating System Information
Windows 7 Professional 64-bit (Build 6.01.7600)
UAC On - Limited User

Memory items scanned : 980
Memory threats detected : 0
Registry items scanned : 54780
Registry threats detected : 0
File items scanned : 11539
File threats detected : 1

Adware.Tracking Cookie
C:\USERS\****\AppData\Roaming\Microsoft\Windows\Cookies\Low\MJC52RKV.txt [ Cookie:****@www.googleadservices.com/pagead/conversion/1017626827/ ]

----
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.28.05

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
**** :: *****-HP [limitiert]

28.02.2012 22:57:32
mbam-log-2012-02-29 (00-23-38).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 394324
Laufzeit: 1 Stunde(n), 23 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Program Files (x86)\Application Updater\ApplicationUpdater.exe (PUP.Dealio.TB) -> 2148 -> Keine Aktion durchgeführt.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SYSTEM\CurrentControlSet\Services\Application Updater (PUP.Dealio.TB) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\PROGRAM FILES (X86)\APPLICATION UPDATER\APPLICATIONUPDATER.EXE (PUP.Dealio.TB) -> Daten: 1 -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Program Files (x86)\Application Updater\ApplicationUpdater.exe (PUP.Dealio.TB) -> Keine Aktion durchgeführt.

(Ende)

---
Die von Malwarebytes gefundenen identifizierten Dateien, Prozesse usw. habe ich zwischenzeitlich auch gelöscht.

Kann mir jemand sagen, was ich mir da eingefangen hab und wie? Wie ich mich in Zukunft davor schützen kann?

Vielen Dank für eure Bemühungen im Voraus

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Hallo Arne,

nein ich habe meinen Laptop bis anhin immer nur mit Norton gescanned. Habe daher keine Log-Historie.
So wie ich das aber aus den Log's erkenne, wurden nur Tracking Cookies und das Dealio gefunden, welche nicht schädlich sind, so viel ich weiss (?). Ich kann mir jedoch nicht erklären wie ich dieses Dealio eingefangen hab. Dachte, dass wäre eine Preissuchmaschiene. Habe jedoch nie etwas in der Art installiert.

Nach dem gestrigen Scan ist mir aufgefallen, dass nur die Internet-Icons auf dem Desktop nicht reagierten, das Internet-Icon im Startmenu funktionierte jedoch einwandfrei.
Habe nun alle Verknüpfungen auf dem Desktop gelöscht und diese durch Neue ersetzt. Nun funktionierts wieder.

Ob wirklich der Explorer oder Windows die Ursache des Problems war, weiss ich also nicht.

Vielleicht kann mir ja jemand von euch bei der Ursachenforschung helfen?

Vielen Dank
nealak

Führ bitte auch ESET aus, danach sehen wir weiter:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hi Arne Cosinus,

also folgendes war das Ergebnis:

----
ESETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK
----

Er hatte 5 Dealio toolbar applications und variations gefunden.

Soll ich diese nun löschen?

Vielen Dank
Grüsse

Zitat:

Er hatte 5 Dealio toolbar applications und variations gefunden.

Und wieso postest du nicht wo genau oder stand nicht mehr im Log drin?

Hi,

nein da stand nicht mehr im log, als das was ich geposted hatte.
Das über Dealio Toolbar und stand am Scan-Ende im ESET-Fenster, im log jedoch keine Spur davon.
Hab deine Anleitung streng befolgt.
Soll ich nochmals Scannen und schaun, ob dieser einen besseren log auswirft? Sollte ja gehen, weil beim Scan ja kein Hacken bei "Remove Found Threats" gesetzt wurde.

Merci
Gruss

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Setze oben mittig den Haken bei Scanne alle Benutzer
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread