Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   CPU >90% iexplore.exe (https://www.trojaner-board.de/110609-cpu-90-iexplore-exe.html)

nealak 29.02.2012 00:28

CPU >90% iexplore.exe
 
Hallo zusammen,

ich hatte die letzten Tage das Problem, dass ich den Internet Explorer meist nicht öffnen konnte und wenn doch, dann blieb er auch meist in einem "weissen, leeren Fenster" hängen. Zudem bekam ich viele "Werbefenster". (Entschuldigt die Laiensprache aber ich habe echt wenig Ahnung von IT)
Mein Laptop ist erst einen Monat alt und daher wohl kaum "Vermüllt".
Nun habe ich einen SuperAntiSpyware Scan und einen Malwarebytes Scan durchgeführt und folgende "logs" waren das Resultat:


SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 02/28/2012 at 11:13 PM

Application Version : 5.0.1144

Core Rules Database Version : 8286
Trace Rules Database Version: 6098

Scan type : Quick Scan
Total Scan Time : 00:08:38

Operating System Information
Windows 7 Professional 64-bit (Build 6.01.7600)
UAC On - Limited User

Memory items scanned : 980
Memory threats detected : 0
Registry items scanned : 54780
Registry threats detected : 0
File items scanned : 11539
File threats detected : 1

Adware.Tracking Cookie
C:\USERS\****\AppData\Roaming\Microsoft\Windows\Cookies\Low\MJC52RKV.txt [ Cookie:****@www.googleadservices.com/pagead/conversion/1017626827/ ]

----
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.28.05

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
**** :: *****-HP [limitiert]

28.02.2012 22:57:32
mbam-log-2012-02-29 (00-23-38).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 394324
Laufzeit: 1 Stunde(n), 23 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Program Files (x86)\Application Updater\ApplicationUpdater.exe (PUP.Dealio.TB) -> 2148 -> Keine Aktion durchgeführt.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SYSTEM\CurrentControlSet\Services\Application Updater (PUP.Dealio.TB) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\PROGRAM FILES (X86)\APPLICATION UPDATER\APPLICATIONUPDATER.EXE (PUP.Dealio.TB) -> Daten: 1 -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Program Files (x86)\Application Updater\ApplicationUpdater.exe (PUP.Dealio.TB) -> Keine Aktion durchgeführt.

(Ende)


---
Die von Malwarebytes gefundenen identifizierten Dateien, Prozesse usw. habe ich zwischenzeitlich auch gelöscht.

Kann mir jemand sagen, was ich mir da eingefangen hab und wie? Wie ich mich in Zukunft davor schützen kann?

Vielen Dank für eure Bemühungen im Voraus

cosinus 29.02.2012 16:27

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

nealak 29.02.2012 17:36

Hallo Arne,

nein ich habe meinen Laptop bis anhin immer nur mit Norton gescanned. Habe daher keine Log-Historie.
So wie ich das aber aus den Log's erkenne, wurden nur Tracking Cookies und das Dealio gefunden, welche nicht schädlich sind, so viel ich weiss (?). Ich kann mir jedoch nicht erklären wie ich dieses Dealio eingefangen hab. Dachte, dass wäre eine Preissuchmaschiene. Habe jedoch nie etwas in der Art installiert.

Nach dem gestrigen Scan ist mir aufgefallen, dass nur die Internet-Icons auf dem Desktop nicht reagierten, das Internet-Icon im Startmenu funktionierte jedoch einwandfrei.
Habe nun alle Verknüpfungen auf dem Desktop gelöscht und diese durch Neue ersetzt. Nun funktionierts wieder.

Ob wirklich der Explorer oder Windows die Ursache des Problems war, weiss ich also nicht.

Vielleicht kann mir ja jemand von euch bei der Ursachenforschung helfen?

Vielen Dank
nealak

cosinus 29.02.2012 18:48

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


nealak 01.03.2012 01:10

Hi Arne Cosinus,

also folgendes war das Ergebnis:

----
ESETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK
----


Er hatte 5 Dealio toolbar applications und variations gefunden.

Soll ich diese nun löschen?

Vielen Dank
Grüsse

cosinus 01.03.2012 17:45

Zitat:

Er hatte 5 Dealio toolbar applications und variations gefunden.
Und wieso postest du nicht wo genau oder stand nicht mehr im Log drin?

nealak 01.03.2012 18:31

Hi,

nein da stand nicht mehr im log, als das was ich geposted hatte.
Das über Dealio Toolbar und stand am Scan-Ende im ESET-Fenster, im log jedoch keine Spur davon.
Hab deine Anleitung streng befolgt.
Soll ich nochmals Scannen und schaun, ob dieser einen besseren log auswirft? Sollte ja gehen, weil beim Scan ja kein Hacken bei "Remove Found Threats" gesetzt wurde.

Merci
Gruss

cosinus 01.03.2012 20:07

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT



Alle Zeitangaben in WEZ +1. Es ist jetzt 07:53 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19