ielower.exe windows/lsass - bringt internet zu stillstand
 

hallo,

folgendes problem: immer wenn ich den router anstecke im ins netz zu gehen steht nach wenigen sekunden der zugriff aufs internet auch für die anderen rechner im netz. in einem anderen forum habe ich gelesen, dass es daran liegt, dass man angeblich von meinem rechner so viel runterlädt, dass die verbindung zum erliegen kommt.
ich verwende firefox.
bisher hab ich windows/lsass und usbupx.exe als schulde ausmachen können, doch konnte ich sie nicht dauerhaft löschen.

wenn das problem auftaucht öffnet sich ein leeres dos-fenster mit dem header c:\usbupx.exe und eine fehlermeldung mit:
c:\usbup.exe
Die NTVDM-CPU hat einen ungültigen Befehl entdeckt.
CS:06a9 IP:1f61 OP 63 68 74 20 76 Klicken sie auf "Schließen", um die Anwendung zu beenden.
sowohl schleißen als auch ignorieren haben danach den effekt, dass das netz zum stehen kommt und sich die gelöschte usbupx.exe wieder an ihrem platz befindet.
ursprünglich waren dort noch 6 oder 6 andere verdächtige exe die sich jedoch nach dem löschen nicht mehr hergestellt haben. darunter IElower.exe


leider kann ich auch für adaware und co derzeit keine updates holen.

danke für eure hilfe
escudo

Logfile of HijackThis v1.99.1
Scan saved at 18:08:51, on 05.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Java\jre1.5.0_04\bin\jusched.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
D:\WINDOWS\System32\RunDll32.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\WINDOWS\system32\sistray.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\ewido\security suite\ewidoctrl.exe
D:\WINDOWS\lsass.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Programme\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - D:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [1cf2e08ee67] D:\WINDOWS\system32\1cf2e08ee67.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [1cf2e08ee67] D:\WINDOWS\system32\1cf2e08ee67.exe
O4 - Startup: Screenshot Utility.lnk = D:\Programme\Screenshot Utility\ScreenshotUtility.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Utility Tray.lnk = D:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: &Google-Suche - res://d:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://d:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://d:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: LEO Englisch <-> Deutsch - D:\Programme\LEO-Ext-for-IE\DE_EN.htm
O8 - Extra context menu item: LEO Französisch <-> Deutsch - D:\Programme\LEO-Ext-for-IE\DE_FR.htm
O8 - Extra context menu item: Verweisseiten - res://d:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://d:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .pdf: D:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - D:\WINDOWS\lsass.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

hey

Falls vorhanden den Inhalt folgende Datei posten 1cf2e08ee67.ini

#PC neustarten--> abgesicherter Modus
Starte das HijackThis "Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken, PC neustarten
O4 - HKLM\..\Run: [1cf2e08ee67] D:\WINDOWS\system32\1cf2e08ee67.exe
O4 - HKCU\..\Run: [1cf2e08ee67] D:\WINDOWS\system32\1cf2e08ee67.exe
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - D:\WINDOWS\lsass.exe

#Unter Start/Ausführen den Befehl cmd eingeben OK,dann unter Eingabeaufforderung den Befehl sc delete lsass eingeben Enter

#PC neustarten--> abgesicherter Modus
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Loesche:
D:\WINDOWS\lsass.exe
D:\WINDOWS\system32\1cf2e08ee67.exe
1cf2e08ee67.ini

#Lade dir Ewido Security Suite unbeding Update,noch nicht scannen.

#lade Adaware, Spybot unbeding Update,noch nicht scannen.

#PC neustarten--> abgesicherter Modus
#Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

#Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen.

#Inhalt folgende ordner loeschen:
D:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen
D:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
D:\WINDOWS\temp---> Inhalt löschen

#PC neustarten
#Neue HijackThis Log & den Report des Ewido Scans posten

Gruss
Expert