|
ieplore.exe 2x und hohe CPU- Auslastung..hilfe bitte Hallo Ihr, hab seit einiger Zeit ein riesen Problem mit meinem PC. Zuerst fing es damit an, dass ich via Spybot einen Virus/ Trojaner/ Rootkit namens messengerskinner.rtk gefunden hatte. Diesen auch erfolgreich gelöscht habe. Danach ging mein Internet..zumindest der Seitenaufbau immer langsamer und schliesslich kamen und kommen immernoch...Pop-ups..die ich schon gar net mehr zählen kann. Auch das spielen im Internet (Multigames) wird immer schwerer...laggs ohne Ende :-( Im Taskmanager steht immer der Prozess ieplore.exe 2x drin. Eine davon ist immer klein (so um die 9.548k)..die andere ist riesig und wächst zusehends (146.864k z.Z.). Löschen geht net. Kommen gleich wieder und verursachen sofort 100 CPU- Auslastung. So...dann habe ich gesucht und gesucht....nichts gefunden, kenne mich auch net so toll aus mit PC's ;-) Deshalb...falls jemand eine Antwort weiß...dann bitte in verständlichen Ausführungen Schritt für Schritt.....habe wirklich nicht viel Ahnung...sorry..und DANKE schonmal. Gegoogled habe ich auch..so bin ich auf dieses Foren gestoßen...und darauf, dass es sich um Skizzer (?) oder so..handeln könnte. Ich wäre sehr dankbar, wenn Ihr mir mit vrständlichen Sätzen helfen könntet...den Mist (sry) wieder von meinem PC zu bekommen. Möchte endlich wieder normal daran arbeiten (und freizeiten.. :aplaus: -) Hier noch meine Logfile von Hi-J: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 06:47:27, on 08.08.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe C:\Programme\Google\Google Updater\GoogleUpdater.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Alice\Signup\AliceCnn.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: (no name) - {1CFFA392-0898-4b1c-89D1-6E98F9D8EF78} - (no file) R3 - URLSearchHook: (no name) - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: (no name) - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} - (no file) O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1193854646\ee\AOLSoftware.exe O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Bat Wave Base Dale] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Link Axis Bat Wave\Web Mp3.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe O4 - HKCU\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VRa\AOL.EXE" -b O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [SLOWFACE] C:\DOKUME~1\NESTLE~1\ANWEND~1\PLAYIN~1\TEAM POKE.exe O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe O8 - Extra context menu item: &AOL Toolbar-Suche - c:\programme\aol\aol toolbar 4.0\resources\de-DE\local\search.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {26FCCDF9-A7E1-452A-A73D-7BF7B4D0BA6C} (AOL Pictures Uploader Class) - http://o.aolcdn.com/pictures/ap/Resources/2.0.10.00/cab/aolpPlugins.10.6.0.6.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{010734CE-86F0-4CF9-B73C-B9612F6C64A9}: NameServer = 0.0.0.0 O17 - HKLM\System\CCS\Services\Tcpip\..\{2399AD99-7FAC-4EDC-9501-2068F57EE805}: NameServer = 213.191.74.11 213.191.92.82 O17 - HKLM\System\CS1\Services\Tcpip\..\{010734CE-86F0-4CF9-B73C-B9612F6C64A9}: NameServer = 0.0.0.0 O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe -- End of file - 8888 bytes Eure KittyCatty |
Hallo 1.) Diese Dateien bei Virustotal.com auswerten lassen und Ergebnisse so posten, daß man die Ergebnisse der einzelnen Virenscanner sieht. Poste auch die Angaben zu Dateigrößen und Prüfsummen! Code: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Link Axis Bat Wave\Web Mp3.exea) Blacklight b) DSS c) Malwarebytes AW d) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. |
Hallo, vielen Dank für die rasche Antwort. Ich werde nun die Punkte abarbeiten. Zuerst die von virustotal.com geprüften 2 Dateien. 1.1 Datei Code: Antivirus Version letzte aktualisierung Ergebnis Zitat:
|
So...hier wäre die 2. geprüfte Datei...diese komische Poker.exe..--habe noch nie Poker auf dem PC gespielt..diese Datei war mir auch schon deswegen im HJ-aufgefallen. 1.2. Code: Antivirus Version letzte aktualisierung Ergebnis Jetzt werde ich die Dinge in Punkt 2...abarbeiten. Vielen lieben Dank schonmal |
a) Blacklight: o results b) Dss Code: Deckard's System Scanner v20071014.68Ein ganz dickes Lob dafür, daß es Leute wie euch gibt, die PC Newbies helfen und dafür eigene Zeit aufwenden!!!! |
c) Malwarebytes Log Code: Malwarebytes' Anti-Malware 1.24 |
D) CCleaner nach Anleitung zuerst durchlaufen lassen.......danach Combofix. Hier die Log- Datei: Code: ComboFix 08-08-08.04 - ***** 2008-08-08 22:29:27.1 - NTFSx86.....DANKE........... sind damit die Plagegeister schon besiegt? Oder geht das nicht?..ich habe jetzt noch keinen Spieletest gemacht...aber seitdem ich diesen Text hier verfasse...ging noch kein nerviges Pop-up Fenster auf. Die kamen sonst mindestens einmal pro Minute...... Liebe Grüße |
Code: C:\Programme\Gemeinsame Dateien\AOL\1193854646\ee\AOLSoftware.exeCode: C:\Programme\Internet Explorer\IEXPLORE.EXECode: R3 - URLSearchHook: (no name) - {1CFFA392-0898-4b1c-89D1-6E98F9D8EF78} - (no file)Code: C:\WINDOWS\system32\drivers\sbhr.sysCode: C:\Programme\PlayIntraAnleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code: folders to delete:
|
1.) Alice & Aol Ich habe die Leitung von Alice..und gehe aber mit dem meistens mit dem Browser von AOL rein. Aol und Alice gehören jetzt zusammen..sind ein Konzern. Frage: Wenn ich mir Opera installiere..kann ich den Iexplorer und den Browser von Aol löschen? Hier meine aktuelle HJ- Logfile: Code: Logfile of Trend Micro HijackThis v2.0.2Und dieses Spiel oder Datei...die genannte...sag mir gar nichts. Vielen lieben Dank. |
Zitat:
Zitat:
Zitat:
Mach nach dieser Prozedur auch bitte einen Durchlauf mit DSS. |
Hier die Hj- Logfile nach dem fixen mit Hj-: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Eine Frage bzgl. AOL: Besitzt das genau die gleichen (großen) Sicherheitslücken wie der IE? Weil wir haben Zuhause auch Alice-DSL (leider), nutze aber kein AOL-Browser. ;) |
Was ist mit DSS und dem Avenger? |
Zitat:
ich geh mal davon aus, daß der AOL-Browser den IE als Unterbau nutzt - sofern meine Vermutung richtig ist, besitzt der AOL-Browser auch die gleichen Sicherheitslücken. |
so...die playintra Dateien sind wohl nicht mehr vorhanden...wird mir bei Virustotal.com gesagt. kann diese also nicht prüfen :-( ist vielleicht auch ganz gut so :-) Die Css Log: Code: talDeckard's System Scanner v20071014.68Die Poker.exe scheint ja ziemlich hartnäckig zu sein..... |
Ich bekomme die Datei einfach nicht in das Avanger Programm. d.H. rein schon...aber wenn ich den Scan starten will...dann bekomme ich eine Fehlermeldung. Vonwegen....die Datei muss immer mit einem Commant-file beginnen. hmm...... Den richtigen Namen anstatt Sternchen habe ich eingesetzt. |
Zitat:
Habe auch leider Aol...weil die Telekom mir kein 6000DSL anbieten wollte. Laut Speedtest habe ich aber mit Alice 6000. Der Browser von AOL ist denke ich...sicherer als der IE. Zumindest hatte ich nie Viren, Trojaner oder so schlimme Dinge wie jetzt...auf dem PC. Ich habe nur angefangen, den IE zu nutzen...weil der Aol-Browser langsam ist (langsamer). Und alleine dieses ewig lange einloggen und Startseite aufbauen nervt :-(( Grüße |
Zitat:
Du solltest doch auch unbedingt den Avenger anwenden!! Edit: Du hast den Avenger jetzt doch benutzt, ich verstehe aber die Fehlermeldung überhaupt nicht. Bitte wortgenau wiedergeben! |
Zitat:
|
Danke Dir, root24 ;) Zitat:
|
Zitat:
|
Zitat:
Die Avanger Meldung: Code: Error: Invalid Script. A valid script must begin with a command directive. Aborting Execution! |
Und Du kopierst auch wirklich alles rein? folders to delete: C:\Programme\PlayIntra c:\dokumente und Einstellungen\****\anwendendungsdaten\playintra Auch den rot markierten Teil? |
Zitat:
So..hier die Avanger Log: Code: ////////////////////////////////////////// |
So jetzt habe ich anschliessend nochmal eine Log.. mit Dss gemacht...hier die Auswertung: Code: Deckard's System Scanner v20071014.68 |
Die Teampoke.exe ist in dem komischen Playintra Ordner drin. Aber meine Pop- Up Probleme sind schonmal beseitigt. Der Taskmanager zeigt aber noch 2 ieplore.exe an...aber nur, wenn ich das Browserfenster auf habe. Und die CPU- Auslastung ist sehr niedrig und ruhig. |
Hallo, die Sterne mußt Du schon durch Deinen namen ersetzen. Mach das und dann die ganze Prozedur mit dem Avenger wieder. |
Zitat:
Ohje...lol..ich war mir sicher, dass ich das auch getan habe. Aber vielelicht doch vergessen *schmunzel*..durch die vielen versuche. Also...hmm nochmal ;-) bis gleich |
So...jetzt aber... Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
Ich schreib jetzt einfach mal.. die 6 exe- Dateien aus dem Ordner (es sind ausschliesslich exe in dem Ordner..sonst nichts): 1. gnccefco.exe 2. loud tick aim proc.exe 3. ojatjnxw.exe 4. SCRRECTGLUE.exe 5. TEAM POKE.exe 6. ugxjnlgf.exe Vielen Dank nochmal!!!!!!!! Grüße |
Hast Du die Sternchen jetzt nachträglich ins Logfile übernommen oder schon wieder vergessen das Avengerscript sternlos zu machen?? Sry, mein Fehler. Benutze dieses script: Code: folders to delete: |
Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
Okay, jetzt ist der weg. Ich mach das lieber gleich mit dem Avenger, da Malwaredateien sich manuell meist nicht lassen. Mach noch mal bitte einen Durchlauf mit DSS und poste das neue Logfile. Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren: Über ein filelisting mit diesem script:Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. |
Jetzt erstmal die Dss Log: Code: Deckard's System Scanner v20071014.68 |
Diese Slowface Datei... kann ich die auch mit dem Avanger bearbeiten/ löschen? Code: O4 - HKCU\..\Run: [SLOWFACE] C:\DOKUME~1\***~1\ANWEND~1\PLAYIN~1\TEAM POKE.exe |
Der Link (hoffe das ist richtig so): http://www.file-upload.net/download-1032271/listing.txt.html |
Zitat:
Code: O4 - HKLM\..\Run: [Bat Wave Base Dale] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Link Axis Bat Wave\Web Mp3.exeWende danach wieder den Avenger an (wie gehabt) mit diesem script aber: Code: folders to delete: |
So.. Dateien gefixt.. die andere bei virustotal.com ausgewertet: Code: Antivirus Version letzte aktualisierung Ergebnis |
Hier die Avenger Log: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
Okay soweit, besteht das Anfangsproblem Zitat:
Oder läuft wieder alles ohne Probleme? |
Hallo, so..bisher läuft alles noch ohne Probleme. CPU- Auslastung normal.... nicht ein Pop- Up mehr... alles läuft ruhig und wie es.. glaube ich, sein muss. Das Multiplayer-gaming habe ich probiert...und die üblen Laggs sind weg (die normalen wie immer leider noch da :) .....) Vielen lieben Dank!!!!!!!!! Sieht denn alles auf den Logfiles..soweit auch wieder gut aus? Ohne Befall? Du bekommst eine gaaaannnnz dicke "cyber-umarmung" von mir!!!!!!!!!!!!!!!!!! Danke, dass ich das System nicht neu-aufsetzen mußte. Liebe Grüße |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:05 Uhr. |
Copyright ©2000-2025, Trojaner-Board