cpu auslastung 100% mehrere probleme: update * alles ist neu
 

Hallo!

ich habe seit wenigen tagen das problem, dass der prozess "vsmon.exe" bis zu 100% cpu beansprucht. ein bisschen googlen hat mir gesagt: vsmon.exe hat was mit zione alarm zu tun.

nur, ich benutze zone alarm schon seit zwei jahren, und hatte das problem noch nie.

nunja, der tipp, zone alarm einfach abzuschalten hat den nachteil, dass dann svchost.exe 100% cpu beansprucht...solange zona alarm läuft ist svchost.exe still...

ich weiss nicht mehr weiter. hab zone alarm schon neu installiert, kein erfolg...

ich habe auch am system nichts geändert.

hm, nach ein bisschen überlegen ist mir folgendes eingefallen: ich habe lediglich icq4 (angeblich lite...) installiert...und seitdem hab ich nun dieses problem...icq hab ich auch schon wieder deinstalliert. mit spybot habe ich drei spione oder so gelöscht...hat alles nichts gebracht.

und weiter gehts:
im sekundentakt wollen folgende programme ins inet:

officeGUI32c.exe
wmiprv.exe
ieexplore.exe

was is da los?!
was kann ich tun?!?


Logfile of HijackThis v1.98.2
Scan saved at 21:35:17, on 18.11.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVirenKit 2005\AVKService.exe
C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINNT\system32\spool\DRIVERS\W32X86\2\fpdisp4.exe
C:\WINNT\system32\wmiprv.exe
C:\WINNT\system32\OfficeGUI32c.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\server.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zapro.exe
C:\WINNT\system32\taskmgr.exe
C:\Programme\eMule.de\emule.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVirenKit 2005\avk.exe
C:\Programme\Pinnacle\Pinnacle PCTV\Vision\Vision.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\VBI_SE~1.EXE
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\WINNT\system32\IEEXPLORE.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\talla1\LOKALE~1\Temp\Rar$EX00.033\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINNT\system32\spool\DRIVERS\W32X86\2\fpdisp4.exe
O4 - HKLM\..\Run: [WindowsRegKey upd4te2d4te] IEEXPLORE.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] wmiprv.exe
O4 - HKLM\..\Run: [MS Office32c Startup] OfficeGUI32c.exe
O4 - HKLM\..\RunServices: [WindowsRegKey upd4te2d4te] IEEXPLORE.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] wmiprv.exe
O4 - HKLM\..\RunServices: [MS Office32c Startup] OfficeGUI32c.exe
O4 - HKCU\..\Run: [MS Office32c Startup] OfficeGUI32c.exe
O4 - HKCU\..\Run: [WindowsRegKey upd4te2d4te] IEEXPLORE.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] wmiprv.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2002\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2002\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2002\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{8063E46E-220D-4C32-A10A-95CE1641F27A}: NameServer = 212.114.152.1 212.114.153.1


mich wundert das da steht:

Internet Explorer v5.00 SP1 (5.00.2920.0000)

ich habe aber eigentlich v6.0.28 installiert.
is aber nich so wichtig, bin eh mit mozilla im inet unterwegs...

danke schon mal für eure hilfe...

Scanne mal deinen PC mit eScan im abgesicherten Modus und poste was gefunden wurde. Stell dich schonmal darauf ein (bei dir laufen mit ziemlicher Sicherheit einige Backdoors)

Zu 99% Malware. Beende die Prozesse mit diesem Namen und scan die Dateien unter http://virusscan.jotti.org/de

Poste das Ergebnis.

Gruß :daumenhoc
Yopie

Ich wage sogar zu sagen das das 100%ig Malware is :D

Lass uns feilschen... ;)

Gruß :daumenhoc
Yopie

wmiprv.exe taucht komischerweise im taskmanager nicht auf?!
die anderen beide hab ich mal beendet...

ok...ich mach mal das empfohlene...

wo kommen die dinger denn "auf einmal" her?

Logfile of HijackThis v1.98.2
Scan saved at 21:35:17, on 18.11.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Die kommen weil dir eine menge windowsupdates fehlen

Du hast Dich auf den angeblichen Schutz durch "Zonealarm" und Virenwächter verlassen und dabei vergessen, Dein System aktuell zu halten. Mit Updates und ohne Zonealarm wärst Du besser gefahren.

Gruß :daumenhoc
Yopie

@talla
hängt oft hiermit zusammen
C:\Programme\eMule.de\emule.exe

chaosman

@Haui45
danke für die links...wenns danach geht, dann kann ich ja praktisch alles in die tonne treten, was ich so die letzten monate runtergeladen hab :schmoll:

@choasman:
emule hab ich auch schon längere zeit drauf, lief bisher alles problemlos...

naja, ich seh schon, hab mal wieder ien paar stunden formatierungs- und neuistallationsarbeit vor mir
:(

@talla
es geht nicht darum ob es läuft, sondern was du auf dein rechner schaufelst.
manchmal sind die dateien ja nicht sehr sauber
chaosman

Was meldete denn der Online-Scan?

Bevor Du mit dem neu formatierten Win2000 ins Netz gehst, solltest Du Dir möglichst alle Updates installieren. Ansonsten fängst Du Dir innerhalb von wenigen Augenblicken wieder Malware ein.

Unter http://download.winboard.org/downloads.php?ordner_id=69 gibt es ein Update-Pack. Ob da auch schon die IE-Updates bei sind weiß ich nicht. Vorher muss aber SP4 installiert sein! (Auf einem sauberen Rechner runterladen und auf CD brennen).

Gruß :daumenhoc
Yopie

gibts denn irgendeine möglichkeit rauszufinden, welchen heruntergeladen dateien ich noch trauen kann? ich hab ja doch ne menge programme, dateien, patches, updates (wenn auch nicht viele ;) ) auf der zweiten festplatte...

es fehlt mir halt an einer möglichkeit, alles von nem anderen rechner runterzuladen, was man so braucht...

@yopie...bin grad noch dabei...

Stimmt, eMule & Co sind für mich eine richtige "Fundgrube"
:)
LG, Charlie

Du solltest Deine Daten auf externen Medien sichern und nach dem Neuaufsetzen mit einem Virenscanner überprüfen.

Freunde, Bekannte, Kollegen fragen?

Gruß :daumenhoc
Yopie

bloß, dass du dir das "Zeugs" wissentlich besorgst ;)

so, das sagt mir die inetseite, die yopie gepostet hat:

Scanner Malware name Time taken
AntiVir TR/Drop.Delf.FD.1 0.14 seconds
Avast X 1.51 seconds
BitDefender Trojan.Dropper.Delf.FD 0.82 seconds
ClamAV Trojan.Dropper.Delf-3 0.32 seconds
Dr.Web Trojan.MulDrop.1159 0.49 seconds
F-Prot Antivirus X 0.06 seconds
Kaspersky Anti-Virus TrojanDropper.Win32.Delf.fd 0.60 seconds
mks_vir Trojan.Trojandropper.Delf.Fd 0.19 seconds
NOD32 Win32/TrojanDropper.Delf.FD 0.35 seconds
Norman Virus Control X 5.05 seconds

escan meldet mir zig mal "Backdoor.Win32.Rbot.gen", alle irgendwie mir officegui32c.exe, ieexplore.exe oder wmwmiprv.exe zusammenhängend....


um es kurz zu machen:
ich seh selber, das da einiges im argen liegt ;)

hatte ich bisher sooooviel glück? ich war in letzter zeit eher vorsichtiger als sonst...schöner mist...

danke euch auf jedenfall. so schnelle & so umfangreiche hilfe. echt spitze von euch!


nochne frage: kann man so nen krempel auch durch mp3s bekommen?

isdn nach minutentarif und modem-nutzer... :rolleyes:

Nein. Aber durch "musik.mp3.exe".

Vielleicht schickt Dir MS auch die Updates auf CD? Bei WinXP SP2 machen sei es jedenfalls.

Nach dem Neuaufsetzen und dem Aufspielen aller Updates lies mal ein bißchen:
http://www.mathematik.uni-marburg.de...ompromise.html

Gruß :daumenhoc
Yopie

und selbst wenn: so wie ich meine freunde, bekannte & kollegen kenne, sieht deren system noch viel schlimmer aus als meins ;)

danke nochmal an alle...
ich geh jetzt ins bett, und nehm altmodisch ein buch in die hand :) da kann -hooffentlich- nichts passieren ;)

Hallo talla,

Information zu Backdoor.Win32.Rbot.gen findest Du hier: die Sophos Viren-Enzyklopädie: Backdoor.Win32.Rbot.gen-> "Erläuterung" beachten. Wenn Du formatierst, beachte bitte Lutz' Datensicherung und Cidre's Rat.

Das erspart Dir, dass Du Dir diese Arbeit möglicherweise nochmal machen musst.

Viel Glück!

SD

sodala,
da isser wieder, frisch formatiert...

mein log sieht jetz so aus:

Logfile of HijackThis v1.98.2
Scan saved at 18:36:37, on 20.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\Winampa.exe
C:\WINNT\system32\RunDll32.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\2\fpdisp4.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Pinnacle\Pinnacle PCTV\Vision\Vision.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\server.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\VBI_SE~1.EXE
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\WINNT\system32\taskmgr.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\talla1\LOKALE~1\Temp\Rar$EX00.262\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINNT\system32\spool\DRIVERS\W32X86\2\fpdisp4.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: Reboot.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{82F111C5-05DD-4F1B-8D0C-B672EDF029E6}: NameServer = 212.114.152.1 212.114.153.1



gibts da noch was dran auszusetzen?

wie ist das mit den windows sicherheitsupdates und patches?
da gibts ja ohne ende...
sind im sp4 nicht schon einige enthalten? wenn ja, woher erfahr ich, welche, bzw. welche nicht?

Dein Log-File sieht sauber aus.

Empfohlene und kirtische Sicherheitspatches sollten immer installiert werden.

ja, aber,

ich lad grad das 15te sicherheitsupdate für w2k runter...
und es werden noch mehr...

welche brauch ich wirklich?
und welche sind im sp4 bereits enthalten?

Du brauchst alle, im windows update werden dir die, die im SP4 schon enthalten sind gar nicht mehr angezeigt.