Extrem hohe CPU-Auslastung obwohl keine Anwendung

Start>Ausführen> =Befehlszeile

 

...steht da nun "iexplore.exe", oder doch vielleicht "explorer.exe"? "iexplorer.exe" kenne ich nicht.
Bei der verbissenen Suche nach Fehlern übersieht man schnell ein, zwei Buchstaben... oder meint sie gesehen zu haben...

Gruss Urs

 

da steht iexplorer.exe .....hmmmmm

 

Würde ich auch sagen... aber ich verstehe definitiv zu wenig davon um jetzt Ratschläge erteilen zu dürfen...

- Auf meinem PC, XP home SP2 mit IE7, ist definitiv KEINE iexplorer.exe, nur iexplore.exe

- Google mal nach iexplorer.exe und schau Dir das alles an > Troyaner?
Dort steht z.B. dass das Ding nicht gelöscht werden kann und von 50%-Auslastung wird auch geschrieben.

- In Deinem HijackThis steht einmal iexplore.exe und zusätzlich IEXPLORE.EXE, auch das wird in den Foren erwähnt.
Ebenso dass die iexplorer.exe nicht im HijackThis steht.
Auf meinem HijackThis steht nur einmal iexplore.exe, klein geschrieben.

Gegebenenfalls hier in der Abteilung Sicherheit neu posten, aber vielleicht schaut ja hier jemand vorbei >

>>> der mehr Ahnung hat!

Gruss Urs


Uebrigens: Die oben erwähnte ALCMTR.EXE gehört zur Realtek-Soundhardware. Sie soll Zeugs erforschen und an Realtek weiterleiten.. Zur richtigen Funktion der Soundhardware soll sie aber nicht nötig sein.

 

Nachdem ich den hijackthis-Bericht etwas genauer durchgelesen habe, muß ich Urs2 Recht geben. Du hast Dir einen Trojaner eingehandelt.
iexplore.exe = Internet Explorer
iexplorer.exe = Bösewicht
Du kannst diese Datei hier untersuchen lassen.
Auf dieser Seite wird Dir sicher geholfen.
Etwas über den Wurm und seine Beseitigung:

 

vielen dank für die mühe...wie kann ich die systtemwiederhertellung sperren?

 

damit es kein endlos thread wird...problems cheint behonben...wie auch immer....rechner läuft wieder normal(nur beim hochfareh ist er noch twas laut)..die iexplorer.exe anwendung erscheint nicht mehr...hier mein neuer logfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:45:53, on 10.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Norbert\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.web.de/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.web.de/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.web.de/home
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: WEB.DE Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Ist da jetzt ales Okay???bzw wohin könnte man ihn senden zur überprüfung (ausser hijack).

Eine Sache noch....habe festgestellt das ich so ne blöde hadl.ll datei im system32 ordner habe...und mich informiert..soll wohl möglchst runter vom pc....mit der passenden software von mr&mr smith gings nicht...kann mir das jemand idiotensicher erklären??? da diese datei wohl verantwortlich für meine vielen fehlbrennungen in letzter zeit sein soll

 

Du solltest beim Tippen etwas mehr Sorgfalt einfliessen lassen. Dem PC ist es schaissegal was Du denkst, er liest Buchstaben...
Ich spekulier mal >

hal.dll > ist eine Systemdatei von Windows

ha.dll > vermute mal Trojaner Nummer 2 >>

http://www.sophos.de/security/analyses/trojsmallbyc.html

... aber für Reparaturen fühle ich mich zu klein...

Immerhin siehst Du jetzt, mit iexplorer.exe und ha.dll, warum man jeden Buchstaben richtig tippen und lesen muss...

Gruss Urs

 

ich meine diese datei.....
hadl.dll wie werde ich diese wieder los....habe es bisher nicht geschafft!!!!(habe auch fdanach gegoogelt...)

 

Das Ding würde als BHO eingebunden werden. Aber so eins ist nicht ersichtlich.
Wenn ein versteckter Schädling aufgestöbert werden soll, kann er von einer Not-CD mit aktuellem AV-Scanner oder ersatzweise von einem Onlinevirenscanner entdeckt werden.
Rootkitscanner möchte ich keinen Empfehlen. Da bin ich nicht mehr auf dem neusten Stand.

 

Kopiersperre auf Kinowelt-DVDs
http://www.heise.de/newsticker/meldung/69322

Kinowelt-DVD

 

hier ist nochmal eine beschreibung...problem sollte ersichtlichs ein...weiss jemand mit welchem programm amn die daeit am besten löscht?

http://c-ko.blogspot.com/2006/04/alpha-dvd-entfernen.html

 

bzw hat schonmal jemand das programm von der seite http://www.heise.de/newsticker/meldung/69322 verwendet? immer wenn ich es installiere ist dann schluss..kann das programm nicht starten!

 

Hast du den Kopierschutz denn auch bei dir installiert?

 

Offenbar hat er das. Aber sein Link in #32 zeigt die *Erlaubnis", die er geben musste, um die DVD überhaupt anschauen zu können. Welcher gewöhnliche Filmbetrachter kann und wird denn dabei schon an Rootkits denken, die auf seinem Rechner Aerger verbreiten?
Sein Link erklärt übrigens gut die Funktion dieses Rootkits... zum Glück schaue ich mir nie Filme auf dem PC an...

@nob123
Das Programm bei Heise ist das offizielle Entfernprogramm von Kinowelt. Warum es bei Dir nicht startet? Keine Ahnung!

Versuchs doch mal mit dem Programm IceSword und der Anleitung dazu in Deinem Link in #32 >
download hier http://www.speedyshare.com/130645440.html

Oder sonst halt von Hand, wie beschrieben... oder meckere bei Kinowelt...

Gruss Urs

 

Das kann ich Dir sagen: Sichere alle Dateien, auf die Du großen Wert legst auf entsprechende Datenträger. Am besten wäre eine möglichst große externe HDD. Die hängst Du nach der Datensicherung am besten ab. (Kein OS auf diese Platte!)
Danach machst Du Deine Systemplatte platt, indem Du z.B. von Deiner Windows-Installations-CD bootest (Bootsequenz auf Firstdevice=DCROM) und mit einer beliebigen Taste nach dem POST die Installation einleitest. Wenn Du beim Bildschirm landest, in dem Du Partitionen löschen, erstellen, formatieren und aktivieren kannst, dann tust Du genau dies. Du löschst alle Partitionen, bis der gesamte Plattenspeicherplatz als unzugeordneter Speicherplatz ausgewiesen wird. Anschließend erstellst Du am besten drei Partitionen (15-20 GB für Systempart., 15-20 GB für Programme und Applikationen und den Rest der Platte für Daten). Danach formatiere alle neu erstellten Partitionen und aktiviere die Systempartition. Dann läßt Du das Setupprogramm bis zum Abschluß durchlaufen, sodaß Du ein vollkommen frisches Windows auf dem Rechner hast. Danach nimm die wichtigsten Einstellungen vor und setze unmittelbar danach einen Wiederherstellungspunkt. (Am besten manuell mit einem leicht zu merkenden Namen.)
Damit sollten alle Schad-Codes sicher von Deinem Rechner entfernt sein. Gehe erst wieder ins Internet, wenn Du Deine Security-Suite ordnungsgemäß konfiguriert hast. Ach ja, fast vergessen: Klicke nicht jeden Quark an, den Du entdeckst.
Wenn Dir Datensicherheit und geringe Ausfallzeiten wichtig erscheinen, dann lege Dir am besten DriveImage 7.0 zu und erstelle Dir von Zeit zu Zeit ein aktuelles Image von Deiner Systempartition. Innerhalb weniger Minuten ist damit Dein System nach einem Crash wieder fit. DriveImage kostet bei Ama**n etwas 40 €. Eine professionelle Datenrettung durch ein Datenrettungslabor ungefähr das hundertfache!