Unzwar das Verzeichnis:

c:\dokumente und einstellungen\networtservices\lokale einstellungen\temporary internet files\content.IE5\

Ich hab Avira Antivir und Malewarebytes installiert, auf den neusten Stand gebracht und das System komplett scannen lassen. Nix.

Seit ich Malewarebytes drauf hab, meldet das Proggi, dass alle 5s der Zugang zu der und der Seite (IP Addi wird angegeben) gestoppt wurde.

Wie find ich denn jetzt die Übeltäter?

Der Taskmanager listet 3 Prozesse, cidaemon.exe 152kbyte, cisvc.exe 140kbyte und sched.exe 200kbyte die ich im Verdacht hab.
Außerdem frisst ein Dienst svchost.exe n haufen Speicher... wohl weil ständig irgendwelche Seiten aufgerufen werden...?

Lösung??? Möglichst kostenlos - is nich mein PC.

tschau

Unzwar das Verzeichnis:

c:\dokumente und einstellungen\networtservices\lokale einstellungen\temporary internet files\content.IE5\

Ich hab Avira Antivir und Malewarebytes installiert, auf den neusten Stand gebracht und das System komplett scannen lassen. Nix.

Seit ich Malewarebytes drauf hab, meldet das Proggi, dass alle 5s der Zugang zu der und der Seite (IP Addi wird angegeben) gestoppt wurde.

Wie find ich denn jetzt die Übeltäter?

Der Taskmanager listet 3 Prozesse, cidaemon.exe 152kbyte, cisvc.exe 140kbyte und sched.exe 200kbyte die ich im Verdacht hab.
Außerdem frisst ein Dienst svchost.exe n haufen Speicher... wohl weil ständig irgendwelche Seiten aufgerufen werden...?

Lösung??? Möglichst kostenlos - is nich mein PC.

tschau
cidaemon.exe gehört zum Index-Dienst von XP, cisvc.exe ebenfalls.

sched.exe gehört normalerweise zum AVIRA Antivir.....

OK, hab ich mit google auch in Erfahrung gebracht ;)

Aber was zum Geier müllt o. g. Verzeichnis zu und lässt Malewarebytes nicht zur Ruhe kommen???

Ich hab das Prog auf meinem Läppi auch drauf und da meldet es sich vielleicht 1x ma Tag...

tschau

Lad dir den Process Monitor (http://technet.microsoft.com/de-de/sysinternals/bb896645) herunter und installier den. Damit kannst du überprüfen, welche Programme auf den Ordner zugreifen.

Wenn das Programm gestartet hat, gehst du ins Menü "Filter", und wählst dort "Filter". In dem Dialog der dann kommt wählst du folgendes aus:

Path contains content.IE5 then Include

dann mit "Add" hinzu fügen und Ok klicken. Dann sollte in der Liste nur noch aufgeführt sein welche Programme auf den Ordner zugreifen. Da sollte dann ersichtlich sein, wer welche Dateien dort erstellt.

Mit anderen Filtereinstellungen kann man auch noch andere Sachen nachprüfen, z.B. was der IE wirklich alles so nachlädt wenn er startet uvm. Einfach mal ein bisschen damit rum spielen oder ergoogeln wie der Process Monitor funktioniert.

edit: Falls da nur der IE dauf zugreift hat sich vermutlich dort eine Malware eingenistet.

So... ich hab jetzt mal nach diesem einen Verzeichnis gefiltert und es steht nur eine SVCHOST.exe drin. Unten links is n Counter "Showing xx.xxx of xxx.xxx events (xx%) zeigt.
Das Teil rast nach oben wie ne V2. Showing 90.000 of 750.000 events!?!?!
Die Platte rödelt auch gut los nebenbei...
Und Malewarebytes klingelt wie n Jackpot ;)

WTF!?!?!

tschau

svchost ist normalerweise ein Bestandteil von Windows, fieserweise gibts auch nen Virus der sich so nennt

eventuell mal nen anderen Scanner drauf ansetzen, oder hijackthis nutzen

In welchem Verzeichnis muss die svchost.exe liegen, bzw. wie viele hat so eine "normale" Win XP Install. Ich vermute nur 1? Ich hab hier 2. Eine in \System32 und eine in \System32\dllcache.

tschau

schau dir mal den namen genau an, kann es sein das eine davon scvhost heisst und die andere svchost?

Beide Dateien haben einen identischen Namen, identisches Datum, identische Uhrzeit und haben dieselbe Größe.
Hab mal den Dienst "Automatische Updates" deaktiviert, weil ich da was in Google gefunden hatte, brachte aber nix :(
O. g. Verzeichnis wird nach Löschung sofort wahllos zugemüllt mit irgendwelchen Datein (.jpg, .jpeg, .gif, .js, .php, .mp3, .txt, .png, u. s. w.) und der Prozess krallt sich beständig mehr und mehr Speicher. Auslastung zwischen 80% und 100%.
Sieht so aus als wenn irgendwas wahllos Internetseiten aufruft und in o. g. Verzeichnis cacht...?

Maaaaaaaaaaaaaaaaaaaaan... :mad:

tschau

wichtige Dateien sichern und Win neu aufsetzen, sorry und JA ich weiss das es Arbeit ist

Hier mal n HiJackThis Log:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:29:17, on 24.08.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Windows\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Programme\totalcmd\TOTALCMD.EXE
C:\Programme\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\taskmgr.exe
d:\NICHT LÖSCHEN!!!\Programme\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: Shell=C:\Windows\explorer.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AMService - Unknown owner - c:\TEMP\xbpuuc\setup.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3870 bytes

tschau

Sicher, dass dieses Anti Malware Programm nicht selbst Malware ist? ;) Schonmal versucht den Windows Defender drüberlaufen zu lassen? Oder ein Onlinescan von Kaspersky?

Eigentlich bin ich da schon sicher. Das Proggi ist recht eifrig beim "nicht sichere Seiten blocken" und "Zugriff verhindern". Von daher ;)
Kaspersky Onlinescan gibts doch schon ne Weile nich mehr. Nur diesen Filescan...
Meine Lösung fürs Prob: Backup aufspielen

Ich weiß schon warum ich Backups ziehe, wenn ich für nen Freund n PC schraube. Dachte nur nich dass ich damit schon vor ???a anfing :)

tschau

Eigentlich bin ich da schon sicher. Das Proggi ist recht eifrig beim "nicht sichere Seiten blocken" und "Zugriff verhindern".

für sowas nimmt man Zonealarm und das WOT-Addy für Firefox
Und bevor jetzt die Schreierei anfängt, ZA nur um den Datenverkehr zu kontrollieren

Sicher, dass dieses Anti Malware Programm nicht selbst Malware ist? ;) Schonmal versucht den Windows Defender drüberlaufen zu lassen? Oder ein Onlinescan von Kaspersky?
Ich würde sogar empfehlen mal mit einer BootCD von aussen zu scannen, falls er nen Rootkit drauf hat.

BootCDs mit Virenscanner gibts u.a. von Kaspersky, AntiVir (http://www.avira.com/de/support-download-avira-antivir-rescue-system) und auch AVG (http://www.avg.com/ww-en/avg-rescue-cd).

Also das Backup wurde erstellt bevor der PC zu ihm gekommen ist. Das is cleaner als clean.
Aber was anderes... Schon fast peinlich ;)
Sobald ich beim ihm das Malewarebytes installiere und geupdatet habe, fängt svchost.exe an rum zu spinnen. Kommts halt wieder runter :(
Bei mir funzt es... Scheiße :(
Wieder was gelernt.
Was ist denn n super-gutes kostenloses Adware/Maleware/WareWare-Verhinderungsprogramm???

tschau

Also das Backup wurde erstellt bevor der PC zu ihm gekommen ist. Das is cleaner als clean.
Aber was anderes... Schon fast peinlich ;)
Sobald ich beim ihm das Malewarebytes installiere und geupdatet habe, fängt svchost.exe an rum zu spinnen. Kommts halt wieder runter :(
Bei mir funzt es... Scheiße :(
Wieder was gelernt.
Was ist denn n super-gutes kostenloses Adware/Maleware/WareWare-Verhinderungsprogramm???

tschau
Hirn 2.0 oder SpyBot-Search&Destroy (1x Scannen alle paar Wochen und wieder deinstallieren...)

SpyBot-Search&Destroy (1x Scannen alle paar Wochen und wieder deinstallieren...)

aber bloss nicht die neue beta!

Hallo,

O23: AMService ausm temp-ordner is wirklich extrem verdächtig...

cya

Die Datei gibts, bzw. gabs nicht mehr, da das TEMP-Verzeichnis leer war. Ich weiß allerdings nicht was die setup.exe installiert hat... ;)

Egal, System ist längst neu aufgesetzt. Trotzdem danke.

tschau

Egal, System ist längst neu aufgesetzt. Trotzdem danke.

tschau

das beste was du machen konntest :up: