Ach man das ist so nervig, aber ich weiss nicht warum...

System verursacht diese Auslastung.

Und _oleco.exe (Einwahlprog mit ISP, hab keine Flatrate) macht jetzt 98 aus.

Kaspersky Antivirus findet nichts.
Ad-aware findet auch nichts.
Stinger findet auch nichts.

Spybot 1.3 findet IMMER 5 DSO Exploit Einträge, frag mich was das ist:

HKEY_USERS\S-1-5-18\Software\Microsoft\Currentversion\Internet Settings\Zones\0\1004!=W=3

HKEY_USERS\S-1-5-21\Software\Microsoft\Currentversion\Internet Settings\Zones\0\1004!=W=3

HKEY_USERS\S-1-5-20\Software\Microsoft\Currentversion\Internet Settings\Zones\0\1004!=W=3

HKEY_USERS\S-1-5-19\Software\Microsoft\Currentversion\Internet Settings\Zones\0\1004!=W=3

HKEY_USERS\DEFAULT\Software\Microsoft\Currentversion\Internet Settings\Zones\0\1004!=W=3

Was ist das :???:


Hijackthis Log

Logfile of HijackThis v1.97.7
Scan saved at 20:04:12, on 13.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\Programme\Sygate Firewall\smc.exe
C:\Programme\0190 Warner\Warn0190.exe
C:\Programme\Oleco\_oleco.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Opera\opera.exe
C:\Programme\FlashGet\flashget.exe
D:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Anti-Virus\kav.exe /minimize
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E225F63-BCB6-4BC7-ABA9-F7C4852F60B4}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{92620540-ABCD-4FFC-8731-9A5900474D60}: NameServer = 62.134.11.4 195.182.110.132

Lade dir mal CWShredder runter.

Das hab ich auch, muss ma testen...

Edit: Nichts...

Done!
Your system was completely clean.

Windows XP (5.01.2600 SP1)
CWShredder v1.57.0
Written by Merijn - merijn@spywareinfo.com

For any additional help with this program or removing CWS, visit:
http://forums.spywareinfo.com/

For information and documentation on the Coolwebsearch
trojan and its variants, visit:
http://www.spywareinfo.com/~merijn/cwschronicles.html

For donations to help support CWShredder, visit:
http://www.spywareinfo.com/~merijn/donate.html

Brauchst du die Einwahlsoftware zwingend oder lässt dein ISP auch Einwahl über das DFÜ-Netzwerk von Windows zu?

Hmm nicht unbedingt.

Hab jetzt den nforce Treiber (4.24) deinstalliert, bis jetzt gehts.
Hatte schon Probleme mit der 3.13 Version.

Problemlos gings immer mit der 2.03 Version, ist aber etwas alt.

Leerlaufprozess hat aber auch immer über 90 :???:

zur Zeit macht die _oleco.exe 00 Auslastung aus.

Opera macht zwischendurch immer kurz ne 80% CPU AUslastung aus.

svchost.exe so 2-5

Scheint wohl ein IDE Treiber Problem zu sein. Hast du die Probleme auch mit aktuellen Treibern und nur mit älteren?

Soweit ich das beurteilen kann, nur mit den nforce 2 Treibern.
Also alle die neuer sind als die 2.03 Version.

Also hatte zwischendurch 3.13 und 4.24 drauf, beide haben Probleme gemacht, falls es an denen lag...

Jetzt hab ich ne CPU Auslastung zwischen 0% und 30%.
Das nervt, da die Musik manchmal so "hängen" bleibt...

mmm...

So sieht dein PC sauber aus und das der Leerlauf- Process bei 90 % rumhängt ... ähm, nunja :p ... in Anbetracht der Lage, das du einen 0190 Warner installiert hast, gehe ich davon aus, das du ISDN oder Analog (56k) benutzt, bei DSL kann das Teil gekickt werden, ausser du hast ein Fax oder sowas noch extra dran ...

Jap ich habe ISDN (meistens 64k)

Könnte es vllt. an einem Windows Patch liegen?
Hab SP1a und Winfuture Pack 1.6


Das die Musik so stockt ist sau nervig!

Schon deframentiert?
Half bei mir auch! ;)

Original geschrieben von [KoC]Marlboro
Schon deframentiert?
Half bei mir auch! ;)

Ja gestern...

mmm...

Steht irgendwas in der Ereignisanzeige?

Hmm habe aber nur Windows und Games defragmentiert. (C und E)

Auf D habe ich Musik, Bilder, Downloads, Treiber Dokumente und sowas.
Auf F nur Spielepatches, Mods, Trainer, Savegames.

Ich defragmentiere mal D


Ereignisanzeige Anwendung?

Habe öfters die Warnung:

Quelle: Userenv
Ereignis: 1517
Benutzer: System

Die Registrierung des Benutzers "SLAYER\Morbid Angel" wurde gespeichert, obwohl eine Anwendung oder ein Dienst auf die Registrierung während der Abmeldung zugegriffen hat. Der von der Registrierung des Benutzers verwendete Speicher wurde nicht freigegeben. Der Upload der Registrierung wird durchgeführt, wenn diese nicht mehr verwendet wird.

Dies wird oft durch Dienste verursacht, die unter einem Benutzerkonto ausgeführt werden. Versuchen Sie diese so zu Konfigurieren, dass sie unter den Konten "Lokaler Dienst" oder "Netzwerkdienst" ausgeführt werden.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.


Und noch manchmal die:

Quelle: MsiInstaller
Ereignis: 11728, 1001, 1004 immer unterschdieldich
Benutzer: Nicht zutreffend

Und XP Produktaktivierung (hab schon Thread aufgemacht)

Die restlichen waren am 1.6.2004

WinMgmt und EventSystem

mmm...

Du sollst UPHClean (http://home.arcor.de/t-schuermann/3dc/uphclean.zip) (gezippt, nur in einen Ordner entpacken und die install ausführen, mehr muss du nicht machen, das Teil haut dann ab in den Hintergrund) installieren und einige Tage laufen lassen, dann sollten die obere Meldungen verschwinden, MS Seite (http://www.microsoft.com/downloads/details.aspx?familyid=1b286e6d-8912-4e18-b570-42470e2f3582&displaylang=en) dazu ... wegen MSinstaller müsste ich nochmal suchen, kann aber sein, das es damit auch indirekt behoben wird ...

Ereignisanzeige System solltest du auch mal nach Fehlern durchschauen ...

Wieso gezippt?
Ist doch nur .exe und .msi ?

mmm...

Die exe alleine reicht, du must aber dahinter noch den doofen Parameter "install" angeben, darum die Batchdateien im zip => für Faule ;) ...

Original geschrieben von Lokadamus
mmm...

Die exe alleine reicht, du must aber dahinter noch den doofen Parameter "install" angeben, darum die Batchdateien im zip => für Faule ;) ...

Wie was wo? Wo soll ich den Parameter eintragen?

Was bedeutet das Userenv?

Soll ich den PC jetzt tagelang anlassen oder einfach immer nur nebenbei laufen lassen, wenn ich am PC bin?

Dummen Fragen, aber ist egal ;)

Original geschrieben von Morbid Angel
Wie was wo? Wo soll ich den Parameter eintragen?mmm...

Wenn du das Teil selber installieren willst, must du die Eingabeaufforderung benutzen und es dort mit "uphclean install" starten => für die meisten zu umständlich, weil es in irgendeinem komischen Verzeichnis entpackt wurde. Alternative: einfach mein Zip runterladen, dort ist eine Batch, wo du nur draufklicken must, dann bekommst eine Meldung, ob es sich installiert hat und gut ist, es hat auch einen eigenen Ordner, kannst es also überall hin entpacken ;). Das Teil lädt sich beim nächstens Neustart selber und das solange, bis du es deinstallierst (dafür ist die 2. Batch dabei, leicht am Namen zu erkennen ;)). Willst du überprüfen, ob es installiert ist, einfach nochmal die Install- Batch aufrufen und es sagt dir, ob es aktiv ist ... Was bedeutet das Userenv?Gute Frage, hängt aufjedenfall mit dem angemeldeten User zusammen, ist auch relativ uninteressant, die Ereignissnummer ist interessanter ... Soll ich den PC jetzt tagelang anlassen oder einfach immer nur nebenbei laufen lassen, wenn ich am PC bin?
Nein, ganz normal benutzen. Beim Runterfahren wird das UPHClean den Dienst killen, welcher für den Eintrag zuständig war und das sollte nach dem dem 3. oder 4. Neustart nicht mehr passieren, sprich der Dienst wird automatisch rechtzeitig beendet ...
Dummen Fragen, aber ist egal ;) Ja ;D, hab darum extra noch auf die Seite von MS verlinkt, was der Grund ist ...

Original geschrieben von Morbid Angel
Spybot 1.3 findet IMMER 5 DSO Exploit Einträge, frag mich was das ist:

HKEY_USERS\S-1-5-18\Software\Microsoft\Currentversion\Internet Settings\Zones\0\1004!=W=3

HKEY_USERS\S-1-5-21\Software\Microsoft\Currentversion\Internet Settings\Zones\0\1004!=W=3

HKEY_USERS\S-1-5-20\Software\Microsoft\Currentversion\Internet Settings\Zones\0\1004!=W=3

HKEY_USERS\S-1-5-19\Software\Microsoft\Currentversion\Internet Settings\Zones\0\1004!=W=3

HKEY_USERS\DEFAULT\Software\Microsoft\Currentversion\Internet Settings\Zones\0\1004!=W=3


Weiss einer was das nun sein könnte?

Keiner ne Ahnung?

mmm...

Da es Verweise auf die Internet Zone ist, scheint es sich um potentielle Einfallslöcher für Malware zu handeln, entweder die Immunization- Funktion mal drüberlaufen lassen (gefährlich, kann mit Pech den IE oder Windows instabil machen) oder den Kram erstmal entfernen lassen ...

Original geschrieben von Lokadamus
mmm...

Da es Verweise auf die Internet Zone ist, scheint es sich um potentielle Einfallslöcher für Malware zu handeln, entweder die Immunization- Funktion mal drüberlaufen lassen (gefährlich, kann mit Pech den IE oder Windows instabil machen) oder den Kram erstmal entfernen lassen ...

Hab die Einträge jetzt mal manuell gelöscht.
Neugestartet, Spybot nochmal drüber laufen lassen und jetzt sindse wohl entgültig weg.

Ich hab das UPH Clean einfach installiert und im Hintergrund laufen, müsste doch eigentlich auch so funktionieren oder?