Es läuft permanent ein Internetbrowserprozess

cr4zyiv4n

Captain
Dabei seit
Nov. 2007
Beiträge
3.489
Mahlzeit

Ich ärgere mich schon lange damit rum, das ich bereits biem hochfahren meines Rechners ein forefox prozess im background laufen habe.
Das ist dahingehend störend, da er 25-30% meiner CPU 0 Kern verbraucht. Somit wird ein C&Q aktiviert und der Rechner bzw. CPU rennt immer auf max. vcore + takt.

Also habe ich gerad Firefox komplet gelöscht.

Und nun sieh an. Es ist kein FIrefox32.exe prozess mehr beim Start da... ABER dafür ein iexplorer.exe prozess, der genau den selben Effekt verursacht.

Ich kanns mir jetzt echt nicht erklären, woran das liegen soll. Anvivir findet nichts ... hijack auch nicht. WOran kann das liegen?

Hier mal die Hojack log
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:06:47, on 23.02.2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
C:\Users\iv4n-desktop\AppData\Roaming\Dropbox\bin\Dropbox.exe
C:\Windows\SysWOW64\svchost.exe
C:\Windows\SysWOW64\Ctxfihlp.exe
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files (x86)\HP\ToolboxFX\bin\HPTLBXFX.exe
C:\Program Files (x86)\HP\HP Software Update\hpwuschd2.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Windows\SysWOW64\CTXFISPI.EXE
c:\program files (x86)\avira\antivir desktop\ipmGui.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10l_ActiveX.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Users\iv4n-desktop\Downloads\HiJackThis204.exe
C:\Windows\SysWOW64\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 182.72.145.219:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files (x86)\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~3\Office14\GROOVEEX.DLL
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~3\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files (x86)\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [ToolboxFX] "C:\Program Files (x86)\HP\ToolboxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /notifications:on /fl:on /fr:on /appData:on /tmcp:on
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [HKCU] C:\Users\iv4n-desktop\AppData\Roaming\InstallDir\server.exe
O4 - Startup: CurseClientStartup.ccip
O4 - Startup: Dropbox.lnk = C:\Users\iv4n-desktop\AppData\Roaming\Dropbox\bin\Dropbox.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files (x86)\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files (x86)\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~1\MICROS~1\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files (x86)\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files (x86)\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~1\MICROS~1\Office14\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files (x86)\ICQ7.2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files (x86)\ICQ7.2\ICQ.exe
O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D4B68B83-8710-488B-A692-D74B50BA558E} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/ocx/15113/CTPIDPDE.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/ocx/15113/CTPID.cab
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Program Files (x86)\Common Files\Acronis\CDP\afcdpsrv.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: AMD FUEL Service - Advanced Micro Devices, Inc. - C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Echtzeit Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: Creative ALchemy AL6 Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\AL6Licensing.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: HP LaserJet Service - HP - C:\Program Files (x86)\HP\HPLaserJetService\HPLaserJetService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: Thrustmaster FAST service (TmWinService) - Guillemot Corporation - C:\Program Files (x86)\Thrustmaster\TARGET\TmService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 11358 bytes
 
Zuletzt bearbeitet:

Visceroid

Commodore
Dabei seit
Mai 2010
Beiträge
5.005
Firefox32.exe ist auch keine normale Firefox Exe. Kann sein das du einen Virus oder sonstigen Schädling hast?

@Antivir/Hijack: Probier mal mit einer LiveCD zu booten und dann zu scannen. Möglicherweiße blockiert der aktive Virus deine Scanner.
Rootkitscan nicht vergessen!
 

beule88

Cadet 2nd Year
Dabei seit
Apr. 2010
Beiträge
31
Servus,

soweit wie ich informiert bin sind das immer die EXEn deines Standardbrowsers. Die sind aus zwei Gründen vorhanden, zum einen um einen sehr schnellen Start zu gewährleisten und zum anderen um dich immer mit deinem Browser auf der aktuellsten Version zu halten und somit ständig nach einem Update zu schauen.

LG
 

Visceroid

Commodore
Dabei seit
Mai 2010
Beiträge
5.005
@beule88: Nein ;) Quickstart beim Browser gibt es nicht wirklich und die Updateprozesse, zumindest beim Firefox, laufen wenn du den Browser startets. Nach einem Neustart darf der Browser nicht offen sein (auch kein Prozess davon laufen) sofern nichts davon im Autostart ist.
 

cr4zyiv4n

Captain
Ersteller dieses Themas
Dabei seit
Nov. 2007
Beiträge
3.489
Das Problem ist ja auch. Wenn ich den Prozess manuel beende, aktiviert er sich nach 2 Sekunden wieder :):
 

gigges91

Lieutenant
Dabei seit
Apr. 2011
Beiträge
834
Ich würde Firefox mal im abgesicherten Modus Starten, also ohne Addons, und schauen, ob das Problem dann weiterhin besteht, wenn nicht, dann liegt es an einem Addon.

Firefox32.exe ist aber auch von Win32Trojanern betroffen, also auf jeden fall mal einen Scan machen.

In welchem Ordner befinden sich denn die Firefox32.exe und die iexplore exe? Dazu einfach im Taskmanager mit der rechten Maustaste auf den Prozess und dann Dateipfad öffnen wählen.
 

schlzber

Cadet 4th Year
Dabei seit
Jan. 2004
Beiträge
122
Genau, Visceroid. Ich möchte noch ergänzen, dass der IE auch nicht im Hintergrund läuft, um nach Updates zu gucken. Das erledigt Windows Update.

Ich sehe gerade, der OP schreibt was von iexplorer.exe, soweit ich weiß ist das auch ein Trojaner. Der IE-Prozess heißt nämlich immer iexplore.exe (ohne R am Ende).

Lad doch mal Sysinternals runter und starte den Process Explorer. Dann hältst du mit diesem Tool den verdächtigen Prozess an (nicht killen!) und dann guckst du, welcher weitere Prozess noch verdächtig ist. Dann kannst du beide killen ohne die Gefahr, dass der eine den anderen wieder neu startet.
 
Zuletzt bearbeitet:

Yuuri

Fleet Admiral
Dabei seit
Okt. 2010
Beiträge
12.216
Dämliche HJT-Logs... Lad dir den Process Explorer runter und sieh nach welcher Thread/welche DLL in welchem Prozess die Auslastung verursacht.
 

cr4zyiv4n

Captain
Ersteller dieses Themas
Dabei seit
Nov. 2007
Beiträge
3.489
ALso sowohl firefox als auch iexplorer exe sind jeweils im normalen Ordner. SPrich dort, wo das Programm installiert ist.
 

cr4zyiv4n

Captain
Ersteller dieses Themas
Dabei seit
Nov. 2007
Beiträge
3.489
firefox ist bereits komplett runter.

Mit process Explorer habe ich jetzt mal geschaut ... aber es wird nru gezeigt, das der normale iexplorer.exe prozess läuft. Es wird jedesmal auf die originale datei verwiesen.
 

_killy_

Captain
Dabei seit
Juni 2009
Beiträge
3.635
Ein Virus infiziert ja die Exe Datei die im Standardordner abgelegt ist ... nicht mit Trojanern verwechseln, die eine eigene ausführbare Datei mitbringen ...
 

Yuuri

Fleet Admiral
Dabei seit
Okt. 2010
Beiträge
12.216
Mit process Explorer habe ich jetzt mal geschaut ... aber es wird nru gezeigt, das der normale iexplorer.exe prozess läuft. Es wird jedesmal auf die originale datei verwiesen.
Starte das Ding als Admin, Rechtsklick auf den Prozess, Eigenschaften, auf den Reiter Threads und dort sortierst du mal nach Auslastung. Der Prozess/die DLL sollte dahinter stehen
 

cr4zyiv4n

Captain
Ersteller dieses Themas
Dabei seit
Nov. 2007
Beiträge
3.489
Zuletzt bearbeitet:

Kigalla

Lt. Junior Grade
Dabei seit
Feb. 2010
Beiträge
498
Kann es sein, dass Windoof dein Standardbrowser als Dienst nach dem booten startet um den Programmstart zu beschleunigen?
Schau mal bei den Diensten ob da was in Richtung Browser steht...
 

Visceroid

Commodore
Dabei seit
Mai 2010
Beiträge
5.005
Da du ja Windows 7 benutzt:

Folge mal dieser "Anleitung": Systemsteuerung --> Verwaltung --> Leistungsüberwachung
Da geht ein Fenster auf, dort im rechten Teil des Fensters auf "Resourcenmonitor öffnen" klicken.

Im Resourcenmonitor klickst du dann oben auf das "Netzwerk" Tab und hakst im Bereich "Prozesse mit Netzwerkaktivität" den Prozess iexplore.exe an.

Beobachte dann zu welchen IP's der Browser verbindet oder poste einen Screenshot von den unteren 2 Teilen des Fensters (Netzwerkaktivität und TCP-Verbindungen)
 
Zuletzt bearbeitet:

cr4zyiv4n

Captain
Ersteller dieses Themas
Dabei seit
Nov. 2007
Beiträge
3.489
@ visceroid.

Der Prozes wurde dort erstmal gar nicht angezeigt. Erst als ich diese Fenster hier, ALso den echten iexplorer geschloßen habe. Daraufhin wurde dort die iexplorere.exe (also die falsche) angezeigt.

Sie sendet dabei gar nicht wirklich. Empfganen und senden sind 0 kb. Und eine IP steht da nicht, lediglich der PC Name meines Rechner. ALso vermutlich komuniziert die Datei nicht nach draußen sonder dreht intern fröhlich ihre Runden .... wäre ja nicht so wild, wenn sie dabei nur nicht die leistung meiner CPU anfressen würde :(


edit: Irgendwie wird die falsche iexplorer.exe auch gar nicht angezeigt im ressourcenmonitor ... jetzt aktuell, während ich hier schreibe sieht das Bild dort etwas anders aus .. ABER es verändet sich dauern. es kommen namen und EInträge bei "netzwerkaktivität" und verschwinden auch... gerad waren es noch 3 EInträge jetzt ist es nur och einer ... hier mal ein BIld





So sieht es aus, wenn ich aus dem Idel mein Internetexplorer starte, und hier ins Forum gehe ... im Ressourcenmonitor habe ich dabei 2x den Prozess iexplorer.exe und habe auch beide Markiert:
 
Zuletzt bearbeitet:

Visceroid

Commodore
Dabei seit
Mai 2010
Beiträge
5.005
Ja das war primär um zu sehen ob sie was sendet ;)

Was sagt msconfig zu dem Prozess? Steht bei Systemstart irgendwo der iexplore.exe drinnen?

Edit: Ja die Prozesse verschwinden auch wieder wenn sie keine Netzwerkaktivität mehr haben ^^ ist gewollt und soll ja auch nur aktuell aktive Prozesse zeigen.
 
Zuletzt bearbeitet:
Top