Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: cpu-Auslastung hoch, auffällige netstat, bisher nichts gefunden

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 18.03.2008, 10:49   #1
280340
 
cpu-Auslastung hoch, auffällige netstat, bisher nichts gefunden - Standard

cpu-Auslastung hoch, auffällige netstat, bisher nichts gefunden



Hallo zusammen,

ich bin neu hier, männlich, Mediziner, mittleres Alter - und dachte bisher, mich relativ gut mit Computern auszukennen. Jetzt benötige ich aber dringend Eure Unterstützung.
Seit mehreren Wochen wird mein Rechner langsam, friert mehrfach am Tag ein, so dass ich ihn neustaten muss.
Services und svchost steigern die CPU-Auslastung bis zu 100%, initial jedoch nur in Intervallen von mehreren Sekunden. Die DSL-Verbindung wird, obwohl von mir beended, automatisch wiederhergestellt, Norton warnte mich zwischenzeitlich mit hunderten von Nachrichten, dass meine Mails (ich hatte keine geschrieben) nicht zugestellt werden könnten. Einmal wurde in so einer Meldung auch eine Adresse angezeigt - diese hatte ich sicherlich noch nie angemailt.
Suchen mit diversen Anti-Rootkit-Scannern (Trendmicro, AVG, Sophos, Panda, Bitdefender) zeigen nichts Auffälliges, aber die gezeigten Aktivitäten unter "netstat -o" in der DOS-Box geben mir zu denken (doppelte Einträge z.T gelöscht):

Proto Lokale Adresse Remoteadresse Status PID
TCP h*****:1031 parkwebwin-v01.prod.mesa1.secureserver.net:http SCHLIESSEN_WARTEN 1196
TCP h*****:1032 lnx.co.il:http SCHLIESSEN_WARTEN 1196
TCP h*****:1037 web2.4wdns.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:1063 68.101.120.77.colo.static.dc.volia.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:1070 img290.imageshack.us:http SCHLIESSEN_WARTEN 1196
TCP h*****:1080 74-52-77-50.webbytechnologies.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:1098 18.64.232.72.static.reverse.ltdomains.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:1101 rmt.mlmlead.net:http SCHLIESSEN_WARTEN 1196
TCP h*****:1118 38.97.225.135:http SCHLIESSEN_WARTEN 1196
TCP h*****:1185 lnx.co.il:http SCHLIESSEN_WARTEN 1196
TCP h*****:1190 web2.4wdns.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:1208 68.101.120.77.colo.static.dc.volia.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:1209 img290.imageshack.us:http SCHLIESSEN_WARTEN 1196
TCP h*****:1227 74-52-77-50.webbytechnologies.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:1231 mail.ol7.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:1241 18.64.232.72.static.reverse.ltdomains.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:1246 rmt.mlmlead.net:http SCHLIESSEN_WARTEN 1196
TCP h*****:1252 host5.stormpay.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:1261 38.97.225.135:http SCHLIESSEN_WARTEN 1196
TCP h*****:1341 parkwebwin-v01.prod.mesa1.secureserver.net:http SCHLIESSEN_WARTEN 1196
TCP h*****:1346 lnx.co.il:http SCHLIESSEN_WARTEN 1196
TCP h*****:1357 web2.4wdns.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:1382 nf-in-f104.google.com:http SCHLIESSEN_WARTEN 2700
TCP h*****:4307 mail.ol7.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:4327 18.64.232.72.static.reverse.ltdomains.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:4346 host5.stormpay.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:4349 38.97.225.135:http SCHLIESSEN_WARTEN 1196
TCP h*****:4370 64.8.20.50:http SCHLIESSEN_WARTEN 1196
TCP h*****:4429 web2.4wdns.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:4449 68.101.120.77.colo.static.dc.volia.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:4462 74-52-77-50.webbytechnologies.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:4474 18.64.232.72.static.reverse.ltdomains.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:4493 host5.stormpay.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:4496 38.97.225.135:http SCHLIESSEN_WARTEN 1196
TCP h*****:4578 web2.4wdns.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:4596 68.101.120.77.colo.static.dc.volia.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:4610 74-52-77-50.webbytechnologies.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:4625 mail.ol7.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:4627 18.64.232.72.static.reverse.ltdomains.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:4630 rmt.mlmlead.net:http SCHLIESSEN_WARTEN 1196
TCP h*****:4644 host5.stormpay.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:4647 38.97.225.135:http SCHLIESSEN_WARTEN 1196
TCP h*****:4648 a100.nthosting.ru:http SCHLIESSEN_WARTEN 1196
TCP h*****:4858 parkwebwin-v01.prod.mesa1.secureserver.net:http SCHLIESSEN_WARTEN 1196
TCP h*****:4859 lnx.co.il:http SCHLIESSEN_WARTEN 1196
TCP h*****:4862 web2.4wdns.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:4884 68.101.120.77.colo.static.dc.volia.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:4891 img290.imageshack.us:http SCHLIESSEN_WARTEN 1196
TCP h*****:4901 74-52-77-50.webbytechnologies.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:4907 mail.ol7.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:4919 18.64.232.72.static.reverse.ltdomains.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:4922 rmt.mlmlead.net:http SCHLIESSEN_WARTEN 1196
TCP h*****:4932 host5.stormpay.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:4939 38.97.225.135:http SCHLIESSEN_WARTEN 1196
TCP h*****:4942 a100.nthosting.ru:http SCHLIESSEN_WARTEN 1196
TCP h*****:4958 64.8.20.50:http SCHLIESSEN_WARTEN 1196
TCP h*****:4987 mercury.orderbox-domainforward.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:4990 eris.diyhost.co.uk:http SCHLIESSEN_WARTEN 1196
TCP h*****:4996 leapcash.com:http SCHLIESSEN_WARTEN 1196
TCP h*****:1052 localhost:1053 HERGESTELLT 2796
TCP h*****:1053 localhost:1052 HERGESTELLT 2796
TCP h*****:1054 localhost:1055 HERGESTELLT 2796
TCP h*****:1055 localhost:1054 HERGESTELLT 2796

Sämtliche Adressen sind mir nicht bekannt ...


Mein HijackThis-Log ist wie folgt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:11:51, on 18.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\_U t i l i t i e s\Diskeeper Professional v8.0.459.0\DkService.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Conversions Plus v.6.05\FORMATM.EXE
C:\PROGRA~1\_UTILI~1\NORTON~1\NSR\Agent\VProSvc.exe
C:\PROGRA~1\_UTILI~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\_UTILI~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\HP\Digital Imaging\Promotions\HPpromo.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\system32\SxgTkBar.exe
C:\Programme\WinPortrait\wpctrl.exe
C:\Programme\ASUS\Probe\AsusProb.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\QuickTime 7\qttask.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\WinPortrait\floater.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\PROGRA~1\_UTILI~1\NORTON~1\NSR\Agent\NSRTray.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\Programme\_B r e n n p r o g r a m m e\DAEMON Tools Pro\DTProAgent.exe
C:\Programme\Belkin\Bluetooth Software\BTTray.exe
C:\Programme\_T e l e k o m u n d T - D S L\Eumex 504PC USB\Capictrl.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Conversions Plus v.6.05\MacName.exe
C:\PROGRA~1\Belkin\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\_U t i l i t i e s\Ad-Aware 2007\aawservice.exe
C:\Programme\_U t i l i t i e s\Process Explorer v11.11\procexp.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrobat.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\_U t i l i t i e s\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\BitComet\tools\BitCometBHO_1.1.5.19.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHG~1.6\jccatch.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHG~1.6\fgiebar.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MacLicense] "C:\Programme\Conversions Plus v.6.05\MacLic.exe"
O4 - HKLM\..\Run: [HPpromo psc 2400 series] "C:\Programme\HP\Digital Imaging\Promotions\HPpromo.exe" /N "psc 2400 series" -r
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [SxgTkBar] SxgTkBar.exe
O4 - HKLM\..\Run: [PivotSoftware] "C:\Programme\WinPortrait\wpctrl.exe"
O4 - HKLM\..\Run: [ASUS Probe] C:\Programme\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime 7\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NSRKey] C:\PROGRA~1\_UTILI~1\NORTON~1\NSR\Agent\NSRTray.exe
O4 - HKLM\..\Run: [Norton Save and Restore] "C:\PROGRA~1\_UTILI~1\NORTON~1\NSR\Agent\NSRTray.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\_U t i l i t i e s\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\_B r e n n p r o g r a m m e\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NSWosCheck] C:\Programme\_U t i l i t i e s\Norton SystemWorks Premier\osCheck.exe
O4 - HKCU\..\Run: [SFS6] "D:\Steganos Secure FileSharing 6\sfs.exe" /booting
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\_U t i l i t i e s\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\_B r e n n p r o g r a m m e\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Iomega QuikSync 3.lnk = C:\Programme\_U t i l i t i e s\Iomega QuikSync 3\quiksync3.exe
O4 - Global Startup: MacName.lnk = C:\Programme\Conversions Plus v.6.05\MacName.exe
O4 - Global Startup: VPN Client.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet 1.6\jc_all.htm
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download &All using WebCloner - D:\WebCloner Pro 2.3\addurl.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet 1.6\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\_U t i l i t i e s\Norton SystemWorks Premier\Norton Cleanup\WCQuick.lnk
O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\_U t i l i t i e s\Norton SystemWorks Premier\Norton Cleanup\WCQuick.lnk
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: WebCloner - {ADFCCE65-DF10-46fd-B04A-53CCBE2A0795} - D:\WebCloner Pro 2.3\webcloner.exe (file missing)
O9 - Extra 'Tools' menuitem: &WebCloner - {ADFCCE65-DF10-46fd-B04A-53CCBE2A0795} - D:\WebCloner Pro 2.3\webcloner.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHG~1.6\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHG~1.6\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/197a33532d01ce138620/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20041120/qtinstall.info.apple.com/pthalo/de/win/QuickTimeFullInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131806566375
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1157319834040
O17 - HKLM\System\CCS\Services\Tcpip\..\{0294C501-F64D-4BD4-A1A6-0010FD38F16F}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{0294C501-F64D-4BD4-A1A6-0010FD38F16F}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - d:\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: deskmon32 - C:\WINDOWS\SYSTEM32\deskmon32.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\_U t i l i t i e s\Ad-Aware 2007\aawservice.exe
O23 - Service: ABBYY FineReader 9.0 PE Licensing Service (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - C:\Programme\Gemeinsame Dateien\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\_U t i l i t i e s\Diskeeper Professional v8.0.459.0\DkService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: IomegaAccess - Iomega Corporation - C:\WINDOWS\System32\iomegaaccess.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: MacFormatService - DataViz Inc. - C:\Programme\Conversions Plus v.6.05\FORMATM.EXE
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: Norton Save and Restore - Symantec Corporation - C:\PROGRA~1\_UTILI~1\NORTON~1\NSR\Agent\VProSvc.exe
O23 - Service: Norton UnErase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\_UTILI~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: NRYDKP - Unknown owner - C:\DOKUME~1\Wir\LOKALE~1\Temp\NRYDKP.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\_UTILI~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TRIFFHJK - Unknown owner - C:\DOKUME~1\Wir\LOKALE~1\Temp\TRIFFHJK.exe (file missing)
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\_T e l e k o m u n d T - D S L\T-DSL SpeedManager 5.02\tsmsvc.exe

--
End of file - 17574 bytes


H I L F E !!!

Ich habe keine Ahnung mehr.....

Danke im Voraus.
Greg

Alt 18.03.2008, 17:35   #2
Franz1968
/// Helfer-Team
 
cpu-Auslastung hoch, auffällige netstat, bisher nichts gefunden - Standard

cpu-Auslastung hoch, auffällige netstat, bisher nichts gefunden



Hallo,
Zitat:
Norton warnte mich zwischenzeitlich mit hunderten von Nachrichten, dass meine Mails (ich hatte keine geschrieben) nicht zugestellt werden könnten. Einmal wurde in so einer Meldung auch eine Adresse angezeigt - diese hatte ich sicherlich noch nie angemailt.
nach Spam-Versand sieht das eigentlich ( ) nicht aus, denn es werden Verbindungen zu HTTP-Ports hergestellt, nicht zu SMTP-Ports. Zu sehen ist das z. B. hier:
Zitat:
TCP h*****:4429 web2.4wdns.com:http SCHLIESSEN_WARTEN 1196
Ich frage mich daher: Hast du zufällig einen Netstat-Eintrag gelöscht, der eine smtp-Verbindung anzeigte (also "smtp" statt "http" in der von mir zitierten Zeile)?

Ich sehe, du hast dir den Process Explorer heruntergeladen. Die vielen mysteriösen HTTP-Verbindungen werden von einem Prozess mit der PID 1196 hergestellt. Zeigt der Process Explorer einen Eintrag zu dieser PID? (Beachte, dass nach einem Reboot evtl. eine neue PID vergeben wird.)

Versuche, auf Virustotal die folgende Datei prüfen zu lassen:
Code:
ATTFilter
C:\WINDOWS\SYSTEM32\deskmon32.dll
         
Poste im Anschluss die Ergebnisse.

Scanne deinen Rechner auch mit Blacklight und poste das Logfile.
__________________

__________________

Alt 18.03.2008, 22:41   #3
280340
 
cpu-Auslastung hoch, auffällige netstat, bisher nichts gefunden - Standard

cpu-Auslastung hoch, auffällige netstat, bisher nichts gefunden



Zitat:
Zitat von Franz1968 Beitrag anzeigen
Hallo,
nach Spam-Versand sieht das eigentlich ( ) nicht aus, denn es werden Verbindungen zu HTTP-Ports hergestellt, nicht zu SMTP-Ports. Zu sehen ist das z. B. hier:

Ich frage mich daher: Hast du zufällig einen Netstat-Eintrag gelöscht, der eine smtp-Verbindung anzeigte (also "smtp" statt "http" in der von mir zitierten Zeile)?

Ich sehe, du hast dir den Process Explorer heruntergeladen. Die vielen mysteriösen HTTP-Verbindungen werden von einem Prozess mit der PID 1196 hergestellt. Zeigt der Process Explorer einen Eintrag zu dieser PID? (Beachte, dass nach einem Reboot evtl. eine neue PID vergeben wird.)

Versuche, auf Virustotal die folgende Datei prüfen zu lassen:
Code:
ATTFilter
C:\WINDOWS\SYSTEM32\deskmon32.dll
         
Poste im Anschluss die Ergebnisse.

Scanne deinen Rechner auch mit Blacklight und poste das Logfile.
Hallo Franz1968,

erst mal ein ganz großes Dankeschön für die prompte Reaktion.

1.
Nur http's, keine smtp's.

2.
Habe seither rebootet, die PID hat sich geändert. Im neuen netstat -o ist es 1244. Hierunter findet sich im Process Explorer ein "svchost"-Eintrag. Klickt man das Pluszeichen davor an, öffnen sich

rapimgr.exe (ActiveSync RAPI Manager) (1 TCP/IP-Eintrag)
BTSTAC~1.exe (Bluetooth Stack COM Server) (kein TCP/IP-Eintrag)

Der Haupteintrag dieses "svchost" zeigt aber zusätzlich unter TCP/IP jede Menge sonstige http-Verbindungen mit Adressen, wie sie in netstat protokolliert sind, auf.

3.
Blacklight hat nichts gefunden.

4.
Virustotal hat siebenmal die Datei deskmon32.dll als Virus geoutet:

Datei deskmon32.dll empfangen 2008.03.18 22:18:50 (CET)
Status: Beendet

Ergebnis: 7/32 (21.88%)
Formularende
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.18.1 2008.03.18 -
AntiVir 7.6.0.75 2008.03.18 TR/Hijacker.Gen
Authentium 4.93.8 2008.03.18 -
Avast 4.7.1098.0 2008.03.18 Win32:Small-IKB
AVG 7.5.0.516 2008.03.18 Downloader.Small.60.AO
BitDefender 7.2 2008.03.18 -
CAT-QuickHeal 9.50 2008.03.14 -
ClamAV 0.92.1 2008.03.18 -
DrWeb 4.44.0.09170 2008.03.18 -
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5623 2008.03.17 -
Ewido 4.0 2008.03.18 -
F-Prot 4.4.2.54 2008.03.18 -
F-Secure 6.70.13260.0 2008.03.18 -
FileAdvisor 1 2008.03.18 -
Fortinet 3.14.0.0 2008.03.18 -
Ikarus T3.1.1.20 2008.03.18 Virus.Win32.Small.IKB
Kaspersky 7.0.0.125 2008.03.18 -
McAfee 5254 2008.03.18 -
Microsoft 1.3301 2008.03.18 VirTool:Win32/Obfuscator.L
NOD32v2 2958 2008.03.18 -
Norman 5.80.02 2008.03.18 -
Panda 9.0.0.4 2008.03.17 -
Prevx1 V2 2008.03.18 -
Rising 20.36.12.00 2008.03.18 -
Sophos 4.27.0 2008.03.18 Sus/Behav-1021
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.18 -
TheHacker 6.2.92.249 2008.03.18 -
VBA32 3.12.6.3 2008.03.17 -
VirusBuster 4.3.26:9 2008.03.18 -
Webwasher-Gateway 6.6.2 2008.03.18 Trojan.Hijacker.Gen

weitere Informationen
File size: 8192 bytes
MD5: 6878efaa757812ed78c25ec4124f1682
SHA1: bb6d10fdca312f4139fc846b45ced74fd57ade39
PEiD: -
packers: UPX
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX

Liegt hier drin die Wurzel allen Übels ?!

Greg
__________________

Alt 21.03.2008, 10:01   #4
280340
 
cpu-Auslastung hoch, auffällige netstat, bisher nichts gefunden - Standard

cpu-Auslastung hoch, auffällige netstat, bisher nichts gefunden



Hallo Franz, hallo Ihr anderen,

kann mir einer helfen ?

Soll ich deskmon32.dll einfach mal löschen (nach Sicherung auf USB-Stick für alle Fälle)?

Greg

Alt 21.03.2008, 19:02   #5
Franz1968
/// Helfer-Team
 
cpu-Auslastung hoch, auffällige netstat, bisher nichts gefunden - Standard

cpu-Auslastung hoch, auffällige netstat, bisher nichts gefunden



Zitat:
Zitat von 280340
(nach Sicherung auf USB-Stick für alle Fälle)
Sicherung ist gut, für den Fall, dass mit deinem Rechner bereits kriminelle Handlungen vorgenommen worden sein sollten. Am besten wäre für den Fall der Fälle ein Image der Systempartition.

Ich muss meine leichtfertige Vermutung, es sei kein Spam-Versand im Spiel, nämlich zurücknehmen. Die Schädlings-Bezeichnungen, die Virustotal geliefert hat, finden sich in Foren immer wieder im Zusammenhang mit Spam-Versand.

Die deskmon32.dll kannst du zu löschen versuchen, ich nehme aber an, dass sie wiederhergestellt werden wird. Sie wird wohl nicht die Wurzel des Übels, sondern die Spitze des Eisbergs sein. Versuche daher zunächst einen Scan mit Combofix und poste natürlich im Anschluss das Logfile.

Nach der Anwendung von Combofix erstelle bitte ein neues Logfile von HijackThis und poste es.

Aus deinem HijackThis-Logfile entnehme ich, dass du den Rootkit-Revealer hast scannen lassen. Was ist dabei herausgekommen?

Bevor wir aber weitere Analysen mit zweifelhafter Perspektive durchführen, frage dich auch, ob du das Verfahren nicht abkürzen und deinen Rechner neu aufsetzen willst. Wenn er Teil eines Bot-Netzes ist, ist das die einzige Möglichkeit, ein vertrauenswürdiges System wiederherzustellen.

Und bis auf Weiteres solltest du den Rechner natürlich möglichst vom Netz trennen.

__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 23.03.2008, 00:57   #6
280340
 
cpu-Auslastung hoch, auffällige netstat, bisher nichts gefunden - Standard

cpu-Auslastung hoch, auffällige netstat, bisher nichts gefunden



Hallo Franz,

Rootkit-Revealer-Scan (nochmals frisch) in drei Teilen im Anhang

Combofix-Log im Anhang

HijackTis-Log (danach) folgt in nächstem Posting im Anhang.

Neuaufsetzen des infizierten Rechners wollte ich eigentlich vermeiden, da ich einen neuen Rechner aufsetzen will. Da die gewünschte CPU (E8400 bzw. 8500) aufgrund Intels Politik voraussichtlich frühestens im April verfügbar (und erschwinglich) sein wird, ich meinen Rechner aber auch beruflich benötige (keine Angst: keine vertraulichen Fremddaten auf diesem Rechner), brauche ich für die nächsten Wochen einen DSL- bzw. Internet-fähigen Rechner. Daher wäre eine "Desinfektion" des aktuellen Rechners - wenn möglich - schon sehr schön ...


Grüße
Greg
Angehängte Dateien
Dateityp: txt combofix log 20080323 _3.txt (13,6 KB, 665x aufgerufen)

Alt 23.03.2008, 00:59   #7
280340
 
cpu-Auslastung hoch, auffällige netstat, bisher nichts gefunden - Standard

cpu-Auslastung hoch, auffällige netstat, bisher nichts gefunden



Hier die HijackThis-Logdatei nach Combofix-Ausführung.
KOnnte sie als fünfte Datei nicht mehr an das Vor-Posting anhängen.

Greg
Angehängte Dateien
Dateityp: txt hijackthis log 20080323.txt (16,4 KB, 280x aufgerufen)

Alt 24.03.2008, 21:24   #8
Franz1968
/// Helfer-Team
 
cpu-Auslastung hoch, auffällige netstat, bisher nichts gefunden - Standard

cpu-Auslastung hoch, auffällige netstat, bisher nichts gefunden



Die böse deskmon32.dll ist noch da. Lade dir also The Avenger, um sie loszuwerden.

Beachte bitte die Anleitung. Das einzukopierende Skript, von dem dort die Rede ist, ist
Zitat:
Files to delete:
C:\WINDOWS\SYSTEM32\deskmon32.dll
Poste auch in diesem Fall das Logfile und ein weiteres HijackThis-Logfile, das du nach der Anwendung von The Avenger und dem sich anschließenden Neustart erstellst. Ich werde morgen versuchen, mir alle Logfiles genauer anzusehen.
__________________
Alle Tipps und Anleitungen ohne Gewähr

Antwort

Themen zu cpu-Auslastung hoch, auffällige netstat, bisher nichts gefunden
100%, ad-aware, bho, bis zu 100%, bonjour, browser, checkpoint, computer, computern, ctfmon.exe, dringend, excel, hijack, hkus\s-1-5-18, internet, internet explorer, internet security, intrusion prevention, keine ahnung, konvertieren, langsam, mehrere, netstat, pdf-datei, rundll, security, senden, software, starten, svchost, symantec, system, tcp, usb, windows, windows xp



Ähnliche Themen: cpu-Auslastung hoch, auffällige netstat, bisher nichts gefunden


  1. Pc und INternet langsam, CPU-Auslastung hoch, aber kein Virus gefunden!
    Plagegeister aller Art und deren Bekämpfung - 01.04.2015 (11)
  2. Detekt hat fünf! Trojaner gefunden, Virenscanner bisher ohne Befund. Was tun?
    Log-Analyse und Auswertung - 24.11.2014 (11)
  3. CPU Auslastung zu hoch (23%)
    Plagegeister aller Art und deren Bekämpfung - 23.01.2014 (3)
  4. GVU Trojaner, bisher noch nichts unternommen
    Plagegeister aller Art und deren Bekämpfung - 17.02.2013 (30)
  5. CPU Auslastung zu hoch, was tun?
    Log-Analyse und Auswertung - 30.11.2012 (5)
  6. Cpu & ram auslastung zu hoch!
    Netzwerk und Hardware - 24.11.2012 (0)
  7. CPU-Auslastung zu hoch
    Log-Analyse und Auswertung - 21.11.2012 (2)
  8. Unter Netstat eine Verbindung zu 62.128.100.41 gefunden
    Überwachung, Datenschutz und Spam - 01.09.2012 (8)
  9. Win7 nach Login nur weißer Bildschirm - bisher keine Viren auf dem PC gefunden
    Plagegeister aller Art und deren Bekämpfung - 05.08.2012 (1)
  10. Trojaner an Bord oder nicht? html/malicious.pdf.gen gefunden - aber bisher keine Probleme
    Plagegeister aller Art und deren Bekämpfung - 27.03.2012 (37)
  11. GEMA Trojaner, bisher keine Lösung gefunden, OTPLE Log
    Log-Analyse und Auswertung - 16.11.2011 (12)
  12. Anderer Provider bei netstat gefunden
    Log-Analyse und Auswertung - 28.07.2011 (6)
  13. CPU Auslastung zu hoch
    Log-Analyse und Auswertung - 14.02.2010 (1)
  14. CPU-Auslastung hoch
    Mülltonne - 20.12.2008 (0)
  15. Cpu Auslastung Hoch!!!!
    Log-Analyse und Auswertung - 11.12.2007 (4)
  16. Hoch CPU-Auslastung
    Alles rund um Windows - 17.11.2007 (0)
  17. Dialer durch netstat -a gefunden
    Plagegeister aller Art und deren Bekämpfung - 19.09.2006 (1)

Zum Thema cpu-Auslastung hoch, auffällige netstat, bisher nichts gefunden - Hallo zusammen, ich bin neu hier, männlich, Mediziner, mittleres Alter - und dachte bisher, mich relativ gut mit Computern auszukennen. Jetzt benötige ich aber dringend Eure Unterstützung. Seit mehreren Wochen - cpu-Auslastung hoch, auffällige netstat, bisher nichts gefunden...
Archiv
Du betrachtest: cpu-Auslastung hoch, auffällige netstat, bisher nichts gefunden auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.