Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.06.2010, 20:16   #1
Petrina
 
Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA? - Standard

Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA?



Hallo,

ich habe nicht viel Ahnung von Computern – und mir offenbar trotz Virenprogramm (AVG) erstmals einen Trojaner eingefangen.

Mein Problem begann damit, dass der AVG Residentenschutz beim Surfen mit Firefox warnte:
Trojaner Backdoor.Generic12.Bkpa

Fast zeitgleich erschien das Java-Symbol in der Leiste unten rechts.

Ich habe dann folgende Meldung infizierter Dateien im AVG Residentenschutz gefunden:

C:/Windows/system32/drivers/ctxvxffc.sys
C:/Windows/system32/drivers/asynxmac.sys
C:/Windows/system32/drivers/aec.sys

Der zweite ließ sich nicht entfernen. AVG-Kommentar „das Objekt befindet sich auf der Whitelist und ist eine wichtige Systemdatei, die nicht entfernt werden darf“.
Die anderen beiden sind im Virus Vault.

Ich habe danach einen Quickscan mit Malwarebyte gemacht - drei infizierte Dateien gefunden und entfernen lassen. Hier der Log:

Code:
ATTFilter
 
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
 
Datenbank Version: 4183
 
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
 
09.06.2010 11:07:42
mbam-log-2010-06-09 (11-07-42).txt
 
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 120717
Laufzeit: 6 Minute(n), 12 Sekunde(n)
 
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3
 
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
 
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateien:
C:\WINDOWS\Temp\24.tmp (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\25.tmp (Rootkit.TDSS.Gen) -> Delete on reboot.
C:\Dokumente und Einstellungen\petrina\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
         
Im Task Manager sah ich zunächst eine Datei namens cmd.exe zu um die 35% auslasten, die ist nach dem Neustart verschwunden, dafür belastet svchost jetzt zu ca. 50%. Auch wenn ich die Internetverbindung kappe.

Ich habe hier nichts zu genau diesem Problem gefunden (oder ich habe es nicht verstanden ;-)) und hoffe, ihr könnt mir mit einer für Laien verständlichen Anleitung helfen.

Mein Rechner (Samsung Laptop) läuft mit Window XP. Ich nutze die Windows-Firewall und das Virenprogramm AVG.

Die Logs von den Malwarebyte (Full Scan, keine Infizierungen mehr festgestellt) und Hijack This poste ich direkt hinterher, bei dem dritten geforderten Test weiß ich nicht, welches System ich habe, also versuche ich es mit OTL.

Vielen Dank schon mal!

Her der Malwarebyte Full Scan:

Code:
ATTFilter
 
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
 
Datenbank Version: 4183
 
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
 
09.06.2010 12:19:23
mbam-log-2010-06-09 (12-19-23).txt
 
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 193708
Laufzeit: 42 Minute(n), 42 Sekunde(n)
 
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
 
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
 
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Und hier Hijack This - leider in mehrere Teile geschnitten, ich kriege es sonst nicht hochgeladen:

Code:
ATTFilter
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:08:54, on 09.06.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\AVG\AVG9\avgchsvx.exe
D:\AVG\AVG9\avgrsx.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
D:\AVG\AVG9\avgwdsvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\hkcmd.exe
D:\AVG\AVG9\avgtray.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\AGRSMMSG.exe
D:\iTunes\iTunesHelper.exe
C:\Programme\Samsung\DisplayManager\dmhkcore.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\siszpe32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller.exe
D:\AVG\AVG9\avgnsx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\Firefox\firefox.exe
D:\Firefox\firefox.exe
D:\Hijackthis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\AVG\AVG9\avgssie.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\DisplayManager\DMLoader.exe
O4 - HKLM\..\Run: [AVG9_TRAY] D:\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Power2GoExpress] NA
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: siszpe32.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
 
(geht noch weiter)
         

Alt 10.06.2010, 10:25   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA? - Standard

Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA?



Hallo und


Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 10.06.2010, 16:32   #3
Petrina
 
Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA? - Standard

Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA?



Lieber Arne,

vielen Dank für Ihre Antwort- und sorry, dass ich etwas Zeit brauchte. Ich sitze in den USA (6 Std hinter der deutschen Zeit), und wie es der Teufel will, hat jetzt auch noch ein Tier (Marder?) die Außenkabel für sich entdeckt und ich musste ein Café finden, in dem ich Files downloaden kann ...

Im Moment hat sich die Auslastung offenbar normalisiert. Vorher hat eine svchost.exe die CPU um die 50% belastet - und zwar nur, wenn ich mit dem Internet verbunden war.


OTL Logfiles im Anhang!
__________________
Angehängte Dateien
Dateityp: txt OTL.Txt (53,3 KB, 232x aufgerufen)
Dateityp: txt Extras.Txt (36,7 KB, 228x aufgerufen)

Alt 10.06.2010, 18:29   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA? - Standard

Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA?



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
ATTFilter
:OTL
MOD - C:\WINDOWS\system32\qproider.dll ()
O4 - HKCU..\Run: [Power2GoExpress]  File not found
O4 - Startup: C:\Dokumente und Einstellungen\petrina\Startmenü\Programme\Autostart\siszpe32.exe ()
O33 - MountPoints2\{11128d8b-0502-11df-a91e-00137727da1a}\Shell\AutoRun\command - "" = G:\.\Recycled\Driveinfo.exe -- File not found
O33 - MountPoints2\{11128d8b-0502-11df-a91e-00137727da1a}\Shell\Open\Command - "" = G:\.\Recycled\Driveinfo.exe -- File not found
O36 - AppCertDlls: fixmator - (C:\WINDOWS\system32\qproider.dll) - C:\WINDOWS\system32\qproider.dll ()

:Files
C:\WINDOWS\system32\qproider.dll
C:\Dokumente und Einstellungen\petrina\Startmenü\Programme\Autostart\siszpe32.exe

:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.06.2010, 18:42   #5
Petrina
 
Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA? - Standard

Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA?



Vielen Dank, Arne. Log hängt an.

Angehängte Dateien
Dateityp: txt OTS_fix.txt (5,6 KB, 237x aufgerufen)

Alt 10.06.2010, 19:20   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA? - Standard

Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA?



Dann jetzt bitte CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
--> Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA?

Alt 10.06.2010, 19:40   #7
Petrina
 
Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA? - Standard

Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA?



Kurze Rückfrage: Mein Virenprogramm ist AVG, und das hat seit einiger Zeit leider keine Funktion mehr fürs vorübergehende Ausschalten. Ich kann nur ein, zwei Teilbereiche (z.B. E-Mail) deaktivieren. Reicht das?

Alt 10.06.2010, 20:27   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA? - Standard

Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA?



Deinstalliere es vorher. Ein Hintergrundwächter kommt nicht gut bei CF.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.06.2010, 21:28   #9
Petrina
 
Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA? - Standard

Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA?



Combofix Logfile:
Code:
ATTFilter
ComboFix 10-06-09.04 - *** 10.06.2010  15:50:34.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1014.725 [GMT -4:00]
ausgeführt von:: d:\combofix\cofi.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\SEC
c:\windows\SEC\CLEANUPFOLDER.INI
c:\windows\SEC\CONFIGSYS.EXE
c:\windows\SEC\INSTALL.EXE
c:\windows\SEC\INSTALL.INI
c:\windows\SEC\JRE150.EXE
c:\windows\SEC\MP10GER.EXE

Infizierte Kopie von c:\windows\system32\drivers\isapnp.sys wurde gefunden und desinfiziert 
Kopie von - Kitty had a snack :p wurde wiederhergestellt 
.
(((((((((((((((((((((((   Dateien erstellt von 2010-05-10 bis 2010-06-10  ))))))))))))))))))))))))))))))
.

2010-06-09 23:16 . 2010-06-09 23:16	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-06-09 23:13 . 2010-06-09 23:13	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software
2010-06-09 14:46 . 2010-06-09 14:46	--------	d-----r-	c:\dokumente und einstellungen\NetworkService\Favoriten
2010-06-09 14:30 . 2010-06-09 14:30	46592	----a-w-	c:\windows\system32\qproider.dll
2010-06-08 03:53 . 2010-06-08 03:53	--------	d-----w-	c:\windows\system32\XPSViewer
2010-06-08 03:53 . 2010-06-08 03:53	--------	d-----w-	c:\programme\MSBuild
2010-06-08 03:53 . 2010-06-08 03:53	--------	d-----w-	c:\programme\Reference Assemblies
2010-06-08 03:52 . 2008-07-06 12:06	89088	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2010-06-08 03:52 . 2008-07-06 12:06	89088	-c----w-	c:\windows\system32\dllcache\filterpipelineprintproc.dll
2010-06-08 03:52 . 2008-07-06 12:06	575488	-c----w-	c:\windows\system32\dllcache\xpsshhdr.dll
2010-06-08 03:52 . 2008-07-06 12:06	575488	------w-	c:\windows\system32\xpsshhdr.dll
2010-06-08 03:52 . 2008-07-06 12:06	1676288	-c----w-	c:\windows\system32\dllcache\xpssvcs.dll
2010-06-08 03:52 . 2008-07-06 12:06	1676288	------w-	c:\windows\system32\xpssvcs.dll
2010-06-08 03:52 . 2008-07-06 12:06	117760	------w-	c:\windows\system32\prntvpt.dll
2010-06-08 03:52 . 2008-07-06 10:50	597504	-c----w-	c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2010-06-08 03:52 . 2008-07-06 10:50	597504	------w-	c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe
2010-06-08 03:52 . 2010-06-08 03:52	--------	d-----w-	C:\b1dff9e0c48ce56837ec
2010-06-02 14:07 . 2010-06-02 14:07	29512	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgmfx86.sys
2010-06-02 14:07 . 2010-06-02 14:07	242896	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgtdix.sys
2010-05-24 17:47 . 2010-05-24 17:47	61440	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-6d9fe461-n\decora-sse.dll
2010-05-24 17:47 . 2010-05-24 17:47	503808	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-60efe52d-n\msvcp71.dll
2010-05-24 17:47 . 2010-05-24 17:47	499712	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-60efe52d-n\jmc.dll
2010-05-24 17:47 . 2010-05-24 17:47	348160	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-60efe52d-n\msvcr71.dll
2010-05-24 17:47 . 2010-05-24 17:47	12800	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-6d9fe461-n\decora-d3d.dll
2010-05-13 12:01 . 2010-05-13 12:01	--------	d-----w-	c:\programme\iPod
2010-05-13 12:01 . 2010-05-13 12:02	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-05-13 11:59 . 2010-05-13 11:59	--------	d-----w-	c:\programme\QuickTime
2010-05-13 11:56 . 2010-05-13 11:56	--------	d-----w-	c:\programme\Bonjour
2010-05-13 11:54 . 2010-05-13 11:54	73000	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.1.1.12\SetupAdmin.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-10 19:32 . 2009-11-26 23:13	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9
2010-06-09 14:41 . 2008-03-15 19:53	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2010-06-09 14:30 . 2010-06-09 14:30	20	----a-w-	c:\windows\system32\config\systemprofile\Anwendungsdaten\qcopjv.dat
2010-06-09 14:14 . 2008-03-15 19:55	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM
2010-06-09 02:20 . 2008-06-09 01:38	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ZoomBrowser
2010-06-08 04:11 . 2004-08-04 12:00	81324	----a-w-	c:\windows\system32\perfc007.dat
2010-06-08 04:11 . 2004-08-04 12:00	452544	----a-w-	c:\windows\system32\perfh007.dat
2010-06-03 15:29 . 2008-04-13 16:35	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Apple Computer
2010-05-13 12:01 . 2008-04-13 16:34	--------	d-----w-	c:\programme\Gemeinsame Dateien\Apple
2010-05-10 16:16 . 2010-05-10 16:16	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-05-10 16:16 . 2010-05-10 16:16	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-05-10 15:58 . 2009-03-19 19:47	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-05-09 15:42 . 2007-10-25 21:17	--------	d-----w-	c:\programme\Java
2010-05-07 23:11 . 2010-05-07 23:11	41	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Windows NT\msqlite.dll
2010-05-02 03:21 . 2008-04-13 15:42	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\FileZilla
2010-04-29 19:39 . 2010-05-10 16:16	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 19:39 . 2010-05-10 16:16	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-04-23 12:16 . 2010-04-23 12:16	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype
2010-04-23 12:16 . 2008-03-15 19:53	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2010-04-12 21:29 . 2010-05-09 15:42	411368	----a-w-	c:\windows\system32\deployJava1.dll
2010-04-08 17:20 . 2010-04-08 17:20	91424	----a-w-	c:\windows\system32\dnssd.dll
2010-04-08 17:20 . 2010-04-08 17:20	107808	----a-w-	c:\windows\system32\dns-sd.exe
2010-04-02 11:00 . 2010-04-02 11:00	503808	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-652e4534-n\msvcp71.dll
2010-04-02 11:00 . 2010-04-02 11:00	499712	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-652e4534-n\jmc.dll
2010-04-02 11:00 . 2010-04-02 11:00	348160	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-652e4534-n\msvcr71.dll
2010-04-02 11:00 . 2010-04-02 11:00	61440	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-1b653d89-n\decora-sse.dll
2010-04-02 11:00 . 2010-04-02 11:00	12800	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-1b653d89-n\decora-d3d.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 102492]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2007-12-06 1024000]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"MagicKeyboard"="c:\programme\SAMSUNG\MagicKBD\PreMKBD.exe" [2005-04-11 151552]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-11-01 995328]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-11-01 1101824]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-12-15 98304]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-12-15 118784]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-12-15 77824]
"DMHotKey"="c:\programme\Samsung\DisplayManager\DMLoader.exe" [2005-11-23 356352]
"AGRSMMSG"="AGRSMMSG.exe" [2005-12-12 88204]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-18 421888]
"iTunesHelper"="d:\itunes\iTunesHelper.exe" [2010-04-28 142120]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office OneNote 2003 Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office OneNote 2003 Schnellstart.lnk
backup=c:\windows\pss\Microsoft Office OneNote 2003 Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^petrina^Startmenü^Programme^Autostart^OpenOffice.org 3.1.lnk]
path=c:\dokumente und einstellungen\petrina\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk
backup=c:\windows\pss\OpenOffice.org 3.1.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BatteryManager]
2006-04-25 12:05	2764800	----a-w-	c:\programme\SAMSUNG\Samsung Battery Manager\BatteryManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-04-28 19:06	142120	----a-w-	d:\itunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDFPrint]
2010-03-11 08:02	208528	----a-w-	d:\pdf24 creator\pdf24\pdf24.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-18 01:53	421888	----a-w-	c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2004-11-02 18:24	32768	----a-w-	c:\programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls]
fixmator	REG_SZ         	

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\iTunes\\iTunes.exe"=
"d:\\Skype\\Phone\\Skype.exe"=

R0 BsStor;B.H.A Storage Helper Driver;c:\windows\system32\drivers\BsStor.sys [25.10.2007 17:38 10112]
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [25.10.2007 17:39 4300]
R2 SRS_PostInstaller;SRS PostInstaller Service;c:\programme\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller.exe [28.11.2005 06:06 31744]
R3 wowfilter;WOW XT Filter Driver;c:\windows\system32\drivers\WOWFilter.sys [28.11.2005 06:06 19456]
S0 ctxvxffc;ctxvxffc; [x]
.
Inhalt des "geplante Tasks" Ordners

2010-05-13 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0sgso3lj.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0sgso3lj.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000006.dll
FF - plugin: d:\firefox\plugins\npdeployJava1.dll
FF - plugin: d:\firefox\plugins\nppopcaploader.dll
FF - plugin: d:\itunes\Mozilla Plugins\npitunes.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
d:\firefox\greprefs\all.js - pref("ui.use_native_colors", true);
d:\firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
d:\firefox\greprefs\all.js - pref("svg.smil.enabled", false);
d:\firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
d:\firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
d:\firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
d:\firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
d:\firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
d:\firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
d:\firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-OM_Monitor - d:\olympus\Monitor.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-06-10 15:54
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Zeit der Fertigstellung: 2010-06-10  15:56:06
ComboFix-quarantined-files.txt  2010-06-10 19:56

Vor Suchlauf: 8 Verzeichnis(se), 26.936.823.808 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 26.888.036.352 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 0667E025000938560F8A5A459381ECD8
         
--- --- ---

Alt 10.06.2010, 21:42   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA? - Standard

Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA?



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
http://www.trojaner-board.de/86920-hohe-auslastung-durch-svchost-exe-wegen-backdoor-generic12-bkpa.html

Collect::
c:\windows\system32\qproider.dll

File::
c:\windows\system32\config\systemprofile\Anwendungsdaten\qcopjv.dat

Driver::
ctxvxffc
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.06.2010, 21:47   #11
Petrina
 
Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA? - Standard

Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA?



Lieber Arne,

schon mal vorab ganz herzlichen Dank, dass du so individuell auf mein Problem antwortest. Ich hatte AVG gerade wieder neu installiert, aber ich werd's halt wieder deinstallieren ... ;-)

Alt 10.06.2010, 22:17   #12
Petrina
 
Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA? - Standard

Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA?



Ich hab den Logfile angehängt.
Angehängte Dateien
Dateityp: txt cofi2_log.txt (16,8 KB, 170x aufgerufen)

Alt 11.06.2010, 17:57   #13
Petrina
 
Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA? - Standard

Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA?



Ist mein Rechner jetzt sauber?

Und sollte ich irgendetwas ändern, damit so was nicht noch mal passiert?

Alt 13.06.2010, 13:33   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA? - Standard

Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA?



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 13.06.2010, 19:02   #15
Petrina
 
Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA? - Standard

Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA?



Hallo,

während Malwarebytes lief, bekam ich schon wieder eine Warnmeldung von AVG mit demselben Trojaner (diesmal ließ sich aber alles in Quarantäne bringen):

"Virus identifiziert: Win32/Patched.DX";"c:\System Volume Information\_restore{1D7177E8-097D-4396-8593-850889EE9562}\RP13\A0003311.sys";"In Virenquarantäne verschoben";"13.06.2010, 13:23:17";"Datei";"D:\Malwarebytes\Malwarebytes' Anti-Malware\mbam.exe"
"Virus gefunden: Win32/Cryptor";"c:\System Volume Information\_restore{1D7177E8-097D-4396-8593-850889EE9562}\RP11\A0002943.exe";"In Virenquarantäne verschoben";"13.06.2010, 13:22:55";"Datei";"D:\Malwarebytes\Malwarebytes' Anti-Malware\mbam.exe"
"Trojaner: BackDoor.Generic12.BPKA";"c:\System Volume Information\_restore{1D7177E8-097D-4396-8593-850889EE9562}\RP10\A0002790.sys";"In Virenquarantäne verschoben";"13.06.2010, 13:22:47";"Datei";"D:\Malwarebytes\Malwarebytes' Anti-Malware\mbam.exe"

Und kurz darauf kam noch:
"Virus gefunden: Win32/Cryptor";"d:\_OTL\MovedFiles\06102010_133410\C_Dokumente und Einstellungen\petrina\Startmenü\Programme\Autostart\siszpe32.exe";"In Virenquarantäne verschoben";"13.06.2010, 13:48:46";"Datei";"D:\Malwarebytes\Malwarebytes' Anti-Malware\mbam.exe"

Ich habe Malwarebytes trotzdem weiterlaufen lassen, Logfile hängt an.

Der andere Scan folgt!
Angehängte Dateien
Dateityp: txt mbam-log-2010-06-13 (13-54-53).txt (1,0 KB, 164x aufgerufen)

Antwort

Themen zu Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA?
auslastung, avg, backdoor.generic, computer, computern, dateien, einstellungen, explorer, festgestellt, firefox, folge, hijack, hijack this, hkus\s-1-5-18, hohe auslastung, infizierte dateien, laptop, log, neustart, problem, programm, rootkit.tdss.gen, schutz, surfen, svchost, svchost.exe, temp, trojaner, verbindung, virus, windows-firewall



Ähnliche Themen: Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA?


  1. Windows Vista: svchost.exe verursacht sehr hohe CPU-Auslastung
    Log-Analyse und Auswertung - 22.09.2015 (15)
  2. Windows 7: svchost netsvcs verursacht hohe CPU auslastung
    Log-Analyse und Auswertung - 10.09.2015 (21)
  3. svchost.exe (netsvcs) verursacht hohe CPU-Auslastung (windows 7)
    Plagegeister aller Art und deren Bekämpfung - 02.09.2015 (21)
  4. hohe CPU-Auslastung durch svchost.exe
    Log-Analyse und Auswertung - 30.08.2015 (1)
  5. Hohe CPU-Auslastung, svchost.exe Schuld?
    Netzwerk und Hardware - 12.08.2015 (2)
  6. Problem svchost.exe erzeugt hohe RAM-Auslastung
    Plagegeister aller Art und deren Bekämpfung - 06.05.2015 (26)
  7. Hohe CPU Auslastung durch svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 12.11.2014 (1)
  8. Hohe CPU-Auslastung durch svchost.exe und weitere Plagegeister
    Plagegeister aller Art und deren Bekämpfung - 16.10.2014 (9)
  9. Sehr hohe CPU Auslastung aufgrund von svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 03.10.2014 (30)
  10. Habe ein Problem mit svchost. (Hohe auslastung des Arbeitsspeichers)
    Log-Analyse und Auswertung - 03.05.2014 (17)
  11. Windows7: Hohe CPU-Auslastung- svchost.exe
    Log-Analyse und Auswertung - 27.12.2013 (7)
  12. Hohe Auslastung durch svchost.exe
    Log-Analyse und Auswertung - 08.12.2013 (25)
  13. svchost.exe verursacht hohe Auslastung + Internet lahmt
    Log-Analyse und Auswertung - 11.04.2013 (8)
  14. svchost.exe und unerklärlich hohe RAM-Auslastung (99%)
    Log-Analyse und Auswertung - 05.04.2012 (7)
  15. Hohe CPU Auslastung durch svchost.exe
    Log-Analyse und Auswertung - 17.02.2012 (24)
  16. svchost.exe und explorer.exe haben hohe cpu auslastung
    Log-Analyse und Auswertung - 19.10.2007 (6)
  17. svchost: Hohe CPU-Auslastung + Speicherfraß
    Plagegeister aller Art und deren Bekämpfung - 22.01.2006 (12)

Zum Thema Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA? - Hallo, ich habe nicht viel Ahnung von Computern – und mir offenbar trotz Virenprogramm (AVG) erstmals einen Trojaner eingefangen. Mein Problem begann damit, dass der AVG Residentenschutz beim Surfen mit - Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA?...
Archiv
Du betrachtest: Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.