Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: svchost.exe lässt CPU auf 100% laufen Remote Desktop Trojaner?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 18.06.2010, 18:36   #1
Malwarenervt
 
svchost.exe lässt CPU auf 100% laufen    Remote Desktop Trojaner? - Standard

svchost.exe lässt CPU auf 100% laufen Remote Desktop Trojaner?



Hallo,

eine von 9 svchost.exes lässt die CPU auf fast 100% laufen, ständig!

Process Explorer zeigt folgende Services für die svchost.exe:



Einer dieser Services ist oft ein Trojaner laut Googlerecherche, nämlich termsrv.dll
Ich weiß nun nicht sicher ob es malware ist, aber es scheint hier um Remote Desktop Anwendungen zu gehen.

Was soll ich tun?

Alt 18.06.2010, 18:39   #2
markusg
/// Malware-holic
 
svchost.exe lässt CPU auf 100% laufen    Remote Desktop Trojaner? - Standard

svchost.exe lässt CPU auf 100% laufen Remote Desktop Trojaner?



ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "run Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste bitte beide, evtl. aufteilen.
__________________


Alt 18.06.2010, 19:26   #3
Malwarenervt
 
svchost.exe lässt CPU auf 100% laufen    Remote Desktop Trojaner? - Standard

svchost.exe lässt CPU auf 100% laufen Remote Desktop Trojaner?



geändert worden
__________________

Geändert von Malwarenervt (18.06.2010 um 20:07 Uhr)

Alt 18.06.2010, 19:31   #4
Malwarenervt
 
svchost.exe lässt CPU auf 100% laufen    Remote Desktop Trojaner? - Standard

svchost.exe lässt CPU auf 100% laufen Remote Desktop Trojaner?



geändert worden

Geändert von Malwarenervt (18.06.2010 um 20:08 Uhr)

Alt 18.06.2010, 19:33   #5
markusg
/// Malware-holic
 
svchost.exe lässt CPU auf 100% laufen    Remote Desktop Trojaner? - Standard

svchost.exe lässt CPU auf 100% laufen Remote Desktop Trojaner?



otl.txt ist nicht vollständig


Alt 18.06.2010, 19:45   #6
Malwarenervt
 
svchost.exe lässt CPU auf 100% laufen    Remote Desktop Trojaner? - Standard

svchost.exe lässt CPU auf 100% laufen Remote Desktop Trojaner?



Zitat:
Zitat von markusg Beitrag anzeigen
otl.txt ist nicht vollständig
So, jetzt vollständig. Sorry.

Alt 18.06.2010, 20:06   #7
markusg
/// Malware-holic
 
svchost.exe lässt CPU auf 100% laufen    Remote Desktop Trojaner? - Standard

svchost.exe lässt CPU auf 100% laufen Remote Desktop Trojaner?



Fixen mit OTL

• Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun das Folgende in die Textbox.

:OTL
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O2 - BHO: (no ) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O4 - HKLM..\Run: [WireLessKeyboard] C:\Programme\Multimedia Combo Set Driver\StartAutorun.exe PS2USBKbdDrv.exe File not found
O4 - HKU\S-1-5-21-1644491937-823518204-839522115-1004..\Run: [{CF719CE8-2691-82FE-5F22-C0678976B124}] C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Usize\iltua.exe
()
O4 - Startup: C:\Dokumente und Einstellungen\Boris\Startmenü\Programme\Autostart\sisytj32.exe ()
@Alternate Data Stream - 135 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:0CE7F3C9
@Alternate Data Stream - 108 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:44807EFA
:Files
C:\Dokumente und Einstellungen\Boris\Startmenü\Programme\Autostart\sisytj32.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Run Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten

Alt 18.06.2010, 20:17   #8
Malwarenervt
 
svchost.exe lässt CPU auf 100% laufen    Remote Desktop Trojaner? - Standard

svchost.exe lässt CPU auf 100% laufen Remote Desktop Trojaner?



All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\WireLessKeyboard deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1644491937-823518204-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run\\{CF719CE8-2691-82FE-5F22-C0678976B124} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CF719CE8-2691-82FE-5F22-C0678976B124}\ not found.
C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Usize\iltua.exe moved successfully.
File move failed. C:\Dokumente und Einstellungen\Boris\Startmenü\Programme\Autostart\sisytj32.exe scheduled to be moved on reboot.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:0CE7F3C9 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:44807EFA deleted successfully.
========== FILES ==========
File move failed. C:\Dokumente und Einstellungen\Boris\Startmenü\Programme\Autostart\sisytj32.exe scheduled to be moved on reboot.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Boris
->Flash cache emptied: 2018959 bytes

User: Default User
->Flash cache emptied: 84 bytes

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 2.00 mb


[EMPTYTEMP]

User: All Users

User: Boris
->Temp folder emptied: 13848602 bytes
->Temporary Internet Files folder emptied: 3045485 bytes
->Java cache emptied: 19168485 bytes
->FireFox cache emptied: 46509662 bytes
->Google Chrome cache emptied: 118703112 bytes
->Apple Safari cache emptied: 42427732 bytes
->Opera cache emptied: 24473284 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2895751 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1179506 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 260.00 mb


OTL by OldTimer - Version 3.2.6.0 log created on 06182010_201053

Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\Boris\Startmenü\Programme\Autostart\sisytj32.exe moved successfully.

Registry entries deleted on Reboot...

Alt 18.06.2010, 20:26   #9
markusg
/// Malware-holic
 
svchost.exe lässt CPU auf 100% laufen    Remote Desktop Trojaner? - Standard

svchost.exe lässt CPU auf 100% laufen Remote Desktop Trojaner?



bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Alt 18.06.2010, 21:44   #10
Malwarenervt
 
svchost.exe lässt CPU auf 100% laufen    Remote Desktop Trojaner? - Standard

svchost.exe lässt CPU auf 100% laufen Remote Desktop Trojaner?



Jetzt komm ich mit keinem browser mehr ins internet. Der pc hat verbindung zum router aber der browser hat keine verbindung. Combofix lief und hat einige dateien gelöscht.
darunter unter treiber/dienste: legacy_browserrpcss und service_browserrpcss.
in system 32 gelöscht: 2192046697.dat
adsnts.ex
thumbs.db
win.com

bei systemstart meldet die ashampoo firewall einen fehler und schliesst sich gleich wieder.

bitte genaue anweisung wie ich die browser wieder mit dem internet verbinden lassen. Ich schreibe von meinem handy, also vielleicht gleich mehrere lösungen bitte.

Alt 18.06.2010, 21:52   #11
markusg
/// Malware-holic
 
svchost.exe lässt CPU auf 100% laufen    Remote Desktop Trojaner? - Standard

svchost.exe lässt CPU auf 100% laufen Remote Desktop Trojaner?



starte mal den pc neu und schau ob sich das problem dann wieder gegeben hat

Alt 18.06.2010, 22:12   #12
Malwarenervt
 
svchost.exe lässt CPU auf 100% laufen    Remote Desktop Trojaner? - Standard

svchost.exe lässt CPU auf 100% laufen Remote Desktop Trojaner?



Ich hab schon neu gestartet. Das hilft nicht. Ich schreib vom handy.

Alt 19.06.2010, 10:12   #13
Malwarenervt
 
svchost.exe lässt CPU auf 100% laufen    Remote Desktop Trojaner? - Standard

svchost.exe lässt CPU auf 100% laufen Remote Desktop Trojaner?



Hallo? Hilft mir jemand heute weiter?
Der browser meldet netzwerkproblem, internes kommunikationsproblem, nachdem gestern combofix durchlief.

Alt 19.06.2010, 11:27   #14
markusg
/// Malware-holic
 
svchost.exe lässt CPU auf 100% laufen    Remote Desktop Trojaner? - Standard

svchost.exe lässt CPU auf 100% laufen Remote Desktop Trojaner?



wo sind die ganzen otl logs hin?
und hast du schon die manuelle reparatur der internetverbindung versucht wie im combofix tutorial beschrieben?
unter punkt 5 zu finden

Geändert von markusg (19.06.2010 um 11:43 Uhr)

Alt 19.06.2010, 14:48   #15
Malwarenervt
 
svchost.exe lässt CPU auf 100% laufen    Remote Desktop Trojaner? - Standard

svchost.exe lässt CPU auf 100% laufen Remote Desktop Trojaner?



Zitat:
Zitat von markusg Beitrag anzeigen
wo sind die ganzen otl logs hin?
und hast du schon die manuelle reparatur der internetverbindung versucht wie im combofix tutorial beschrieben?
unter punkt 5 zu finden
Habe mir jetzt ein Notebook geliehen um weitermachen zu können.
Die OTL logs habe ich gelöscht den Schritt sind wir ja schon durch.

Ich habe die manuelle Reparatur aus dem Combofix versucht, es erscheint folgende Fehlermeldung:
"Reperatur fehlgeschlagen. Löschen von NetBT konnte nicht ausgeführt werden."

Der PC hat ja Verbindung zum LAN, nur der Browser meldet internes Netzwerkproblem.

Hier noch das log von Combofix:

Combofix Logfile:
Code:
ATTFilter
ComboFix 10-06-17.03 - Boris 18.06.2010  20:35:30.3.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.1023.687 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Boris\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00DB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00EC-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00F1-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00FD-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-0103-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-0114-0D24-347CA8A3377C}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\2192046697.dat
c:\windows\system32\adsnts.exe
c:\windows\system32\Thumbs.db
c:\windows\system32\win.com

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BROWSERRPCSS
-------\Service_BrowserRpcSs


(((((((((((((((((((((((   Dateien erstellt von 2010-05-18 bis 2010-06-18  ))))))))))))))))))))))))))))))
.

2010-06-18 18:10 . 2010-06-18 18:10	--------	d-----w-	C:\_OTL
2010-06-13 07:38 . 2010-06-13 07:41	--------	d-----w-	c:\programme\phonfont
2010-06-08 21:51 . 2008-09-17 13:14	27672	----a-r-	c:\windows\system32\drivers\Entech.sys
2010-06-08 21:51 . 2010-06-08 21:51	--------	d-----w-	c:\windows\system32\Futuremark
2010-06-08 21:51 . 2010-06-08 21:51	--------	d-----w-	c:\programme\Gemeinsame Dateien\Futuremark Shared

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-18 14:54 . 2009-12-28 15:26	--------	d-----w-	c:\dokumente und einstellungen\Boris\Anwendungsdaten\vlc
2010-06-18 14:48 . 2010-04-12 10:00	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-06-18 10:45 . 2010-06-18 10:45	8	----a-w-	c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\dhxiuw.dat
2010-06-17 19:56 . 2010-05-13 18:56	--------	d-----w-	c:\dokumente und einstellungen\Boris\Anwendungsdaten\QuickStoresToolbar
2010-06-17 14:58 . 2006-06-07 16:46	--------	d-----w-	c:\dokumente und einstellungen\Boris\Anwendungsdaten\OpenOffice.org2
2010-06-15 21:48 . 2008-08-28 19:27	--------	d-----w-	c:\dokumente und einstellungen\Boris\Anwendungsdaten\Audacity
2010-06-11 10:06 . 2007-01-17 16:15	--------	d-----w-	c:\dokumente und einstellungen\Boris\Anwendungsdaten\gtk-2.0
2010-06-08 21:51 . 2006-06-07 13:53	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-06-03 11:37 . 2010-04-12 18:32	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zoom Player
2010-05-28 16:07 . 2010-03-25 11:42	--------	d-----w-	c:\programme\Opera 10.10 März 2010
2010-05-24 22:28 . 2010-05-24 22:28	503808	----a-w-	c:\dokumente und einstellungen\Boris\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-51756142-n\msvcp71.dll
2010-05-24 22:28 . 2010-05-24 22:28	499712	----a-w-	c:\dokumente und einstellungen\Boris\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-51756142-n\jmc.dll
2010-05-24 22:28 . 2010-05-24 22:28	348160	----a-w-	c:\dokumente und einstellungen\Boris\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-51756142-n\msvcr71.dll
2010-05-24 22:28 . 2010-05-24 22:28	12800	----a-w-	c:\dokumente und einstellungen\Boris\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-4e0515e6-n\decora-d3d.dll
2010-05-24 22:28 . 2010-05-24 22:28	61440	----a-w-	c:\dokumente und einstellungen\Boris\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-4e0515e6-n\decora-sse.dll
2010-05-16 22:00 . 2010-05-16 22:00	--------	d-----w-	c:\programme\TrekStor
2010-05-13 18:57 . 2010-05-13 18:57	--------	d-----w-	c:\dokumente und einstellungen\Boris\Anwendungsdaten\EnergiekostenSchnellrechner
2010-05-13 18:56 . 2010-05-13 18:56	715512	----a-w-	c:\dokumente und einstellungen\Boris\Anwendungsdaten\QuickStoresToolbar\unins000.exe
2010-05-13 18:56 . 2010-05-13 18:56	--------	d-----w-	c:\programme\AB-Tools.com
2010-05-07 14:19 . 2006-11-03 23:06	--------	d-----w-	c:\programme\No23 Recorder
2010-05-01 15:30 . 2010-05-01 15:30	--------	d-----w-	c:\programme\JanSoft
2010-05-01 14:49 . 2010-05-01 14:48	--------	d-----w-	c:\dokumente und einstellungen\Boris\Anwendungsdaten\avidemux
2010-05-01 14:48 . 2010-05-01 14:47	--------	d-----w-	c:\programme\Avidemux 2.5
2010-05-01 14:39 . 2008-11-23 10:43	1582	----a-w-	c:\dokumente und einstellungen\Boris\Anwendungsdaten\filterclsid.dat
2010-04-29 15:21 . 2010-04-29 15:20	--------	d-----w-	c:\programme\Kopie von Opera 10.10 März 2010
2010-04-29 13:39 . 2010-04-12 10:00	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-04-12 10:00	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-04-24 13:38 . 2010-04-24 13:34	--------	d-----w-	c:\programme\Exif Viewer
2010-04-23 10:17 . 2010-04-23 10:17	--------	d-----w-	c:\programme\ESET
2010-04-23 10:16 . 2006-06-07 15:06	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2010-04-22 18:19 . 2010-04-22 18:19	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-04-22 18:19 . 2010-04-22 18:19	61440	----a-w-	c:\dokumente und einstellungen\Boris\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-50e7fedb-n\decora-sse.dll
2010-04-22 18:19 . 2010-04-22 18:19	503808	----a-w-	c:\dokumente und einstellungen\Boris\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-58419cb7-n\msvcp71.dll
2010-04-22 18:19 . 2010-04-22 18:19	499712	----a-w-	c:\dokumente und einstellungen\Boris\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-58419cb7-n\jmc.dll
2010-04-22 18:19 . 2010-04-22 18:19	348160	----a-w-	c:\dokumente und einstellungen\Boris\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-58419cb7-n\msvcr71.dll
2010-04-22 18:19 . 2010-04-22 18:19	12800	----a-w-	c:\dokumente und einstellungen\Boris\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-50e7fedb-n\decora-d3d.dll
2010-04-22 18:18 . 2010-04-22 18:18	411368	----a-w-	c:\windows\system32\deployJava1.dll
2010-04-11 15:16 . 2010-05-13 18:56	126976	----a-w-	c:\dokumente und einstellungen\Boris\Anwendungsdaten\QuickStoresToolbar\Interop.SHDocVw.dll
2010-04-11 15:16 . 2010-05-13 18:56	45304	----a-w-	c:\dokumente und einstellungen\Boris\Anwendungsdaten\QuickStoresToolbar\Update.exe
2010-04-11 15:16 . 2010-05-13 18:56	40696	----a-w-	c:\dokumente und einstellungen\Boris\Anwendungsdaten\QuickStoresToolbar\QuickStoresToolbar.dll
2010-04-03 21:06 . 2010-04-03 21:06	177024	----a-w-	c:\dokumente und einstellungen\Boris\Anwendungsdaten\Mozilla\Firefox\Profiles\theuuye3.default\FlashGot.exe
2010-03-28 09:02 . 2002-06-27 15:18	476652	----a-w-	c:\windows\system32\perfh007.dat
2010-03-28 09:02 . 2002-06-27 15:18	91942	----a-w-	c:\windows\system32\perfc007.dat
2010-03-26 15:54 . 2010-03-26 15:54	161379	----a-w-	c:\windows\EXIFutils for Windows Uninstaller.exe
2010-03-25 17:18 . 2009-06-02 07:50	23636	---ha-w-	c:\windows\system32\mlfcache.dat
2008-03-30 17:17 . 2008-03-30 17:17	977	----a-w-	c:\programme\metalhand.zip
2006-12-14 10:16 . 2008-06-05 15:23	692	----a-w-	c:\programme\file_id.diz
2005-03-23 16:17 . 2008-03-30 17:19	326	----a-w-	c:\programme\metalhand.cur
2006-05-03 09:06 . 2008-09-26 22:38	163328	--sh--r-	c:\windows\system32\flvDX.dll
2004-08-03 22:57 . 2002-06-27 15:15	1028096	--sha-w-	c:\windows\system32\mfc42.dll
2007-02-21 10:47 . 2008-09-26 22:38	31232	--sh--r-	c:\windows\system32\msfDX.dll
2004-08-03 22:57 . 2002-06-27 15:16	413696	--sha-w-	c:\windows\system32\msvcp60.dll
2008-03-16 12:30 . 2008-09-26 22:38	216064	--sh--r-	c:\windows\system32\nbDX.dll
2004-08-03 22:57 . 2002-06-27 15:23	30749	--sha-w-	c:\windows\system32\vbajet32.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2006-03-09 7561216]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 19968]
"PicPick Start"="c:\dokumente und einstellungen\Boris\Desktop\picpick.exe" [2009-03-02 888320]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Ashampoo FireWall"="c:\programme\Ashampoo\Ashampoo FireWall\FireWall.exe" [2007-04-05 3251800]
"nwiz"="nwiz.exe" [2006-03-09 1519616]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2006-03-09 86016]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ad-Watch]
2009-12-16 16:23	520024	----a-w-	c:\programme\Lavasoft\Ad-Aware\AAWTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2009-05-07 09:46	133104	----atw-	c:\dokumente und einstellungen\Boris\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Software4u-UpdateServer]
2008-02-20 21:46	36864	----a-w-	c:\programme\Software4u\Registry CleanUP 2008\Software4u.UpdateServer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-04-03 11:30	148888	----a-w-	c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"diagent"=c:\programme\Creative\SBLive\Diagnostics\diagent.exe startup
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
"UpdReg"=c:\windows\UpdReg.EXE

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\Joost\\xulrunner\\tvprunner.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"c:\\Programme\\Gemeinsame Dateien\\XpressUpdate\\XPressUpdate.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Opera 10 Beta\\opera.exe"=
"c:\\Programme\\Opera für normales Surfen\\opera.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Opera 10.10 März 2010\\opera surfen.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Opera 10.10 März 2010\\opera.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"20:TCP"= 20:TCP:o2 DSL FTP 20
"23:TCP"= 23:TCP:o2 DSL Telnet 23
"161:UDP"= 161:UDP:o2 DSL SNMP 161

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [16.12.2009 18:23 64160]
R1 kbfilter;Keyboard Filter Driver;c:\windows\system32\drivers\kbfilter.sys [04.03.2008 20:55 11886]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.10.2009 10:42 108289]
R2 MSSQL$PROVIDUSSTD;MSSQL$PROVIDUSSTD;c:\programme\Microsoft SQL Server\MSSQL$PROVIDUSSTD\Binn\sqlservr.exe -sPROVIDUSSTD --> c:\programme\Microsoft SQL Server\MSSQL$PROVIDUSSTD\Binn\sqlservr.exe -sPROVIDUSSTD [?]
R3 ausbmon;Advanced USB Port Monitor Filter Driver;c:\windows\system32\drivers\ausbmon.sys [11.12.2009 01:17 19744]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmndsl.sys [19.04.2002 02:02 38608]
R3 AVMWAN;AVM NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmwan.sys [19.04.2002 02:02 29968]
R3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);c:\windows\system32\drivers\fdslbase.sys [21.07.2006 19:46 868432]
S2 Ca533av;WWL 401 Video Camera Device;c:\windows\system32\Drivers\Ca533av.sys --> c:\windows\system32\Drivers\Ca533av.sys [?]
S2 gupdate1c98e1f6b3fe650;Google Update Service (gupdate1c98e1f6b3fe650);c:\programme\Google\Update\GoogleUpdate.exe [13.02.2009 23:09 133104]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [19.04.2008 17:40 16512]
S3 cpuz130;cpuz130;\??\c:\dokume~1\Boris\LOKALE~1\Temp\cpuz130\cpuz_x32.sys --> c:\dokume~1\Boris\LOKALE~1\Temp\cpuz130\cpuz_x32.sys [?]
S3 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;c:\programme\Haufe\iDesk\iDeskService\ideskservice.exe [23.10.2006 03:39 71072]
S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [09.03.2009 21:06 1028432]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;\??\c:\windows\system32\drivers\PDNMp50.sys --> c:\windows\system32\drivers\PDNMp50.sys [?]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;\??\c:\windows\system32\drivers\PDNSp50.sys --> c:\windows\system32\drivers\PDNSp50.sys [?]
S3 SQLAgent$PROVIDUSSTD;SQLAgent$PROVIDUSSTD;c:\programme\Microsoft SQL Server\MSSQL$PROVIDUSSTD\Binn\sqlagent.EXE -i PROVIDUSSTD --> c:\programme\Microsoft SQL Server\MSSQL$PROVIDUSSTD\Binn\sqlagent.EXE -i PROVIDUSSTD [?]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - mchInjDrv
.
Inhalt des "geplante Tasks" Ordners

2010-06-18 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-24 00:29]

2010-06-16 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-09 16:23]

2010-06-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-06-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-13 21:09]

2010-06-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-13 21:09]

2010-06-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1644491937-823518204-839522115-1004.job
- c:\dokumente und einstellungen\Boris\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-05-07 09:46]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.orbitdownloader.com/
mStart Page = hxxp://alice.aol.de
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Download by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/202
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: {{A2AB1320-B1B6-40fd-A694-8197D8596FFD} - c:\programme\IntertopsMPP\MPPoker.exe
IE: {{A68FC757-51CF-4f3c-B13A-BFB8CA69BB99}
LSP: c:\programme\Ashampoo\Ashampoo FireWall\spi.dll
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Boris\Anwendungsdaten\Mozilla\Firefox\Profiles\theuuye3.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\dokumente und einstellungen\Boris\Anwendungsdaten\Mozilla\Firefox\Profiles\theuuye3.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\platform\WINNT_x86-msvc\components\SSSLauncher.dll
FF - plugin: c:\dokumente und einstellungen\Boris\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.145.5\npGoogleOneClick8.dll
FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\NPAdbESD.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npJoostPlugin.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-AutocompletePro3_is1 - c:\programme\AutocompletePro\unins000.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-06-18 20:48
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\ASFWHide]
"ImagePath"="\??\c:\dokume~1\Boris\LOKALE~1\Temp\ASFWHide"

[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\mchInjDrv]
"ImagePath"="\??\c:\windows\TEMP\mc21.tmp"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1644491937-823518204-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{99CC4FB0-3379-2EC5-43A6-8C49EED81999}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(668)
c:\programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll

- - - - - - - > 'lsass.exe'(724)
c:\programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll
c:\programme\Ashampoo\Ashampoo FireWall\spi.dll

- - - - - - - > 'explorer.exe'(364)
c:\programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll
c:\programme\Logitech\MouseWare\System\LgWndHk.dll
c:\programme\Gemeinsame Dateien\Logitech\Scrolling\LgMsgHk.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\system32\CTsvcCDA.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Microsoft SQL Server\MSSQL$PROVIDUSSTD\Binn\sqlservr.exe
c:\windows\System32\nvsvc32.exe
c:\windows\system32\HPZipm12.exe
c:\windows\system32\MsPMSPSv.exe
c:\windows\system32\wscntfy.exe
c:\programme\Logitech\MouseWare\system\em_exec.exe
c:\windows\system32\RUNDLL32.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-06-18  20:58:20 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-06-18 18:58
ComboFix2.txt  2010-04-20 20:47

Vor Suchlauf: 5.947.453.440 Bytes frei
Nach Suchlauf: 5.926.092.800 Bytes frei

- - End Of File - - B8A507B640BF35CC140C4521DD5827E7
         
--- --- ---

Antwort

Themen zu svchost.exe lässt CPU auf 100% laufen Remote Desktop Trojaner?
100%, anwendungen, cpu, desktop, explorer, folge, folgende, laufe, laufen, malware, nicht sicher, remote, schei, services, svchost.exe, termsrv.dll svchsot.exe, troja, trojaner, trojaner?



Ähnliche Themen: svchost.exe lässt CPU auf 100% laufen Remote Desktop Trojaner?


  1. MyPC Backup & Remote Desktop Access (VuuPC) - ständig selbstständige Neuinstallation
    Plagegeister aller Art und deren Bekämpfung - 04.11.2014 (19)
  2. Desktop Remote / Internes ComputerNetzwerk
    Alles rund um Mac OSX & Linux - 24.03.2013 (0)
  3. PC wird immer langsamer und es laufen mehrere svchost-Prozesse gleichzeitig
    Plagegeister aller Art und deren Bekämpfung - 08.11.2012 (18)
  4. VNC-Sicherheitslücke: Apple reicht Bugfix für Remote Desktop 3.5.2 nach
    Nachrichten - 18.09.2012 (0)
  5. Sicherheitsupdate für Apple Remote Desktop
    Nachrichten - 21.08.2012 (0)
  6. Sämtliche Windows-Versionen via Remote Desktop angreifbar
    Nachrichten - 14.03.2012 (0)
  7. Wurm verbreitet sich über Remote-Desktop-Funktion von Windows
    Nachrichten - 31.08.2011 (0)
  8. Wurm verbreitet sich über Remote-Desktop-Funktion von Windows
    Nachrichten - 29.08.2011 (0)
  9. Wurm verbeitet sich über Remote-Desktop-Funktion von Windows
    Nachrichten - 29.08.2011 (0)
  10. Neu für Windows Azure: Admin Mode, Full IIS, Remote Desktop, VM Role und mehr
    Nachrichten - 25.02.2011 (0)
  11. spionage über remote desktop tools
    Plagegeister aller Art und deren Bekämpfung - 08.06.2010 (8)
  12. spionage über remote desktop
    Plagegeister aller Art und deren Bekämpfung - 08.11.2009 (2)
  13. 13 svchost's am laufen
    Log-Analyse und Auswertung - 08.09.2009 (3)
  14. Befehl tasklist /SVC wird nicht erkannt! 6x svchost.exe laufen
    Plagegeister aller Art und deren Bekämpfung - 16.03.2009 (0)
  15. Task manager auf 100% (8 mal svchost.exe Prozesse laufen im Taskmanager)
    Log-Analyse und Auswertung - 01.02.2009 (0)
  16. 7* Svchost.exe gleichzeitig am laufen, habe ich ein Problem?
    Alles rund um Windows - 25.11.2008 (6)
  17. MS Remote Desktop
    Alles rund um Windows - 20.07.2005 (0)

Zum Thema svchost.exe lässt CPU auf 100% laufen Remote Desktop Trojaner? - Hallo, eine von 9 svchost.exes lässt die CPU auf fast 100% laufen, ständig! Process Explorer zeigt folgende Services für die svchost.exe: Einer dieser Services ist oft ein Trojaner laut Googlerecherche, - svchost.exe lässt CPU auf 100% laufen Remote Desktop Trojaner?...
Archiv
Du betrachtest: svchost.exe lässt CPU auf 100% laufen Remote Desktop Trojaner? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.