Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Am Ende meines Lateins (https://www.trojaner-board.de/53202-ende-meines-lateins.html)

aenima2008 29.05.2008 15:31
Am Ende meines Lateins
 
Erstmal Hallo an alle Forumnutzer,

ich habe seit 2 Tagen ein Problem bei dem mein guter alter Kumpel "Google"
nicht mehr weiterhelfen kann. Was ansonsten immer sehr gut funktioniert hat!

Ich beschreibe mal das Problem:
Wenn ich meinen PC hochfahre und die üblichen Task (AntiVir, Zonealarm etc. ) geladen sind steigt meine Systemauslastung auf voll Anschlag, also 100 Prozent.

Mit dem Programm Process habe ich mir das mal näher angesehen.
Fast die gesamte Systemauslastung geht an svchost.exe
Als Service registered in this process:
C:\WINDOWS\System32\dnsrslvr.dll

Wenn ich jetzt allerdings meine Internetverbindung aufmache sinkt die Systemauslastung sofort auf ein normales Niveau!
Schließe ich sie, steigt die Systemauslastung wieder auf 100%.

Mein PC: AMD Athlon64 2,2Ghz 1,43 Gb Ram DSL-Modem 2000

Ich habe mit AD-Aware, Avira Antivir und Singer das System gescannt ohne Ergebnisse.

Mein Hijackthis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:07:54, on 29.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Internet\ZoneAlarm\zlclient.exe
D:\Tools\VirtualCloneDrive\VCDDaemon.exe
D:\Internet\firefox.exe
C:\Programme\TIGER ONE\FXExSS.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Tools\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Internet\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [VirtualCloneDrive] "D:\Tools\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{A84FC5BA-4215-4DCB-98AF-E24A0CB50072}: NameServer = 81.14.244.9 81.14.243.9
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - D:\Tools\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - D:\Tools\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 3913 bytes

Hat vielleicht von euch jemand eine Idee was das sein könnte?
Ich mein das ist doch eigentlich nicht normal, oder?

tommcat 17.06.2008 11:44
bezüglich cpuzeit svchost
habe fast alles über dieses Thema im Forum gelesen und mich dann selbst auf die suche gemacht. um es kurz zu machen bei mir war es ein virus !!!:pfui:
Betriebssystem XP Professional

folgendes war zu finden:
eine datei c:\windows\system32\svchost.ini 6kb groß
eine datei c:\windows\system32\svchost.exe 13kb groß
eine datei c:\windows\system32\svchost32.exe
eine datei c:\windows\system32\svchost.cmd

komisch nicht wahr:heilig::koch:

in der cmd datei stand folgender Text
@echo off
if exist %windir%\system\svchost32.exe copy /Y %windir%\system\svchost32.exe %windir%\system\svchost.exe
if exist %windir%\system32\svchost32.exe copy /Y %windir%\system32\svchost32.exe %windir%\system\svchost.exe
start %windir%\system\svchost.exe

was das macht ist ja wohl klar
nun zu der ini darin stand folgendes
127.0.39.2
127.0.39.3
127.0.39.4
127.0.39.5
127.0.39.6
127.0.39.7
127.0.39.9
127.0.39.10
127.0.39.8
127.0.39.29
127.0.39.32
127.0.39.33
127.0.39.34
127.0.39.35
127.0.39.36
127.0.39.37
127.0.39.38
127.0.39.39
127.0.39.40
127.0.39.41
127.0.39.42
127.0.39.43
127.0.39.44
127.0.39.45
127.0.39.46
127.0.39.48
127.0.39.47
127.0.39.49
127.0.39.51
127.0.39.50
127.0.39.52
127.0.39.53
127.0.39.12
127.0.39.11
127.0.39.55
127.0.39.56
127.0.39.57
127.0.39.59
127.0.39.60
127.0.39.61
127.0.39.63
127.0.39.62
127.0.39.16

superklasse habe die datei svchost32 gelöscht und ruhe war.
ich hoffe das konnte euch ein wenig helfen mögen die hacker ::daumenhoc :heulen:in frieden ruhen
mfg tommcat


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:48 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131