Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Prozess "system" stark ausgelastet, ist das ein Virus? (https://www.trojaner-board.de/53825-prozess-system-stark-ausgelastet-virus.html)

tobiaso-rz 12.06.2008 06:47
Prozess "system" stark ausgelastet, ist das ein Virus?
 
Hallo,

auf unserem Fileserver läuft der Prozess "system" seit etwa zwei Tagen mit einer CPU Auslastung von 60-90%. Normal ist eine gesamte CPU Auslastung von etwa 5-15%. Ist da vielleicht ein Virus am Start? Da ich selbst wenig Erfahrung mit Viren habe, konnte ich das Log noch nicht sinnvoll bzw. eindeutig auswerten. Ich hoffe ihr könnt mir helfen.

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:36:07, on 11.06.2008
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Panda Software\AVNT\PsCtrlS.exe
C:\Programme\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
C:\Programme\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
C:\Programme\Panda Software\Panda Administrator 3\Pav_Agent\pagentwd.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\AVNT\PsImSvc.exe
C:\Programme\VMware\VMware Tools\VMwareService.exe
C:\Programme\Symantec\Backup Exec\RAWS\beremote.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\system32\Dfsr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Panda Software\Panda Administrator 3\PavReport\PavReport.exe
C:\Programme\Panda Software\AVNT\PavSrv51.exe
C:\Programme\Panda Software\AVNT\AVENGINE.EXE
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\VMware\VMware Tools\VMwareTray.exe
C:\Programme\VMware\VMware Tools\VMwareUser.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Panda Software\AVNT\PSCtrlC.exe
C:\Util\Bginfo.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Install\Software\Virus_Defense\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = res://shdoclc.dll/hardAdmin.htm
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [VMware Tools] C:\Programme\VMware\VMware Tools\VMwareTray.exe
O4 - HKLM\..\Run: [VMware User Process] C:\Programme\VMware\VMware Tools\VMwareUser.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Panda Controller Client] "C:\Programme\Panda Software\AVNT\PSCtrlC.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-2529912212-2592409038-815152589-1116\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Bginfo.lnk = C:\Util\Bginfo.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O15 - ESC Trusted Zone: h**p://runonce.msn.com
O15 - ESC Trusted Zone: h**p://*.windowsupdate.com
O15 - ESC Trusted Zone: h**p://runonce.msn.com (HKLM)
O15 - ESC Trusted Zone: h**p://*.windowsupdate.com (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1197471934023
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = rosenberg.loc
O17 - HKLM\Software\..\Telephony: DomainName = rosenberg.loc
O17 - HKLM\System\CCS\Services\Tcpip\..\{5958FE3A-BB96-459E-AE3A-0EB2A76C8F70}: NameServer = 192.168.100.12
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = rosenberg.loc
O17 - HKLM\System\CS1\Services\Tcpip\..\{5958FE3A-BB96-459E-AE3A-0EB2A76C8F70}: NameServer = 192.168.100.12
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = rosenberg.loc
O17 - HKLM\System\CS2\Services\Tcpip\..\{5958FE3A-BB96-459E-AE3A-0EB2A76C8F70}: NameServer = 192.168.100.12
O23 - Service: Backup Exec Remote Agent for Windows Systems (BackupExecAgentAccelerator) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\RAWS\beremote.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\Panda Software\AVNT\PsCtrlS.exe
O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Panda Software - C:\Programme\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Panda Software - C:\Programme\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Security - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Programme\Panda Software\Panda Administrator 3\PavReport\PavReport.exe
O23 - Service: Panda Antivirus Service (PavSrv) - Panda Software International - C:\Programme\Panda Software\AVNT\PavSrv51.exe
O23 - Service: Panda IManager Service (PsImSvc) - Panda Software International - C:\Programme\Panda Software\AVNT\PsImSvc.exe
O23 - Service: VMware Descheduled Time Accounting Service (vmdesched) - VMware, Inc. - C:\Programme\VMware\VMware Tools\vmdesched.exe
O23 - Service: VMware Tools Service (VMTools) - VMware, Inc. - C:\Programme\VMware\VMware Tools\VMwareService.exe

--
End of file - 6661 bytes
Danke

P.S. @ GUA: ich hoff diesmal ist der Post trojaner-board konform

loug 16.06.2008 17:39
Hallo,

scann mal die Datei

C:\WINDOWS\system32\Dfsr.exe

mit nem Virenscanner z.B

w*w.kaspersky.com/de/virusscanner

wenn nicht scann mal den ganzen Rechner ab, ist sowieso besser

Gruss

loug

Rektar 16.06.2008 18:03
Hallo,

ich bin zwar neu hier habe aber was gefunden zu dem jew. Process in Verbindung mit deinem Fileserver:

w*w.whatsrunning.net/whatsrunning/QueryProcessID.aspx?Process=14676


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:11 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131