Trojaner-Board
Seite 5 von 5 « Erste 34 5
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   CPU-Auslastung sehr hoch, Grund nicht erkennbar (https://www.trojaner-board.de/70179-cpu-auslastung-sehr-hoch-grund-erkennbar.html)

Redwulf 03.03.2009 13:06
Jan

lade dir zwischenzeitlich Gmer runter, installiere es und lass es laufen
Bitte poste das Log File.

Gmer findest du hier: http://www.gmer.net/gmer.zip

Redwulf 03.03.2009 16:13
Hallo Jan

Zusätzlich fixe diese Einträge noch mit Hijack this
Code:
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: MedionShop - {09E5F659-139F-4022-9097-02E25F93F02A} - http://www.medionshop.de/ (file missing) (HKCU)
Update dein Avira UND ...brauchst du wirklich dein ICQ?

Lass nach all diesen Aktionen nochmal CCleaner laufen...


so, nun wollmer doch mal sehen.....

xiphox 03.03.2009 16:43
Hier erstmal das Gmer Log und alles andere mache ich erst jetzt, da ich es vorher nicht gelesen hatte.

http://www.file-upload.net/download-1497535/gmer.log.html

ICQ kommt auch runter...

xiphox 03.03.2009 17:59
So, habe das ganze nochmal im abgesicherten Modus mit Netzwerktreibern gemacht. Weiß ja nicht, ob es was bringt.

Übrigens, auch Daemon kann ich nicht deinstallieren, sonst wäre es schon weg.

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-03-03 17:46:42
Windows 5.1.2600 Service Pack 2


---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xB1 0x84 0x80 0xE6 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x1E 0x6F 0xD5 0xB1 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\Tools\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC8 0x64 0x5F 0x0C ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xE9 0x8D 0x13 0x38 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xB1 0x84 0x80 0xE6 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x1E 0x6F 0xD5 0xB1 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\Tools\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC8 0x64 0x5F 0x0C ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xE9 0x8D 0x13 0x38 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xB1 0x84 0x80 0xE6 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x1E 0x6F 0xD5 0xB1 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\Tools\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC8 0x64 0x5F 0x0C ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xE9 0x8D 0x13 0x38 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{FDC54BE8-7780-0B90-5E95-CB436D5D6669}\InprocServer32@ C:\WINDOWS\system32\quartz.dll
Reg HKLM\SOFTWARE\Classes\CLSID\{FDC54BE8-7780-0B90-5E95-CB436D5D6669}\InprocServer32@ThreadingModel Both

---- EOF - GMER 1.0.14 ----

Redwulf 03.03.2009 20:39
Hallo Jan

Ich hab mir beide Log angeschaut. Das Erste ist mal wieder riesig, beide sind jedoch ok. Scheint als ob der Virenscanner den angeblichen Trojan erwischt hat.

Eine Datei jedoch sollten wir versuchen unbedingt zu finden und zu überprüfen. Beim ersten Mal hast du sie nicht gefunden.

C:\Windows\System32\Drivers\ab3k2hgt.sys

Die müssen wir auf jeden Fall checken !!

xiphox 03.03.2009 21:36
Moin,

habe nochmal alles versucht aber ich kann die Datei einfach nicht finden. Was meinst Du was wir da machen können?

Ist es eigentlich normal, dass der Rechner im abgesicherten Modus absolut flüssig läuft?

Redwulf 03.03.2009 22:11
Gibts doch nicht...die muss doch da sein...

Hast du auch deine Ordneroption richtig eingestellt, auf versteckte und Systemdateien anzeigen?

Zu deiner Frage: JA, da er nur das Nötigste laden muss. Ich habe auch einen Weg gefunden den SPDT Kram unschädlich zu machen. Das braucht Windows nämlich nicht...Da müssen wir aber nochmal telefonieren. Ist ein wenig komplizierter. Hab mir den ganzen Tag den Kopf darüber zerbrochen....aber es geht.

Ich denke du hast soweit alles erledigt, nach deinen Löschaktionen brauchst du nochmal CCleaner, schick mir bitte auch nochmal ein frisches Hijack..

Ich hab morgen Vormittag frei, vieleicht hast du ja Zeit und kannst anrufen. Wir machen dann mal eine Operation am offenen Herzen :lach:
Ne Quatsch, Spaß beiseite, aber wir werden mal die Datei gemeinsam suchen.

GGF bis Morgen

Redwulf 04.03.2009 10:33
Jan

der Eintrag:

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

verweist auf eine alte, unsichere Version des Readers. Deinstalliere den alten
Reader und hol dir den Neuesten.

Den Eintrag fixen


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:06 Uhr.
Seite 5 von 5 « Erste 34 5
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131