Trojaner-Board - Volle CPU Auslastung (iexplorer.exe, smc.exe, smcgui.exe)

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Volle CPU Auslastung (iexplorer.exe, smc.exe, smcgui.exe) (https://www.trojaner-board.de/82746-volle-cpu-auslastung-iexplorer-exe-smc-exe-smcgui-exe.html)

Volle CPU Auslastung (iexplorer.exe, smc.exe, smcgui.exe)

Hi,
leider kann ich dir nicht helfen, denn mich plagt das selbe problem mit meiner CPU.
Sie ist im normalen Betrieb immer auf 100%, aber erst nachdem ich mein Betriebssystem wieder neu aufgesetzt habe (Vista Home Premium SP2). Kann uns geholfen werden???
Mein Logfile:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:00:04, on 06.02.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\msa.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Winamp\winampa.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\system32\cmd.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\conime.exe
C:\Program Files\Samsung\Samsung New PC Studio\NewPCStudio.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSToolboxAdd.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSStageSync.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSAlarm.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSDM.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSCM.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSNotifyClient.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSMusicPlayer.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSVideoPlayer.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSImageViewer.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSDexplorer.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSDENG.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSMyExplorer.exe
C:\Program Files\Steam\Steam.exe
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\Users\Tobias\AppData\Local\Temp\Wvh.exe
C:\Windows\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\TuneUp Utilities 2009\OneClickStarter.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
O4 - HKCU\..\Run: [svchost.exe] C:\Users\Tobias\AppData\Roaming\Microsoft\svchost.exe
O4 - HKCU\..\Run: [Startup] C:\Users\Tobias\AppData\Roaming\Microsoft\svchost.exe
O4 - HKCU\..\Run: [LosAlamos] rundll32.exe C:\Windows\system32\sshnas21.dll,AttachConsoleA
O4 - HKCU\..\Run: [F5JMWNZTHI] C:\Users\Tobias\AppData\Local\Temp\Wvh.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O13 - Gopher Prefix:
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\Windows\system32\nvsvc32.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe

--
End of file - 6131 bytes

Vielen Dank schon mal !

Hallo und :hallo:

Du hast Schädlinge im System, min. dieser sshnas-Müll ist da auf dem ersten Blick schon ersichtlich!

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Danke schon mal für deine Hilfe. Ich habe die Anleitung mit dem CCleaner genommen.
Hier ist mein Logfile nach der Bereinigung:
File-Upload.net - Logfile.zip

Das ist das falsche Logfile. Ich brauch die von RSIT und Malwarebytes.

So das war ja schon mal peinlich :D, aber jetzt hab ich die richtigen files.
Hier sind sie
File-Upload.net - Logfiles.zip

Hast Du die Funde mit Malwarebytes entfernen lassen?

Bitte mal den Avenger anwenden

1.) Lade Dir von hier Avenger:
http://swandog46.geekstogo.com/avenger2/avenger2.html (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

registry keys to delete:

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\F5JMWNZTHI

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LosAlamos
 

files to delete:

C:\Users\Tobias\AppData\Roaming\Microsoft\svchost.exe

C:\Windows\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

C:\Windows\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job

C:\Users\Tobias\AppData\Local\Temp\Wvh.exe

C:\Windows\system32\sshnas21.dll

C:\Windows\msa.exe

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Ja ich habe ihn die Files bearbeiten lassen.
so der Avebger Logfile ist hier: File-Upload.net - avenger.zip

Ok, das war mir nicht so ganz klar, deswegen hab ich Dir den Avenger nämlich nochmal aufgegeben. Mach nun bitte noch ein Log mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

So das ist der neue Logfile von Combo Fix:
File-Upload.net - logfile.zip

Das sieht gut aus :)
Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.

So hier hab ich mal einen neuen scan gemacht:
File-Upload.net - mbam-log-2010-02-11--19-48-19-.zip

Den einen Fund kann man IMHO vernachlässigen. Noch Probleme, Aufälligkeiten?

Nein es gibt jetzt keine auffäligkeiten mehr, der CPU ist auf 8%, wenn nichts läuft.
Vielen vielen Dank für deine Hilfe!!!
Ich hätte aber noch eine Frage:
Kann mein Free Antivir die ganze Virenangriffe noch packen, oder lohnt es sich ein kostenpflichtiges Programm zu holen???

Zitat:

Kann mein Free Antivir die ganze Virenangriffe noch packen, oder lohnt es sich ein kostenpflichtiges Programm zu holen???

Nein, kommerzielle Virenscanner sind nur dann vonnöten wenn Du keinen rein privaten Einsatz mehr hast. Von den Signaturen her nutzt AntiVir PE die gleichen wie die Bezahlversion.

Das mit "den Virenangriffen" packen ist auch eigentlich eine falsche Auffassung, Schädlinge fliegen nicht von alleine wie durch Zauberhand auf den Rechner und führen sich aus, in vielen Fällen ist der Benutzer selbst schuld und führt sie aus! Dubiose Programme, bekloppte E-Mailanhänge...alles mit Adminrechten das kann nur schiefgehen :killpc:

Halte Dich daher am besten grob an diese fünf Regeln, dieses sinnvolle Konzept benötigt nichtmal unbedingt einen Virenscanner:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Danke für die Tips!!!