|
Hallo, ich habe inzwischen schon alles mögliche getan, aber ich kann nichts finden... seit einiger zeit zwingt ein prozess meiner rechner in die Knie. Im taskmanager fand ich einen svchost-Prozess, der meinen Prozessor nahezu auslastet und somit die ausführung anderer Programme entsprechend verlangsamt. nach einiger Zeit nach dem Windows XP start gibt sich das dann, bis ich eine Verbindung zum Internet hergestellt habe. Komisch ist auch, dass die Speicherauslastung des Prozess sich ständig ändert. Wenn ich den Prozess dann beende ist der Spuk vorbei und alle Programme laufen wieder "normal". Was kann das sein? Ein Virus, Trojaner, ...? Konnte mit allen möglichen Tools nichts finden. Vielleicht kann mir hier ja jemand helfen. Anbei meine startuplist: StartupList report, 06.06.2004, 19:54:20 StartupList version: 1.52 Started from : C:\Dokumente und Einstellungen\Carlo\Desktop\_Virus\StartupList.EXE Detected: Windows XP (WinNT 5.01.2600) Detected: Internet Explorer v6.00 (6.00.2600.0000) * Using default options ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe C:\Programme\TELES\ISDN Tools\tisdnmon.exe C:\PROGRA~1\Internet\ZONEAL~1\zlclient.exe C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe C:\WINDOWS\System32\wingrd32.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\windll32.exe C:\Programme\TELES\ISDN Tools\cwd.exe C:\Dokumente und Einstellungen\Carlo\Desktop\_Virus\StartupList.exe -------------------------------------------------- Listing of startup folders: Shell folders Startup: [C:\Dokumente und Einstellungen\Carlo\Startmenü\Programme\Autostart] ZoneAlarm Pro.lnk = C:\RECYCLER\NPROTECT\00022873.exe Shell folders Common Startup: [C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart] Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run ccApp = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" ccRegVfy = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" BackgroundSwitcher = C:\WINDOWS\System32\bgswitch.exe TISDNMonitor = C:\Programme\TELES\ISDN Tools\tisdnmon.exe PHIME2002A = C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMENamew NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit Zone Labs Client = C:\PROGRA~1\Internet\ZONEAL~1\zlclient.exe Ad-aware = "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c Microsoft Update = wingrd32.exe -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Microsoft Update = wingrd32.exe -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run TransparentIcons = ctfmon.exe = C:\WINDOWS\System32\ctfmon.exe windll32.exe = C:\WINDOWS\System32\windll32.exe Microsoft Update = wingrd32.exe -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=C:\WINDOWS\SUBAKT~1.SCR drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry value not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (no name) - c:\programme\google\googletoolbar1.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7} (no name) - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll - {AE7CD045-E861-484f-8273-0445EE161910} (no name) - C:\Programme\Hilfsprogramme\Internet\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872} (no name) - (no file) - {CE000992-A58C-4441-8938-744CD72AB27F} -------------------------------------------------- Enumerating Task Scheduler jobs: hansenet.job Norton AntiVirus - Scan my computer.job Symantec NetDetect.job -------------------------------------------------- Enumerating Download Program Files: [Shockwave Flash Object] InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx CODEBASE = http://download.macromedia.com/pub/s...sh/swflash.cab -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\System32\webcheck.dll SysTray: C:\WINDOWS\System32\stobject.dll -------------------------------------------------- End of report, 5.534 bytes Report generated in 0,291 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only |
moin, stutzig machen mich diese einträge: </font><blockquote>Zitat:</font><hr /> C:\WINDOWS\System32\wingrd32.exe C:\WINDOWS\System32\windll32.exe diese steht im autostart HKLM: Microsoft Update = wingrd32.exe diese stehen im autostart HKCU: windll32.exe = C:\WINDOWS\System32\windll32.exe Microsoft Update = wingrd32.exe </font>[/QUOTE]beide dateien existieren nicht auf win xp - jedenfalls nicht auf meinem. bitte diese dateien einen onlinecheck bei RAV oder Kaspersky unterziehen lassen. ;) achja und der svchost.exe den zugang zum internet komplett untersagen. |
ich würd auch immer windows durch windowsupdate auf dem laufenden halten.. wichtig.. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:12 Uhr. |
Copyright ©2000-2025, Trojaner-Board