Trojaner-Board - Trojan?Virus?Servces.exe und Svchost.exe ungewöhnlich hoch

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojan?Virus?Servces.exe und Svchost.exe ungewöhnlich hoch (https://www.trojaner-board.de/79819-trojan-virus-servces-exe-svchost-exe-ungewoehnlich-hoch.html)

schritt 1

Fixen mit OTL

Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

:OTL

O4 - HKLM..\Run: [mwavscan_autoscan]  File not found

O4 - HKCU..\Run: []  File not found

O4 - HKCU..\Run: [rundll32.exe]  File not found

O4 - HKCU..\Run: [WAB] C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\Macromedia\Common\34f1c00e19.exe ()

:Files

C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\Macromedia\Common\34f1c00e19.exe

C:\WINDOWS\logo_1.exe

C:\WINDOWS\logo1_.exe

:Commands

[purity]

[emptytemp]

[start explorer]

[Reboot]

Schliesse bitte nun alle Programme.
Klicke nun bitte auf den Run Fix Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument.
Kopiere nun den Inhalt hier in Code-Tags in Deinen Thread

schritt 2

Bereinigung mit Malwarebytes' Anti-Malware (Quick-Scan)

Lade Malwarebytes Anti-Malware (ca. 2 MB) von einem dieser Downloadspiegel herunter:

Malwarebytes - MajorGeeks.com - BestTechie

Anwendbar auf Windows 2000, XP und Vista.
Installiere das Programm in den vorgegebenen Pfad.
Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
Lasse es online updaten (Reiter Updates), sofern sich das Programm bereits auf dem Rechner befand.
Aktiviere "Quick-Scan durchführen" => Scan.
Wenn der Scan beendet ist, klicke auf "Ergebnisse anzeigen".
Bei Funden in C:\System Volume Information den Haken entfernen.
Ansonsten wird dieser Systemwiederherstellungspunkt nicht mehr funktionieren.
Er könnte jedoch trotz Malware noch gebraucht werden.
Versichere Dich, dass ansonsten alle Funde markiert sind und drücke "Löschen".
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Scan-Berichte" finden.
Berichte, wie der Rechner nun läuft.

Hier findest Du eine ausführliche und bebilderte Anleitung

schritt 3

Bitte lade Registry Search.zip von Bobbi Flekman runter und speichere es auf deinem Desktop.

Extrahiere den Inhalt der Zip-Datei auch auf den Desktop.
Doppel-klicke auf regsearch.exe um das Program zu starten
Navigiere zu dem hier illustrierten Bereich (klicke es an um das Bild zu vergrößern):
http://i94.photobucket.com/albums/l8...tringField.png
Gebe bitte die folgende(n) Zeichenfolge(n) (eines (1) pro Zeile) in das oben illustrierte Textfeld:
- 34f1c00e19
Nun klicke auf "OK." Registry Search wird nun die Registrierung durchsuchen und einen Bericht mit den Funden erstellen.
Poste das Ergebnis in deiner nächsten Antwort.

schritt 4

Während dieser Scans soll(en):

alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.

Rootkitscan mit RootRepeal

Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
Entpacke die Datei auf Deinen Desktop.
Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
Klicke auf den Reiter Report und dann auf den Button Scan.
Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT
.
Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
Wähle C:\ und klicke wieder Ok.
Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
Wenn der Suchlauf beendet ist, klicke auf Save Report.
Speichere das Logfile als RootRepeal.txt auf dem Desktop.
Kopiere den Inhalt hier in den Thread.

schritt 5

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

%SYSTEMDRIVE%\*.exe

%SYSTEMDRIVE%\eventlog.dll /s /md5

%SYSTEMDRIVE%\scecli.dll /s /md5

%SYSTEMDRIVE%\netlogon.dll /s /md5

%SYSTEMDRIVE%\cngaudit.dll /s /md5

%SYSTEMDRIVE%\sceclt.dll /s /md5

%SYSTEMDRIVE%\ntelogon.dll /s /md5

%SYSTEMDRIVE%\logevent.dll /s /md5

%SYSTEMDRIVE%\iaStor.sys /s /md5

%SYSTEMDRIVE%\nvstor.sys /s /md5

%SYSTEMDRIVE%\atapi.sys /s /md5

%SYSTEMDRIVE%\IdeChnDr.sys /s /md5

%SYSTEMDRIVE%\viasraid.sys /s /md5

%SYSTEMDRIVE%\AGP440.sys /s /md5

%SYSTEMDRIVE%\vaxscsi.sys /s /md5

%SYSTEMDRIVE%\nvatabus.sys /s /md5

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Code-Tags in Deinen Thread

Hallo

Ich werde erstmal OTL und Malwarebytes posten. Rest kommt noch.

OTL

Code:

All processes killed

========== OTL ==========

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\mwavscan_autoscan not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\rundll32.exe deleted successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\WAB deleted successfully.

C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\Macromedia\Common\34f1c00e19.exe moved successfully.

========== FILES ==========

File\Folder C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\Macromedia\Common\34f1c00e19.exe not found.

C:\WINDOWS\logo_1.exe folder moved successfully.

File\Folder C:\WINDOWS\logo1_.exe not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: HelpAssistant

->Temp folder emptied: 59431944 bytes

->Temporary Internet Files folder emptied: 45484 bytes

->Java cache emptied: 3851 bytes

->FireFox cache emptied: 10503144 bytes

->Apple Safari cache emptied: 464862 bytes

 

User: LocalService

->Temp folder emptied: 82513 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 663785145 bytes

 

User: PorTed

->Temp folder emptied: 422273822 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 57264634 bytes

->Apple Safari cache emptied: 464862 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 1350046 bytes

%systemroot%\System32 .tmp files removed: 2951 bytes

Windows Temp folder emptied: 831202 bytes

RecycleBin emptied: 2459 bytes

 

Total Files Cleaned = 1160,25 mb

 

 

OTL by OldTimer - Version 3.1.11.0 log created on 11282009_153339
 

Files\Folders moved on Reboot...

File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.

File move failed. C:\WINDOWS\temp\$$$dq3e scheduled to be moved on reboot.

File move failed. C:\WINDOWS\temp\$67we.$ scheduled to be moved on reboot.

File\Folder C:\WINDOWS\temp\Perflib_Perfdata_30c.dat not found!

File\Folder C:\WINDOWS\temp\ZLT0357b.TMP not found!

File\Folder C:\WINDOWS\temp\ZLT0357e.TMP not found!
 

Registry entries deleted on Reboot...

malwarebytes log. Hat nichts gefunden.

Code:

Malwarebytes' Anti-Malware 1.33

Datenbank Version: 1695

Windows 5.1.2600 Service Pack 3
 

28.11.2009 16:12:14

mbam-log-2009-11-28 (16-12-14).txt
 

Scan-Methode: Quick-Scan

Durchsuchte Objekte: 58031

Laufzeit: 18 minute(s), 55 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)