Wie im Titel beschrieben, steigt die Speicherauslastung des svchost.exe scheinbar grundlos, vom Systemstart an, ohne Ende. Spätestens, wenn es die 200.000K Grenze überschreitet beende ich den Prozess, da mein Computer sonst überhaupt nicht mehr klar kommt. Vor dem Beenden steigt die Auslagerungsdateiengröße auch weit über 1GB hinweg.
Hab schon alle möglichen Scanner (avg & ad-aware (auch im abgesicherten Modus) und Spybot rüberlaufen lassen, und alles beseitigt, aber das Problem hat sich nicht gelößt.
Jetzt steigt sogar ein anderer svchost.exe, so wie der erste, den ich schon beendet hab. Da ich ansonsten keine Ahnung von Computern hab, freu ich mich, dass ich diese Community entdeckt habe, und hoffe mir kann jemand weiter helfen.

Ich habe Windows XP pro SP1
hier meine HijackThis log:

Scan saved at 04:15:23, on 12.04.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Softex\OmniPass\OPXPApp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\WINDOWS\System32\umonit.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\CardReader2.0\OTiReader.exe
C:\Programme\Opera\Opera.exe
C:\WINDOWS\alg.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\WINDOWS\System32\conime.exe
C:\Programme\Spybot\SpybotSD.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\***\Appz\HiJackThis_v2.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\explorer.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\System32\umonit.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ClubBox] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 3.73\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 3.73\MediaManager\grab.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\oksound.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\oksound.dll
O16 - DPF: {072039AB-2117-4ED5-A85F-9B9EB903E021} (NowStarter Control) - http://www.clubbox.co.kr/neo.fld/NowStarter.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by134fd.bay134.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {970E1B88-8AC1-4E31-86D6-BFA769CEF7A6} (eGSignPlus For_EBS Class) - http://www.ebs.co.kr/sso/eGEBS.cab
O16 - DPF: {DA787D51-FB62-4AF5-989D-AF4AA38DDB18} (JukeOnSet Class) - http://music.club5678.com/cab/jukeonset.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: OTi Card Reader Service - Unknown owner - C:\Programme\CardReader2.0\OTiReader.exe
O23 - Service: PCI Adapter (PCIDown) - Unknown owner - C:\WINDOWS\alg.exe

--
End of file - 5384 bytes


danke schonmal im vorraus, und ich hoffe es kann jemand von euch was mit den Infos von mir anfangen. Ich bin offen für Fragen und beantworte sie gerne, wenn sie zur klärung meines Problemes dienen.

mfg PengBang


p.s.: ich weiß nicht, ob es in direktem zusammenhang mit dem Problem steht, aber ich dachte ich könnte dieses Problem mit einer Systemwiederherstellung zu einem früheren Datum beheben, aber es hat nichts geholfen. Allerdings startet Diablo 2 (ein PC spiel) seitdem nicht mehr, nun weiss ich allerdings nicht, ob es nicht auch daran liegen könnte, dass ich Diablo nach dem Zeitpunkt des Wiederherstellens eigentlich schon gelöscht hatte.

Hallo.

Zitat:

Zitat von PengBang

Ich habe Windows XP pro SP1

Ja, man sieht es (guckst du hier).
Als erstes prüfe bitte bei Virustotal die beiden folgenden Dateien, die nicht dahin gehören, wo sie sind:

Zitat:

C:\WINDOWS\alg.exe
C:\WINDOWS\System32\explorer.exe,

Auch die beiden folgenden erscheinen mir suspekt, prüfe auch sie:

Zitat:

O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\System32\umonit.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\oksound.dll

Poste jeweils das komplette Ergebnis, auch dann, wenn nichts gefunden wurde.
So viel für den Anfang.

zu C:\WINDOWS\alg.exe sagt er:

Zitat:

AhnLab-V3 2007.4.12.0 04.12.2007 Win-Trojan/PWStealer.34816
AntiVir 7.3.1.50 04.12.2007 TR/Drop.Ag.344576.B
Authentium 4.93.8 04.12.2007 Possibly a new variant of W32/PWStealer.gen1
Avast 4.7.936.0 04.11.2007 Win32:Tibs-ADO
AVG 7.5.0.447 04.11.2007 no virus found
BitDefender 7.2 04.12.2007 Trojan.PWS.Maran.BA
CAT-QuickHeal 9.00 04.11.2007 (Suspicious) - DNAScan
ClamAV devel-20070312 04.12.2007 Trojan.Spy-4054
DrWeb 4.33 04.12.2007 Trojan.PWS.Maran
eSafe 7.0.15.0 04.11.2007 suspicious Trojan/Worm
eTrust-Vet 30.7.3562 04.12.2007 Win32/NSAnti
Ewido 4.0 04.10.2007 Trojan.Maran
FileAdvisor 1 04.12.2007 no virus found
Fortinet 2.85.0.0 04.12.2007 PossibleThreat
F-Prot 4.3.1.45 04.12.2007 W32/PWStealer.gen1
F-Secure 6.70.13030.0 04.12.2007 Suspicious_N.gen
Ikarus T3.1.1.5 04.12.2007 MalwareScope.Worm.Viking.3
Kaspersky 4.0.2.24 04.12.2007 no virus found
McAfee 5006 04.11.2007 New Malware.bc
Microsoft 1.2405 04.11.2007 no virus found
NOD32v2 2182 04.11.2007 Win32/Pacex.Gen
Norman 5.80.02 04.11.2007 Suspicious_N.gen
Panda 9.0.0.4 04.12.2007 Suspicious file
Prevx1 V2 04.12.2007 no virus found
Sophos 4.16.0 04.12.2007 Mal/EncPk-F
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.12.2007 no virus found
TheHacker 6.1.6.088 04.09.2007 no virus found
VBA32 3.11.3 04.10.2007 Trojan-PSW.Win32.Nilage.ara
VirusBuster 4.3.7:9 04.11.2007 no virus found
Webwasher-Gateway 6.0.1 04.12.2007 Trojan.Drop.Ag.344576.B

Aditional Information
File size: 34816 bytes
MD5: f8a47a40cd715464754e1e9bc6b0f624
SHA1: 1497fa9aa60b64b902c20c6f411cd2373b244349

c:/windows/system32/explorer.exe hatte ich schon manuell gelöscht, weil er mir irgendwo mal so aufgefallen ist. War grad auch nicht mehr aufzufinden, um es zu VirusTotal zu schicken.

Zu C:\WINDOWS\System32\umonit.exe:

Zitat:

Antivirus Version Update Result
AhnLab-V3 2007.4.12.0 04.12.2007 no virus found
AntiVir 7.3.1.50 04.12.2007 no virus found
Authentium 4.93.8 04.12.2007 no virus found
Avast 4.7.936.0 04.11.2007 no virus found
AVG 7.5.0.447 04.11.2007 no virus found
BitDefender 7.2 04.12.2007 no virus found
CAT-QuickHeal 9.00 04.11.2007 no virus found
ClamAV devel-20070312 04.12.2007 no virus found
DrWeb 4.33 04.12.2007 no virus found
eSafe 7.0.15.0 04.11.2007 no virus found
eTrust-Vet 30.7.3562 04.12.2007 no virus found
Ewido 4.0 04.10.2007 no virus found
FileAdvisor 1 04.12.2007 No threat detected
Fortinet 2.85.0.0 04.12.2007 no virus found
F-Prot 4.3.1.45 04.12.2007 no virus found
F-Secure 6.70.13030.0 04.12.2007 no virus found
Ikarus T3.1.1.5 04.12.2007 no virus found
Kaspersky 4.0.2.24 04.12.2007 no virus found
McAfee 5006 04.11.2007 no virus found
Microsoft 1.2405 04.11.2007 no virus found
NOD32v2 2182 04.11.2007 no virus found
Norman 5.80.02 04.11.2007 no virus found
Panda 9.0.0.4 04.12.2007 no virus found
Prevx1 V2 04.12.2007 no virus found
Sophos 4.16.0 04.12.2007 no virus found
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.12.2007 no virus found
TheHacker 6.1.6.088 04.09.2007 no virus found
VBA32 3.11.3 04.10.2007 no virus found
VirusBuster 4.3.7:9 04.11.2007 no virus found
Webwasher-Gateway 6.0.1 04.12.2007 no virus found

Aditional Information
File size: 53248 bytes
MD5: e4d9202a45e409d530b296715f69bbc7
SHA1: d08f1db69dfeebd30b60aacf3bfe0162725e00e5
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=e4d9202a45e409d530b296715f69bbc7

Zu c:\windows\system32\oksound.dll:

Zitat:

Antivirus Version Update Result
AhnLab-V3 2007.4.12.0 04.12.2007 Win-Trojan/PWStealer.90112
AntiVir 7.3.1.50 04.12.2007 TR/Drop.Ag.344576.B
Authentium 4.93.8 04.12.2007 Possibly a new variant of W32/PWStealer.gen1
Avast 4.7.936.0 04.11.2007 Win32:Tibs-ADO
AVG 7.5.0.447 04.11.2007 no virus found
BitDefender 7.2 04.12.2007 no virus found
CAT-QuickHeal 9.00 04.11.2007 no virus found
ClamAV devel-20070312 04.12.2007 Trojan.Spy-4054
DrWeb 4.33 04.12.2007 no virus found
eSafe 7.0.15.0 04.11.2007 no virus found
eTrust-Vet 30.7.3562 04.12.2007 Win32/NSAnti
Ewido 4.0 04.12.2007 no virus found
FileAdvisor 1 04.12.2007 no virus found
Fortinet 2.85.0.0 04.12.2007 PossibleThreat
F-Prot 4.3.1.45 04.12.2007 W32/PWStealer.gen1
F-Secure 6.70.13030.0 04.12.2007 Suspicious_N.gen
Ikarus T3.1.1.5 04.12.2007 MalwareScope.Worm.Viking.3
Kaspersky 4.0.2.24 04.12.2007 no virus found
McAfee 5006 04.11.2007 no virus found
Microsoft 1.2405 04.11.2007 no virus found
NOD32v2 2182 04.11.2007 Win32/Pacex.Gen
Norman 5.80.02 04.11.2007 Suspicious_N.gen
Panda 9.0.0.4 04.12.2007 Suspicious file
Prevx1 V2 04.12.2007 no virus found
Sophos 4.16.0 04.12.2007 Mal/EncPk-F
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.12.2007 no virus found
TheHacker 6.1.6.088 04.09.2007 no virus found
VBA32 3.11.3 04.10.2007 Trojan-PSW.Win32.Nilage.ara
VirusBuster 4.3.7:9 04.11.2007 no virus found
Webwasher-Gateway 6.0.1 04.12.2007 Trojan.Drop.Ag.344576.B

Aditional Information
File size: 90112 bytes
MD5: be2a921a03c023b0908e53ba3bc53b70
SHA1: 5909621a3114db14c576f4de6fb2a625665a7fcc

Also, wie nun mehr als offensichtlich wurde, scheint mein computer ja zumindest teilweise befallen zu sein. Was genau muss ich nun als Gegenmaßnahmen unternehmen? Wie gesagt, ich kenne mich leider Gottes nicht allzu gut mit Computern aus, und würde drum bitten, alle Schritte in ausführlicher Weise zu erläutern. Denn alle anderen Threads und Posts, in denen Lösungsvorschläge waren, waren durch meinen Mangel an Fachvokabular und anscheinend auch Kompetenz einfach nicht durchzuführen. Danke auf jeden fall schonmal für deine Hilfe.

lg

Zitat:

Zitat von PengBang

c:/windows/system32/explorer.exe hatte ich schon manuell gelöscht, weil er mir irgendwo mal so aufgefallen ist.

Wann? Vor oder nach dem Posten deines HJT-Logfiles? Es wäre erstaunlich, wenn "er" sich einfach so löschen ließe.
Hast du daran gedacht, versteckte Dateien sichtbar zu machen?

Ich hab ihn bevor ich den hjt-log Eintrag gepostet hab, aber nachdem mir das mit der Speicherauslastung aufgefallen ist gelöscht, denn (das hab ich vergessen zu erwähnen) ursprünglich hatte ich eine 2. explorer.exe laufen, was mich verwundert hatte. Daraufhin meinte ein Freund, ich solle mal nach "explorer.exe" in der Windows Suchfunktion suchen und da kam halt raus, dass er die "c:/windows/system32/explorer.exe" nicht hatte, woraufhin ich sie problemlos löschen konnte.

lg

p.s.: nochmal herzlichen Dank, dass du dich mit meinem Problem beschäftigst.

p.p.s: Wie ist es denn jetzt mit den infizierten Dateien (alg.exe und oksound.dll), kann ich die einfach löschen?

Achja, und natürlich habe ich die versteckten Dateien sichtbar gemacht.