Hallo,
ich habe letzens einen rar Datei entpackt und deren exe gestartet ... nicht gut ...
Seit dem habe ich im Autostart folgenden Eintrag:

Windows Update:
C:\Dokumente und Einstellungen\*name*\Anwendungsdaten\svchost.exe

Diesen Eintrag hatte ich vorher noch nicht.
Ich habe diesen Eintrag schon einige male aus dem Autostart entfernt, aber nach einem Neustart war dieser immer wieder da.

Als ich mein Notebook heute nicht am Router angeschlossen habe, war der CPU immer auf 100% ... jetzt, wenn ich im Internet bin, ist die Auslastung wieder normal.

Was kann ich dagegen machen? AntiVir findet nichts.

Danke!

Poste bitte einen HJT-Log (Anleitung)

Hallo, gerade habe ich neugestartet und das Netzwerkkabel gezogen.
CPU auf 100%. Als ich das Kabel wieder eingesteckt habe, ist die Auslastung wieder auf normal heruntergesenkt.

Hier meine Hijack Datei:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:19:01, on 18.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\drivers\Icon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Icon] C:\WINDOWS\system32\drivers\Icon.exe
O4 - HKCU\..\Run: [Windows Update] C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{00243261-D694-4537-92C5-259D682D296E}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{00243261-D694-4537-92C5-259D682D296E}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{00243261-D694-4537-92C5-259D682D296E}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5150 bytes
         

Habe diese auch schon ausgewertet.
Dort ist die svchost.exe ebenfalls zu sehen.

Die icon.exe ist allerdings nichts bösartiges. Das ist ein icon für meine Wlan Karte, wenn diese aktiviert ist.

Danke!

edit: Habe auch versucht die svchost.exe zu fixen .. nach einem Neustart ist wieder alles beim Alten.

Was ist bei der Auswertung gekommen?

Wenn du sie fixt und sie kommt wieder, wirds wohl bestimmt nix gutes sein

hi,
was kann man denn dagegen machen?
außer neuinstallieren...

Danke!

Diese Dateien bei virustotal.com auswerten

C:\WINDOWS\system32\drivers\Icon.exe
C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\svchost.exe

Hallo,
dass ist mir relativ klar.
Ich habe nun die svchost.exe im Anwendungsordner mit einer leeren svchost.exe ersetzt und gelöscht. Dieses Problem könnte beseitigt sein.

Nun kommt es aber zu nem anderen Problem:
Die svchost.exe im system32 Ordner benötigt immer 100% CPU-Auslastung.
Ich habe mich schon auf anderen Webseiten umgeschaut und die neusten Windows Updates, die das Problem beheben sollten installiert (waren schon drauf).

Nun weiß ich nicht mehr weiter.

Danke!

Ja super. Sie ist weg, aber wir wissen nicht was es war. Hast die noch im Papierkorb oder so?

ne, auch nicht mehr. AntiVir hat sich aber auch nicht gemeldet.
Die .exe hatte auf jedenfall ein ICQ-ähnliches Symbol.

Das CPU Problem habe ich allerdings immer noch.
Wenn ich den Netzwerkkabel drin habe ich der CPU wieder normal.
... und wenn ich im Taskmanager die Firefox.exe lösche -.- ... aber dass ist kein Virus oder Trojaner ... eigentartig.

Ich habe die Lösung:
AntiVir deinstallieren und BitDefender installieren
Direkt wurden drei Trojaner gefunden.