Hallo,

ich habe inzwischen schon alles mögliche getan, aber ich kann nichts finden...

seit einiger zeit zwingt ein prozess meiner rechner in die Knie.
Im taskmanager fand ich einen svchost-Prozess, der meinen Prozessor nahezu auslastet und somit die ausführung anderer Programme entsprechend verlangsamt.
nach einiger Zeit nach dem Windows XP start gibt sich das dann, bis ich eine Verbindung zum Internet hergestellt habe. Komisch ist auch, dass die Speicherauslastung des Prozess sich ständig ändert. Wenn ich den Prozess dann beende ist der Spuk vorbei und alle Programme laufen wieder "normal".

Was kann das sein? Ein Virus, Trojaner, ...? Konnte mit allen möglichen Tools nichts finden.

Vielleicht kann mir hier ja jemand helfen. Anbei meine startuplist:

StartupList report, 06.06.2004, 19:54:20
StartupList version: 1.52
Started from : C:\Dokumente und Einstellungen\Carlo\Desktop\_Virus\StartupList.EXE
Detected: Windows XP (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 (6.00.2600.0000)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
C:\Programme\TELES\ISDN Tools\tisdnmon.exe
C:\PROGRA~1\Internet\ZONEAL~1\zlclient.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe
C:\WINDOWS\System32\wingrd32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\windll32.exe
C:\Programme\TELES\ISDN Tools\cwd.exe
C:\Dokumente und Einstellungen\Carlo\Desktop\_Virus\StartupList.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Dokumente und Einstellungen\Carlo\Startmenü\Programme\Autostart]
ZoneAlarm Pro.lnk = C:\RECYCLER\NPROTECT\00022873.exe

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ccApp = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
ccRegVfy = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
BackgroundSwitcher = C:\WINDOWS\System32\bgswitch.exe
TISDNMonitor = C:\Programme\TELES\ISDN Tools\tisdnmon.exe
PHIME2002A = C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMENamew
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
Zone Labs Client = C:\PROGRA~1\Internet\ZONEAL~1\zlclient.exe
Ad-aware = "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
Microsoft Update = wingrd32.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Microsoft Update = wingrd32.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

TransparentIcons =
ctfmon.exe = C:\WINDOWS\System32\ctfmon.exe
windll32.exe = C:\WINDOWS\System32\windll32.exe
Microsoft Update = wingrd32.exe

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\SUBAKT~1.SCR
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - c:\programme\google\googletoolbar1.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}
(no name) - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll - {AE7CD045-E861-484f-8273-0445EE161910}
(no name) - C:\Programme\Hilfsprogramme\Internet\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}
(no name) - (no file) - {CE000992-A58C-4441-8938-744CD72AB27F}

--------------------------------------------------

Enumerating Task Scheduler jobs:

hansenet.job
Norton AntiVirus - Scan my computer.job
Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/s...sh/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 5.534 bytes
Report generated in 0,291 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

moin,

stutzig machen mich diese einträge:

</font><blockquote>Zitat:</font><hr />
C:\WINDOWS\System32\wingrd32.exe
C:\WINDOWS\System32\windll32.exe

diese steht im autostart HKLM:
Microsoft Update = wingrd32.exe

diese stehen im autostart HKCU:
windll32.exe = C:\WINDOWS\System32\windll32.exe
Microsoft Update = wingrd32.exe
</font>[/QUOTE]beide dateien existieren nicht auf win xp - jedenfalls nicht auf meinem.

bitte diese dateien einen onlinecheck bei RAV oder Kaspersky unterziehen lassen.

achja und der svchost.exe den zugang zum internet komplett untersagen.

ich würd auch immer windows durch windowsupdate auf dem laufenden halten.. wichtig..