Durchforsten zu viele SVchost exen, CPU auslastung zu hoch?

Hardliner · 11.09.2009, 16:34

Hallo, erstmal nette Seite gefällt mir.
Hat mir des öfteren sehr geholfen.
Zu anfang:
Hatte den PC aufgrund eines MMORPG 4 oder 5 Tage an, (Verkaufstand XD )
Nun kam ein Windows Update instaliert, war aber kein Neustart nötig laut W.

Windows XP Home auf Sp.3 updated.
Sind meine Symbole Minimieren, Zentrieren und Exit sehr klein geworden, ohne das ich irgend etwas gemacht habe.
Kam mir bei weitem Komisch vor. Darauf habe ich ein Leistungsabfall bemerkt.
CPU auslastung schwankte stark zwischen 20 und 50%. ( trotz 4 GB ram und E8400 )
Habe dann Antivir durchlaufen lassen und bekam die unten angebenen Dinge.
( muss sagen das ich 3 Viren/Trojaner hatte: "TR/PSW.STEAM.AN" , die beiden anderen ähnliche Namen )
Antivir hat sie wegbekommen, Gottseidank.

Nun hab ich auch Probleme Teamspeak zu öffnen, der einfache doppelklick auf das Taskleistensymbol funktioniert nicht mehr so wie vorher ( Seid Neustart nicht mehr )

Wüsste nicht woran es nun weiterhin liegen könnte, der Leistungs-reduktion ist besser geworden dennoch irgendwie habe ich ein Komisches Gefühl.

HijackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:18:28, on 11.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Windows Updates] C:\WINDOWS:winupd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5499 bytes

Ist das System jetzt in Ordnung oder sollte ich noch etwas machen, hinzufügen?

john.doe · 11.09.2009, 16:52

Hallo und

Zitat:

Ist das System jetzt in Ordnung

Nein.

Zitat:

oder sollte ich noch etwas machen, hinzufügen?

Äh, weißt du eigentlich, was du da auf deinem Rechner hattest? PWS=Passwordstealer. Also ändere erstmal von einem sauberen Rechner alle deine Kennwörter.

1.) Starte HJT => Do a system scan only => Markiere:

Code:

ATTFilter

O4 - HKLM\..\Run: [Windows Updates] C:\WINDOWS:winupd.exe

=> Fix checked => Beende HJT

2.) Starte HJT => Open the Misc Tools section => ADS Spy => Scan => Log posten

3.) Neustart => Neues HJT-Log posten.

ciao, andreas

Hardliner · 11.09.2009, 17:06

Bild ist zu pkt. 2

Log für pkt.3

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:05:16, on 11.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Updates] C:\WINDOWS:winupd.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5347 bytes

Achja: Rechner neustart im normalen Menü funktiniert nicht mehr, musste ihn per "Reset Knopf" neustarten.

john.doe · 11.09.2009, 17:12

1.) Starte HJT => Open the Misc Tools section => ADS Spy => Scan => Beide Funde markieren => Remove selected => HJT beenden

2.) Starte HJT => Do a system scan only => Markiere:

Zitat:

O4 - HKLM\..\Run: [Windows Updates] C:\WINDOWS:winupd.exe

=> Fix checked => Beende HJT

3.) Neustart => Neues HJT-Log posten.

ciao, andreas

Hardliner · 11.09.2009, 17:27

Sagt er mir folgendes:

The following ADS streams could not be deleted. They may be locked by another programm
C:\\WINDOWS : winupd.exe (13824 bytes)

Neustart funktioniert immernoch nicht über die Normale FUnktion ( ok wurd ja auch noch nichts bereinigt -.- )
Immernoch nur über den Reset Knopf.

Dennoch Neustart und hier der Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:26:02, on 11.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Updates] C:\WINDOWS:winupd.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5207 bytes

john.doe · 11.09.2009, 17:38

Dann eben der Holzhammer.

1.) Poste beide Logs von http://www.trojaner-board.de/74910-a...tion-tool.html

2.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

Hardliner · 12.09.2009, 19:33

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:32:27, on 12.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4468 bytes

john.doe · 12.09.2009, 19:39

1.) Start => Ausführen => cmd => OK

Code:

ATTFilter

sc stop JavaQuickStarterService [Exit]
sc delete JavaQuickStarterService [Exit]
exit [Exit]

2.) Starte HJT => Do a system scan only => Markiere:

Code:

ATTFilter

Alle R0, R1, O2, O8, O9 und O16-Einträge

=> Fix checked

3.) Sollten dir immer noch zuviele svchost laufen, dann schaue hier vorbei => Shutdown Windows' servers

Du bist entlassen.

ciao, andreas

Hardliner · 11.09.2009, 19:31

ComboFix 09-09-10.03 - Dj 11.09.2009 20:16.2.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.3582.3187 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Dj\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Dj\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
ADS - WINDOWS: deleted 13824 bytes in 1 streams.

((((((((((((((((((((((( Dateien erstellt von 2009-08-11 bis 2009-09-11 ))))))))))))))))))))))))))))))
.

2009-09-11 17:06 . 2009-09-11 17:06 -------- d-----w- c:\programme\CCleaner
2009-09-11 16:45 . 2009-09-11 16:45 -------- d-----w- C:\rsit
2009-09-11 14:20 . 2009-09-11 14:20 -------- d-----w- c:\dokumente und einstellungen\Dj\Anwendungsdaten\Auslogics
2009-09-11 11:45 . 2009-09-11 11:47 -------- d-----w- c:\dokumente und einstellungen\Dj\Anwendungsdaten\Ahead
2009-09-11 11:44 . 2009-09-11 11:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ahead
2009-09-11 11:43 . 2009-09-11 11:44 -------- d-----w- c:\programme\Gemeinsame Dateien\Ahead
2009-09-11 11:35 . 2008-02-28 11:26 1414440 ----a-w- c:\windows\system32\ShellManager310E2D762.dll
2009-09-11 09:49 . 2009-09-11 09:49 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2009-09-11 09:41 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-09-11 09:41 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-09-11 09:41 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-09-11 09:41 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-09-11 09:41 . 2009-09-11 09:41 -------- d-----w- c:\programme\Avira
2009-09-11 09:41 . 2009-09-11 09:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-09-11 09:28 . 2009-09-11 09:28 -------- d-----w- c:\programme\Trend Micro
2009-09-11 08:48 . 2009-09-11 08:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Divinity 2
2009-09-11 08:34 . 2009-09-11 08:57 -------- d-----w- c:\programme\Divinity II - Ego Draconis
2009-09-10 10:15 . 2009-09-10 10:15 4096 ----a-w- c:\windows\d3dx.dat
2009-09-09 20:07 . 2009-09-09 20:07 -------- d-----w- c:\programme\PiranhaBytes
2009-09-09 10:02 . 2009-09-09 10:02 -------- d-----w- c:\programme\Gemeinsame Dateien\DirectX
2009-09-09 08:41 . 2009-09-09 08:41 -------- d-----w- c:\dokumente und einstellungen\Dj\Startmen³
2009-09-09 08:28 . 2009-09-09 08:28 -------- d-----w- C:\nDoors
2009-09-09 00:05 . 2009-06-21 21:45 153088 -c----w- c:\windows\system32\dllcache\triedit.dll
2009-09-08 18:47 . 2009-09-09 08:45 -------- d-----w- c:\dokumente und einstellungen\Dj\Lokale Einstellungen\Anwendungsdaten\PMB Files
2009-09-08 18:47 . 2009-09-08 21:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PMB Files
2009-09-08 18:47 . 2009-09-08 18:47 -------- d-----w- c:\programme\Pando Networks
2009-09-08 10:56 . 2009-09-08 10:56 -------- d-----w- c:\programme\7-Zip
2009-09-08 10:55 . 2009-09-08 10:55 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
2009-09-08 10:55 . 2009-09-08 10:55 -------- d-----w- c:\programme\DAEMON Tools Toolbar
2009-09-08 10:55 . 2009-09-09 08:57 -------- d-----w- c:\programme\DAEMON Tools Lite
2009-09-08 10:46 . 2009-09-08 10:46 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-09-08 10:46 . 2009-09-11 08:34 -------- d-----w- c:\dokumente und einstellungen\Dj\Anwendungsdaten\DAEMON Tools Lite
2009-09-08 01:00 . 2009-09-08 01:00 -------- d-----w- c:\programme\MSXML 4.0
2009-09-06 11:04 . 2009-09-06 11:04 -------- d-----w- c:\dokumente und einstellungen\Dj\Lokale Einstellungen\Anwendungsdaten\Nero
2009-09-06 10:59 . 2009-09-11 11:46 -------- d-----w- c:\dokumente und einstellungen\Dj\Lokale Einstellungen\Anwendungsdaten\Ahead
2009-09-06 10:59 . 2009-09-06 10:59 -------- d-----w- c:\programme\NeroInstall.bak
2009-09-06 10:58 . 2009-09-06 10:58 -------- d-----w- c:\dokumente und einstellungen\Dj\Anwendungsdaten\Nero
2009-09-06 10:57 . 2009-09-11 11:43 -------- d-----w- c:\programme\Nero
2009-09-06 10:57 . 2009-09-11 11:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero
2009-09-06 10:57 . 2009-09-11 11:36 -------- d-----w- c:\programme\Gemeinsame Dateien\Nero
2009-09-01 19:37 . 2009-09-01 19:37 -------- d-----w- c:\programme\alaplaya
2009-08-25 10:56 . 2009-08-25 10:56 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-08-25 10:50 . 2009-08-25 10:50 -------- d-----w- c:\windows\system32\de
2009-08-25 10:50 . 2009-08-25 10:50 -------- d-----w- c:\windows\system32\bits
2009-08-25 10:50 . 2009-08-25 10:50 -------- d-----w- c:\windows\l2schemas
2009-08-25 10:45 . 2009-08-25 10:45 -------- d-----w- c:\windows\EHome
2009-08-24 01:00 . 2009-08-25 10:49 -------- d-----w- c:\windows\ServicePackFiles
2009-08-23 22:15 . 2009-08-29 08:31 -------- d-----w- c:\dokumente und einstellungen\Dj\Anwendungsdaten\dvdcss
2009-08-23 16:52 . 2009-08-23 16:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2009-08-23 10:45 . 2009-09-11 11:23 -------- d-----w- c:\dokumente und einstellungen\Dj\Anwendungsdaten\vlc
2009-08-23 09:51 . 2008-10-16 12:06 268648 ----a-w- c:\windows\system32\mucltui.dll
2009-08-23 09:51 . 2008-10-16 12:06 208744 ----a-w- c:\windows\system32\muweb.dll
2009-08-22 19:20 . 2009-08-22 19:20 0 ----a-w- c:\windows\nsreg.dat
2009-08-22 19:20 . 2009-08-22 19:20 -------- d-----w- c:\dokumente und einstellungen\Dj\Lokale Einstellungen\Anwendungsdaten\Mozilla
2009-08-22 19:07 . 2009-08-22 19:06 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-08-22 19:06 . 2009-08-22 19:06 -------- d-----w- c:\programme\Java
2009-08-22 16:09 . 2009-08-22 16:09 -------- d-----w- c:\dokumente und einstellungen\Dj\Anwendungsdaten\teamspeak2
2009-08-22 16:07 . 2009-08-22 16:08 -------- d-----w- c:\windows\ShellNew

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-11 17:16 . 2004-08-04 12:00 48354 ----a-w- c:\windows\system32\perfc007.dat
2009-09-11 17:16 . 2004-08-04 12:00 316924 ----a-w- c:\windows\system32\perfh007.dat
2009-09-11 17:12 . 2009-08-22 15:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-09-11 14:35 . 2009-08-22 15:23 -------- d-----w- c:\programme\SpeedFan
2009-09-11 09:30 . 2009-08-22 15:21 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-09-09 20:07 . 2009-08-22 14:20 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-09-09 20:06 . 2009-08-22 14:20 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2009-08-25 10:57 . 2009-08-22 15:35 -------- d-----w- c:\programme\MSN Messenger
2009-08-25 10:57 . 2009-08-22 15:11 18504 ----a-w- c:\dokumente und einstellungen\Dj\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-24 17:13 . 2009-08-22 15:21 -------- d-----w- c:\dokumente und einstellungen\Dj\Anwendungsdaten\Winamp
2009-08-22 16:09 . 2009-08-22 15:19 -------- d-----w- c:\programme\Teamspeak2_RC2
2009-08-22 15:43 . 2009-08-22 15:43 -------- d-----w- c:\programme\Electronic Arts
2009-08-22 15:38 . 2009-08-22 15:38 -------- d-----w- c:\programme\Messenger Plus! Live
2009-08-22 15:38 . 2009-08-22 15:38 -------- d-----w- c:\programme\Windows Live
2009-08-22 15:28 . 2009-08-22 15:28 -------- d-----w- c:\programme\Windows Live SkyDrive
2009-08-22 15:24 . 2009-08-22 15:24 -------- d-----w- c:\programme\Gemeinsame Dateien\Windows Live
2009-08-22 15:23 . 2009-08-22 15:23 -------- d-----w- c:\programme\VideoLAN
2009-08-22 15:22 . 2009-08-22 15:21 -------- d-----w- c:\programme\Winamp
2009-08-22 15:12 . 2009-08-22 15:12 -------- d-----w- c:\programme\Auslogics
2009-08-22 14:46 . 2009-08-22 14:46 -------- d-----w- c:\programme\DIFX
2009-08-22 14:46 . 2009-08-22 14:46 -------- d-----w- c:\programme\Razer
2009-08-22 14:43 . 2009-08-22 14:43 -------- d-----w- c:\programme\AGEIA Technologies
2009-08-22 14:43 . 2009-08-22 14:43 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-08-22 14:43 . 2009-08-22 14:43 -------- d-----w- c:\programme\NVIDIA Corporation
2009-08-22 14:43 . 2009-08-22 14:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NVIDIA Corporation
2009-08-22 14:22 . 2009-08-22 14:20 -------- d-----w- c:\programme\Realtek
2009-08-22 14:22 . 2009-08-22 14:22 -------- d-----w- c:\dokumente und einstellungen\Dj\Anwendungsdaten\InstallShield
2009-08-22 14:21 . 2009-08-22 14:16 15600 ----a-w- c:\windows\gdrv.sys
2009-08-22 14:20 . 2009-08-22 14:20 315392 ----a-w- c:\windows\HideWin.exe
2009-08-22 14:17 . 2009-08-22 14:17 -------- d-----w- c:\programme\Intel
2009-08-22 14:11 . 2009-08-22 14:11 -------- d-----w- c:\programme\microsoft frontpage
2009-08-22 14:10 . 2009-08-22 14:10 -------- d-----w- c:\programme\Online-Dienste
2009-08-22 14:10 . 2009-08-22 14:10 -------- d-----w- c:\programme\Gemeinsame Dateien\Dienste
2009-08-22 14:09 . 2009-08-22 14:09 21740 ----a-w- c:\windows\system32\emptyregdb.dat
2009-08-05 08:59 . 2004-08-04 12:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-29 04:34 . 2004-08-04 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-07-29 04:34 . 2004-08-04 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-07-17 19:01 . 2004-08-04 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-14 18:54 . 2009-08-22 14:42 485920 ----a-w- c:\windows\system32\nvudisp.exe
2009-07-14 18:54 . 2009-08-22 14:42 868352 ----a-w- c:\windows\system32\nvapi.dll
2009-07-14 18:54 . 2009-08-22 14:42 7741664 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
2009-07-14 18:54 . 2009-08-22 14:42 2189856 ----a-w- c:\windows\system32\nvcuvid.dll
2009-07-14 18:54 . 2009-08-22 14:42 2002944 ----a-w- c:\windows\system32\nvcuda.dll
2009-07-14 18:54 . 2009-08-22 14:42 1706528 ----a-w- c:\windows\system32\nvcuvenc.dll
2009-07-14 18:54 . 2009-08-22 14:42 151552 ----a-w- c:\windows\system32\nvcodins.dll
2009-07-14 18:54 . 2009-08-22 14:42 151552 ----a-w- c:\windows\system32\nvcod.dll
2009-07-14 18:54 . 2009-08-22 14:42 10457088 ----a-w- c:\windows\system32\nvoglnt.dll
2009-07-14 18:54 . 2009-08-22 14:42 5842816 ----a-w- c:\windows\system32\nv4_disp.dll
2009-07-14 18:54 . 2009-08-22 14:42 1597690 ----a-w- c:\windows\system32\nvdata.bin
2009-07-14 11:34 . 2009-07-14 11:34 86016 ----a-w- c:\windows\system32\nvmctray.dll
2009-07-14 11:34 . 2009-07-14 11:34 8085504 ----a-w- c:\windows\system32\nvdispsr.dll
2009-07-14 11:34 . 2009-07-14 11:34 4923392 ----a-w- c:\windows\system32\nvdisps.dll
2009-07-14 11:34 . 2009-07-14 11:34 4640768 ----a-w- c:\windows\system32\nvgamesr.dll
2009-07-14 11:34 . 2009-07-14 11:34 458752 ----a-w- c:\windows\system32\nvmccssr.dll
2009-07-14 11:34 . 2009-07-14 11:34 3547136 ----a-w- c:\windows\system32\nvgames.dll
2009-07-14 11:34 . 2009-07-14 11:34 2854912 ----a-w- c:\windows\system32\nvmoblsr.dll
2009-07-14 11:34 . 2009-07-14 11:34 188416 ----a-w- c:\windows\system32\nvmccss.dll
2009-07-14 11:34 . 2009-07-14 11:34 168004 ----a-w- c:\windows\system32\nvsvc32.exe
2009-07-14 11:34 . 2009-07-14 11:34 143360 ----a-w- c:\windows\system32\nvcolor.exe
2009-07-14 11:34 . 2009-07-14 11:34 13877248 ----a-w- c:\windows\system32\nvcpl.dll
2009-07-14 11:34 . 2009-07-14 11:34 1286144 ----a-w- c:\windows\system32\nvmobls.dll
2009-07-14 11:34 . 2009-07-14 11:34 229376 ----a-w- c:\windows\system32\nvmccs.dll
2009-07-12 10:21 . 2004-08-04 12:00 233472 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-10 05:01 . 2009-08-22 14:42 485920 ----a-w- c:\windows\system32\NVUNINST.EXE
2009-07-03 16:55 . 2004-08-04 12:00 915456 ------w- c:\windows\system32\wininet.dll
2009-06-15 10:43 . 2004-08-04 12:00 78848 ----a-w- c:\windows\system32\telnet.exe
.

((((((((((((((((((((((((((((( SnapShot@2009-09-11_17.21.28 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-09-11 18:20 . 2009-09-11 18:20 16384 c:\windows\temp\Perflib_Perfdata_700.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
"msnmsgr"="c:\programme\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-05-25 1953792]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2009-07-08 1657376]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-14 13877248]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-07-14 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-07-05 16380416]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Electronic Arts\\BattleForge\\Bootstrapper.exe"=
"c:\\Programme\\Electronic Arts\\BattleForge\\BattleForge.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"58387:TCP"= 58387:TCP:Pando Media Booster
"58387:UDP"= 58387:UDP:Pando Media Booster

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [11.09.2009 11:41 108289]
R3 Razerlow;Diamondback 3G USB Filter Driver;c:\windows\system32\drivers\DB3G.sys [22.08.2009 16:46 13225]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Dj\Anwendungsdaten\Mozilla\Firefox\Profiles\4oglsrks.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\Mozilla Firefox\plugins\npPandoWebInst.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-11 20:20
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3424)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\windows\system32\rundll32.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-09-11 20:22 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-09-11 18:22
ComboFix2.txt 2009-09-11 17:22

Vor Suchlauf: 9 Verzeichnis(se), 62.682.095.616 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 62.717.538.304 Bytes frei

217 --- E O F --- 2009-09-10 12:38

Positiv: Teamspeak läßt sich wieder normal öffnen mit doppelklick auf das Taskleisten Symbol.

john.doe · 11.09.2009, 19:40

Zitat:

Positiv: Teamspeak läßt sich wieder normal öffnen mit doppelklick auf das Taskleisten Symbol.

Funktioniert der "normale" Neustart auch?

ciao, andreas

Hardliner · 11.09.2009, 20:33

Weiß ich noch nicht :P
Dieses GMER läuft immernoch durch.
Ist ja schlimm läuft seid knapp 1 std glaube, das spiel Atlantica ist einfach zu umfangreich

Zurzeit an einem anderen Rechner.
Sehe du hast ein anders Programm nun eingefügt, sollte ich dieses eher benutzen und GMER abbrechen?

Bin dennoch verwirt wegen den Minimieren, maximieren und Exit buttons und der Schrift die kleiner geworden ist, da hab ich aj vermutet das es am Win. Update liegt was ich runtergeladen habe, ist das möglich?

Durchforsten zu viele SVchost exen, CPU auslastung zu hoch?

Überwachung, Datenschutz und Spam: Durchforsten zu viele SVchost exen, CPU auslastung zu hoch?