hi

- Punkt 5. - was sagt SUPERAntiSpyware? Log bitte posten!

- habe falsch geschrieben, ob Du die Datei reinkopiert oder ausgesucht..also nochmal:
1.
starte HijackThis--> wähle "config --> dann misc tools --> und delete a file on reboot"--> wähle die zu löschende datei (sehe der Inhalt dieser Code-Box), die frage zum neustart mit NEIN beantworten, wieder delete a file on reboot wählen, nächste datei auswählen usw., bis du die letzte dateie ausgewählt hast, nun antwortest du auf die frage zum neustart mit JA
>> "Durchsuchen")

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\*dein Name*\Eigene Dateien\tioli.exe
C:\Programme\Tioli Preisvergleich\tioli.dll
         

2.
Falls existiert:
Schließe alle Programme einschließlich Internet Explorer und fixe mit Hijackthis (HijackThis starten--> und mit der Option `Do a system scan only` Einträge auswählen--> Häckhen setzen--> "Fix checked"klicken-->PC neu aufstarten):

Zitat:

O2 - BHO: TBSB04128 - {CF2F6B8F-102F-4F79-B5ED-A22CEFF285EA} - C:\PROGRA~1\TIOLIP~1\tbu09854\tioli.dll

Frage nicht beantwortet: **wie sieht mit dein CPU aus? Gibt es Probleme noch mit dem Rechner?

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 10/09/2009 at 02:56 PM

Application Version : 4.29.1002

Core Rules Database Version : 4156
Trace Rules Database Version: 2083

Scan type       : Complete Scan
Total Scan Time : 02:27:21

Memory items scanned      : 493
Memory threats detected   : 0
Registry items scanned    : 6053
Registry threats detected : 17
File items scanned        : 45638
File threats detected     : 2

Adware.Vundo Variant
	HKU\S-1-5-21-1078081533-1500820517-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BFB5F154-9212-46F3-B547-AC6106030A54}

Browser Hijacker.Deskbar
	HKCR\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}
	HKCR\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}\1.0
	HKCR\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}\1.0\0
	HKCR\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}\1.0\0\win32
	HKCR\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}\1.0\FLAGS
	HKCR\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}\1.0\HELPDIR
	HKCR\Interface\{9EBB289A-2D7B-465B-825F-1530B813E95A}
	HKCR\Interface\{9EBB289A-2D7B-465B-825F-1530B813E95A}\ProxyStubClsid
	HKCR\Interface\{9EBB289A-2D7B-465B-825F-1530B813E95A}\ProxyStubClsid32
	HKCR\Interface\{9EBB289A-2D7B-465B-825F-1530B813E95A}\TypeLib
	HKCR\Interface\{9EBB289A-2D7B-465B-825F-1530B813E95A}\TypeLib#Version
	HKCR\Interface\{CD5C92AE-97B0-4BC3-BA65-BA0308D543BF}
	HKCR\Interface\{CD5C92AE-97B0-4BC3-BA65-BA0308D543BF}\ProxyStubClsid
	HKCR\Interface\{CD5C92AE-97B0-4BC3-BA65-BA0308D543BF}\ProxyStubClsid32
	HKCR\Interface\{CD5C92AE-97B0-4BC3-BA65-BA0308D543BF}\TypeLib
	HKCR\Interface\{CD5C92AE-97B0-4BC3-BA65-BA0308D543BF}\TypeLib#Version

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\LocalService\Cookies\system@tracking.mindshare[1].txt
	C:\Dokumente und Einstellungen\LocalService\Cookies\system@discount24[1].txt
         

Sorry, dass es so lange gedauert hat...

Also mim CPU siehts eig ganz gut aus, aber er schwankt ab und zu nach oben auf 25 % (iTunes, FireFox mit 23 Tabs, ICQ, Steam, Mumble, Online Armor, SUPERAntiSpyware und GData) aber hängt nicht, sondern sinkt wieder innerhalb einer oder mehreren Sekunden auf 0-2 %...

hi

- Zurück zu Funde v. Kaspersky, so genannte "not-a-virus" wie PSWTool & Co"
Gehören dazu unsichere Software, Programme mit erschreckenden Sicherheitslücken
Das Programm selbst legal, bis man ja selbst nicht gegen irgendwelche Urheberrechte verstößt oder Sicherheitsmaßnahmen umgeht bzw "bösartige" Tätigkeiten nutzt usw

- Speichermedien wie Externe Festplatte/USB-Stick usw bitte anschließen - Halte aber beim einstecken des Sticks die Shift-Taste gedrückt! Dadurch wird der Autostart des Datenträgers deaktiviert.
- Lade das Combofix von einem der folgenden Download Spiegel herunter:
BleepingComputer - ForoSpyware

- dann installiere auf den Desktop
- Antiviren, - und andere Schutz/Spyprogramme bitte deaktivieren
- Schließe jeder externe Datenträger (USB Stick und USB Festplatte etc) an dein Computer an - dabei die Shift-Taste bitte unbedingt gedrückt halten!
- Per Doppelklick die ComboFix.exe starten und den Anweisungen folgen
- Falls die Microsoft-Windows-Wiederherstellungskonsole auf dein Rechner nicht installiert ist, und wenn du direkt gefragt wirst, es zu ermöglichen stimme dem Lizenzvertrag zu. Danach erscheint ein Fenster zur Bestätigung, ansonsten wird ComboFix mit der Arbeit fortfahren
- bestätige mit "ja", damit den Suchlauf automatisch beginnen kann

Zitat:

Achtung! Während ComboFix läuft: Ab sofort die Maus nicht mehr bewegen oder/und auf dem PC irgendetwas machen!!
** Für alle die das Tool benutzen, eine gewisse Vorsicht geboten, also die Reihenfolge und Anweisungen gründlich lesen und streng einhalten!!

- wird ein Log-Datei - C:\ComboFix.txt erstellt, deren Inhalte bitte posten
** Eine bebilderte Anleitung findest Du hier: bleepingcomputer.com/combofix/Anleitung
**Danach nicht vergessen die Schutzprogramme wieder aktivieren!!

ComboFix.exe hat sich beim letzten Teil aufgehängt, wo die ComboFix.txt erstellt werden sollte... hab ne Stunde gewartet, aber hat nix geholfen, hab den PC neu gestartet, keine ComboFix.txt und jetzt hab ich eingeschränkte Rechte...

[EDIT]

Hab den PC neu gestartet, hab wieder Rechte...

hi

schade das mit CF nicht geklappt hat
- entferne Combofix

- Malware-Scan mit a-squared Free [/color][/b]
- Ohne Hintergrundwächter durchsucht a-squared den Computer auf div. schädlichen Programmen.
- Also lade a-squared Free von Emsisoft herunter
- Update das Programm und lass dein rechner komplett scannen
- Am Ende des Scans alle Funde löschen lassen und über den Button "Bericht speichern" das Log speichern und hier in den Thread posten.

sollte damit in Ordnung sein

Hallo,
ich habe dasselbe problem (svchost 50%CPU) seit Tagen auf einem HP Cpmpaq 6820S (T7250) mit Vista Sp2.
Es ist definitiv der kryptografiedienst (cryptsvc.dll), das kann dem Prozessexplorer klar eingegrenzt werden. Wenn dort dann der Thread (cryptsvc.dll +0x3fd7) gekillt wird, ist Ruhe. Es sind keinerlei Funde da mit a-squared-free, malwarbytes, avira-Antivir) auch mit hijackthis-Auswertung nichts verdächtiges. Es wurde schon vieles unternommen(windows update-agent installer, BITS reparieren, Dienst wuauserv stoppen, pending.xml umbenennen, verz. softwaredistribution umbenennen, etc.) Bisher ohne Erfolg. der cryptsvc.dll scheint da irgendwo zu loopen beim Prüfen von irgendwelchen Zertifikaten vermutlich im Zusammenhang mit windows-updates. Die letzten win-updates vom gestrigen patchday wurden weitegehend sogar gemacht (ca 14), aber ca. 9 wurden nicht gemacht. Möglicherweise sind da Zertifikatsprüfungen nötig? cryptsvc.dll wurde auch schon ausgetauscht von einen anderen vista business Sp2. kein Erfolg.
Andere haben das problem wohl auch, siehe
http://social.technet.microsoft.com/Forums/en-US/itprovistasecurity/thread/131df29c-5f14-443e-ae97-392df6c3abce
Bisher aber noch keine lösung in Sicht.
Gruß

Hallo,
ich habs jetzt nach langem Suchen selbst hinbekommen: Bei mir hat folgendes geholfen:
im abgesichterten Modus (oder ggfs. über reparaturkonsole) ein Kommandozeilenfenster öffnen: Start, ausfühen, cmd

Dann den Kryptografiedienst stoppen:
net stop cryptsvc (Im Normalmodus konnte ich den gar nicht mehr beenden, nur noch über den Prozessexplorer)

dann im windows\system32-Ordner das Verzeichnis catroot2 umbenennen:
ren catroot2 catroot2_alt

Dann wieder den kryptografiedienst starten
net start cryptsvc

Dann Neustart PC: bei mir war dann alles wieder gut, CPU-Last im Leerlauf wieder bei 0 -5%, Windows-updates wieder problemlos möglich (vorher leicht eingeschränkt).

Offenbar wurde catroot2 mal bei einem windows-update irgendwie zerstört, obwohl ich nie die Kiste vorzeitig ausgemacht habe.
Hoffe, das hilft auch anderswo.
Gruß