Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Trojan?Virus?Servces.exe und Svchost.exe ungewöhnlich hoch

Trojan?Virus?Servces.exe und Svchost.exe ungewöhnlich hoch


Plagegeister aller Art und deren Bekämpfung: Trojan?Virus?Servces.exe und Svchost.exe ungewöhnlich hoch

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.11.2009, 21:45   #1
Sanctriell
 
Trojan?Virus?Servces.exe und Svchost.exe ungewöhnlich hoch - Standard

Trojan?Virus?Servces.exe und Svchost.exe ungewöhnlich hoch


Hallo

Ich glaube ich habe einen Problem mit einen Trojan/Virus

Ich habe mal Malwarebytes rüber laufen lassen. Er hat nichts gefunden.
Beim HijackThis hat auch nicht ergeben bei der Auserwertung.

Aber in Taskmanager zeigt Services.exe und bei einen svchost.exe ungewöhnlich hohe CPU auslastung, wobei bei Svchost extreme hoch ist.
Er hat 50-70 cpu Auslastung und bei leerlauf nur 0-20.
Ich weiss gar nicht woran das Problem liegt. Avast hat zwar Meldungen ergeben,dass ein Trojan gefunden wurde. Ich habe es gelöscht, Scheint aber nicht zu helfen. Hat einer vielleicht eine Idee? Vielen dank im Voraus

Alt 27.11.2009, 22:27   #2
Larusso
/// Selecta Jahrusso
 
Trojan?Virus?Servces.exe und Svchost.exe ungewöhnlich hoch - Standard

Trojan?Virus?Servces.exe und Svchost.exe ungewöhnlich hoch




Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Poste bitte alle Logfiles in Code-Tags.
Klicke antworten --> #
danach [code]text[/code]
So sollte das dann hier aussehen nach dem antworten:
Code:
ATTFilter
deine Logfile

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


schritt 1

Windows-Explorer öffnen (Windows-Taste + E) und unter => Extras => Ordneroptionen => im Reiter "Ansicht"
  • Dateien und Ordner: Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren
  • Dateien und Ordner: Geschützte Systemdateien ausblenden (empfohlen) deaktivieren
  • Dateien und Ordner: Inhalte von Systemordnern anzeigen aktivieren (bei Vista nicht vorhanden)
  • Versteckte Dateien und Ordner: alle Dateien und Ordner anzeigen aktivieren


schritt 2

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista-User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
%SYSTEMDRIVE%\*.exe
%SYSTEMDRIVE%\eventlog.dll /s /md5
%SYSTEMDRIVE%\scecli.dll /s /md5
%SYSTEMDRIVE%\netlogon.dll /s /md5
%SYSTEMDRIVE%\cngaudit.dll /s /md5
%SYSTEMDRIVE%\sceclt.dll /s /md5
%SYSTEMDRIVE%\ntelogon.dll /s /md5
%SYSTEMDRIVE%\logevent.dll /s /md5
%SYSTEMDRIVE%\iaStor.sys /s /md5
%SYSTEMDRIVE%\nvstor.sys /s /md5
%SYSTEMDRIVE%\atapi.sys /s /md5
%SYSTEMDRIVE%\IdeChnDr.sys /s /md5
%SYSTEMDRIVE%\viasraid.sys /s /md5
%SYSTEMDRIVE%\AGP440.sys /s /md5
%SYSTEMDRIVE%\vaxscsi.sys /s /md5
%SYSTEMDRIVE%\nvatabus.sys /s /md5
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Code-Tags in Deinen Thread


schritt 3

Rootkit-Suche

Was sind Rootkits?

Einige Scans auf Dateien, Prozesse u2nd Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Gmer ist geeignet für => NT/W2K/XP/VISTA.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  • Vista-User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
  • Füge das Log aus der Zwischenablage in Deine Antwort hier ein.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in posten.
__________________

__________________
Alt 28.11.2009, 02:49   #3
Sanctriell
 
Trojan?Virus?Servces.exe und Svchost.exe ungewöhnlich hoch - Standard

Trojan?Virus?Servces.exe und Svchost.exe ungewöhnlich hoch


hallo

Ich habe noch mehrere Probleme.
Jetzt hat svchost.exe wenig cpu Auslastung ,aber services.exe schwankt immer bei hoch bis zum 0 %
Jetzt liegt das Problem beim Neustart. Beim jeden Neustart zeigt er an, dass Zipibn32.exe.28170721 nicht geöffnet werden kann und sagt mir, dass ich einen Programm auswählen soll oder ins websuchen soll um das Programm zu öffnen.
Zweitens stützt sich der Rechner andauern ab. Er stutzt ganz komisch ab. Zb Taskmanager funktioniert noch und öffnet sich auch flüssig. Aber alles andere bleibt stehen.
Ich konnte nur den OTL ausführen. Hier der log:
__________________
Alt 28.11.2009, 02:51   #4
Sanctriell
 
Trojan?Virus?Servces.exe und Svchost.exe ungewöhnlich hoch - Standard

Trojan?Virus?Servces.exe und Svchost.exe ungewöhnlich hoch


Code:
ATTFilter
OTL logfile created on: 27.11.2009 23:12:45 - Run 1
OTL by OldTimer - Version 3.1.11.0     Folder = C:\Dokumente und Einstellungen\PorTed\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 100,00% Memory free
4,00 Gb Paging File | 4,00 Gb Available in Paging File | 100,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 24,41 Gb Total Space | 3,51 Gb Free Space | 14,38% Space Free | Partition Type: NTFS
Drive D: | 97,65 Gb Total Space | 22,84 Gb Free Space | 23,39% Space Free | Partition Type: NTFS
Drive E: | 51,39 Gb Total Space | 30,97 Gb Free Space | 60,26% Space Free | Partition Type: NTFS
Drive F: | 90,61 Gb Total Space | 17,35 Gb Free Space | 19,15% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: PORTED-1
Current User Name: PorTed
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 14 Days
Output = Standard
Quick Scan
 
========== Processes (SafeList) ==========
 
PRC - [2009.11.27 22:59:41 | 00,532,992 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\PorTed\Desktop\OTL.exe
PRC - [2009.08.17 17:07:23 | 00,081,000 | ---- | M] (ALWIL Software) -- E:\Programme\Avasthome\ashDisp.exe
PRC - [2009.08.17 17:07:17 | 00,138,680 | ---- | M] (ALWIL Software) -- E:\Programme\Avasthome\ashServ.exe
PRC - [2009.08.17 17:07:01 | 00,254,040 | ---- | M] (ALWIL Software) -- E:\Programme\Avasthome\ashMaiSv.exe
PRC - [2009.08.17 17:04:21 | 00,352,920 | ---- | M] (ALWIL Software) -- E:\Programme\Avasthome\ashWebSv.exe
PRC - [2009.08.17 16:58:55 | 00,018,752 | ---- | M] (ALWIL Software) -- E:\Programme\Avasthome\aswUpdSv.exe
PRC - [2009.07.25 04:23:12 | 00,149,280 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Java\jre6\bin\jusched.exe
PRC - [2009.07.25 04:23:10 | 00,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Java\jre6\bin\jqs.exe
PRC - [2009.06.05 10:48:14 | 00,144,712 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
PRC - [2009.04.19 22:41:33 | 00,198,160 | ---- | M] (RealNetworks, Inc.) -- C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
PRC - [2008.12.12 11:17:38 | 00,238,888 | ---- | M] (Apple Inc.) -- C:\Programme\Bonjour\mDNSResponder.exe
PRC - [2008.10.07 12:33:00 | 00,163,908 | ---- | M] (NVIDIA Corporation) -- C:\WINDOWS\system32\nvsvc32.exe
PRC - [2008.07.09 08:05:20 | 00,919,016 | ---- | M] (Zone Labs, LLC) -- E:\Programme\ZoneAlarm\zlclient.exe
PRC - [2008.07.09 08:05:18 | 00,075,304 | ---- | M] (Zone Labs, LLC) -- C:\WINDOWS\system32\ZoneLabs\vsmon.exe
PRC - [2008.05.01 23:41:38 | 00,136,488 | ---- | M] (Wacom Technology, Corp.) -- C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
PRC - [2008.05.01 23:40:44 | 03,032,360 | ---- | M] (Wacom Technology, Corp.) -- C:\WINDOWS\system32\Pen_Tablet.exe
PRC - [2008.05.01 23:40:44 | 03,032,360 | ---- | M] (Wacom Technology, Corp.) -- C:\WINDOWS\system32\Pen_Tablet.exe
PRC - [2008.04.14 03:22:45 | 01,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.08.24 06:00:48 | 00,033,648 | ---- | M] (Microsoft Corporation) -- E:\Programme\Microsoft Office 2007\Office12\GrooveMonitor.exe
PRC - [2007.07.24 08:12:56 | 01,298,432 | ---- | M] () -- E:\Programme\Rainlendar2\Rainlendar2.exe
PRC - [2007.01.15 15:14:54 | 00,147,456 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
PRC - [2007.01.15 15:13:50 | 01,208,320 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
PRC - [2007.01.15 15:01:56 | 00,266,240 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
PRC - [2006.07.21 15:14:36 | 00,086,016 | ---- | M] (Realtek Semiconductor Corp.) -- C:\WINDOWS\SoundMan.exe
PRC - [2006.05.04 15:26:36 | 02,808,832 | ---- | M] (RealTek Semicoductor Corp.) -- C:\WINDOWS\alcwzrd.exe
PRC - [2005.04.01 18:51:48 | 00,217,600 | ---- | M] (Rocket Division Software) -- E:\Programme\Alcohol 120\StarWind\StarWindService.exe
PRC - [2005.01.28 13:44:28 | 00,038,912 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\wdfmgr.exe
PRC - [2004.06.09 08:37:02 | 00,040,960 | R--- | M] (BIGDOG) -- C:\WINDOWS\VM_STI.EXE

Alt 28.11.2009, 02:55   #5
Sanctriell
 
Trojan?Virus?Servces.exe und Svchost.exe ungewöhnlich hoch - Standard

Trojan?Virus?Servces.exe und Svchost.exe ungewöhnlich hoch


Zweite Teil

Code:
ATTFilter
========== Modules (SafeList) ==========
 
MOD - [2009.11.27 22:59:41 | 00,532,992 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\PorTed\Desktop\OTL.exe
MOD - [2006.05.03 21:53:54 | 00,174,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\framedyn.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2009.10.28 20:21:14 | 00,545,568 | ---- | M] (Apple Inc.) -- C:\Programme\iPod\bin\iPodService.exe -- (iPod Service)
SRV - [2009.08.17 17:07:17 | 00,138,680 | ---- | M] (ALWIL Software) -- E:\Programme\Avasthome\ashServ.exe -- (avast! Antivirus)
SRV - [2009.08.17 17:07:01 | 00,254,040 | ---- | M] (ALWIL Software) -- E:\Programme\Avasthome\ashMaiSv.exe -- (avast! Mail Scanner)
SRV - [2009.08.17 17:04:21 | 00,352,920 | ---- | M] (ALWIL Software) -- E:\Programme\Avasthome\ashWebSv.exe -- (avast! Web Scanner)
SRV - [2009.08.17 16:58:55 | 00,018,752 | ---- | M] (ALWIL Software) -- E:\Programme\Avasthome\aswUpdSv.exe -- (aswUpdSv)
SRV - [2009.08.05 22:48:42 | 00,704,864 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Live\Family Safety\fsssvc.exe -- (fsssvc)
SRV - [2009.07.25 04:23:10 | 00,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Java\jre6\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2009.06.05 10:48:14 | 00,144,712 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2009.03.05 14:21:54 | 00,654,848 | ---- | M] (Macrovision Europe Ltd.) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2009.02.16 09:51:30 | 00,066,872 | ---- | M] () -- C:\WINDOWS\system32\PnkBstrA.exe -- (PnkBstrA)
SRV - [2009.01.14 16:53:02 | 00,226,656 | ---- | M] (Microsoft Corp.) -- C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe -- (SeaPort)
SRV - [2008.12.12 11:17:38 | 00,238,888 | ---- | M] (Apple Inc.) -- C:\Programme\Bonjour\mDNSResponder.exe -- (Bonjour Service)
SRV - [2008.10.07 12:33:00 | 00,163,908 | ---- | M] (NVIDIA Corporation) -- C:\WINDOWS\system32\nvsvc32.exe -- (NVSvc)
SRV - [2008.07.09 08:05:18 | 00,075,304 | ---- | M] (Zone Labs, LLC) -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe -- (vsmon)
SRV - [2008.05.07 20:43:09 | 00,297,472 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\termsrv32.dll -- (TermService)
SRV - [2008.05.01 23:40:44 | 03,032,360 | ---- | M] (Wacom Technology, Corp.) -- C:\WINDOWS\system32\Pen_Tablet.exe -- (TabletServicePen)
SRV - [2007.08.24 05:59:20 | 00,068,464 | ---- | M] (Microsoft Corporation) -- E:\Programme\Microsoft Office 2007\Office12\GrooveAuditService.exe -- (Microsoft Office Groove Audit Service)
SRV - [2007.08.24 02:19:12 | 00,443,776 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2007.01.15 16:14:38 | 00,774,144 | ---- | M] (Nero AG) -- E:\Programme\Nero 7\Nero BackItUp\NBService.exe -- (NBService)
SRV - [2007.01.15 15:01:56 | 00,266,240 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - [2006.10.26 13:03:08 | 00,145,184 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2005.04.01 18:51:48 | 00,217,600 | ---- | M] (Rocket Division Software) -- E:\Programme\Alcohol 120\StarWind\StarWindService.exe -- (StarWindService)
SRV - [2005.01.28 13:44:28 | 00,038,912 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\wdfmgr.exe -- (UMWdf)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Live Search"
FF - prefs.js..browser.search.defaulturl: "http://search.live.com/results.aspx?FORM=IEFM1&q="
FF - prefs.js..browser.search.selectedEngine: "Live Search"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "http://de.yahoo.com/"
FF - prefs.js..extensions.enabledItems: addictive_typing_lessons@tomkennedy.net:3.0
FF - prefs.js..extensions.enabledItems: {0545b830-f0aa-4d7e-8820-50a4629a56fe}:3.9.4
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}:6.0.05
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}:6.0.11
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: personas@christopher.beard:1.3.1
FF - prefs.js..extensions.enabledItems: firefox@tvunetworks.com:2
FF - prefs.js..extensions.enabledItems: 4
FF - prefs.js..extensions.enabledItems: 8
FF - prefs.js..extensions.enabledItems: 2
FF - prefs.js..extensions.enabledItems: foxmarks@kei.com:3.3.3
FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:1.6.5.200812101546
FF - prefs.js..extensions.enabledItems: {e213bb8f-8ebd-11db-96b7-005056c00008}:3.0.0.62
FF - prefs.js..keyword.URL: "http://search.live.com/results.aspx?FORM=IEFM1&q="
 
 
FF - HKLM\software\mozilla\Firefox\Extensions\\jqs@sun.com: C:\Programme\Java\jre6\lib\deploy\jqs\ff [2008.12.08 20:30:03 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.5\extensions\\Components: E:\Programme\firefox\components [2009.11.08 02:47:12 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.5\extensions\\Plugins: E:\Programme\firefox\plugins [2009.11.06 16:23:15 | 00,000,000 | ---D | M]
 
[2008.08.30 01:09:21 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\Mozilla\Extensions
[2009.11.27 22:40:02 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\Mozilla\Firefox\Profiles\xx3746qi.default\extensions
[2009.09.29 09:14:04 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\Mozilla\Firefox\Profiles\xx3746qi.default\extensions\{0545b830-f0aa-4d7e-8820-50a4629a56fe}
[2009.02.14 23:52:28 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\Mozilla\Firefox\Profiles\xx3746qi.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2009.09.13 00:48:16 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\Mozilla\Firefox\Profiles\xx3746qi.default\extensions\{e213bb8f-8ebd-11db-96b7-005056c00008}
[2009.09.03 09:52:38 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\Mozilla\Firefox\Profiles\xx3746qi.default\extensions\addictive_typing_lessons@tomkennedy.net
[2009.10.30 09:47:51 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\Mozilla\Firefox\Profiles\xx3746qi.default\extensions\firefox@tvunetworks.com
[2009.09.13 00:48:53 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\Mozilla\Firefox\Profiles\xx3746qi.default\extensions\foxmarks@kei.com
[2009.10.30 09:47:46 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\Mozilla\Firefox\Profiles\xx3746qi.default\extensions\personas@christopher.beard
[2009.04.30 09:29:13 | 00,001,632 | ---- | M] () -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\Mozilla\Firefox\Profiles\xx3746qi.default\searchplugins\live-search.xml
 
O1 HOSTS File: (856 bytes) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1  serial.alcohol-soft.com
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - E:\Programme\Microsoft Office 2007\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Windows Live Toolbar Helper) - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
O3 - HKLM\..\Toolbar: (Veoh Web Player Video Finder) - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll (Veoh Networks Inc)
O3 - HKLM\..\Toolbar: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (Veoh Browser Plug-in) - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll (Veoh Networks Inc)
O3 - HKCU\..\Toolbar\WebBrowser: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [AlcWzrd] C:\WINDOWS\alcwzrd.exe (RealTek Semicoductor Corp.)
O4 - HKLM..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe (Apple Inc.)
O4 - HKLM..\Run: [avast!] E:\Programme\Avasthome\ashDisp.exe (ALWIL Software)
O4 - HKLM..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE (BIGDOG)
O4 - HKLM..\Run: [GrooveMonitor] E:\Programme\Microsoft Office 2007\Office12\GrooveMonitor.exe (Microsoft Corporation)
O4 - HKLM..\Run: [High Definition Audio Property Page Shortcut] C:\WINDOWS\System32\HdAShCut.exe (Windows (R) Server 2003 DDK provider)
O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [iTunesHelper] E:\Programme\itunes\iTunesHelper.exe (Apple Inc.)
O4 - HKLM..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe ()
O4 - HKLM..\Run: [mwavscan_autoscan]  File not found
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [QuickTime Task] C:\Programme\QuickTime\QTTask.exe (Apple Inc.)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SoundMan.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [ZoneAlarm Client] E:\Programme\ZoneAlarm\zlclient.exe (Zone Labs, LLC)
O4 - HKCU..\Run: []  File not found
O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKCU..\Run: [Rainlendar2] E:\Programme\Rainlendar2\Rainlendar2.exe ()
O4 - HKCU..\Run: [rundll32.exe]  File not found
O4 - HKCU..\Run: [WAB] C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\Macromedia\Common\34f1c00e19.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Adobe Systems Incorporated)
O4 - Startup: C:\Dokumente und Einstellungen\PorTed\Startmenü\Programme\Autostart\zipibn32.exe ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00  [binary data]
O8 - Extra context menu item: E&xport to Microsoft Excel - E:\Programme\Microsoft Office 2007\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra Button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\Programme\Microsoft Office 2007\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\Programme\Microsoft Office 2007\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\Programme\Microsoft Office 2007\Office12\REFIEBAR.DLL (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O15 - HKLM\..Trusted Domains: 1 domain(s) and sub-domain(s) not assigned to a zone.
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} C:\Programme\Yahoo!\Common\yinsthelper.dll (YInstStarter Class)
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab (UnoCtrl Class)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1210258445382 (WUWebControl Class)
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} http://ca.com/de/securityadvisor/virusinfo/webscan.cab (WScanCtl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab (MSN Games - Installer)
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab (MessengerStatsClient Class)
O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\Programme\Microsoft Office 2007\Office12\GrooveSystemServices.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - E:\Programme\Microsoft Office 2007\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.05.07 20:47:22 | 00,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck) -  File not found
O34 - HKLM BootExecute: (*) -  File not found
O35 - comfile [open] -- "%1" %* File not found
O35 - exefile [open] -- "%1" %* File not found
 
========== Files/Folders - Created Within 14 Days ==========
 
[2009.11.27 22:59:38 | 00,532,992 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\PorTed\Desktop\OTL.exe
[2009.11.27 22:40:58 | 00,000,000 | ---D | C] -- C:\WINDOWS\VDLL.DLL
[2009.11.27 22:40:58 | 00,000,000 | ---D | C] -- C:\WINDOWS\rundll16.exe
[2009.11.27 22:40:58 | 00,000,000 | ---D | C] -- C:\WINDOWS\RUNDL132.EXE
[2009.11.27 22:40:58 | 00,000,000 | ---D | C] -- C:\WINDOWS\logo1_.exe
[2009.11.27 22:40:58 | 00,000,000 | ---D | C] -- C:\WINDOWS\logo_1.exe
[2009.11.27 22:40:57 | 00,000,000 | ---D | C] -- C:\WINDOWS\System32\runouce.exe
[2009.11.27 22:35:21 | 00,034,048 | ---- | C] (MicroWorld Technologies Inc.) -- C:\WINDOWS\System32\eEmpty.exe
[2009.11.27 22:34:57 | 00,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\MicroWorld
[2009.11.27 22:34:46 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
[2009.11.27 20:20:11 | 00,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\PorTed\Recent
[2009.11.24 02:28:25 | 00,000,000 | ---D | C] -- C:\Programme\Microsoft Office Outlook Connector
[2009.04.17 18:40:47 | 00,047,360 | ---- | C] (VSO Software) -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\pcouffin.sys
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 14 Days ==========
 
[2009.11.27 23:12:05 | 00,001,156 | ---- | M] () -- C:\Dokumente und Einstellungen\PorTed\Eigene Dateien\pinfect.zip
[2009.11.27 23:05:02 | 00,292,352 | ---- | M] () -- C:\Dokumente und Einstellungen\PorTed\Desktop\yonr32w8.exe
[2009.11.27 23:01:40 | 07,602,176 | -H-- | M] () -- C:\Dokumente und Einstellungen\PorTed\NTUSER.DAT
[2009.11.27 22:59:41 | 00,532,992 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\PorTed\Desktop\OTL.exe
[2009.11.27 22:37:24 | 00,000,028 | ---- | M] () -- C:\WINDOWS\Lic.xxx
[2009.11.27 22:35:19 | 00,034,048 | ---- | M] (MicroWorld Technologies Inc.) -- C:\WINDOWS\System32\eEmpty.exe
[2009.11.27 22:14:10 | 00,192,832 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2009.11.27 22:12:51 | 00,358,382 | ---- | M] () -- C:\WINDOWS\System32\vsconfig.xml
[2009.11.27 22:11:32 | 00,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2009.11.27 22:10:58 | 00,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2009.11.27 22:09:22 | 11,030,1216 | ---- | M] () -- C:\WINDOWS\System32\drivers\fidbox.dat
[2009.11.27 22:09:22 | 01,288,784 | ---- | M] () -- C:\WINDOWS\System32\drivers\fidbox.idx
[2009.11.27 20:35:28 | 00,000,671 | ---- | M] () -- C:\Dokumente und Einstellungen\PorTed\Desktop\Rainlendar2.lnk
[2009.11.27 16:24:02 | 00,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2009.11.27 14:32:09 | 00,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2009.11.27 14:22:41 | 00,000,004 | ---- | M] () -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\avdrn.dat
[2009.11.27 14:03:52 | 00,025,088 | ---- | M] () -- C:\Dokumente und Einstellungen\PorTed\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.11.26 13:27:04 | 00,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2009.11.26 00:32:39 | 00,002,047 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk
[2009.11.24 16:05:02 | 00,462,836 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2009.11.24 16:05:02 | 00,444,978 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2009.11.24 16:05:02 | 00,086,076 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2009.11.24 16:05:02 | 00,072,602 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2009.11.24 16:04:58 | 01,079,496 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2009.11.23 02:22:23 | 00,081,920 | ---- | M] (Realtek Semiconductor Corp.) -- C:\WINDOWS\ALCFDRTM.VER
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========


Alt 28.11.2009, 02:56   #6
Sanctriell
 
Trojan?Virus?Servces.exe und Svchost.exe ungewöhnlich hoch - Standard

Trojan?Virus?Servces.exe und Svchost.exe ungewöhnlich hoch


dritter teil....

Code:
ATTFilter
[2009.11.27 23:12:05 | 00,001,156 | ---- | C] () -- C:\Dokumente und Einstellungen\PorTed\Eigene Dateien\pinfect.zip
[2009.11.27 23:05:01 | 00,292,352 | ---- | C] () -- C:\Dokumente und Einstellungen\PorTed\Desktop\yonr32w8.exe
[2009.11.27 22:37:24 | 00,000,028 | ---- | C] () -- C:\WINDOWS\Lic.xxx
[2009.11.27 22:35:21 | 00,000,522 | ---- | C] () -- C:\WINDOWS\System32\Microsoft.VC80.CRT.manifest
[2009.11.27 20:35:28 | 00,000,671 | ---- | C] () -- C:\Dokumente und Einstellungen\PorTed\Desktop\Rainlendar2.lnk
[2009.11.27 14:22:41 | 00,000,004 | ---- | C] () -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\avdrn.dat
[2009.11.12 06:13:21 | 00,000,008 | ---- | C] () -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\wiaserva.log
[2009.07.05 01:53:35 | 00,000,259 | ---- | C] () -- C:\WINDOWS\{789289CA-F73A-4A16-A331-54D498CE069F}_WiseFW.ini
[2009.04.17 18:42:55 | 00,000,667 | ---- | C] () -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\vso_ts_preview.xml
[2009.04.17 18:41:29 | 00,000,034 | ---- | C] () -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\pcouffin.log
[2009.04.17 18:40:47 | 00,087,608 | ---- | C] () -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\inst.exe
[2009.04.17 18:40:47 | 00,007,887 | ---- | C] () -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\pcouffin.cat
[2009.04.17 18:40:47 | 00,001,144 | ---- | C] () -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\pcouffin.inf
[2009.04.12 02:55:23 | 00,004,882 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nmpmeswb.lkq
[2008.12.27 10:33:52 | 01,632,482 | -HS- | C] () -- C:\WINDOWS\System32\oninopal.ini
[2008.12.26 06:49:19 | 01,632,473 | -HS- | C] () -- C:\WINDOWS\System32\ohelamem.ini
[2008.12.21 16:15:13 | 01,632,464 | -HS- | C] () -- C:\WINDOWS\System32\adokumif.ini
[2008.12.21 04:15:05 | 01,632,464 | -HS- | C] () -- C:\WINDOWS\System32\afakojol.ini
[2008.12.19 16:14:11 | 01,632,464 | -HS- | C] () -- C:\WINDOWS\System32\ipinaser.ini
[2008.10.28 17:40:48 | 00,173,552 | ---- | C] () -- C:\WINDOWS\System32\xlive.dll.cat
[2008.10.04 08:57:34 | 00,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LauncherAccess.dt
[2008.10.04 08:44:39 | 00,005,632 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2008.10.03 11:58:33 | 00,000,085 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2008.07.18 14:22:51 | 00,021,904 | ---- | C] () -- C:\WINDOWS\System32\imsinstall_loc0407.dll
[2008.07.18 14:22:51 | 00,017,808 | ---- | C] () -- C:\WINDOWS\System32\imslsp_install_loc0407.dll
[2008.07.18 14:22:02 | 00,796,048 | ---- | C] () -- C:\WINDOWS\System32\libeay32_0.9.6l.dll
[2008.06.30 16:26:12 | 00,000,038 | ---- | C] () -- C:\WINDOWS\avisplitter.INI
[2008.06.23 21:39:23 | 00,000,052 | ---- | C] () -- C:\WINDOWS\phbase.ini
[2008.06.23 17:19:49 | 00,000,987 | ---- | C] () -- C:\WINDOWS\pstudio.ini
[2008.06.23 17:19:49 | 00,000,028 | ---- | C] () -- C:\WINDOWS\album.ini
[2008.06.23 17:19:49 | 00,000,021 | ---- | C] () -- C:\WINDOWS\Ps_setup.ini
[2008.06.22 15:09:48 | 00,028,672 | ---- | C] () -- C:\WINDOWS\System32\InsDrvZD.dll
[2008.06.22 15:09:48 | 00,015,872 | ---- | C] () -- C:\WINDOWS\System32\InsDrvZD64.DLL
[2008.05.15 01:44:15 | 00,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\PorTed\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008.05.15 01:06:37 | 00,022,328 | ---- | C] () -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\PnkBstrK.sys
[2008.05.13 21:16:53 | 00,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.05.11 20:16:08 | 00,025,088 | ---- | C] () -- C:\Dokumente und Einstellungen\PorTed\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.05.08 22:55:43 | 00,024,576 | R--- | C] () -- C:\WINDOWS\System32\RunSetup.dll
[2008.05.08 22:20:57 | 00,000,076 | ---- | C] () -- C:\WINDOWS\StyleBuilder.INI
[2008.05.08 18:32:32 | 00,223,128 | ---- | C] () -- C:\WINDOWS\System32\drivers\vaxscsi.sys
[2008.05.08 17:46:32 | 00,717,296 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys
[2008.05.08 09:45:30 | 00,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2008.05.07 21:58:41 | 00,007,680 | ---- | C] () -- C:\WINDOWS\System32\CNMVS66.DLL
[2008.05.07 21:44:57 | 00,164,352 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2008.05.07 21:44:55 | 03,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2008.05.07 21:44:54 | 00,007,680 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2008.05.07 21:44:54 | 00,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest
[2007.07.25 13:24:30 | 01,559,040 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2007.07.23 08:03:32 | 00,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll
[2007.07.23 08:03:32 | 00,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll
[2007.07.23 08:03:32 | 00,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll
[2007.07.23 08:03:30 | 00,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll
[2007.07.23 08:03:30 | 00,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll
[2007.07.23 08:03:30 | 00,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll
[2007.07.23 08:03:30 | 00,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll
[2007.07.23 08:03:30 | 00,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll
[2007.07.23 08:03:30 | 00,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll
[2006.02.26 14:08:28 | 00,585,728 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2004.09.04 00:15:00 | 01,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2004.09.04 00:15:00 | 01,486,848 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2004.09.04 00:15:00 | 01,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2004.09.04 00:15:00 | 00,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2004.09.04 00:15:00 | 00,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
 
========== LOP Check ==========
 
[2009.03.05 16:19:40 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Corel
[2008.10.03 11:59:15 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
[2009.03.05 15:55:49 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\espionServerData
[2008.05.08 17:25:12 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
[2009.11.27 22:34:57 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
[2009.07.12 23:39:24 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2009.03.21 13:55:36 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}
[2009.09.17 18:39:37 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2009.04.14 14:55:25 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
[2009.05.05 18:06:16 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\Canon
[2009.03.10 19:00:45 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\Corel
[2008.08.08 16:25:25 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\DAEMON Tools
[2009.06.04 21:11:03 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\DragonicaSCB
[2009.03.05 17:29:20 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\e frontier
[2008.10.19 15:40:00 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\Samsung
[2008.10.20 18:02:40 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\SPORE
[2009.11.26 00:32:31 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\uTorrent
[2009.04.21 19:48:12 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\PorTed\Anwendungsdaten\Vso
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 122 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:05EE1EEF

< End of report >

Alt 28.11.2009, 15:01   #7
Sanctriell
 
Trojan?Virus?Servces.exe und Svchost.exe ungewöhnlich hoch - Standard

Trojan?Virus?Servces.exe und Svchost.exe ungewöhnlich hoch


ich habe Alcohol nicht gekauft. Mein Bruder hat es installieren lassen.Ich weiss nur ,dass man damit auch brennen und ein virtuelle Festplatte erzeugen kann. Ist das vielleicht der Virus oder Trojan? mhm aber ich habe das schon lange auf meinen PC.
Ich habe nochmal versucht GMER zu starten, aber es hängt sich auf. Kann ich auf GMER im abgesicherter Modus starten?
Ich habe was vergessen zu erwähnen. in C: under gemeinsame dokumente und Einstellungen,
sind einige Verknüpfungen, die ich nie gemacht habe. Zb. von einer meine Festplatten danke!
Geändert von Sanctriell (28.11.2009 um 15:07 Uhr)

Antwort

Themen zu Trojan?Virus?Servces.exe und Svchost.exe ungewöhnlich hoch
auslastung, avast, cpu, cpu auslastung, extreme, gelöscht, gen, glaube, hijack, hijackthis, hohe, hohe cpu, hohe cpu auslastung, laufen, malwarebytes, meldungen, nichts, problem, schei, services.exe, svchost.exe, taskmanager, troja, trojan, ungewöhnlich, virus, woran


« TR/C2lop.270336A' | WORM/Conficker.Z.02 »


Ähnliche Themen: Trojan?Virus?Servces.exe und Svchost.exe ungewöhnlich hoch


  1. CPU-Auslastung + physikalischer Speicher extrem hoch durch svchost (netsvcs)
    Log-Analyse und Auswertung - 19.03.2015 (3)
  2. Arbeitspeicherauslastung ungewöhnlich Hoch
    Plagegeister aller Art und deren Bekämpfung - 04.11.2014 (9)
  3. Arbeitspeicherauslastung ungewöhnlich Hoch
    Plagegeister aller Art und deren Bekämpfung - 28.10.2014 (1)
  4. Win 7: svchost.exe frisst ungewöhnlich viel Arbeitsspeicher
    Log-Analyse und Auswertung - 21.12.2013 (13)
  5. Trojan.BitcoinMiner befall u. a. von svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 21.11.2013 (29)
  6. Trojan.Agent svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 04.11.2013 (11)
  7. CPU Auslastung ungewöhnlich hoch - Sehr oft bis zu 100%
    Plagegeister aller Art und deren Bekämpfung - 29.01.2012 (1)
  8. Trojan.gen in syshost.exe, cpu hält sich hoch!
    Plagegeister aller Art und deren Bekämpfung - 18.12.2011 (6)
  9. svchost Virus ! C:\Benutzer\Windows\Install\svchost.exe - WORM/Rebhip.A.318
    Plagegeister aller Art und deren Bekämpfung - 20.01.2011 (1)
  10. Ping zu hoch/ich vermute auf ein Wurm oder trojan
    Log-Analyse und Auswertung - 05.11.2010 (3)
  11. svchost.exe beendet - pc fährt nicht mehr hoch
    Plagegeister aller Art und deren Bekämpfung - 12.09.2010 (19)
  12. svchost.exe - Speicherauslastung schießt hoch
    Log-Analyse und Auswertung - 16.08.2010 (0)
  13. Svchost.exe beendet und jetzt fährt PC nicht mehr hoch
    Alles rund um Windows - 14.12.2009 (0)
  14. Durchforsten zu viele SVchost exen, CPU auslastung zu hoch?
    Überwachung, Datenschutz und Spam - 12.09.2009 (26)
  15. svchost.exe frisst ungewöhnlich viel Ram -- infiziert?
    Log-Analyse und Auswertung - 15.12.2008 (0)
  16. trojan.win32.obfuscated/svchost.exe:ext.exe
    Log-Analyse und Auswertung - 01.09.2007 (28)
  17. Frage zu Trojan.Autoit.E und svchost.exe
    Log-Analyse und Auswertung - 02.05.2005 (8)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojan?Virus?Servces.exe und Svchost.exe ungewöhnlich hoch - Hallo Ich glaube ich habe einen Problem mit einen Trojan/Virus Ich habe mal Malwarebytes rüber laufen lassen. Er hat nichts gefunden. Beim HijackThis hat auch nicht ergeben bei der Auserwertung. - Trojan?Virus?Servces.exe und Svchost.exe ungewöhnlich hoch...
Archiv
Du betrachtest: Trojan?Virus?Servces.exe und Svchost.exe ungewöhnlich hoch auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131