Also kurz zu meinem Problem:
Hab mir einen Patch für schlacht um mittelerde downgeloaded offizieller funkt nicht! War aber eindeutig ein virus als ich ihn entpackt habe!
Alle 10 min schlägt jetzt AVG Alarm

Bedrohung gefunden!

Dateiname: C:\Windows\Temp\imgs.tmp\svchost.exe
Zur Info:
\imgs.tmp heißt aber immer anders zb \xeds.temp usw

Name der Bedrohung: Trojaner: Clicker.AEYB
Beim Öffnen erkannt.

Prozessname: C:\Windows\System32\svchost.exe
Prozess ID: 904

Ich habe schon spydoctor versucht und Malewarebytes!
Die finden nichts. Hab auch schon den Temp Ordner gelehrt bringt nix!

Hier mein Hijack This:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:39:58, on 25.01.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\BisonCam\BisonHK.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Hotkey\Hotkey.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe
C:\Program Files\CyberLink\PowerDVD9\PDVD9Serv.exe
C:\Program Files\AVG\AVG9\avgtray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [BisonHK] C:\Program Files\BisonCam\BisonHK.exe
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [HotkeyOSD Software] "C:\Program Files\Hotkey\HotKey.exe"
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe"
O4 - HKLM\..\Run: [UpdateP2GoShortCut] "C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
O4 - HKLM\..\Run: [UpdatePDRShortCut] "C:\Program Files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\PowerDirector" UpdateWithCreateOnce "Software\CyberLink\PowerDirector\7.0"
O4 - HKLM\..\Run: [RemoteControl9] "C:\Program Files\CyberLink\PowerDVD9\PDVD9Serv.exe"
O4 - HKLM\..\Run: [PDVD9LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD9\Language\Language.exe"
O4 - HKLM\..\Run: [UpdatePPShortCut] "C:\Program Files\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\PowerProducer" UpdateWithCreateOnce "Software\CyberLink\PowerProducer\5.0"
O4 - HKLM\..\Run: [UpdatePSTShortCut] "C:\Program Files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\DVD Suite" UpdateWithCreateOnce "Software\CyberLink\PowerStarter"
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Spiele\Call of Duty VI\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O13 - Gopher Prefix:
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PowerBiosServer - Unknown owner - C:\Program Files\Hotkey\PowerBiosServer.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 6926 bytes

Virustotal

Hier ist die Auswertung von Virustotal:

Datei svchost.exe empfangen 2010.01.25 03:48:27 (UTC)
Status: Beendet

Ergebnis: 1/40 (2.50%)
Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.01.25 -
AhnLab-V3 5.0.0.2 2010.01.23 -
AntiVir 7.9.1.150 2010.01.24 -
Antiy-AVL 2.0.3.7 2010.01.22 -
Authentium 5.2.0.5 2010.01.24 -
Avast 4.8.1351.0 2010.01.25 -
AVG 9.0.0.730 2010.01.24 -
BitDefender 7.2 2010.01.25 -
CAT-QuickHeal 10.00 2010.01.25 -
ClamAV 0.94.1 2010.01.25 -
Comodo 3698 2010.01.25 -
DrWeb 5.0.1.12222 2010.01.24 -
eSafe 7.0.17.0 2010.01.24 Win32.TrojanHorse
eTrust-Vet 35.2.7255 2010.01.22 -
F-Prot 4.5.1.85 2010.01.24 -
F-Secure 9.0.15370.0 2010.01.25 -
Fortinet 4.0.14.0 2010.01.25 -
GData 19 2010.01.25 -
Ikarus T3.1.1.80.0 2010.01.25 -
Jiangmin 13.0.900 2010.01.24 -
K7AntiVirus 7.10.952 2010.01.22 -
Kaspersky 7.0.0.125 2010.01.25 -
McAfee 5871 2010.01.24 -
McAfee+Artemis 5871 2010.01.24 -
McAfee-GW-Edition 6.8.5 2010.01.25 -
Microsoft 1.5405 2010.01.25 -
NOD32 4802 2010.01.24 -
Norman 6.04.03 2010.01.24 -
nProtect 2009.1.8.0 2010.01.24 -
Panda 10.0.2.2 2010.01.24 -
PCTools 7.0.3.5 2010.01.25 -
Rising 22.32.00.01 2010.01.25 -
Sophos 4.50.0 2010.01.25 -
Sunbelt 3.2.1858.2 2010.01.24 -
Symantec 20091.2.0.41 2010.01.25 -
TheHacker 6.5.0.9.161 2010.01.25 -
TrendMicro 9.120.0.1004 2010.01.25 -
VBA32 3.12.12.1 2010.01.23 -
ViRobot 2010.1.23.2152 2010.01.23 -
VirusBuster 5.0.21.0 2010.01.24 -
weitere Informationen
File size: 20992 bytes
MD5 : 54a47f6b5e09a77e61649109c6a08866
SHA1 : 4af001b3c3816b860660cf2de2c0fd3c1dfb4878
SHA256: 121118a0f5e0e8c933efd28c9901e54e42792619a8a3a6d11e 1f0025a7324bc2
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2104
timedatestamp.....: 0x4A5BC100 (Tue Jul 14 01:19:28 2009)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x39DC 0x3A00 6.29 2eb5bad67734deb71cf023259153ef53
.data 0x5000 0x5A8 0x600 0.81 bdd64867dcbd8117aac049606aa40456
.rsrc 0x6000 0x810 0xA00 3.76 66f21324fc812e3bf717c9aae7a151ee
.reloc 0x7000 0x3CC 0x400 6.40 7d35466317c0fe1186bb026254385afe

( 8 imports )

> api_ms_win_core_processthreads_l1_1_0.dll: TerminateProcess, GetCurrentProcess, OpenProcessToken, GetCurrentProcessId, GetCurrentThreadId
> api_ms_win_security_base_l1_1_0.dll: SetSecurityDescriptorDacl, AddAccessAllowedAce, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, GetTokenInformation, InitializeSecurityDescriptor, GetLengthSid, InitializeAcl
> api_ms_win_service_core_l1_1_0.dll: StartServiceCtrlDispatcherW, SetServiceStatus
> api_ms_win_service_winsvc_l1_1_0.dll: RegisterServiceCtrlHandlerW
> kernel32.dll: LocalAlloc, CloseHandle, DelayLoadFailureHook, GetProcAddress, GetLastError, FreeLibrary, InterlockedCompareExchange, LoadLibraryExA, InterlockedExchange, Sleep, SetUnhandledExceptionFilter, GetModuleHandleA, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, UnhandledExceptionFilter, DeactivateActCtx, LoadLibraryExW, ActivateActCtx, LeaveCriticalSection, lstrcmpW, EnterCriticalSection, RegCloseKey, RegOpenKeyExW, HeapSetInformation, lstrcmpiW, lstrlenW, LCMapStringW, RegQueryValueExW, ReleaseActCtx, CreateActCtxW, ExpandEnvironmentStringsW, GetCommandLineW, ExitProcess, SetProcessAffinityUpdateMode, RegDisablePredefinedCacheEx, InitializeCriticalSection, GetProcessHeap, SetErrorMode, RegisterWaitForSingleObjectEx, LocalFree, HeapFree, WideCharToMultiByte, HeapAlloc
> msvcrt.dll: __wgetmainargs, _exit, _XcptFilter, exit, _initterm, _amsg_exit, __setusermatherr, memcpy, _controlfp, _except_handler4_common, _terminate@@YAXXZ, __set_app_type, __p__fmode, __p__commode, _cexit
> ntdll.dll: RtlAllocateHeap, RtlLengthRequiredSid, RtlSubAuthoritySid, RtlInitializeSid, RtlCopySid, RtlSubAuthorityCountSid, RtlInitializeCriticalSection, RtlSetProcessIsCritical, RtlImageNtHeader, RtlUnhandledExceptionFilter, EtwEventWrite, EtwEventEnabled, EtwEventRegister, RtlFreeHeap
> rpcrt4.dll: RpcMgmtSetServerStackSize, I_RpcMapWin32Status, RpcServerUnregisterIf, RpcMgmtWaitServerListen, RpcMgmtStopServerListening, RpcServerUnregisterIfEx, RpcServerRegisterIf, RpcServerUseProtseqEpW, RpcServerListen

( 0 exports )

TrID : File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ThreatExpert: http://www.threatexpert.com/report.a...649109c6a08866
ssdeep: 384:eipYzV8555BUcKaJEEyKxC0exYQ1k3KFUOLg2JfvaW9C5b W9odW:3peIszaqEyKxCtxJk6FbXaw
PEiD : -
RDS : NSRL Reference Data Set

Da hat jemand das selbe Problem in Frankreich wie es scheint!
Also vl kann ja jemand französisch und mir helfen bei mir kommt das selbe nur in Deutsch! Und das alle 10 Minuten!!!

Ich habe das gleiche Problem, bin aber nicht so 100% überzeugt, dass das nen Trojaner ist. Muss allerdings dazu sagen, das ich davon nur sehr begrenzt was verstehe.

Außer eSafe per "VirusTotal" erkennt das kein einziges Antivierenprogramm. DAS gute Stück soll wie schon erwähnt "Win32.TrojanHorse" heißen.

Alle heute upgedatet.

AntiVir-> nicht
Malewarebytes-> nicht
Spybot-> nicht
Threatfire-> nicht
HijakThis-> nicht (über http://www.hijackthis.de/de#anl)

Per ProcessExplorer (Sysinternals) wurde angezeigt, das die Auslastung über svchost.exe durch eine "ntdll.dll" verursacht wird. Ich kenne mich da nicht aus, daher weiß ich nicht ob das was damit zu tun hat. Wenn ich mich richtig erinnere ging es um die Sichtbarkeit von Datenträgern im Netzwerk und irgendwelchen Plug & Pray geschichten.

@Goldjnuge8 vieleicht kannst du mal nen Screenshot vom ProzessExplorer machen wenn du das Problem noch hast.

Nach dem Neustart hat sich das Problem bei mir nämlich erstmal erledigt gehabt, hat allerdings nach dem installieren vom "Adobe Reader" wieder angefangen. Nach erneutem Neustart war alles wieder i.O.

Sollte das wieder losgehen poste ich mal nen Screenshot vom PE.

Ich habe die svchost. exe im Taskmanager auf niedrigste Priorität gesetzt, damit ein Arbeiten wieder möglich wurde.

Hi,
professionelle Hilfe scheint es für das Problem nicht zu geben. In meinem Fall hat die "SPTDinst-v162-x86.exe" von DemonTools zur Systemauslastung geführt.
Nach der Deinstallation von DT kann ich problemlos wieder alles Updaten und den Rechner lange laufen lassen, ohne das die "svchost.exe" die CPU zu 100% aus lastet.

Der vermeintliche Trojaner ist aber immer noch aktiv.
Wäre für Hilfe weiterhin dankbar auch wenn das System wieder läuft, würde ich diesen Untermieter doch gerne los werden, wenn es einer ist.
Da ich wie schon gesagt nur begrenzt Ahnung von so was habe wäre ich für eine Anleitung sehr Dankbar.

@Goldjnuge8: hast Du das schon in den Griff bekommen, wenn ja, Poste doch mal bitte wie Du das hin bekommen hast.

Du meinst Rootkit !!

Zitat:

Der vermeintliche Trojaner ist aber immer noch aktiv

Kann sein, ich bin davon ausgegangen das der Name "Win32.TrojanHorse" auf einen Trojaner hindeutet.
Gibt es eine Möglichkeit das wieder hin zu bekommen?

Habe ebenfalls mal bei Virus Total mene svchost.exe getestet. Ergebniss:
Klick

Außer eSave erkennt da kein Scanner die Windows Datei als infiziert! Fehlalarm seitens eSave würde ich behaupten!

Ist ja immer noch nicht seitens eSafe gelöst

hxxp://www.virustotal.com/analisis/a42568851b48fb9924b3fe18c8a0f3ceecd850254257cfe6c5f168c08f408ef0-1266232267

Btw. die svchost.exe eines frischen windows XP SP3....

Problem existiert ja immer noch.

Auch die Windows 7 svchost.exe wird als Trojaner eingestuft.

hxxp://www.virustotal.com/de/analisis/121118a0f5e0e8c933efd28c9901e54e42792619a8a3a6d11e1f0025a7324bc2-1280048079

Wie kann es sein, dass man beim Hersteller (eSafe) das nicht gebacken bekommt?