Hey,


ich habe ein Problem mit svchost, der Prozess ist bei 100% und legt damit sämtliche anderen Prozesse mehr oder weniger lahm.
Habe bereits im Internet geguckt und bin auch sehr wiedersprüchliche Meinungen gestoßen. Die eine Seite behauptet es sei ein Windows bug, die andere behauptet es sei Malware. Da ich zum Zeitpunkt wo ich den Start vermute im Internet war, und als sich ein Werbebalken an der Seite öffnete, JavaVM plötzlich lud und ich darauf hin einen Blackscreen hatte neige ich zu der Annahme das es Malware ist.

Hier ein HiJacklog:
[code]
HiJackthis Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:19:37, on 13.09.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Dokumente und Einstellungen\Aussenminister\Startmenü\Programme\Autostart\monmvr32.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\Aussenminister\Desktop\Virenbekämpfung\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://www.arcor.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [wlconfig] C:\Programme\WLAN Monitor\wlconfig.exe -autostart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: monmvr32.exe
O4 - Startup: Mozilla Sunbird.lnk = C:\Programme\Mozilla Sunbird\sunbird.exe
O8 - Extra context menu item: Free YouTube Download - C:\Dokumente und Einstellungen\Aussenminister\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Aussenminister\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Blue HttpMail Proxy (BlueHttpMailProxy) - Unknown owner - C:\HttpMailProxy\HttpMailProxy.exe (file missing)
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 6531 bytes
         

--- --- ---



Einen malwarebytescanlog würde ich gerne stellen, aber wegen der 100% CPU auslastung kompliziert, und desweiteren verweigert Malewarebytes das Update. SUPERAntiSpyware hingegen updatet ohne probleme, von daher schließe ich da einen Malwareeinfluss aus.

Danke für eure Hilfe

Mfg S.


PS: Im Log wird der IE erwähnt, ich benutze diesen aber nicht, mein Browser ist Opera. Wollte dies nur erwähnen könnte ja ggf einen Unterschied machen.

€: Auf der Suche nach einer eigenen Lösung habe ich Windows Patch ****://www.microsoft.com/downloads/details.aspx?FamilyID=7a81b0cd-a0b9-497e-8a89-404327772e5a&DisplayLang=de installiert, er brachte aber auch keine Abhilfe wie es in einigen Foren publiziert wurde.

Zitat:

Einen malwarebytescanlog würde ich gerne stellen, aber wegen der 100% CPU auslastung kompliziert, und desweiteren verweigert Malewarebytes das Update.

Deswegen verweigert Malwarebytes das nicht. Welche Fehlermeldung kommt genau?

Zitat:

O4 - Startup: monmvr32.exe

Du weißt was das ist? Schließt Malwarebefall aber aus?

Zitat:

Einen malwarebytescanlog würde ich gerne stellen, aber wegen der 100% CPU auslastung kompliziert, und desweiteren verweigert Malewarebytes das Update. SUPERAntiSpyware hingegen updatet ohne probleme, von daher schließe ich da einen Malwareeinfluss aus.

Der Kontext war nicht ganz klar, ich meine einen Malewarebefall von Malewarebytes. Ich kann ja meinen anderen Scanner updaten.
Der Fehlercode ist 732 (0,0)

Und ok, ich habe diese .exe für was anders gehalten, ist anscheinend ein nahezu identischer name zu nem NVIDIA Treiber. Aber ohne Tippfehler kommen da in der Tat mehrere Trojanerwarnungen bei google :S.

Probier Malwarebytes mal so aus, evtl behebt es auch das Updateproblem => http://www.trojaner-board.de/82699-m...tet-nicht.html

Ok, ich schein mir da was nicht nur kleines eingefangen zu haben:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4613

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

14.09.2010 13:26:41
mbam-log-2010-09-14 (13-26-41).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 132089
Laufzeit: 43 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 13

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\Aussenminister\Startmenü\Programme\Autostart\monmvr32.exe (Trojan.Downloader) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\WINDOWS\system32\drwagsvc.dll (Trojan.PWS.Gen) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\accwldrv (Rootkit.Bubnix) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drwagsvc.dll (Trojan.PWS.Gen) -> Delete on reboot.
C:\WINDOWS\system32\drivers\accwldrv.sys (Rootkit.Bubnix) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\accwldrv.sys.bak (Rootkit.Bubnix) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\prgng.sys (Rootkit.Bubnix) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\ttebv.sys (Rootkit.Bubnix) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\~TM198.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\sedt2r.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\WINDOWS\odiprf.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Aussenminister\Anwendungsdaten\apiqfw.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\apiqfw.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Aussenminister\Startmenü\Programme\Autostart\monmvr32.exe (Trojan.Downloader) -> Delete on reboot.
C:\Dokumente und Einstellungen\Aussenminister\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
         

Und das war nur ein Quickscan, aber das 100% auslastungsproblem besteht immernoch.

Mach bitte einen Vollscan!

Habe nun nach dem neustart ein neuen komplett-Scan gemacht und die 100% auslastung sind weg.

Wie kann ich sicher gehen das nach dem neustart die Malware nicht wieder da ist?

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4613

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

14.09.2010 14:38:15
mbam-log-2010-09-14 (14-38-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 397789
Laufzeit: 1 Stunde(n), 1 Minute(n), 0 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{4EFE04AD-E53F-41C8-B58C-96E8BD4FD0F2}\RP43\A0006951.dll (Trojan.PWS.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4EFE04AD-E53F-41C8-B58C-96E8BD4FD0F2}\RP43\A0006955.sys (Rootkit.Bubnix) -> Quarantined and deleted successfully.
E:\Age of Empires II\age2_x1\age2_x1.exe (Trojan.FakeMS) -> Quarantined and deleted successfully.
         

Zitat:

E:\Age of Empires II\age2_x1\age2_x1.exe (Trojan.FakeMS) -

Was soll das sein für AgeOfEmpires?

Weiß ich nicht war ein Spiel was mir mal einn Freund auf einer LAN rüber geschoben hatte. Kann sein das die .exe modifiziert war und deswegen die Heuristik einn bischen gesponnen hat.

Sry aber das Teil sieht mir nach einem Crack aus. Das ist illegal und wird hier nicht supportet.

Is kein Crack, und das ist auch nicht mein Problem , diese Datei taucht bei jedem meiner Scans auf und wird nie entfernt.

Mein Problem war mein svchost.exe, bzw dieser Trojaner monmvr32.exe, das Problem scheint aber gelöst zu sein.

Ich danke dir für deine Hilfe

Zitat:

Is kein Crack, und das ist auch nicht mein Problem

Dann erklär mir mal bitte was genau das ist. So aus Spaß wird diese Datei nämlich nicht moniert und im Web verdichten sich die Hinweise auf einen NoCD-Crack. Dass Cracks ganz gleich welcher Art fast immer verseucht sind, ist auch kein Geheimnis.

Die Datei ist in einem Ordner der mir bei einer LAN rüber geschoben wurde, habe das Spiel selber nie gespielt geschweige denn installiert von daher kann ich dir nichtmal sagen ob das ein Crack ist oder nicht.
Ich kann verstehen das du da was vermutest und das ihr das hier nicht supporten wollt, aber mein problem ist definitiv nicht diese Datei (den entsprechenden Ordner habe ich schon seit Monaten) von daher gibt es nun 2 Optionen:

1) Du verweigerst mir die Hilfe und löschst meinen Acc im Forum (wär schad aber is ja net so das man sich hier mit ID einloggen würde)

2) Du glaubst mir das ich das Spiel nicht installiert habe und ergo keinen Crack benötige und hilfst mir weiter mit meinem Problem (sofern es denn noch besteht)

In any case sage ich aber schonmal danke für die bisherige Hilfe, du hast mir nun mindestens schon zum 2ten mal sehr geholfen.

Ich drück ausnahmsweise mal ein Auge zu

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.