Hallo,

vor kurzem habe ich einen großen Temperaturzuwachs meiner CPU bemerkt, also habe ich mal in den Taskmanager geschaut und die cmd.exe gefunden. Diese sorgt für eine ständige CPU-Auslastung von 100% und erst durch das beenden dieses Prozesses geht die Temperatur meiner CPU von 55°C auf 35°C runter.

Da ich aber die cmd.exe nicht starte, sondern sie sich von alleine beim Windows-Start selber startet (und die Eingabeaufforderungs-cmd.exe ja sicher nicht soviel an Leistung fressen kann), dachte ich da an einen Virus. Ich habe schon mit Spybot/Malwarebytes und Avast Antivir gescanned, aber leider nichts gefunden.

Ich habe also die Schritte der Load.exe ausgeführt und alles nach Anleitung gemacht. Bis auf die defogger.exe die es bei mir nicht gab und auch die gmer.exe konnte ich leider nicht ausführen, da mir beim starten der Datei folgende Fehlermeldung angezeigt wurde:

"C:\Windows\system32\config\system: Das System kann die angegebene Datei nicht finden."

Mein System, falls nötig:

Win7 x64
Core2Duo E6750
HD 4870
3.12 GB RAM

Die Logfiles sind im Anhang.

Hi,

das ist ein 64-Bit-System, da gibt es leider sehr wenige Tools die funktionieren...

Hmmm, handelt es sich um eine reguläres Win7, da ist so einiges was man eigentlich nur bei gehackten-Versionen findet...

MAM updaten und FULLSCAN, nicht quickscan...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen!
  (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
  und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\SysNative\umrdp.dll
C:\Windows\SysNative\hale.exe
C:\Windows\SysNative\slmgr.vbs
C:\Windows\SysNative\winver.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Prevx:
Das Tool neigt zu Fehlalarmen und kann in der freien Version auch nichts löschen, ist aber sonst recht gut... (und läuft auch 64Bit-Plattformen)
Prevx 3.0 for Home and Family
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris
Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4:64bit: - HKLM..\Run: [Chew7Hale] C:\Windows\SysNative\hale.exe ()
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
@Alternate Data Stream - 110 bytes -> C:\ProgramData\TEMP:888AFB86
:Commands
[emptytemp]
[EMPTYFLASH]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Cureit:
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

Prevx:
Das Tool neigt zu Fehlalarmen und kann in der freien Version auch nichts löschen, ist aber sonst recht gut... (und läuft auch 64Bit-Plattformen)
Prevx 3.0 for Home and Family
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris
Ps.: Bin morgen den ganzen Tag unterwegs und nicht zu erreichen!

Problem ist nach ausführung des OTL Fix weg. Vielen dank!