Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   svchost.exe und unerklärlich hohe RAM-Auslastung (99%) (https://www.trojaner-board.de/113090-svchost-exe-unerklaerlich-hohe-ram-auslastung-99-a.html)

thasorrow 03.04.2012 22:32
svchost.exe und unerklärlich hohe RAM-Auslastung (99%)
 
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo,

zu erst einmal bin ich mir nicht sicher, ob und inwieweit überhaupt ein Problem vorliegt. Falls ich es im falschen Thema (oder falschem Forum ^^)
gepostet habe -> Sry.

Auf jedenfall habe ich heute ein wenig gemuxed und Tonspuren konvertiert. Dabei stieg meine RAM-Belegung auf fast 6 GB (voll). Ich dachte es käme daher. Aber auch später war die RAM-Auslastung noch immer auf Max.
Als ich neugestartet habe, kam eine Meldung über Hintergrundprozesse, deren Schließung dann erzwungen werden musste. Nach dem Reboot habe ich den Resourcenmonitor geöffnet und die "svchost.exe" hat unaufhörlich den RAM zugespamt bis mein PC kaum noch reagiert hat.

Habe gelesen, dass dieser Prozess vllt. gehackt wurde und er nun Daten aus dem Inet zieht. Immer bis zum Anschlag.

Folgendes habe ich unternommen:

- Combofix
- Hijack this
- svchost Analyser

Avira hat sich beim Systemcheck an einer /Wow6432Node/.../ProxyStubClsid32 Datei iwo im Sytem32-Ordner aufgehängt. Auch WinDefender war iwie weg. Hatte aber WinUpdate deaktiviert. Das RAM-Problem als auch das WinDef Problem könnten laut Inet was damit zu tun haben.

Der svchost Analyser hat mich auf 3 dll Dienste aufmerksam gemacht die ungewöhnlich seien. SecTaskmanager hat da allerdings nicht Alarm geschlagen.

Momentan ist mein RAM im grünen Bereich ca. 1,2 GB. Als ich vorhin eine MKV geöffnet habe ging er allerdings innerhalb von 1 min auf 6 GB. Das ist nicht normal, schätz ich.

Eine andere MKV Datei ließ sich nicht löschen weil win-explorer darauf zugriff. Dann gabs da beim Systemstart noch eine Meldung wegen Serverauslastung ?!?!?!

Sry wegen den viele Infos. Kann mir da leider keinen Reim drauf machen. :confused: Bitte checkt doch mal die Anhänge und sagt mir was ich tun soll, falls das RAM- Problem bestand haben sollte.

Vielen Dank für eure Hilfe

cosinus 04.04.2012 14:32
Zitat:
Folgendes habe ich unternommen:

- Combofix
- Hijack this
:stirn: :balla:

Wir wollen hier weder Hijackthis-Log unaufgefordert sehen, noch sollst du einfach so mal auf eigene Faust http://www.trojaner-board.de/95175-combofix.html ausführen!

Sind die Hinweise zu http://www.trojaner-board.de/95175-combofix.html denn nicht deutlich genug? :eek:

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

thasorrow 04.04.2012 14:59
ok, hab ich verstanden. bekomme ich vllt auch eine hilfreiche antwort anstatt eins auf den deckel? mein pc lebt noch... ram kurz nach systemstart normal.

cosinus 04.04.2012 15:17
Ist immer nur wieder ägerlich, wenn solche wichtigen Infos ignoriert oder missachtet werden, deswegen poste ich sowas immer in aller Deutlichkeit!

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

thasorrow 04.04.2012 15:44
ok, danke für die hilfe. malwarebytes läuft ... meld mich dann wieder.

Also, Malwarebytes ergab 2 Funde. Diese waren in Games-Trainer enthalten.
Vermutlich eine Falschmeldung, da das Problem lange nach dem Download dieser Trainer zum ersten mal auftrat. Malware hat die Datein gelöscht und ich die Ordner gleich mit.

Hier der log:

Code:
2012/04/04 16:42:41 +0200        DANIELE-PC        Daniele        MESSAGE        Starting protection
2012/04/04 16:42:43 +0200        DANIELE-PC        Daniele        MESSAGE        Protection started successfully
2012/04/04 16:42:46 +0200        DANIELE-PC        Daniele        MESSAGE        Starting IP protection
2012/04/04 16:42:46 +0200        DANIELE-PC        Daniele        MESSAGE        IP Protection started successfully
2012/04/04 16:54:18 +0200        DANIELE-PC        Daniele        MESSAGE        Executing scheduled update:  Daily
2012/04/04 16:54:18 +0200        DANIELE-PC        Daniele        MESSAGE        Database already up-to-date
2012/04/04 16:57:02 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.203 (Type: outgoing, Port: 50527, Process: chrome.exe)
2012/04/04 16:57:03 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.203 (Type: outgoing, Port: 50528, Process: chrome.exe)
2012/04/04 16:57:03 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.203 (Type: outgoing, Port: 50529, Process: chrome.exe)
2012/04/04 16:57:03 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.203 (Type: outgoing, Port: 50530, Process: chrome.exe)
2012/04/04 16:57:03 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.203 (Type: outgoing, Port: 50531, Process: chrome.exe)
2012/04/04 16:57:03 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.203 (Type: outgoing, Port: 50532, Process: chrome.exe)
2012/04/04 16:57:03 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.228 (Type: outgoing, Port: 50534, Process: chrome.exe)
2012/04/04 16:57:03 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.228 (Type: outgoing, Port: 50535, Process: chrome.exe)
2012/04/04 16:57:03 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.228 (Type: outgoing, Port: 50536, Process: chrome.exe)
2012/04/04 16:57:03 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.228 (Type: outgoing, Port: 50537, Process: chrome.exe)
2012/04/04 16:57:03 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.228 (Type: outgoing, Port: 50538, Process: chrome.exe)
2012/04/04 16:57:03 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.228 (Type: outgoing, Port: 50539, Process: chrome.exe)
2012/04/04 16:57:03 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.203 (Type: outgoing, Port: 50540, Process: chrome.exe)
2012/04/04 16:57:27 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.203 (Type: outgoing, Port: 50541, Process: chrome.exe)
2012/04/04 16:57:27 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.203 (Type: outgoing, Port: 50542, Process: chrome.exe)
2012/04/04 16:57:27 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.203 (Type: outgoing, Port: 50543, Process: chrome.exe)
2012/04/04 16:57:27 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.203 (Type: outgoing, Port: 50544, Process: chrome.exe)
2012/04/04 16:57:27 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.203 (Type: outgoing, Port: 50545, Process: chrome.exe)
2012/04/04 16:57:27 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.203 (Type: outgoing, Port: 50546, Process: chrome.exe)
2012/04/04 16:57:27 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.228 (Type: outgoing, Port: 50547, Process: chrome.exe)
2012/04/04 16:57:27 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.228 (Type: outgoing, Port: 50548, Process: chrome.exe)
2012/04/04 16:57:27 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.228 (Type: outgoing, Port: 50549, Process: chrome.exe)
2012/04/04 16:57:27 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.228 (Type: outgoing, Port: 50550, Process: chrome.exe)
2012/04/04 16:57:27 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.228 (Type: outgoing, Port: 50551, Process: chrome.exe)
2012/04/04 16:57:27 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.228 (Type: outgoing, Port: 50552, Process: chrome.exe)
2012/04/04 16:57:27 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.203 (Type: outgoing, Port: 50553, Process: chrome.exe)
2012/04/04 16:58:32 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.203 (Type: outgoing, Port: 50580, Process: chrome.exe)
2012/04/04 16:58:32 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.203 (Type: outgoing, Port: 50581, Process: chrome.exe)
2012/04/04 16:58:32 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.203 (Type: outgoing, Port: 50582, Process: chrome.exe)
2012/04/04 16:58:32 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.203 (Type: outgoing, Port: 50583, Process: chrome.exe)
2012/04/04 16:58:32 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.203 (Type: outgoing, Port: 50584, Process: chrome.exe)
2012/04/04 16:58:32 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.203 (Type: outgoing, Port: 50585, Process: chrome.exe)
2012/04/04 16:58:32 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.228 (Type: outgoing, Port: 50586, Process: chrome.exe)
2012/04/04 16:58:32 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.228 (Type: outgoing, Port: 50587, Process: chrome.exe)
2012/04/04 16:58:32 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.228 (Type: outgoing, Port: 50588, Process: chrome.exe)
2012/04/04 16:58:32 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.228 (Type: outgoing, Port: 50589, Process: chrome.exe)
2012/04/04 16:58:32 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.228 (Type: outgoing, Port: 50590, Process: chrome.exe)
2012/04/04 16:58:32 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.228 (Type: outgoing, Port: 50591, Process: chrome.exe)
2012/04/04 16:58:32 +0200        DANIELE-PC        Daniele        IP-BLOCK        109.163.226.203 (Type: outgoing, Port: 50592, Process: chrome.exe)
2012/04/04 18:07:27 +0200        DANIELE-PC        Daniele        MESSAGE        Starting protection
2012/04/04 18:07:29 +0200        DANIELE-PC        Daniele        MESSAGE        Protection started successfully
2012/04/04 18:07:32 +0200        DANIELE-PC        Daniele        MESSAGE        Starting IP protection
2012/04/04 18:07:33 +0200        DANIELE-PC        Daniele        MESSAGE        IP Protection started successfully
Bin mir nicht sicher, ob das der richtige ist. Konnte unter Malware in Programm files/data sonst nichts finden

Hier der eset-log:


Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=a905bdcf3d504f47b75ef55603551a85
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-04 05:11:03
# local_time=2012-04-04 07:11:03 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1792 16777215 100 0 4047351 4047351 0 0
# compatibility_mode=5893 16776573 100 94 7866 85185922 0 0
# compatibility_mode=8192 67108863 100 0 140 140 0 0
# scanned=219352
# found=7
# cleaned=0
# scan_time=3390
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarApp.dll        Variante von Win32/Toolbar.Babylon Anwendung (Säubern nicht möglich)        00000000000000000000000000000000        I
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarEng.dll        Win32/Toolbar.Babylon Anwendung (Säubern nicht möglich)        00000000000000000000000000000000        I
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarsrv.exe        möglicherweise Variante von Win32/Toolbar.Babylon Anwendung (Säubern nicht möglich)        00000000000000000000000000000000        I
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll        Win32/Toolbar.Babylon Anwendung (Säubern nicht möglich)        00000000000000000000000000000000        I
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll        Win32/Toolbar.Babylon Anwendung (Säubern nicht möglich)        00000000000000000000000000000000        I
C:\Users\Daniele\Desktop\Daniele\AppData\Local\Opera\Opera\cache\g_0005\opr0NJJR.tmp        Win32/Adware.ADON Anwendung (Säubern nicht möglich)        00000000000000000000000000000000        I
C:\Users\Daniele\Desktop\Daniele\AppData\Local\temp\SetupDataMngr_Searchqu.exe        Variante von Win32/Toolbar.SearchSuite Anwendung (Säubern nicht möglich)        00000000000000000000000000000000        I
Die infizierten Dateien sind noch da, was nun?

hab das malware log gefunden

Code:
Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.04.04.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Daniele :: DANIELE-PC [Administrator]

Schutz: Aktiviert

04.04.2012 16:43:47
mbam-log-2012-04-04 (16-43-47).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 422222
Laufzeit: 1 Stunde(n), 19 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Qoobox\Quarantine\C\h4x0r.dll.vir (HackTool.GamesCheat) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Daniele\Documents\EMule-Zielordner\resident_evil_dx10_v1_0_0_129_plus_15_trainer\RESIDENT EVIL 5 DX10 v1.0.0.129 + 15 Trainer.exe (HackTool.GamesCheat) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

cosinus 04.04.2012 21:00
Zitat:
C:\Users\Daniele\Documents\EMule-Zielordner\resident_evil_dx10_v1_0_0_129_plus_15_trainer\RESIDENT EVIL 5 DX10 v1.0.0.129 + 15 Trainer.exe
Scheint ein Crack mit Trainer zu sein :pfui:

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials

thasorrow 04.04.2012 23:46
hab das spiel original, wollte nur bischen cheaten ^^

cosinus 05.04.2012 10:00
Zitat:
wollte nur bischen cheaten ^^
Und deswegen lädst du dir aus der dubiosesten Quelle, die man sich nur vorstellen kann, einen Trainer samt Crack runter? :balla: :headbang:
Lass die Finger von EXEs/binaries und v.a. von illegalen EXE/binaries wie Keygens, Cracks sowie sehr dubiosen "Trainern"
Mit Cracks/Keygens/Trainer verbreiten die Malwareautoren sehr sehr gerne Schädlinge, da bei vielen einfach der Verstand aussetzt wenn man ja kostenlos das Spiel über einen Crack oder Keygen nutzen kann oder verzweifelt über einen angeblichen Trainer im Spiel weiterkommen will.


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131