Trojaner-Board - Brauche Hilfe! Irgendwas stimmt hier nicht!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Brauche Hilfe! Irgendwas stimmt hier nicht! (https://www.trojaner-board.de/20444-brauche-hilfe-irgendwas-stimmt.html)

Brauche Hilfe! Irgendwas stimmt hier nicht!

Ich brauche hilfe, weil mein PC bleibt sehr oft hängen, obwohl keine Auslastung im stande ist. Ich habe diese Prozesse im Task-Manager. Ein Profi sollte sich das mal anschauen, und mir sagen, welche Prozesse nicht in meinen PC gehören!

iexplore.exe
maestro.exe
ctfmon.exe
CookiePatrol.exe
PPMemCheck.exe
AVGNT.exe
mdm.exe
inetinfo.exe
alg.exe
AVWUPSRW.EXE
AVGUARD.EXE
spoolsv.exe
explorer.exe
svhost.exe
taskmgr.exe
svhost.exe
svhost.exe
lsass.exe
services.exe
winlogon.exe
csrss.exe
smss.exe
wdfmgr.exe
sw_serv.exe
nvsvc32.exe
System
Leerlaufprozess

Außerdem finde ich es komisch, das eine svhost.exe 21.714 KB Wegnimmt.

Danke im voraus!

Hallo,

wenn du hier schon Leuten helfen willst dann solltest du erst mal deinen PC in Ordnung bringen. Ich habe nähmlich die Vermutung, damit sich ein paar schlimme Sachen darauf rumtummeln

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, damit das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Cidres Anleitung

Wichtig: in HJT Log-Files sollten aktive Links und persönliche Informationen editiert werden.
Z.B.:http:// in h**p:// und C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\1.99.1\HijackThis.exe

Zitat:

Zitat von Gigamail

Hallo,
wenn du hier schon Leuten helfen willst dann solltest du erst mal deinen PC in Ordnung bringen.

Was soll das denn? Ich helfe anderen Leuten, wenn ich Ahnung zum Thema hab! Denkst du ich schreib da Müll rein? HiJackThis hat auch nichts gefunden!

Meine Logfile

Logfile of HijackThis v1.99.1
Scan saved at 12:34:01, on 03.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Gemein**** *******\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Symphony\maestro.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Symphony\sw_serv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\A****\LOKALE~1\Temp\Rar$EX00.113\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***://www.************.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = ****://search.qsrch.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: T-Sinus 931 Konfiguration.lnk = C:\Programme\Symphony\maestro.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: switcher - C:\WINDOWS\SYSTEM32\sw_note.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symphony Switcher Service - Unknown owner - C:\Programme\Symphony\sw_serv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

@MERKO

Zitat:

Außerdem finde ich es komisch, das eine svhost.exe 21.714 KB Wegnimmt.

Ich gehe davon aus, dass hier sich um eine Rbot-Variante handelt Info . Überpfüfe die Datei bei http://virusscan.jotti.org/. Wenn es so ist, folge die Anleitung zum Neuaufsetzen (Link in meiner Signatur)

Ich habe in meinem System Ordner eine Datei gefunden, die bei Fortinet eine MALWARE ausgelöst hat:

POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: this file was only classified as malware by scanners known to generate more false positives than the average scanner. Do not consider these results definately accurate. Also, because of this, results of this scan will not be recorded in the database.)

Was soll ich damit tun?

@MERKO

Zitat:

Ich habe in meinem System Ordner eine Datei gefunden

Welche Datei denn?

Nicht nur eine, sondern mehrere:

TWUNK_32.exe
explorer.exe
ND_Uninstall

Service load: 0% 100%

File: NDNuninstall6_38.exe

Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain -, results will not be stored in the database.)

MD5 77c92713297c1c8b4f4c01c170c2ba89

Packers detected: -

Scanner results
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found Adware.NewDotNet.B
Dr.Web Found not a virus Adware.NewDotNet
F-Prot Antivirus Found nothing
Fortinet Found W32/Startpage.DU-dr
Kaspersky Anti-Virus Found not-a-virus:AdWare.NewDotNet
NOD32 Found nothing
Norman Virus Control Found W32/NewDotNet.A
UNA Found Adware.NewDotNet
VBA32 Found AdWare.NewDotNet

Soll ich diese Datei einfach löschen?

@MERKO

Zitat:

Soll ich diese Datei einfach löschen?

Nein. Lese erstmal hier und unbedingt die svhost.exe checken.

@Rene-Gad

ich glaube fast die Datei gibt es auf dem Rechner nicht, da hat er sich wahrscheinlich verschrieben. Habe mich am Anfang auch davon täuschen lassen
http://www.mainzelahr.de/smile/cool/mf_bluesbrother.gif

@Gigamail

Zitat:

ich glaube fast die Datei gibt es auf dem Rechner nicht, da hat er sich wahrscheinlich verschrieben.

Einmal- schon möglich, aber 3 mal :confused: (s. OP)

Zitat:

....
svhost.exe
....
svhost.exe
svhost.exe
...

Stimmt ich habe mich verschrieben. Die Dateien heißen svchost.exe