Trojaner-Board - Hijacker.Application / SVChost.exe -> CPU Auslastung 80-100% ?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Hijacker.Application / SVChost.exe -> CPU Auslastung 80-100% ? (https://www.trojaner-board.de/103963-hijacker-application-svchost-exe-cpu-auslastung-80-100-a.html)

Hijacker.Application / SVChost.exe -> CPU Auslastung 80-100% ?

Hallihallo,

Meine CPU-Auslastung liegt konstant bei 80-100% und da mir das ein wenig spanisch vorkam, habe Ich dann mal geguckt was für Prozesse ablaufen.

Zum Einen läuft komischerweise die svchost.exe 10-15x und trägt somit zu einer extrem hohen CPU-Auslastung bei, aber da mir das noch nicht gereicht hat, habe Ich noch mit Malwarebytes einen Quick-Scan gemacht, Log hier:

Code:

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org
 

Datenbank Version: 7900
 

Windows 6.0.6002 Service Pack 2

Internet Explorer 8.0.6001.19120
 

08.10.2011 13:44:26

mbam-log-2011-10-08 (13-44-21).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 176031

Laufzeit: 18 Minute(n), 47 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 1

Infizierte Dateiobjekte der Registrierung: 1

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_Application (Hijacker.Application) -> Value: bak_Application -> No action taken.
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\Application (Hijacker.Application) -> Bad: (hxxp://www.helpmeopen.com/?n=app&ext=%s) Good: (hxxp://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s) -> No action taken.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Naja, jetzt zu meiner eigentlichen Frage:
Ist dieses Hijack.Application Teil Malware und verursacht sie zusammen mit der svchost.exe die hohe CPU-Auslastung oder kann ich "beruhigt" bleiben?

Danke im vorraus :)

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hier der Log von Malwarebytes :)

Code:

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org
 

Datenbank Version: 7907
 

Windows 6.0.6002 Service Pack 2

Internet Explorer 8.0.6001.19120
 

09.10.2011 14:20:47

mbam-log-2011-10-09 (14-20-43).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)

Durchsuchte Objekte: 349029

Laufzeit: 1 Stunde(n), 29 Minute(n), 45 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 1

Infizierte Dateiobjekte der Registrierung: 1

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_Application (Hijacker.Application) -> Value: bak_Application -> No action taken.
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\Application (Hijacker.Application) -> Bad: (hxxp://www.helpmeopen.com/?n=app&ext=%s) Good: (hxxp://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s) -> No action taken.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Hier, der Log vom Eset-Scan.

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6528

# api_version=3.0.2

# EOSSerial=cc8c994a474eac4c86190783a40eaaea

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2011-10-09 03:53:58

# local_time=2011-10-09 05:53:58 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=6.0.6002 NT Service Pack 2

# compatibility_mode=256 16777215 100 0 24012613 24012613 0 0

# compatibility_mode=1280 16777215 100 0 42489362 42489362 0 0

# compatibility_mode=5892 16776637 100 100 45706 155696297 0 0

# compatibility_mode=8192 67108863 100 0 281 281 0 0

# scanned=205134

# found=2

# cleaned=0

# scan_time=12069

C:\Program Files\Winferno\PC Confidential\PCCBHO.dll        Win32/Adware.PCConfidential application (unable to clean)        00000000000000000000000000000000        I

${Memory}        Win32/Adware.PCConfidential application        00000000000000000000000000000000        I

Danke für die schnelle Antwort :)

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Jop, hab noch einige Quickscans.
Ich poste einfach mal Alle nacheinander.

Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4220
 

Windows 6.0.6002 Service Pack 2 (Safe Mode)

Internet Explorer 8.0.6001.18928
 

01.08.2010 00:50:45

mbam-log-2010-08-01 (00-50-45).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 125189

Laufzeit: 5 Minute(n), 59 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Users\Odion\AppData\Roaming\addons.dat (Bifrose.Trace) -> Quarantined and deleted successfully.

Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4220
 

Windows 6.0.6002 Service Pack 2 (Safe Mode)

Internet Explorer 8.0.6001.18943
 

25.09.2010 10:06:00

mbam-log-2010-09-25 (10-06-00).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 125543

Laufzeit: 6 Minute(n), 30 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4220
 

Windows 6.0.6002 Service Pack 2

Internet Explorer 8.0.6001.18999
 

20.01.2011 16:37:00

mbam-log-2011-01-20 (16-37-00).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 24516

Laufzeit: 12 Minute(n), 14 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 1

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Das sind Alle! :)

Aufregende Funde sind da nicht bei.
Poste mal welcher Prozess genau die hohe Last erzeugt. Falls da eine svchost und oder wuauclt im Spiel ist, überprüf erstmal, ob wirklich ALLE Windows-Update installiert sind.

Öfter erlebt hab ich auch eine Last duch den SSDP-Suchdienst. Dazu müsstest du mal testweise über Computerverwaltung/Dienste diesen Dienst stoppen und deaktivieren.

Also hier wäre ein Screen von meinen Prozessen.
Ich wunder mich einfach nur das dieser svchost so oft offen ist.
Ich weiß dass das ein wichtiger Dienst von Windows und dass der auch normalerweise öfters offen ist, sich dann allerdings auch, wenn der Dienst vollzogen ist (?) sich wieder schließt.
Aber dass der gleich 15x offen ist? :daumenrunter:

http://s14.directupload.net/images/111014/mdf3xj4i.jpg

Zitat:

Ich wunder mich einfach nur das dieser svchost so oft offen ist.

Mehrere laufende svchost.exe sind normal. Diese Legende, dass mehrere laufende svchost.exe "unnormal" bis "schädlich" seien, hält sich einfach hartnäckig....

Dabei ist die svchost.exe bloß nur ein "Hüllenprozess", eine Art Hilfsdienst, damit andere Dienste und Programme ordentlich funktionieren.

Zitat:

Zitat:

Zitat von http://www.neuber.com/taskmanager/deutsch/prozess/svchost.exe.html

"Svchost.exe" ist ein allgemeiner Hostprozessname für Dienste, die mit Hilfe von DLL-Dateien ausgeführt werden. Dienste sind Funktionen, die z.B. automatische USB-Geräten erkennen oder die Druck-Funktionen ermöglichen. Dienste können gestartet oder gestoppt werden. Nicht alle Dienste benötigen Svchost.exe (nur solche, die per DLL-Dateien ausgeführt werden müssen). Das Betriebssystem startet Svchost-Sessions sobald es solche benötigt und beendet sie auch wieder, sobald einer nicht mehr gebraucht wird. Svchost.exe fasst mehrere Dienste zusammen, d.h. es können mehrere Instanzen von Svchost.exe gleichzeitig ausgeführt werden.

Dein Screenshot ist nichtssagend. Die dort abgebildete Prozessliste zeigt eine minimale Auslastung, ein Prozess bei einem, ein anderer bei nur zwei Prozent. Wo ist denn da die von dir beklagte Last?

Ahhh okay, vielen, vielen Dank!
Ich hab mich schon immer gefragt was das mit dieser svchost.exe soll.

Nun ja, wo nun mein Problem liegt: Ich kanns ehrlich gesagt nicht sagen.

Es ist komisch, also meine CPU-Auslastung geht ab und an einfach mal so für kurze Perioden auf 100% ohne dass mein Laptop sonderlich viel zutun hat.
Ich hab immer Skype im Hintergrund offen, ab und an mal Chrome aber das wars auch schon. Ich dachte erst dass da Malware dran Schuld sein könnte.

So find Ich jetzt aber auch nichts in meinen Prozessen dass mir irgendwie unbekannt vorkommt.

Ich formatier demnächst meine Festplatte und mach mir Windows 7 auf meinen Laptop, wenn Ich ehrlich bin ist er auch schon ziemlich zugemüllt.

Vielleicht liegts ja daran.
Danke jedenfalls, für die Hilfe :) Ich denke man kann hier zu machen.

Ich empfehl euch weiter, ihr seid wirklich das, was man kompetent nennt.
:dankeschoen: