|
svchost.exe + tftp.exe Hallo alle miteinander. Wie so manch anderer habe ich ebenfalls das kleine Problemchen mit der svchost.exe und der CPU-Auslastung. Allerdings in einer etwas makaberen Form. Nach einiger Zeit (meist 10-15 Minuten) sehe ich unten rechts wie meine CPU-Auslastung auf 100% geht, schaue ich dann in den Process Explorer sehe ich, dass eine der 4 svchost.exe 99% Auslastung hat und direkt darunter gleichzeitigt tftp.exe gestartet wurde. Wenn ich zuerst tftp.exe beende und danach die svchost.exe ist alles wieder beim alten, naja, fast. Denn danach funktioniert mein Sound nicht mehr, ich muss also den Treiber neu Installieren. Zudem, das ueblere Problem, wird dadurch irgendwie meine GraKa beeintraechtigt, da diese auf einmal meint nicht mehr genug Saft zu bekommen.* Schlimmer ist es jedoch, wenn ich zuerst die svchost.exe beende und danach erst die tftp.exe, denn dann funktioniert fast nichts mehr richtig und nur der Reboot hilft. Weder avast! noch sonst irgendein Programm konnte mir bisher weiterhelfen und langsam gewoehne ich mich schon daran zu warten, zu beenden, Treiber neu zu Installieren und saemtliche Spiele mit nur 80fps zu Spielen ;) Einen HiJackThis Logfile habe ich unten Angehaengt, ich hoffe ich hab das richtig gemacht. (* = Bin ich mir noch nicht sicher, aber zu 70% schon ;) ) Logfile of HijackThis v1.99.1 Scan saved at 10:06:09, on 30.06.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\System32\devldr32.exe C:\Dokumente und Einstellungen\Ph0bic\Desktop\procexpnt\procexp.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Opera\Opera.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\Ph0bic\Desktop\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [MS UniX] navupdate64.exe O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKLM\..\RunServices: [Microsoft Opeions] IEXwe.exe O4 - HKLM\..\RunServices: [RNDc Test] wf32b.exe O4 - HKLM\..\RunServices: [RNBc Test] wf32vbs.exe O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe O4 - HKCU\..\Run: [MS UniX] navupdate64.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1120117917406 O17 - HKLM\System\CCS\Services\Tcpip\..\{4A9C0136-C283-45ED-8A72-0CC3934A1D39}: NameServer = 192.168.1.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{4A9C0136-C283-45ED-8A72-0CC3934A1D39}: NameServer = 192.168.1.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{4A9C0136-C283-45ED-8A72-0CC3934A1D39}: NameServer = 192.168.1.1 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\System32\netddeclnt.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\system32\MSMSN7.exe (file missing) Ich hoffe auf Hilfe und danke schon mal im Vorraus, Ph0bic |
Hallo Ph0bic, leider sieht es nicht gut aus: http://www.sophos.com/virusinfo/anal...32codbotm.html und C:\WINDOWS\system32\navupdate64.exe infected by "Backdoor.Win32.Rbot.gen" Virus dies zu svchost.exe und tftp.exe: http://us.mcafee.com/virusInfo/defau...virus_k=125092 Grund dafür ist Dein nicht aktuelles Betriebssystem, SP 2 muss installiert und stets upgedatet werden. Bei Trojanern mit Backdoorfunktionalität wird Dir hier dringend eine Neuinstallation empfohlen. http://de.wikipedia.org/wiki/Backdoor http://de.wikipedia.org/wiki/Botnet http://www.mathematik.uni-marburg.de...c-removal.html http://www.mathematik.uni-marburg.de...ompromise.html Empfohlene Anleitung zur Neuinstallation: http://www.trojaner-board.de/showthread.php?t=12154 Thema Datensicherung : http://www.trojaner-board.de/showpos...8&postcount=11 sry dartus |
Hallo und danke fuer die schnelle Hilfe, dartus. Seltsamerweise habe ich keine der auf der von dir gelinkten Seite aufgelisteten Probleme, wie zB "A side-effect of the worm is for LSASS.EXE to crash, by default such a system will reboot after the crash occurs.". Hm, ich warte mal noch 2-3 Antworten ab, trotzdem vielen Dank! Ph0bic |
Hallo Ph0bic, IMHO wird Dir hier kaum jemand einen anderen Rat geben wegen: http://www.viruslist.com/en/viruses/...?virusid=56713 = navupdate64.exe http://www.sophos.com/virusinfo/anal...32codbotm.html -Allows others to access the computer -Steals information -Reduces system security -Records keystrokes -Installs itself in the Registry -Exploits system or software vulnerabilities dartus |
Also.. Ich hab das ja nicht erst 2 Tage, sondern schon eine ganze Weile. Ich glaube dir schon, dass ich damit Infiziert bin, die Beweise sind ja eindeutig. Allerdings glaube ich nicht, dass ich deswegen wieder zum Formatieren gezwungen bin, jedenfalls Hoffe ich das nicht. Und wenn doch werde ich wohl mit dem Ding leben muessen. Bisher fiel mir nichts auf, als dass am Anfang die CPU-Auslastung auf 100% geht, kaum beende ich den Prozess startet er wieder und funktioniert weiter ohne Probleme. Alles was ich nach dem Beenden tun muss, ist meinen Soundtreiber neu Installieren... Keylogged wurde bisher nichts, Kontrolliert im IRC wurde ich auch noch nicht, eigentlich fiel mir nichts besonderes auf, kann das daran liegen das ich im Besitz eines gut Konfigurierten Routers bin oder was? Ich hab wirklich keinerlei Probleme, ausser das neu Installieren der Soundtreiber nach dem Beenden der svchost.exe... Das mit der Grafikkarte war mein Fehler, hatte 'n Stromstecker dran der einen Wackelkontakt hatte ;) Also entweder erfindet da jemand ein Removal-Tool oder ich werde weiterhin damit leben muessen, denn ein Format ist mir das ganze (noch) nicht wert, dazu bin ich viel zu faul & habs viel zu oft gemacht (speziell in den letzten Wochen). Fuer weitere Hilfe bin ich sehr dankbar, danke auch nochmal an dich :) Ph0bic |
Zitat:
Zitat:
|
@ Ph0bic Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:37 Uhr. |
Copyright ©2000-2025, Trojaner-Board