Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   svchost.exe + tftp.exe (https://www.trojaner-board.de/19401-svchost-exe-tftp-exe.html)

Ph0bic 30.06.2005 09:12

svchost.exe + tftp.exe
 
Hallo alle miteinander.
Wie so manch anderer habe ich ebenfalls das kleine Problemchen mit der svchost.exe und der CPU-Auslastung. Allerdings in einer etwas makaberen Form.
Nach einiger Zeit (meist 10-15 Minuten) sehe ich unten rechts wie meine CPU-Auslastung auf 100% geht, schaue ich dann in den Process Explorer sehe ich, dass eine der 4 svchost.exe 99% Auslastung hat und direkt darunter gleichzeitigt tftp.exe gestartet wurde.
Wenn ich zuerst tftp.exe beende und danach die svchost.exe ist alles wieder beim alten, naja, fast.
Denn danach funktioniert mein Sound nicht mehr, ich muss also den Treiber neu Installieren.
Zudem, das ueblere Problem, wird dadurch irgendwie meine GraKa beeintraechtigt, da diese auf einmal meint nicht mehr genug Saft zu bekommen.*
Schlimmer ist es jedoch, wenn ich zuerst die svchost.exe beende und danach erst die tftp.exe, denn dann funktioniert fast nichts mehr richtig und nur der Reboot hilft.
Weder avast! noch sonst irgendein Programm konnte mir bisher weiterhelfen und langsam gewoehne ich mich schon daran zu warten, zu beenden, Treiber neu zu Installieren und saemtliche Spiele mit nur 80fps zu Spielen ;)

Einen HiJackThis Logfile habe ich unten Angehaengt, ich hoffe ich hab das richtig gemacht.

(* = Bin ich mir noch nicht sicher, aber zu 70% schon ;) )

Logfile of HijackThis v1.99.1
Scan saved at 10:06:09, on 30.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\devldr32.exe
C:\Dokumente und Einstellungen\Ph0bic\Desktop\procexpnt\procexp.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Opera\Opera.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Ph0bic\Desktop\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MS UniX] navupdate64.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [Microsoft Opeions] IEXwe.exe
O4 - HKLM\..\RunServices: [RNDc Test] wf32b.exe
O4 - HKLM\..\RunServices: [RNBc Test] wf32vbs.exe
O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe
O4 - HKCU\..\Run: [MS UniX] navupdate64.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1120117917406
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A9C0136-C283-45ED-8A72-0CC3934A1D39}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{4A9C0136-C283-45ED-8A72-0CC3934A1D39}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{4A9C0136-C283-45ED-8A72-0CC3934A1D39}: NameServer = 192.168.1.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\System32\netddeclnt.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\system32\MSMSN7.exe (file missing)

Ich hoffe auf Hilfe und danke schon mal im Vorraus,
Ph0bic

dartus 30.06.2005 09:47

Hallo Ph0bic,

leider sieht es nicht gut aus:
http://www.sophos.com/virusinfo/anal...32codbotm.html
und
C:\WINDOWS\system32\navupdate64.exe infected by "Backdoor.Win32.Rbot.gen" Virus
dies zu svchost.exe und tftp.exe:
http://us.mcafee.com/virusInfo/defau...virus_k=125092

Grund dafür ist Dein nicht aktuelles Betriebssystem, SP 2 muss installiert und stets upgedatet werden.

Bei Trojanern mit Backdoorfunktionalität wird Dir hier dringend eine Neuinstallation empfohlen.

http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Botnet

http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html

Empfohlene Anleitung zur Neuinstallation:
http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung :
http://www.trojaner-board.de/showpos...8&postcount=11

sry
dartus

Ph0bic 30.06.2005 10:17

Hallo und danke fuer die schnelle Hilfe, dartus.

Seltsamerweise habe ich keine der auf der von dir gelinkten Seite aufgelisteten Probleme, wie zB "A side-effect of the worm is for LSASS.EXE to crash, by default such a system will reboot after the crash occurs.".

Hm, ich warte mal noch 2-3 Antworten ab, trotzdem vielen Dank!

Ph0bic

dartus 30.06.2005 10:32

Hallo Ph0bic,

IMHO wird Dir hier kaum jemand einen anderen Rat geben wegen:

http://www.viruslist.com/en/viruses/...?virusid=56713 = navupdate64.exe

http://www.sophos.com/virusinfo/anal...32codbotm.html
-Allows others to access the computer
-Steals information
-Reduces system security
-Records keystrokes
-Installs itself in the Registry
-Exploits system or software vulnerabilities

dartus

Ph0bic 30.06.2005 10:40

Also..
Ich hab das ja nicht erst 2 Tage, sondern schon eine ganze Weile.
Ich glaube dir schon, dass ich damit Infiziert bin, die Beweise sind ja eindeutig.
Allerdings glaube ich nicht, dass ich deswegen wieder zum Formatieren gezwungen bin, jedenfalls Hoffe ich das nicht.
Und wenn doch werde ich wohl mit dem Ding leben muessen.

Bisher fiel mir nichts auf, als dass am Anfang die CPU-Auslastung auf 100% geht, kaum beende ich den Prozess startet er wieder und funktioniert weiter ohne Probleme.
Alles was ich nach dem Beenden tun muss, ist meinen Soundtreiber neu Installieren...
Keylogged wurde bisher nichts, Kontrolliert im IRC wurde ich auch noch nicht, eigentlich fiel mir nichts besonderes auf, kann das daran liegen das ich im Besitz eines gut Konfigurierten Routers bin oder was?

Ich hab wirklich keinerlei Probleme, ausser das neu Installieren der Soundtreiber nach dem Beenden der svchost.exe...

Das mit der Grafikkarte war mein Fehler, hatte 'n Stromstecker dran der einen Wackelkontakt hatte ;)

Also entweder erfindet da jemand ein Removal-Tool oder ich werde weiterhin damit leben muessen, denn ein Format ist mir das ganze (noch) nicht wert, dazu bin ich viel zu faul & habs viel zu oft gemacht (speziell in den letzten Wochen).

Fuer weitere Hilfe bin ich sehr dankbar, danke auch nochmal an dich :)

Ph0bic

Haui45 30.06.2005 10:43

Zitat:

Zitat von Ph0bic
Hm, ich warte mal noch 2-3 Antworten ab, trotzdem vielen Dank!

Ich schließe mich 'dartus' an.


Zitat:

dazu bin ich viel zu faul & habs viel zu oft gemacht (speziell in den letzten Wochen).
-> Platform: Windows XP SP1 (WinNT 5.01.2600)
Dann mach' es einmal richtig.

Gigamail 30.06.2005 14:05

@ Ph0bic

Zitat:

Zitat von Ph0bic
Hm, ich warte mal noch 2-3 Antworten ab, trotzdem vielen Dank!
Ich schliesse mich Haui's Antwort an :D


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131