Trojaner-Board - bootwin32.exe und 100% Cpu auslastung

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - bootwin32.exe und 100% Cpu auslastung (https://www.trojaner-board.de/6986-bootwin32-exe-100-cpu-auslastung.html)

bootwin32.exe und 100% Cpu auslastung

Hallo erstmal ich habe seit gestern das Problem das auf meinem Rechner eine datei namens bootwin32.exe eine 100% Cpu auslastung verursacht und das ich keine internetseite mehr aufrufen kann meine Antivirensoftware läst sich auch nicht über das Internet aktualisieren. Als Betriebssystem nutze ich WinXp mit dem Sp1 und allen Sicherheitsupdates.Falls jemand eine lösung weiss wäre ich sehr darüber erfreut wen er sie hier Posten würde danke.

bootwin32.exe ist eine seltsame anwendung!
lass das mal checken!

was sagt denn dein virenscanner zu der anwendung??

firewall murrt auch keine verbindung nach draussen an??

wenn du KEINE firewall hast dann aktivier zuminderst die XP interne firewall.

wenn du einen halbwegs tauglichen virenschutz hast dann scan im abgesicherten modus mal durch.
ansonsten kannst du auch den onlinescan verwenden.
(geht aber nicht im abgesicherten modus!)
http://support.f-secure.com/enu/home/ols.shtml

gruss
rock

Da ich momentan auf Arbeit bin und gestern abend nicht all zuviel Zeit hatte um noch einen Test durchlaufen zulassen weiss ich leider nicht was mein Norton Antivirus dazu sagt ich hab nur vorhin als ich auf der Arbeit angekommen bin einen Thread hier im Forum erstellt in der hoffnung das jemand diesen Virus sofern es überhaupt einer ist kennt.Des weiteren habe ich ja das problem das ich trotz meiner norton Firewall daheim nicht aufs Internet zugreifen kann ich kann mit meiner Qdsl Zugangssoftware zwar ganz normal Connecten aber es läst sich halt keine Internetseite öffnen und auf den Symantecserver komm ich auch nicht rauf wen ich mein Antivierentool aktualisieren will.
Naja ich werde wen ich zuhause bin mal über das Notebook meiner Mutter online gehen und euch mitteilen was bei dem Virencheck rauskam.

einer der schädlinge die es verhindern auf die symantec webseiten zu kommen wäre eine agobot/gaobot variante.
aber jetzt nach möglichen herumkramen wird nichts daran ändern das du es dann daheim mal im abgesicherten modus versuchst! norton sollte die gaobots erkennen. aber es kann durchaus ein völlig anderer Backdoor trojaner sein!

eine bootwin32.exe gehört jedenfalls NICHT ins Windows Betriebsystem!

besten gruss
rock

@ Henkman

Hallo,

damit wir nicht dumm sterben müssen:

Erstelle mit HiJackThis ein Log-File und poste es hier rein.

Überprüfe diese bootwin32.exe bei http://www.kaspersky.com/de/remoteviruschk.html und poste das Ergebnis.

Also ich habe Norton im Abgesichertenmodus laufen lassen und das Virenprogramm hat auch prompt 2 viren gefunden einmal einen Bloodhound.W32.EP und den W32.Pinfi beide wurde Isoliert da sie nicht gelöscht werden konnten nur besteht das Problem leider immer noch das die bootwin32.exe viel CPU last verbraucht zwar nur noch um die 40% aber meiner meinung nach immer noch zuviel.Muss ich mir von der Symantecseite so ein removal tool downloaden um die Viren ganz loss zu werden??
Trotzdem schonmal thx für eure hilfe.

mfg Henkman

Zitat:

Muss ich mir von der Symantecseite so ein removal tool downloaden um die Viren ganz loss zu werden??

Meine Glaskugel ist momentan zur Reparatur. :headbang:

Wenn du mein Posting aufmerksam gelesen hättest, dann wüßtest du die weitere Vorgehensweise.

Kein grund gleich ao agressive zu werden -.- .Also ich hab die datei auf der Kasperskyseite checken lassen und es wurde kein virus gefunden.
Ein Logfile habe ich jetzt erstellt :

Logfile of HijackThis v1.98.2
Scan saved at 09:39:56, on 20.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\IEXPLORE.EXE
C:\WINDOWS\System32\wuamgrd.exe
C:\WINDOWS\System32\wucmdex.exe
C:\WINDOWS\system32\bootwin32.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Henkman\Eigene Dateien\hijackthis1982\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\Run: [Microsoft Update Machine] wuamgrd.exe
O4 - HKLM\..\Run: [Microszoft Update Mach1nezs] svcohst.exe
O4 - HKLM\..\Run: [[x]] wucmdex.exe
O4 - HKLM\..\Run: [bootwin32.exe] C:\WINDOWS\system32\bootwin32.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\RunServices: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\RunServices: [Microsoft Update Machine] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microszoft Update Mach1nezs] svcohst.exe
O4 - HKLM\..\RunServices: [[x]] wucmdex.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] wuamgrd.exe
O4 - HKCU\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKCU\..\Run: [Microszoft Update Mach1nezs] svcohst.exe
O4 - HKCU\..\Run: [[x]] wucmdex.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0EE8D3D7-AFDC-41B6-B22F-9CB0B51B9F8C}: NameServer = 194.25.2.129,194.25.2.130
O17 - HKLM\System\CCS\Services\Tcpip\..\{37A00B38-582F-4D1F-B608-20F87FB71EF4}: NameServer = 213.148.129.10 213.148.130.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{0EE8D3D7-AFDC-41B6-B22F-9CB0B51B9F8C}: NameServer = 194.25.2.129,194.25.2.130

Dann wollen wir mal hoffen das diese Informationen deiner Glaskugel weiter helfen nicht das du sonst nochmal eine :headbang: aktion starten must und das dadurch die Wände in deinem Haus so porös werden das dir das Dach auf den kopf fällt :huepp: .

Mfg Henkman

Ich sehe was was ihr nicht seht und das ist ein Trojaner oder so ;)

In der Regel hast du Gaobot auf deinem System :

C:\WINDOWS\System32\wuamgrd.exe

Ich sage Dir auch was du tun solltest.

Zuerst einmal folgenden Prozess beenden :
wuamgrd.exe

Dann lösche bitte Folgende Dateien

svcohst.exe, wuamgrd.exe, IEXPLORE.EXE

bei
O4 - HKLM\..\Run: [[x]] wucmdex.exe
O4 - HKLM\..\Run: [bootwin32.exe] C:\WINDOWS\system32\bootwin32.exe

Bin ich mir noch nicht sicher, am besten Online Scannen lassen, aber ich ahne dass die auch net ganz Koscha sind

Dementsprend sind danach folgende Einträge zu fixen

O4 - HKLM\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\Run: [Microsoft Update Machine] wuamgrd.exe
O4 - HKLM\..\Run: [Microszoft Update Mach1nezs] svcohst.exe
O4 - HKLM\..\Run: [[x]] wucmdex.exe
O4 - HKLM\..\Run: [bootwin32.exe] C:\WINDOWS\system32\bootwin32.exe

O4 - HKLM\..\RunServices: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\RunServices: [Microsoft Update Machine] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microszoft Update Mach1nezs] svcohst.exe
O4 - HKLM\..\RunServices: [[x]] wucmdex.exe

O4 - HKCU\..\Run: [Microsoft Update Machine] wuamgrd.exe
O4 - HKCU\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKCU\..\Run: [Microszoft Update Mach1nezs] svcohst.exe
O4 - HKCU\..\Run: [[x]] wucmdex.exe

Man möge mich korrigieren falls ich falsch liege ;)

Zitat:

...IEXPLORE.EXE

C:\WINDOWS\System32\IEXPLORE.EXE, nicht aber C:\Programme\Internet Explorer\IEXPLORE.EXE

Zitat:

Man möge mich korrigieren falls ich falsch liege

;).

Yea Big thx Fancy Andy ich habe alle dateien mit Highjackthis fixen bzw löschen lassen die du aufgelistet hast und jetzt läuft mein System wieder normal nur scheint der Wurm leider mein mIrc zerschossen zuhaben zumindest startet das Programm nicht mehr :/ .

Hallo!

Ich habe ein großes Problem: Mein Antivierenprogramm hat ein Virus mit dem Namen "Bloodhound.W32.EP" gefunden und kann es weder isolieren, noch löschen. Gibt es irgendwo ein Tool dagegen? Und kann mir jemand die Adresse dafür geben? Oder gibt es andere Möglichkeiten das Biest zu löschen?

Irgendwie habe ich durch dieses Virus Probleme ins Internet zu kommen.
Weiß vielleicht jemand, wie gefährlich dieses Ding überhaupt ist? Und was es anrichten kann?

Ehrlich gesagt, habe ich keine Ahnung wie und wo ich es mir eingefangen habe...

Wenn ihr antwortet, worüber ich mich sehr freuen würde, dann bitte kein Fachchinesich. Ich kann zwar mit PCs umgehen, aber mit den ganzen Begriffen kenne ich mich nicht aus ;-).

Achso, falls es hilfreich ist: Mein Antivirenprogramm ist Norton.

Viele liebe Grüße

Angel_Phonetica

Hallo Angel_Phonetic

das Thema wurde hier schon öffter behandelt schau hier http://www.trojaner-board.de/search.php?searchid=352390

es sieht nicht gut für dich aus, es läuft wahrscheinlich auf ein Neuaufstzen des System hinaus
In welchem Ordner befindet sich die Datei. Falls sie im Taskmanager mit geladen ist beende den Prozess im Taskmanager und lasse mal die Datei hier scannen und teile das Ergebnis mit,
für die Aktion solltest du deinen Virenscanner deaktivieren

Hallo Gigamail!

Danke, für deine Antwort.

Ich weiß ehrlich gesagt nicht, welche Datei genau betroffen ist. Mein Virenprogramm hat mir das nicht angesagt. Wie finde ich das heraus?

Viele liebe Grüße

Angel_Phonetic

Zitat:

Zitat von Angel_Phonetic: Hallo Gigamail!

Danke, für deine Antwort.

Ich weiß ehrlich gesagt nicht, welche Datei genau betroffen ist. Mein Virenprogramm hat mir das nicht angesagt. Wie finde ich das heraus?

das kann ich nicht glauben denn jedes AV-Programm hat auch ein Lofile dort steht der gesammte Pfad drin. Du kannst danach suchen, du kannst auch mit escan dein System mal scannen beachte dabei aber genau die Anleitung (siehe meine Signatur)