Trojaner-Board - tracking cookie, 100% CPU Auslastung

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - tracking cookie, 100% CPU Auslastung (https://www.trojaner-board.de/74170-tracking-cookie-100-cpu-auslastung.html)

Bekomme die Meldung:

[SC] OpenService Fehler 5:

Zugriff verweigert

tut mir leid vielleicht stell ich mich nen bischen dusselig an:headbang:

Drecks Vista. :koch:

Schließe das schwarze Fenster. Start => Ausführen => cmd [Strg][Shift/Umschalt][Enter]

Dann nochmal probieren.

ciao, andreas

[Strg][Shift/Umschalt][Enter]

äh.. soll ich das schreiben, drücken??

nein, doch nich:uglyhammer:

Das machen wir jetzt ganz anders.

Alle Programme mit Mausklick rechts => Ausführen als Administrator starten.

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Drivers to delete:

a2AntiMalware

CLTNetCnService

gupdate1c986e26cec1968

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Alle Programme?, tut mir leid verstehe ich nich

Du sollst Avenger nicht mit Doppelklick öffnen sondern mit Mausklick rechts auf das Avengersymbol => Ausführen als Administrator. Und das gilt für alle Programme, wenn du danach wieder mit HJT arbeitest, dort auch Mausklick rechts auf das HJT-Symbol => Ausführen als Administrator.

ciao, andreas

Also erstmal die gute Nachricht, die CPU Auslastung ist, nach Neustart, bei 2-10%:aplaus:

Die schlechte: C:\avenger.txt ist nicht vorhanden. Nach dem Neustart ist ein text da aber in WordPad, hier ist er:

L_o_g_f_i_l_e_ _o_f_ _T_h_e_ _A_v_e_n_g_e_r_ _V_e_r_s_i_o_n_ _2_._0_,_ _(_c_)_ _b_y_ _S_w_a_n_d_o_g_4_6_
_
_h_t_t_p_:_/_/_s_w_a_n_d_o_g_4_6_._g_e_e_k_s_t_o_g_o_._c_o_m_
_
_
_
_P_l_a_t_f_o_r_m_:_ _ _W_i_n_d_o_w_s_ _V_i_s_t_a_
_
_
_
_*_*_*_*_*_*_*_*_*_*_*_*_*_*_*_*_*_*_*_
_
_
_
_S_c_r_i_p_t_ _f_i_l_e_ _o_p_e_n_e_d_ _s_u_c_c_e_s_s_f_u_l_l_y_._
_
_S_c_r_i_p_t_ _f_i_l_e_ _r_e_a_d_ _s_u_c_c_e_s_s_f_u_l_l_y_._
_
_
_
_B_a_c_k_u_p_s_ _d_i_r_e_c_t_o_r_y_ _o_p_e_n_e_d_ _s_u_c_c_e_s_s_f_u_l_l_y_ _a_t_ _C_:_\_A_v_e_n_g_e_r_
_
_
_
_*_*_*_*_*_*_*_*_*_*_*_*_*_*_*_*_*_*_*_
_
_
_
_B_e_g_i_n_n_i_n_g_ _t_o_ _p_r_o_c_e_s_s_ _s_c_r_i_p_t_ _f_i_l_e_:_
_
_
_
_R_o_o_t_k_i_t_ _s_c_a_n_ _a_c_t_i_v_e_._
_
_N_o_ _r_o_o_t_k_i_t_s_ _f_o_u_n_d_!_
_
_
_
_D_r_i_v_e_r_ _"_a_2_A_n_t_i_M_a_l_w_a_r_e_"_ _d_e_l_e_t_e_d_ _s_u_c_c_e_s_s_f_u_l_l_y_._
_
_
_
_E_r_r_o_r_:_ _ _r_e_g_i_s_t_r_y_ _k_e_y_ _"_\_R_e_g_i_s_t_r_y_\_M_a_c_h_i_n_e_\_S_y_s_t_e_m_\_C_u_r_r_e_n_t_C_o_n_t_r_o_l_S_e_t_\_S_e_r_v_i_c_e_s_\_C_L_T_N_e_t_C_n_S_e_r_v_i_c_e_"_ _n_o_t_ _f_o_u_n_d_!_
_
_D_e_l_e_t_i_o_n_ _o_f_ _d_r_i_v_e_r_ _"_C_L_T_N_e_t_C_n_S_e_r_v_i_c_e_"_ _f_a_i_l_e_d_!_
_
_S_t_a_t_u_s_:_ _0_x_c_0_0_0_0_0_3_4_ _(_S_T_A_T_U_S___O_B_J_E_C_T___N_A_M_E___N_O_T___F_O_U_N_D_)_
_
_ _ _-_-_>_ _t_h_e_ _o_b_j_e_c_t_ _d_o_e_s_ _n_o_t_ _e_x_i_s_t_
_
_
_
_D_r_i_v_e_r_ _"_g_u_p_d_a_t_e_1_c_9_8_6_e_2_6_c_e_c_1_9_6_8_"_ _d_e_l_e_t_e_d_ _s_u_c_c_e_s_s_f_u_l_l_y_._
_
_
_
_C_o_m_p_l_e_t_e_d_ _s_c_r_i_p_t_ _p_r_o_c_e_s_s_i_n_g_._
_
_
_
_*_*_*_*_*_*_*_*_*_*_*_*_*_*_*_*_*_*_*_
_
_
_
_F_i_n_i_s_h_e_d_!_ _ _T_e_r_m_i_n_a_t_e_._
_
_

Hoffe das hilft dir weiter

Tja, ich wusste schon immer, dass Google ein Virus ist. :)

Poste noch ein aktuelles HJT-Log, dann sollten wir durch sein.

ciao, andreas

So da isser

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:20:33, on 16.06.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18248)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Windows\system32\conime.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Windows\ASScrPro.exe
D:\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
D:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Windows\ehome\ehtray.exe
D:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Apoint2K\HidFind.exe
C:\Program Files\Apoint2K\Apvfb.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
D:\Program Files\Full Tilt Poker\FullTiltPoker.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O1 - Hosts: ::1 localhost
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PowerForPhone] C:\Program Files\PowerForPhone\PowerForPhone.exe
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\ASScrPro.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [EPSON SX100 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIEDE.EXE /FU "C:\Windows\TEMP\E_S8B2E.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Logitech SetPoint.lnk = D:\Program Files\Logitech\SetPoint\SetPoint.exe
O13 - Gopher Prefix:
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 3730 bytes

Aktiviere noch das automatische Update von Vista, dann bin ich zufrieden.
Aktivieren oder Deaktivieren von automatischen Updates - Windows Vista-Hilfe

Du bist entlassen. :)

ciao, andreas

Hallo Andreas,

Windows update ist eingeschaltet.

Und dir vielen, vielen Dank für deine Geduld und Hilfe.
Wenn es eine "Kaffeekasse" gibt laß es mich bitte wissen.