|
svchost.exe 100% Auslastung ! Hallo Leute, ich hab mich hier angemeldet, weil sv.chost.exe meinen Computer larm legt. Es ist nämlich ständig auf 100%. Hier meine Logfile: *** Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:56:29, on 22.09.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: I:\WINDOWS\System32\smss.exe I:\WINDOWS\system32\winlogon.exe I:\WINDOWS\system32\services.exe I:\WINDOWS\system32\lsass.exe I:\WINDOWS\system32\Ati2evxx.exe I:\WINDOWS\system32\svchost.exe I:\WINDOWS\System32\svchost.exe I:\WINDOWS\system32\Ati2evxx.exe I:\WINDOWS\system32\spoolsv.exe I:\WINDOWS\Explorer.EXE I:\WINDOWS\RTHDCPL.EXE C:\bin\jusched.exe I:\Programme\D-Tools\daemon.exe I:\WINDOWS\system32\ctfmon.exe I:\Programme\Windows Live\Messenger\msnmsgr.exe I:\Programme\Carambis\Driver Updater\dupdater.exe I:\Programme\ATI Technologies\ATI.ACE\CLI.EXE I:\WINDOWS\system32\cisvc.exe C:\bin\jqs.exe I:\WINDOWS\svchost.exe I:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe I:\Programme\ATI Technologies\ATI.ACE\cli.exe I:\Programme\ATI Technologies\ATI.ACE\cli.exe I:\WINDOWS\system32\cidaemon.exe I:\Programme\Mozilla Firefox\firefox.exe I:\WINDOWS\system32\wuauclt.exe I:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.live.com/sphome.aspx R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.ask.com?o=15003&l=dis R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx R3 - URLSearchHook: (no name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - (no file) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - I:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - I:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - I:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - I:\Programme\Ask.com\GenericAskToolbar.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\bin\jp2ssv.dll O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - I:\Programme\Windows Live\Toolbar\wltcore.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - I:\Programme\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - I:\Programme\Ask.com\GenericAskToolbar.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\bin\jusched.exe" O4 - HKLM\..\Run: [ATICCC] "I:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [MSConfig] I:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [DAEMON Tools-1033] "I:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "I:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [Driver Updater] I:\Programme\Carambis\Driver Updater\dupdater.exe /minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - I:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - I:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - I:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - I:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe O23 - Service: Google Update Service (gupdate1ca2bc32cf5d66a) (gupdate1ca2bc32cf5d66a) - Google Inc. - I:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - I:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\bin\jqs.exe -- End of file - 5497 bytes Ich hoffe ihr könnt damit was anfangen, ich verzweifle langsam :headbang::( |
Hallo und :hallo: 1.) Lade die Datei Zitat:
2.) Starte HJT => Do a system scan only => Markiere: Code: Alle R0, R1, R3, O2, O3, O9 und O16-Einträge3.) Avenger a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. c.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) d.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png e.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: Drivers to delete:g.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. h.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. i.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. ciao, andreas |
Erst einmal Danke für die Anwort:) Da gibt es allerdings ein paar Punkte die ich nicht verstehe. Zum Beispiel was meinst du mit Avenger? Was meinst du mit stöpsele alle externen..? Und wie schalte ich den Virenwächter aus? Sorry, bin halt kein PC-Kenner :kloppen: |
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
ciao, andreas |
So, ich hab jetzt getan was du gesagt hast, neustart gemacht, aber da ist kein LogFile von Avenger gekommen, und die CPU ist immernoch auf 100%.. Hab ich was falsch gemacht? :( Und ich hab unter I:Windows/ keine Datei namens svchost ..:S |
Zitat:
Zitat:
Anleitung Avenger (by swandog46)
Code: Drivers to delete:
ciao, andreas |
Aber wenn ich I:\WINDOWS\svchost.exe öffnen will, steht da, dass die Datei nicht gefunden werden kann. Ansonsten das mit Avenger hab ich genau so gemacht wie es da steht, aber nach dem Neustart ist nichts neues gekommen.. :S |
Start => Ausführen => I:\avenger.txt (so eintippeln) => OK Poste bitte beide Logs von RSIT. <= Da drauf klicken. ciao, andreas |
Logfile of The Avenger Version 2.0, (c) by Swandog46 Swandog46's Public Anti-Malware Tools Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at I:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\JavaQuickStarterService" not found! Deletion of driver "JavaQuickStarterService" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\gusvc" not found! Deletion of driver "gusvc" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\gupdate1ca2bc32cf5d66a" not found! Deletion of driver "gupdate1ca2bc32cf5d66a" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "I:\WINDOWS\svchost.exe" not found! Deletion of file "I:\WINDOWS\svchost.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. ___ Meinst du das? |
Ja. :daumenhoc Kann es sein, dass du es mehrfach gemacht hast? Gibt es eine Besserung? Packe bitte den Ordner I:\avenger mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch und schicke mir den Link als Private Nachricht. ciao, andreas |
Zitat:
Zitat:
|
Zitat:
Zitat:
Zitat:
Code: Datei svchost.exe empfangen 2009.09.23 10:35:59 (UTC)Weiter mit => http://www.trojaner-board.de/59299-a...eb-cureit.html ciao, andreas |
Du, ich lasse gerade den Antiviren Programm laufen, und der hat bei 25% schon 62 Funde hingelegt. Ich bin echt schockiert :O Ist mein PC noch zu retten? Kann ich den Schädling entfernen und den PC wieder sauber kriegen? Übrigens den Scan lasse ich gerade laufen.. |
Zitat:
Zitat:
Wenn du lieber bereinigen möchtest, auch wenn es nicht so sicher ist und wesentlich länger dauert, dann gehe ich mit dir den Weg bis zu Ende. Empfehlen würde ich dir das aber nicht. Zitat:
ciao, andreas |
Du meinst also, ich soll meinen XP neu aufsetzen? Und wie lange könnte die Bereinigung denn dauern? Und warum würdest du mir das nicht empfehlen? :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:51 Uhr. |
Copyright ©2000-2025, Trojaner-Board