svchost.exe 100% Auslastung !
 

Hallo Leute, ich hab mich hier angemeldet, weil sv.chost.exe meinen Computer larm legt. Es ist nämlich ständig auf 100%.

Hier meine Logfile:

***

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:56:29, on 22.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\RTHDCPL.EXE
C:\bin\jusched.exe
I:\Programme\D-Tools\daemon.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Programme\Windows Live\Messenger\msnmsgr.exe
I:\Programme\Carambis\Driver Updater\dupdater.exe
I:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
I:\WINDOWS\system32\cisvc.exe
C:\bin\jqs.exe
I:\WINDOWS\svchost.exe
I:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
I:\Programme\ATI Technologies\ATI.ACE\cli.exe
I:\Programme\ATI Technologies\ATI.ACE\cli.exe
I:\WINDOWS\system32\cidaemon.exe
I:\Programme\Mozilla Firefox\firefox.exe
I:\WINDOWS\system32\wuauclt.exe
I:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.ask.com?o=15003&l=dis
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
R3 - URLSearchHook: (no name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - I:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - I:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - I:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - I:\Programme\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - I:\Programme\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - I:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - I:\Programme\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "I:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [MSConfig] I:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [DAEMON Tools-1033] "I:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "I:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Driver Updater] I:\Programme\Carambis\Driver Updater\dupdater.exe /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - I:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - I:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - I:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - I:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Update Service (gupdate1ca2bc32cf5d66a) (gupdate1ca2bc32cf5d66a) - Google Inc. - I:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - I:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\bin\jqs.exe

--
End of file - 5497 bytes

Ich hoffe ihr könnt damit was anfangen, ich verzweifle langsam :headbang::(

Hallo und :hallo:

1.) Lade die Datei
bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html (nur Schritt 2). Markiere den Text in der Box, kopiere ihn und füge ihn im Uploadchannel ein.

2.) Starte HJT => Do a system scan only => Markiere:
=> Fix checked

3.) Avenger

a) Deaktiviere den Hintergrundwächter vom Virenscanner.

b) Stöpsele alle externen Datenträger vom Rechner ab.

c.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

d.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

e.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
f.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

g.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

h.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

i.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

ciao, andreas

Erst einmal Danke für die Anwort:)
Da gibt es allerdings ein paar Punkte die ich nicht verstehe. Zum Beispiel was meinst du mit Avenger? Was meinst du mit stöpsele alle externen..? Und wie schalte ich den Virenwächter aus?

Sorry, bin halt kein PC-Kenner :kloppen:

Du kannst die Datei auch bei einem Filehoster (z.B. www.materialordner.de) hochladen (englisch: upload) und hier den Link posten.
Nachdem du die Liste markiert hast (Häkchen setzen), klickst du auf einen Knopf, auf dem Fix checked steht. Hier steht es ausführlicher => http://www.trojaner-board.de/51130-a...ijackthis.html
Das ist nur der Name des Programms das du dir erst laden sollst und dann nach Anleitung abarbeiten.
Überspringe den Punkt einfach, der ist nicht wichtig.
Unten rechts solltest du den Regenschirm von Avira sehen => Mausklick rechts auf das Symbol => Wächter deaktivieren (steht da glaub ich)

ciao, andreas

So, ich hab jetzt getan was du gesagt hast, neustart gemacht, aber da ist kein LogFile von Avenger gekommen, und die CPU ist immernoch auf 100%..

Hab ich was falsch gemacht? :(

Und ich hab unter I:Windows/ keine Datei namens svchost ..:S

Ja, aber das wird schon. Du hast auch die falsche Datei hochgeladen. Du solltest diese hier hochladen:
Ich habe noch eine andere Anleitung für den Avenger. Vielleicht verstehst du die besser:

Anleitung Avenger (by swandog46)

• Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

http://saved.im/mzi3ndg3nta0/aven.jpg

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Aber wenn ich I:\WINDOWS\svchost.exe öffnen will, steht da, dass die Datei nicht gefunden werden kann. Ansonsten das mit Avenger hab ich genau so gemacht wie es da steht, aber nach dem Neustart ist nichts neues gekommen.. :S

Start => Ausführen => I:\avenger.txt (so eintippeln) => OK

Poste bitte beide Logs von RSIT. <= Da drauf klicken.

ciao, andreas

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at I:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\JavaQuickStarterService" not found!
Deletion of driver "JavaQuickStarterService" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\gusvc" not found!
Deletion of driver "gusvc" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\gupdate1ca2bc32cf5d66a" not found!
Deletion of driver "gupdate1ca2bc32cf5d66a" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "I:\WINDOWS\svchost.exe" not found!
Deletion of file "I:\WINDOWS\svchost.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

___

Meinst du das?

Ja. :daumenhoc Kann es sein, dass du es mehrfach gemacht hast?

Gibt es eine Besserung?

Packe bitte den Ordner I:\avenger mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch und schicke mir den Link als Private Nachricht.

ciao, andreas

Ja ich finde schon, es gibt ne Besserung :). Allerdings fürchte ich, kann das Ruckeln jeder Zeit wieder auftreten :confused:

Mach ich :)

Gut. :daumenhoc
Kann es auch, wenn du nämlich die gleiche Sache, die zur Infektion geführt hast, wieder machst. Was das genau war, kann ich nicht sagen, da bist du gefragt.
Gut. Du hast mich per PN gefragt, wozu diese Aktion dient. Ganz simpel, altes Sprichwort: Gefahr erkannt, Gefahr gebannt. Je mehr ich über den Schädling in Erfahrung bringen kann, desto einfacher ist zu helfen. Was mir allerdings Sorgen bereitet ist das hier:
Das ist ein uralter Schädling (2003), den ein Anfänger im HJT-Log ausmachen kann. Du hast ein Antivirenprogramm, dass den Schädling erkennen muss. Warum hast du ihn trotzdem? Das ist ein Fileinfector, der sich an alle ausführbaren Dateien anhängt. Selten habe ich die Antivirenhersteller so einig in der Bezeichnung erlebt. Geheilt bist du noch lange nicht!

Weiter mit => http://www.trojaner-board.de/59299-a...eb-cureit.html

ciao, andreas

Du, ich lasse gerade den Antiviren Programm laufen, und der hat bei 25% schon 62 Funde hingelegt. Ich bin echt schockiert :O

Ist mein PC noch zu retten? Kann ich den Schädling entfernen und den PC wieder sauber kriegen?

Übrigens den Scan lasse ich gerade laufen..

Es werden noch viel mehr werden. :(
Ja, da der Schädling sehr alt ist, ist er auch gut erforscht und kann sicher entfernt werden. Nur ich weiß, wieviel Zeit dabei draufgehen kann, deshalb solltest du ernsthaft das hier lesen => http://www.trojaner-board.de/51262-a...sicherung.html

Wenn du lieber bereinigen möchtest, auch wenn es nicht so sicher ist und wesentlich länger dauert, dann gehe ich mit dir den Weg bis zu Ende. Empfehlen würde ich dir das aber nicht.
Gut, danach wissen wir mehr. :)

ciao, andreas

Du meinst also, ich soll meinen XP neu aufsetzen?
Und wie lange könnte die Bereinigung denn dauern?
Und warum würdest du mir das nicht empfehlen?

:)

Ja, das ist meine Empfehlung.
Wir haben schonmal 3 Wochen gewerkelt. Ich schätze in deinem Fall 3 Tage, wenn alles gut läuft.
Weil es einfach zu lange dauert. Es gibt Fälle, bei denen das Sinn ergeben kann, z.B. wenn Software nicht wiederbeschafft werden kann. Aber üblicherweise ist bei Fileinfektoren Neuaufsetzen schneller. Das ist der Hauptgrund. Wenn dich die Zeit nicht schreckt, dann scanne weiter. :)

ciao, andreas

Und was passiert, wenn der "Virus" weiterhin auf dem PC bleibt?
Geht der PC dann schrott?

Nein, von Schädlingen, die die Hardware angreifen (auch wenn das technisch möglich ist), habe ich noch nichts gehört. Der Rechner wird in jedem Fall sauber gemacht, egal ob durch Neuinstallation oder durch Bereinigung, aber Leute mit infizierten Rechnern lasse ich nicht weg. :aufsmaul:

Du musst dich nur für ein Verfahren entscheiden. Neuinstallation dauert Stunden (5 Stunden hat ein ungeübtes Mädchen gebraucht und war anschließend stolz auf sich, dass sie es geschafft hat), Bereinigung dauert Tage. Deine Entscheidung.

ciao, andreas

Ich nehm lieber Tage, denn hier sind Daten drauf die ich nicht verlieren möchte :P

Gut, dann poste das Log von DrWeb.

Übrigens: Auch bei der Neuinstallation verlierst du deine Daten nicht. Die kann und sollte man sowieso ständig auf externe Medien sichern, aber das weiß jeder, dem schon einmal eine Festplatte abgeraucht ist. ;)

ciao, andreas

Und was willst du aus der Log erkennen? Also kannst du dadurch eine Lösung für das Problem finden?

Welche Dateien befallen sind und wieviele!
Die Lösung kenne ich schon. Jeden greifbaren Scanner auf den Rechner loszulassen, deshalb dauert es ja so lange. Wie schon geschrieben, das Teil ist uralt, deshalb ist eine Bereinigung möglich. Schlimmer ist es, wenn die Leute hier mit Teilen auftauchen, die kaum ein Scanner kennt.

ciao, andreas

Ich wollt den bericht hier rein posten, aber der ist zu lang, was soll ich tun?

Entweder in den Anhang packen oder bei einem Filehoster hochladen (z.B. www.file-upload.net) und hier den Link posten.

ciao, andreas

RapidShare: 1-CLICK Web hosting - Easy Filehosting

Beeil dich :P Ich bin auf deine Diagnose gespannt :)

Schlappe 359 Dateien. :eek:

Hast du noch externe Datenträger?

1.) Deinstalliere Avira und die Ask-Toolbar.

2.) Lade dir die neue Version und scanne mit diesen Einstellungen => http://www.trojaner-board.de/54192-a...tellungen.html

ciao, andreas

Ich mach das morgen, okay?

Ich muss morgen früh aufstehen und dementsprechend gehe ich jetzt schlafen. Ich mach das dann morgen und melde mich hier.

Ciao, Susi :D

http://www.poelt.homepage.t-online.de/gutenacht.jpg

Gute Nacht, Andreas

Es scannt gerade...:party:

Verdammt! :headbang::snyper::koch:

--> 4 Viren wurden gefunden steht da am Ende !

Was soll ich tun?

svchost.rar
A0024689.exe
pttm.exe
svchost.exe

Die sind angeblich betroffen. Was soll ich tun? :(

http://www.bilder-space.de/show.php?...cGNeXHMiIJ.JPG

Ich weiß, was auf dich zukommt und habe versucht, dich zu warnen. Es wurden haufenweise Systemdateien befallen (Dateien, die zum Betriebssystem gehören und lebenswichtig für deinen Rechner sind). Dabei leider eine, die nicht bereinigt werden konnte. Die muss im nächsten Schritt wiederhergestellt werden. Bitte unbedingt die korrekte Reihenfolge einhalten.

1.) Lade dir:

• http://www.microsoft.com/downloads/d...displaylang=de
• Downloaddetails: Windows Internet Explorer 8 f&#252;r Windows XP

2.) Speichere beide auf einen externen Datenträger oder andere Partition.

3.) Trenne die Verbindung zum Internet (Stecker ziehen!).

4.) Führe eine Reparaturinstallation durch! Drucke die Anleitung aus oder notiere sie dir. => Reparaturinstallation Windows XP - grafische Anleitung ... - WinBoard - Die Windows Community

5.) Installiere SP3 und MSIE 8.

6.) Stelle die Verbindung zum Internet her, besuche umgehend mit dem MSIE diese Adresse => Microsoft Windows Update

7.) Führe alle Sicherheits- und Treiberupdates durch.

8.) Poste ein neues HJT-Log.

ciao, andreas

Und was heißt das jetzt? Dass der Rechner irgendwann schrott gehen wird?
Und was mache ich mit den 4 Funden? Soll ich auf alles reparieren drücken?

Irgendwann geht jeder Rechner "schrott", aber deiner ist noch nicht so weit. :)
Nein, dabei würde eine wichtige Systemdatei gelöscht und das wäre fatal (du hättest danach keinen Internetzugang mehr und würdest ständig Fehlermeldungen erhalten). Führe die Anleitung aus, scanne anschließend nochmal mit Avira und lasse dann alle Funde löschen. Poste das Log.

ciao, andreas

Also jetzt auf "Abrechen" drücken und dann wieder neu scannen?

Ja.
Nein. Anleitung abarbeiten und erst dann neu scannen.

ciao, andreas

Sorry, dass ich jetzt erst antworte. Hoffe, du liest das noch. Ich hab keine Windows CD was kann ich tun?