Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   svchost.exe verbraucht 99% der cpu-ressourcen (https://www.trojaner-board.de/85663-svchost-exe-verbraucht-99-cpu-ressourcen.html)

Laurin09 04.05.2010 13:06
svchost.exe verbraucht 99% der cpu-ressourcen
 
Hallo,
Wie gesagt verbrauch svchost.exe bei imr derzeit 99% der cpu ressourcen und ich weiss einfach nicht warum.. Die letzten programme die ich installiert habe, habe ich alle nochmals deinstalleirt um nachtzusehen ob es vielleicht daran lieg. Aber Fehlanzeige.
Weiss vielleicht jemand weiter?

LG Laurin09

Kiyoshi 04.05.2010 13:48
Hey,
poste hier bitte mal ein HiJackThis Logfile. Gibt es schon sonstige Anzeichen? Meldet sich dein Anti-Viren-Programm o.ä?

Grüße,
Kiyoshi

Laurin09 04.05.2010 16:30
Nein, keine anderen anzeichen..

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:30:17, on 04.05.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
F:\Windows\system32\sdra64.exe
F:\Windows\system32\taskhost.exe
F:\Windows\Explorer.EXE
F:\Program Files\Common Files\Java\Java Update\jusched.exe
F:\Program Files\avmwlanstick\WLanGUI.exe
F:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
F:\Program Files\McAfee\Common Framework\UdaterUI.exe
F:\Program Files\McAfee\VirusScan Enterprise\shstat.exe
F:\Program Files\Windows Live\Messenger\msnmsgr.exe
F:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
F:\Program Files\DAEMON Tools Lite\DTLite.exe
F:\Program Files\McAfee\Common Framework\McTray.exe
F:\Program Files\Skype\Phone\Skype.exe
F:\Program Files\ICQ7.1\ICQ.exe
F:\Users\lalu\AppData\Local\Temp\zargwli.exe
F:\Users\lalu\AppData\Local\Temp\winlogon.exe
F:\Windows\System32\rundll32.exe
F:\Users\lalu\Downloads\µTorrent 1.6.1 (Build 490).exe
F:\Program Files\Skype\Plugin Manager\skypePM.exe
F:\Program Files\Windows Live\Contacts\wlcomm.exe
F:\Windows\system32\Dwm.exe
F:\Program Files\Windows Media Player\wmplayer.exe
F:\Program Files\Mozilla Firefox\firefox.exe
F:\Program Files\Skype\Toolbars\Shared\SkypeNames2.exe
F:\PROGRA~2\Java\jre6\bin\jp2launcher.exe
F:\Program Files\Java\jre6\bin\java.exe
F:\Windows\system32\conhost.exe
F:\Users\lalu\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ICQ.com Suche
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Program Files\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=F:\Windows\system32\userinit.exe,F:\Windows\system32\sdra64.exe,
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - F:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - F:\Program Files\McAfee\VirusScan Enterprise\scriptsn.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - F:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - F:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - F:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - F:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - F:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: Foxit Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - F:\Program Files\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [AVMWlanClient] F:\Program Files\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [RtHDVCpl] F:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "F:\Program Files\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "F:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKCU\..\Run: [msnmsgr] "F:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] F:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "F:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [Skype] "F:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "F:\Program Files\ICQ7.1\ICQ.exe" silent loginmode=4
O4 - HKCU\..\Run: [hsf87sdhfush87fsufhuie3fddf] F:\Users\lalu\AppData\Local\Temp\zargwli.exe
O4 - HKCU\..\Run: [hsf87efjhdsf87f3jfsdi7fhsujfd] F:\Users\lalu\AppData\Local\Temp\winlogon.exe
O4 - HKCU\..\Run: [Canaveral] rundll32.exe F:\Windows\system32\sshnas21.dll,BackupReadW
O4 - HKCU\..\Run: [M5T8QL3YW3] F:\Users\lalu\AppData\Local\Temp\Ns1.exe
O4 - HKCU\..\Run: [userinit] F:\Users\lalu\AppData\Roaming\sdra64.exe
O4 - Startup: 115026.lnk = ?
O4 - Startup: µTorrent 1.6.1 (Build 490) - Verknüpfung.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - F:\Program Files\ICQ7.1\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - F:\Program Files\ICQ7.1\ICQ.exe
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - F:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - F:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{621EEBB1-2CA7-4B43-BE1F-D9CB76CE883B}: NameServer = 192.168.178.24,192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF1E9905-8983-4133-85DB-22DBB4373513}: NameServer = 192.168.178.22,192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{621EEBB1-2CA7-4B43-BE1F-D9CB76CE883B}: NameServer = 192.168.178.24,192.168.178.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{621EEBB1-2CA7-4B43-BE1F-D9CB76CE883B}: NameServer = 192.168.178.24,192.168.178.1
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - F:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - F:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AVM WLAN Connection Service - AVM Berlin - F:\Program Files\avmwlanstick\WlanNetService.exe
O23 - Service: Google Update Service (gupdate1caeae374331252) (gupdate1caeae374331252) - Google Inc. - F:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: McAfee Engine Service (McAfeeEngineService) - McAfee, Inc. - F:\Program Files\McAfee\VirusScan Enterprise\EngineServer.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - McAfee, Inc. - F:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - F:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - F:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: McAfee Validation Trust Protection Service (mfevtp) - McAfee, Inc. - F:\Windows\system32\mfevtps.exe
O23 - Service: NMSAccess - Unknown owner - F:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - F:\Windows\system32\nvvsvc.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - F:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe

--
End of file - 8411 bytes

Larusso 04.05.2010 16:35
:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.


Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


schritt 1

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90


Bitte poste in Deiner nächsten Antwort
OTL.txt
Extra.txt

Laurin09 04.05.2010 20:16
Okay, ich werds versuchen.

Laurin09 04.05.2010 20:29
Ok, hier ist erstmal die extras.txt:
Code:
OTL Extras logfile created on: 04.05.2010 20:50:41 - Run 1
OTL by OldTimer - Version 3.2.4.1    Folder = F:\Users\lalu\Desktop
 Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 62,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 63,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = F: | %SystemRoot% = F:\Windows | %ProgramFiles% = F:\Program Files
Drive C: | 76,68 Gb Total Space | 49,79 Gb Free Space | 64,93% Space Free | Partition Type: NTFS
Drive D: | 4,11 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
E: Drive not present or media not loaded
Drive F: | 149,04 Gb Total Space | 79,81 Gb Free Space | 53,55% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: LALU-PC
Current User Name: lalu
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- F:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- F:\Windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- F:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "F:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "F:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01501EBA-EC35-4F9F-8889-3BE346E5DA13}" = MSXML4 Parser
"{147BCE03-C0F1-4C9F-8157-6A89B6D2D973}" = McAfee VirusScan Enterprise
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{2217B0B4-35CB-48C6-B640-864DF2F30F99}" = OpenOffice.org 3.2
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{26A24AE4-039D-4CA4-87B4-2F83216019FF}" = Java(TM) 6 Update 19
"{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime
"{35CB6715-41F8-4F99-8881-6FC75BF054B0}" = Oblivion
"{41E654A9-26D0-4EAC-854B-0FA824FFFABB}" = Windows Live Messenger
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{553255F3-78FD-40F1-A6F8-6882140265FE}" = Apple Application Support
"{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{71BFC818-0CED-42D6-9C87-5142918957EE}" = ICQ7.1
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AA951B10-7089-4D60-B288-516E641F48E6}" = McAfee Agent
"{AD483998-2E9A-4405-83FF-6E503AF49CBB}" = Microsoft Virtual PC 2007 SP1
"{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}" = SUPERAntiSpyware Free Edition
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D417C96A-FCC7-4590-A1BB-FAF73F5BC98E}" = GTA San Andreas
"{DEA314C4-0929-4250-BC92-98E4C105F28D}" = NVIDIA PhysX
"{ED00D08A-3C5F-488D-93A0-A04F21F23956}" = Windows Live Communications Platform
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F4F4F84E-804F-4E9A-84D7-C34283F0088F}" = RealUpgrade 1.0
"{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials
"{FE0646A7-19D0-41B4-A2BB-2C35D644270D}" = Windows Live OneCare safety scanner
"4Musics MP3 to WAV Converter 4.3_is1" = 4Musics MP3 to WAV Converter 4.3
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Age of Mythology 1.0" = Age of Mythology
"Age of Mythology Expansion Pack 1.0" = Age of Mythology - The Titans Expansion
"AVMWLANCLI" = AVM FRITZ!WLAN
"DAEMON Tools Toolbar" = DAEMON Tools Toolbar
"D-Link VGA Webcam" = D-Link VGA Webcam
"Foxit Reader" = Foxit Reader
"Google Chrome" = Google Chrome
"ICQToolbar" = ICQ Toolbar
"Messenger Plus! Live" = Messenger Plus! Live
"Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3)
"mp3-2-wav" = mp3-2-wav converter 1.14
"NVIDIA Display Control Panel" = NVIDIA Display Control Panel
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIAStereo" = NVIDIA Stereoscopic 3D Driver
"RealPlayer 12.0" = RealPlayer
"VLC media player" = VLC media player 1.0.5
"Windows Live OneCare safety scanner" = Windows Live OneCare safety scanner
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 03.05.2010 10:28:33 | Computer Name = lalu-PC | Source = VSS | ID = 8194
Description =
 
Error - 03.05.2010 13:42:04 | Computer Name = lalu-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: Skype.exe, Version: 4.2.0.163, Zeitstempel:
 0x4bcd7e73  Name des fehlerhaften Moduls: Vcs6Hook.dll_unloaded, Version: 0.0.0.0,
 Zeitstempel: 0x4683cda0  Ausnahmecode: 0xc0000005  Fehleroffset: 0x100067e0  ID des fehlerhaften
 Prozesses: 0xc28  Startzeit der fehlerhaften Anwendung: 0x01caeae420ff86ba  Pfad der
 fehlerhaften Anwendung: F:\Program Files\Skype\Phone\Skype.exe  Pfad des fehlerhaften
 Moduls: Vcs6Hook.dll  Berichtskennung: 2f124e33-56db-11df-b1d1-001a4f4a6bfc
 
Error - 03.05.2010 13:42:37 | Computer Name = lalu-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: ICQ.exe, Version: 7.1.0.2096, Zeitstempel:
 0x4ba62705  Name des fehlerhaften Moduls: Vcs6Hook.dll_unloaded, Version: 0.0.0.0,
 Zeitstempel: 0x4683cda0  Ausnahmecode: 0xc0000005  Fehleroffset: 0x031a67e0  ID des fehlerhaften
 Prozesses: 0xc98  Startzeit der fehlerhaften Anwendung: 0x01caeae421e66c35  Pfad der
 fehlerhaften Anwendung: F:\PROGRA~2\ICQ7.1\ICQ.exe  Pfad des fehlerhaften Moduls:
 Vcs6Hook.dll  Berichtskennung: 430b7e51-56db-11df-b1d1-001a4f4a6bfc
 
Error - 03.05.2010 13:47:27 | Computer Name = lalu-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: msnmsgr.exe, Version: 14.0.8089.726,
 Zeitstempel: 0x4a6ce533  Name des fehlerhaften Moduls: Vcs6Hook.dll_unloaded, Version:
 0.0.0.0, Zeitstempel: 0x4683cda0  Ausnahmecode: 0xc0000005  Fehleroffset: 0x06e167e0
ID
 des fehlerhaften Prozesses: 0x948  Startzeit der fehlerhaften Anwendung: 0x01caeae41d5f2e10
Pfad
 der fehlerhaften Anwendung: F:\Program Files\Windows Live\Messenger\msnmsgr.exe
Pfad
 des fehlerhaften Moduls: Vcs6Hook.dll  Berichtskennung: efa8ba3a-56db-11df-b1d1-001a4f4a6bfc
 
Error - 03.05.2010 13:48:09 | Computer Name = lalu-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: taskhost.exe, Version: 6.1.7600.16385,
 Zeitstempel: 0x4a5bc0f9  Name des fehlerhaften Moduls: Vcs6Hook.dll_unloaded, Version:
 0.0.0.0, Zeitstempel: 0x4683cda0  Ausnahmecode: 0xc0000005  Fehleroffset: 0x100067e0
ID
 des fehlerhaften Prozesses: 0x140  Startzeit der fehlerhaften Anwendung: 0x01caeae41a1949b0
Pfad
 der fehlerhaften Anwendung: F:\Windows\system32\taskhost.exe  Pfad des fehlerhaften
 Moduls: Vcs6Hook.dll  Berichtskennung: 08905de4-56dc-11df-b1d1-001a4f4a6bfc
 
Error - 03.05.2010 14:06:03 | Computer Name = lalu-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: Skype.exe, Version: 4.2.0.163, Zeitstempel:
 0x4bcd7e73  Name des fehlerhaften Moduls: Vcs6Hook.dll_unloaded, Version: 0.0.0.0,
 Zeitstempel: 0x4683cda0  Ausnahmecode: 0xc0000005  Fehleroffset: 0x100067e0  ID des fehlerhaften
 Prozesses: 0x3e4  Startzeit der fehlerhaften Anwendung: 0x01caeae7f7deff71  Pfad der
 fehlerhaften Anwendung: F:\Program Files\Skype\Phone\Skype.exe  Pfad des fehlerhaften
 Moduls: Vcs6Hook.dll  Berichtskennung: 88e043d1-56de-11df-b1d1-001a4f4a6bfc
 
Error - 03.05.2010 14:06:11 | Computer Name = lalu-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: ICQ.exe, Version: 7.1.0.2096, Zeitstempel:
 0x4ba62705  Name des fehlerhaften Moduls: Vcs6Hook.dll_unloaded, Version: 0.0.0.0,
 Zeitstempel: 0x4683cda0  Ausnahmecode: 0xc0000005  Fehleroffset: 0x02ea67e0  ID des fehlerhaften
 Prozesses: 0x1594  Startzeit der fehlerhaften Anwendung: 0x01caeae8071dd863  Pfad der
 fehlerhaften Anwendung: F:\Program Files\ICQ7.1\ICQ.exe  Pfad des fehlerhaften Moduls:
 Vcs6Hook.dll  Berichtskennung: 8db584af-56de-11df-b1d1-001a4f4a6bfc
 
Error - 03.05.2010 14:06:30 | Computer Name = lalu-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: iexplore.exe, Version: 8.0.7600.16385,
 Zeitstempel: 0x4a5bc69e  Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.1.7600.16385,
 Zeitstempel: 0x4a5bdaae  Ausnahmecode: 0xe06d7363  Fehleroffset: 0x00009617  ID des fehlerhaften
 Prozesses: 0x1ec  Startzeit der fehlerhaften Anwendung: 0x01caeaeb5a24a5ea  Pfad der
 fehlerhaften Anwendung: F:\Program Files\Internet Explorer\iexplore.exe  Pfad des
 fehlerhaften Moduls: F:\Windows\system32\KERNELBASE.dll  Berichtskennung: 98dc24ab-56de-11df-b1d1-001a4f4a6bfc
 
Error - 03.05.2010 14:07:26 | Computer Name = lalu-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: Explorer.EXE, Version: 6.1.7600.16450,
 Zeitstempel: 0x4aeba271  Name des fehlerhaften Moduls: Vcs6Hook.dll_unloaded, Version:
 0.0.0.0, Zeitstempel: 0x4683cda0  Ausnahmecode: 0xc0000005  Fehleroffset: 0x02a067e0
ID
 des fehlerhaften Prozesses: 0x794  Startzeit der fehlerhaften Anwendung: 0x01caeae419ddc74a
Pfad
 der fehlerhaften Anwendung: F:\Windows\Explorer.EXE  Pfad des fehlerhaften Moduls:
 Vcs6Hook.dll  Berichtskennung: baac2fba-56de-11df-b1d1-001a4f4a6bfc
 
Error - 03.05.2010 14:09:31 | Computer Name = lalu-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: msnmsgr.exe, Version: 14.0.8089.726,
 Zeitstempel: 0x4a6ce533  Name des fehlerhaften Moduls: Vcs6Hook.dll_unloaded, Version:
 0.0.0.0, Zeitstempel: 0x4683cda0  Ausnahmecode: 0xc0000005  Fehleroffset: 0x048867e0
ID
 des fehlerhaften Prozesses: 0x13c0  Startzeit der fehlerhaften Anwendung: 0x01caeae8db73f721
Pfad
 der fehlerhaften Anwendung: F:\Program Files\Windows Live\Messenger\msnmsgr.exe
Pfad
 des fehlerhaften Moduls: Vcs6Hook.dll  Berichtskennung: 04e3d6bd-56df-11df-b1d1-001a4f4a6bfc
 
[ System Events ]
Error - 04.05.2010 08:52:38 | Computer Name = lalu-PC | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Offlinedateien" wurde unerwartet beendet. Dies ist bereits
 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 120000 Millisekunden durchgeführt:
 Neustart des Diensts.
 
Error - 04.05.2010 08:52:38 | Computer Name = lalu-PC | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Heimnetzgruppen-Listener" wurde unerwartet beendet. Dies
 ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden
 durchgeführt: Neustart des Diensts.
 
Error - 04.05.2010 08:52:38 | Computer Name = lalu-PC | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Netzwerkverbindungen" wurde unerwartet beendet. Dies ist
 bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 100 Millisekunden
 durchgeführt: Neustart des Diensts.
 
Error - 04.05.2010 08:52:38 | Computer Name = lalu-PC | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Superfetch" wurde unerwartet beendet. Dies ist bereits
 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt:
 Neustart des Diensts.
 
Error - 04.05.2010 08:52:38 | Computer Name = lalu-PC | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Überwachung verteilter Verknüpfungen (Client)" wurde unerwartet
 beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden
 in 120000 Millisekunden durchgeführt: Neustart des Diensts.
 
Error - 04.05.2010 08:52:38 | Computer Name = lalu-PC | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Sitzungs-Manager für Desktopfenster-Manager" wurde unerwartet
 beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden
 in 120000 Millisekunden durchgeführt: Neustart des Diensts.
 
Error - 04.05.2010 08:52:38 | Computer Name = lalu-PC | Source = Service Control Manager | ID = 7034
Description = Dienst "Diagnosesystemhost" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
Error - 04.05.2010 08:52:38 | Computer Name = lalu-PC | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Automatische WLAN-Konfiguration" wurde unerwartet beendet.
 Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 120000
 Millisekunden durchgeführt: Neustart des Diensts.
 
Error - 04.05.2010 08:52:38 | Computer Name = lalu-PC | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Windows Driver Foundation - Benutzermodus-Treiberframework"
 wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen
 werden in 120000 Millisekunden durchgeführt: Neustart des Diensts.
 
Error - 04.05.2010 09:37:12 | Computer Name = lalu-PC | Source = DCOM | ID = 10010
Description =
 
 
< End of report >

Larusso 05.05.2010 13:55
Und die OTL.txt :confused:

Laurin09 05.05.2010 23:19
Die lässt sich aus unerklärlichen gründen nicht posten.. Irgendwas von wegen 30 sekunden..

Larusso 06.05.2010 13:53
Dann ist sie zu groß.

Lade sie bitte hier hoch und poste mir den Downloadlink

Laurin09 06.05.2010 19:05
hxxp://www.file-upload.net/download-2495086/OTL.Txt.html

Larusso 07.05.2010 14:16
schritt 1

Deinstalliere Ask Toolbar


schritt 2

Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.
  • Starte das Tool mit Doppelklick.
    Vista User: Bitte mit Rechtsklick "als Administrator starten".
  • Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
  • Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
  • Defogger fordert nun zum Neustart auf. Bestätige dies mit OK.
  • DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).
Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort.


schritt 3
Code:
:OTL
PRC - [2010.05.03 20:07:50 | 000,174,080 | ---- | M] () -- F:\Windows\Nlydoa.exe
PRC - [2010.05.03 19:59:57 | 000,060,004 | -H-- | M] () -- F:\Users\lalu\AppData\Local\Temp\winlogon.exe
PRC - [2010.05.03 19:59:50 | 000,030,001 | -H-- | M] () -- F:\Users\lalu\AppData\Local\Temp\zargwli.exe
PRC - [2009.07.14 03:17:51 | 000,131,584 | R--- | M] (eSXi) -- F:\Windows\System32\sdra64.exe
FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.6.6.117
[2010.04.26 19:40:27 | 000,000,000 | ---D | M] -- F:\Users\lalu\AppData\Roaming\mozilla\Firefox\Profiles\m1rpjj59.default\extensions\toolbar@ask.com
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Foxit Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - F:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com)
O3 - HKLM\..\Toolbar: (Foxit Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - F:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com)
O3 - HKCU\..\Toolbar\WebBrowser: (Foxit Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - F:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com)
O4 - HKCU..\Run: [Canaveral] F:\Windows\System32\sshnas21.DLL ()
O4 - HKCU..\Run: [hsf87efjhdsf87f3jfsdi7fhsujfd] F:\Users\lalu\AppData\Local\Temp\winlogon.exe ()
O4 - HKCU..\Run: [hsf87sdhfush87fsufhuie3fddf] F:\Users\lalu\AppData\Local\Temp\zargwli.exe ()
O4 - HKCU..\Run: [M5T8QL3YW3] F:\Users\lalu\AppData\Local\Temp\Ns1.exe ()
O4 - HKCU..\Run: [userinit] F:\Users\lalu\AppData\Roaming\sdra64.exe (eSXi)
O4 - Startup: F:\Users\lalu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\115026.lnk = F:\Users\lalu\AppData\Local\Temp\st2O1.exe ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: UserInit - (F:\Windows\system32\sdra64.exe) - F:\Windows\System32\sdra64.exe (eSXi)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O32 - AutoRun File - [2005.11.21 19:26:21 | 000,000,057 | R--- | M] () - D:\autorun.inf -- [ UDF ]
O33 - MountPoints2\{49d87481-48b9-11df-a49b-001a4f4a6bfc}\Shell - "" = AutoRun
O33 - MountPoints2\{49d87481-48b9-11df-a49b-001a4f4a6bfc}\Shell\AutoRun\command - "" = E:\Install.exe -- File not found
O33 - MountPoints2\{a433448f-45f4-11df-9049-001e900a1cdb}\Shell - "" = AutoRun
O33 - MountPoints2\{a433448f-45f4-11df-9049-001e900a1cdb}\Shell\AutoRun\command - "" = E:\pushinst.exe -- File not found
[2010.04.26 17:55:01 | 000,000,000 | ---D | C] -- F:\Program Files\Ask.com
[2010.05.04 20:52:42 | 000,000,282 | -H-- | M] () -- F:\Windows\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
[2010.05.04 20:10:02 | 000,000,244 | -H-- | M] () -- F:\Windows\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
[2010.05.03 20:06:18 | 000,207,872 | ---- | M] () -- F:\Windows\System32\sshnas21.dll
[2010.05.03 20:07:56 | 000,174,080 | ---- | C] () -- F:\Windows\Nlydoa.exe

:services
:files
:reg
:Commands
[purity]
[emptytemp]
[resethosts]
[emptyflash]
[reboot]
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Run Fix Button.
  • Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread


schritt 4
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Gmer ist geeignet für => NT/W2K/XP/VISTA.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  • Vista-User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird Gmer beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


schritt 5

Starte bitte OTL.exe und klicke auf den Quick Scan Button.



Bitte poste in Deiner nächsten Antwort
defogger_disable.txt
Gmer.txt
OTL.txt


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19