svchost.exe lässt CPU auf 100% laufen Remote Desktop Trojaner?
 

Hallo,

eine von 9 svchost.exes lässt die CPU auf fast 100% laufen, ständig!

Process Explorer zeigt folgende Services für die svchost.exe:

http://img9.abload.de/img/svchostgpsh.png

Einer dieser Services ist oft ein Trojaner laut Googlerecherche, nämlich termsrv.dll
Ich weiß nun nicht sicher ob es malware ist, aber es scheint hier um Remote Desktop Anwendungen zu gehen.

Was soll ich tun?

ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "run Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste bitte beide, evtl. aufteilen.

geändert worden

geändert worden

otl.txt ist nicht vollständig

So, jetzt vollständig. Sorry.

Fixen mit OTL

• Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun das Folgende in die Textbox.

:OTL
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O2 - BHO: (no ) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O4 - HKLM..\Run: [WireLessKeyboard] C:\Programme\Multimedia Combo Set Driver\StartAutorun.exe PS2USBKbdDrv.exe File not found
O4 - HKU\S-1-5-21-1644491937-823518204-839522115-1004..\Run: [{CF719CE8-2691-82FE-5F22-C0678976B124}] C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Usize\iltua.exe
()
O4 - Startup: C:\Dokumente und Einstellungen\Boris\Startmenü\Programme\Autostart\sisytj32.exe ()
@Alternate Data Stream - 135 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:0CE7F3C9
@Alternate Data Stream - 108 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:44807EFA
:Files
C:\Dokumente und Einstellungen\Boris\Startmenü\Programme\Autostart\sisytj32.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Run Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\WireLessKeyboard deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1644491937-823518204-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run\\{CF719CE8-2691-82FE-5F22-C0678976B124} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CF719CE8-2691-82FE-5F22-C0678976B124}\ not found.
C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Usize\iltua.exe moved successfully.
File move failed. C:\Dokumente und Einstellungen\Boris\Startmenü\Programme\Autostart\sisytj32.exe scheduled to be moved on reboot.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:0CE7F3C9 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:44807EFA deleted successfully.
========== FILES ==========
File move failed. C:\Dokumente und Einstellungen\Boris\Startmenü\Programme\Autostart\sisytj32.exe scheduled to be moved on reboot.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Boris
->Flash cache emptied: 2018959 bytes

User: Default User
->Flash cache emptied: 84 bytes

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 2.00 mb


[EMPTYTEMP]

User: All Users

User: Boris
->Temp folder emptied: 13848602 bytes
->Temporary Internet Files folder emptied: 3045485 bytes
->Java cache emptied: 19168485 bytes
->FireFox cache emptied: 46509662 bytes
->Google Chrome cache emptied: 118703112 bytes
->Apple Safari cache emptied: 42427732 bytes
->Opera cache emptied: 24473284 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2895751 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1179506 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 260.00 mb


OTL by OldTimer - Version 3.2.6.0 log created on 06182010_201053

Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\Boris\Startmenü\Programme\Autostart\sisytj32.exe moved successfully.

Registry entries deleted on Reboot...

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Jetzt komm ich mit keinem browser mehr ins internet. Der pc hat verbindung zum router aber der browser hat keine verbindung. Combofix lief und hat einige dateien gelöscht.
darunter unter treiber/dienste: legacy_browserrpcss und service_browserrpcss.
in system 32 gelöscht: 2192046697.dat
adsnts.ex
thumbs.db
win.com

bei systemstart meldet die ashampoo firewall einen fehler und schliesst sich gleich wieder.

bitte genaue anweisung wie ich die browser wieder mit dem internet verbinden lassen. Ich schreibe von meinem handy, also vielleicht gleich mehrere lösungen bitte.

starte mal den pc neu und schau ob sich das problem dann wieder gegeben hat

Ich hab schon neu gestartet. Das hilft nicht. Ich schreib vom handy.

Hallo? Hilft mir jemand heute weiter?
Der browser meldet netzwerkproblem, internes kommunikationsproblem, nachdem gestern combofix durchlief.

wo sind die ganzen otl logs hin?
und hast du schon die manuelle reparatur der internetverbindung versucht wie im combofix tutorial beschrieben?
unter punkt 5 zu finden

Habe mir jetzt ein Notebook geliehen um weitermachen zu können.
Die OTL logs habe ich gelöscht den Schritt sind wir ja schon durch.

Ich habe die manuelle Reparatur aus dem Combofix versucht, es erscheint folgende Fehlermeldung:
"Reperatur fehlgeschlagen. Löschen von NetBT konnte nicht ausgeführt werden."

Der PC hat ja Verbindung zum LAN, nur der Browser meldet internes Netzwerkproblem.

Hier noch das log von Combofix:

Combofix Logfile:
--- --- ---