Home » Spyware & Browser Hijacker Support Forum » Blaster? + CPU 100% durch svchost.exe?? Kein öffnen von links möglich...etc. » Themenansicht

Blaster? + CPU 100% durch svchost.exe?? Kein öffnen von links möglich...etc.
#0
08.11.2005, 13:44
Jani1980
...neu hier

Beiträge: 2
#1 Hallo!!
Könnte dieses hier bitte jemand verschieben? Habe aus Versehen im Falschen Forum gepostet. SORRY!
DANKE!!!


Hallo Ihr Lieben!
Habe gleich mehrere Probleme mit meinem Rechner.
Zum einen herrscht ständig eine CPU-Auslastung von 100 %, wahrscheinlich verursacht durch svchost.exe.
Dann seit gestern Abend ständiges Herunterfahren des Systems nach 60 Sek. verursacht durch NT-Autorität/System... Blaster?? Dies geschah auch ohne online zu sein. Hab dieses durch eine Einstellung im System hingekriegt, das "Ding" allerdings wohl immernoch drauf.
Seit heute neues Problem dazu gekommen: Kann keine Links in Foren oder Emails mehr anklicken. Wie z.B. die Aktivierungsmail eben für dieses Forum. Musste den Link im Browserfenster komplett eintippen um ihn zu öffnen.
Habe eben ein Log gemacht, könnte sich das bitte jemand ansehen? Denke, ich bin total verseucht, mein AntiVir konnte bis auf einen Dialer gestern nichts finden.
Vielen Dank im Voraus,
Jani


Logfile of HijackThis v1.99.1
Scan saved at 13:46:47, on 08.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\cjliebe\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
O1 - Hosts: 209.51.133.26 www.halifax-online.co.uk
O1 - Hosts: 209.51.133.26 ibank.barclays.co.uk
O1 - Hosts: 209.51.133.26 online.lloydstsb.co.uk
O1 - Hosts: 209.51.133.26 online-business.lloydstsb.co.uk
O1 - Hosts: 209.51.133.26 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 209.51.133.26 www.nwolb.com
O1 - Hosts: 209.51.133.26 banesnet.banesto.es
O1 - Hosts: 209.51.133.26 extranet.banesto.es
O1 - Hosts: 209.51.133.26 ebanking.bccbrescia.it
O1 - Hosts: 209.51.133.26 www.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 209.51.133.26 www.rbsdigital.com
O1 - Hosts: 209.51.133.26 oi.cajamadrid.es
O1 - Hosts: 209.51.133.26 bancae.caixapenedes.com
O1 - Hosts: 209.51.133.26 meine.deutsche-bank.de
O1 - Hosts: 209.51.133.26 myonlineaccounts2.abbeynational.co.uk
O1 - Hosts: 209.51.133.26 ibank.cahoot.com
O1 - Hosts: 209.51.133.26 webbank.openplan.co.uk
O1 - Hosts: 209.51.133.26 bancopostaonline.poste.it
O1 - Hosts: 209.51.133.26 www.rasbank.it
O1 - Hosts: 209.51.133.26 www.credem.it
O1 - Hosts: 209.51.133.26 mybank.bybank.it
O1 - Hosts: 209.51.133.26 www.bancagenerali.it
O1 - Hosts: 209.51.133.26 www.bancaintesa.it
O1 - Hosts: 209.51.133.26 www.creval.it
O1 - Hosts: 209.51.133.26 ibank.internationalbanking.barclays.com
O1 - Hosts: 209.51.133.26 www.abbeyinternational.com
O1 - Hosts: 209.51.133.26 www.bbvanet.com
O1 - Hosts: 209.51.133.26 www.fineco.it
O1 - Hosts: 209.51.133.26 www.cajamar.es
O1 - Hosts: 209.51.133.26 welcome7.co-operativebank.co.uk
O1 - Hosts: 209.51.133.26 welcome11.co-operativebankonline.co.uk
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Morpheus.lnk = C:\Programme\Morpheus\Morpheus.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{05115C47-5FBC-4CC1-B0A9-DDBF25AEF0B3}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{05115C47-5FBC-4CC1-B0A9-DDBF25AEF0B3}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
Dieser Beitrag wurde am 08.11.2005 um 14:07 Uhr von Jani1980 editiert.
Seitenanfang Seitenende
08.11.2005, 14:51
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@Jani1980

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O1 - Hosts: 209.51.133.26 www.halifax-online.co.uk
O1 - Hosts: 209.51.133.26 ibank.barclays.co.uk
O1 - Hosts: 209.51.133.26 online.lloydstsb.co.uk
O1 - Hosts: 209.51.133.26 online-business.lloydstsb.co.uk
O1 - Hosts: 209.51.133.26 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 209.51.133.26 www.nwolb.com
O1 - Hosts: 209.51.133.26 banesnet.banesto.es
O1 - Hosts: 209.51.133.26 extranet.banesto.es
O1 - Hosts: 209.51.133.26 ebanking.bccbrescia.it
O1 - Hosts: 209.51.133.26 www.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 209.51.133.26 www.rbsdigital.com
O1 - Hosts: 209.51.133.26 oi.cajamadrid.es
O1 - Hosts: 209.51.133.26 bancae.caixapenedes.com
O1 - Hosts: 209.51.133.26 meine.deutsche-bank.de
O1 - Hosts: 209.51.133.26 myonlineaccounts2.abbeynational.co.uk
O1 - Hosts: 209.51.133.26 ibank.cahoot.com
O1 - Hosts: 209.51.133.26 webbank.openplan.co.uk
O1 - Hosts: 209.51.133.26 bancopostaonline.poste.it
O1 - Hosts: 209.51.133.26 www.rasbank.it
O1 - Hosts: 209.51.133.26 www.credem.it
O1 - Hosts: 209.51.133.26 mybank.bybank.it
O1 - Hosts: 209.51.133.26 www.bancagenerali.it
O1 - Hosts: 209.51.133.26 www.bancaintesa.it
O1 - Hosts: 209.51.133.26 www.creval.it
O1 - Hosts: 209.51.133.26 ibank.internationalbanking.barclays.com
O1 - Hosts: 209.51.133.26 www.abbeyinternational.com
O1 - Hosts: 209.51.133.26 www.bbvanet.com
O1 - Hosts: 209.51.133.26 www.fineco.it
O1 - Hosts: 209.51.133.26 www.cajamar.es
O1 - Hosts: 209.51.133.26 welcome7.co-operativebank.co.uk
O1 - Hosts: 209.51.133.26 welcome11.co-operativebankonline.co.uk

O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe

PC neustarten

CCleaner
http://www.ccleaner.com/ccdownload.asp
lösche alle temp-Dateien



poste hier die 4 Logs
http://virus-protect.org/datfindbat.html

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

windsdoorcleaner
http://virus-protect.org/windsdoorcleaner.html

scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

---------------------

Zitat

W32.Francette.Worm
This worm also takes advantage of the following known Windows vulnerabilities, malware backdoor capabilities and application to propagate:
http://securityresponse.symantec.com/avcenter/venc/data/w32.francette.worm.html

Buffer Overflow in Universal Plug and Play
Buffer Overflow in SQL Server 2000
IIS/WebDAV vulnerability
Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) vulnerability
Windows LSASS vulnerability
WORM_BAGLE, WORM_MYDOOM, BKDR_OPTIX, BKDR_NETDEVIL, BKDR_KUANG and BKDR_SUB7 variants
DameWare

Wenn man so einen ungepatchten PC sieht, ohne Updates, dann kann man verstehen, warum du solche Viren eingfaengst....und noch einfangen wirst
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.11.2005, 20:35
Jani1980
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo!!!
Erstmal vielen lieben Dank!!! :-)
Ja... wegen der Patches.. mein Freund hat vor einigen Wochen meinen Rechner formatiert, habe bisher versäumt die Patches zu laden, hätte nie gedacht, dass dies so schnell zu meinem Verhängnis werden würde :-(

Hier schonmal die 4 Logs zur bat-Datei:

1. Log:
Verzeichnis von C:\WINDOWS\system32

07.11.2005 22:21 19 postbank.dll
07.11.2005 13:07 211.968 syshost.exe
07.11.2005 13:02 2.206 wpa.dbl
03.11.2005 20:30 0 TFTP2576
03.11.2005 20:30 0 TFTP2568
30.10.2005 08:33 380.350 perfh009.dat
30.10.2005 08:33 52.764 perfc009.dat
30.10.2005 08:33 391.000 perfh007.dat
30.10.2005 08:33 63.580 perfc007.dat
30.10.2005 08:33 897.954 PerfStringBackup.INI
17.10.2005 21:19 16.832 amcompat.tlb
17.10.2005 21:19 23.392 nscompat.tlb
22.09.2005 15:12 0 TFTP1820
20.09.2005 15:04 0 TFTP3028
15.09.2005 22:28 0 TFTP2296
13.08.2005 20:11 0 h323log.txt
13.08.2005 20:04 184.224 FNTCACHE.DAT
13.08.2005 19:30 25.065 wmpscheme.xml
13.08.2005 19:26 261 $winnt$.inf
13.08.2005 19:21 2.951 CONFIG.NT
13.08.2005 19:18 488 WindowsLogon.manifest
13.08.2005 19:18 488 logonui.exe.manifest
13.08.2005 19:18 749 wuaucpl.cpl.manifest
13.08.2005 19:18 749 sapi.cpl.manifest
13.08.2005 19:18 749 cdplayer.exe.manifest
13.08.2005 19:18 749 nwc.cpl.manifest
13.08.2005 19:18 749 ncpa.cpl.manifest
13.08.2005 19:15 21.740 emptyregdb.dat

2. Log:
Verzeichnis von D:\\
leer

3. Log:
Verzeichnis von C:\WINDOWS

08.11.2005 20:31 50 wiaservc.log
08.11.2005 20:31 159 wiadebug.log
08.11.2005 20:31 0 Sti_Trace.log
08.11.2005 20:19 2.048 bootstat.dat
08.11.2005 20:15 32.622 SchedLgU.Txt
30.10.2005 19:07 49 NeroDigital.ini
30.10.2005 09:40 30 iedit.INI
19.10.2005 12:53 581 win.ini
17.10.2005 21:16 316.640 WMSysPr9.prx
12.09.2005 23:57 258 WINCMD.INI
13.08.2005 20:11 156 hpw0ddi.ini
13.08.2005 20:05 231 SYSTEM.000
13.08.2005 20:05 231 SYSTEM.001
13.08.2005 20:05 231 system.ini
13.08.2005 19:46 400 ODBC.INI
13.08.2005 19:45 568 WIN.000
13.08.2005 19:45 568 WIN.001
13.08.2005 19:30 2.817 Ascd_tmp.ini
13.08.2005 19:27 8.192 REGLOCS.OLD
13.08.2005 19:21 0 control.ini
13.08.2005 19:20 299.552 WMSysPrx.prx
13.08.2005 19:20 4.161 ODBCINST.INI
13.08.2005 19:18 749 WindowsShell.Manifest
13.08.2005 19:15 37 vbaddin.ini
13.08.2005 19:15 36 vb.ini

4. Log:
Verzeichnis von C:\

08.11.2005 20:33 0 sys.txt
08.11.2005 20:33 3.132 system.txt
08.11.2005 20:32 135 systemtemp.txt
08.11.2005 20:32 90.449 system32.txt
08.11.2005 20:19 200.855.552 hiberfil.sys
08.11.2005 20:19 301.989.888 pagefile.sys
13.08.2005 19:21 0 AUTOEXEC.BAT
13.08.2005 19:21 0 CONFIG.SYS
13.08.2005 19:21 0 IO.SYS
13.08.2005 19:21 0 MSDOS.SYS
13.08.2005 19:12 194 boot.ini


Und hier der Scanreport von Kaspersky
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Tuesday, November 08, 2005 21:27:25
Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 8/11/2005
Kaspersky Anti-Virus database records: 149264
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Critical Areas:
C:\WINDOWS
C:\DOKUME~1\cjliebe\LOKALE~1\Temp\

Scan Statistics:
Total number of scanned objects: 10232
Number of viruses found: 0
Number of infected objects: 0
Number of suspicious objects: 0
Duration of the scan process: 1164 sec
No malware has been detected. The sections that have been scanned are CLEAN.

Scan process completed.
Dieser Beitrag wurde am 08.11.2005 um 21:27 Uhr von Jani1980 editiert.
Seitenanfang Seitenende
08.11.2005, 23:43
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 du hast auf eine gefakte email von der Postbank geklickt?

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum

C:\WINDOWS\system32\postbank.dll
C:\WINDOWS\system32\syshost.exe
C:\WINDOWS\system32\nt_ddr.exe

http://www.virustotal.com/flash/index_en.html
http://sandbox.norman.no/live_4.html

------------------------------------------------------------------------------
KILLBOX
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\postbank.dll
C:\WINDOWS\system32\syshost.exe
C:\WINDOWS\system32\nt_ddr.exe
C:\WINDOWS\system32\TFTP2576
C:\WINDOWS\system32\TFTP2568
C:\WINDOWS\system32\TFTP1820
C:\WINDOWS\system32\TFTP3028
C:\WINDOWS\system32\TFTP2296

PC neustarten

Hoster.zip--> noch einmal
Press 'Restore Original Hosts' and press 'OK' Exit Program.

scanne (es sind 3 Scanner) und poste die Scanreporte
http://virus-protect.org/multiavtool.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1