PC ist zu 100% ausgelastet (Taskmanager geht nicht auf)!
2 Beiträge • Seite 1 von 1
PC ist zu 100% ausgelastet (Taskmanager geht nicht auf)!
von darkking am 16.10.2004, 17:49
Hallo !
Ich hab nachdem ich diese Symptome festgestellt hab durch x Foren durchgewühlt und hab festgestellt das die Symptome absolut für vpc32 sprechen nur das diese Datei sich nicht im C.\windows\system32 ordner befindet. Gibt es irgendwelche ableger von vpc?
Hab auch direkt ein LogFile erstellt hoffe mir kann da wer helfen.
Logfile of HijackThis v1.98.2
Scan saved at 17:34:58, on 16.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\DitExp.exe
C:\DOKUME~1\DARKKI~1\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\DARKKI~1\LOKALE~1\Temp\kavss.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Download\hijackthis_198\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 7846690468
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.237.151.225 217.237.150.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.237.151.225 217.237.150.225
Ich hab nachdem ich diese Symptome festgestellt hab durch x Foren durchgewühlt und hab festgestellt das die Symptome absolut für vpc32 sprechen nur das diese Datei sich nicht im C.\windows\system32 ordner befindet. Gibt es irgendwelche ableger von vpc?
Hab auch direkt ein LogFile erstellt hoffe mir kann da wer helfen.
Logfile of HijackThis v1.98.2
Scan saved at 17:34:58, on 16.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\DitExp.exe
C:\DOKUME~1\DARKKI~1\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\DARKKI~1\LOKALE~1\Temp\kavss.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Download\hijackthis_198\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 7846690468
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.237.151.225 217.237.150.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.237.151.225 217.237.150.225
- darkking
- Beiträge: 1
- Registriert: 16.10.2004, 17:38
von Nikita am 16.10.2004, 21:04
Hallo @
Im Log ist nichts vom Backdoor zu sehen.....
Mache folgendes:
#ueberpruefe, welche Dienste und Anwendungen aktivi sind
TCPView 2.34
http://www.sysinternals.com/ntw2k/source/tcpview.shtml
as bietet gleich mehrere Vorteile: Zum einen kann man unbekannte Trojaner ermitteln und zudem auch sofort erkennen, welche Programme eine Verbindung ins Internet aufbauen. TCPView zeigt alle TCP- und UDP-Endpunkte in einer Liste an und liefert dazu die Remote-Adresse. Über [Strg]+[-R] schaltet TCPView zwischen den Namen und der dazugehörigen IP-Adresse um. Die Bildschirmanzeige aktualisiert man über die Taste [F5]. (mrupp/tri)
#NETSTAT
http://www.firool.de/netstatgui/
http://www.freeware.de/software/Downloa ... 15026.html
#Start-->>Ausführen-->>Netstat -a eingeben-->>Enter
Stelle doch zunächst einmal fest, welche Verbindungen in diesem Moment von Deinem Rechner zu anderen bestehen und welche Ports dabei verwendet werden. Eine Anzeige erhälst Du zwar auch offline, die Ausgabe wird jedoch realer und interessanter, wenn Du Dich zunächst ins Internet einwählst und einige Web-Seiten abrufst. Gib nun ein:
C:\>netstat –a (beschreibende) oder
C:\>netstat –an (numerische Portangabe)
Die Ausgabe von netstat -an sieht etwa so aus:
http://www.gurusheaven.de/security/trojan_horse.htm
(poste es)
<PC-Selbsttest
http://check.lfd.niedersachsen.de/start.php
<Sygate-Portscann
http://scan.sygatetech.com/
(trojanerports)
mfg
Nikita
Im Log ist nichts vom Backdoor zu sehen.....
Mache folgendes:
#ueberpruefe, welche Dienste und Anwendungen aktivi sind
TCPView 2.34
http://www.sysinternals.com/ntw2k/source/tcpview.shtml
as bietet gleich mehrere Vorteile: Zum einen kann man unbekannte Trojaner ermitteln und zudem auch sofort erkennen, welche Programme eine Verbindung ins Internet aufbauen. TCPView zeigt alle TCP- und UDP-Endpunkte in einer Liste an und liefert dazu die Remote-Adresse. Über [Strg]+[-R] schaltet TCPView zwischen den Namen und der dazugehörigen IP-Adresse um. Die Bildschirmanzeige aktualisiert man über die Taste [F5]. (mrupp/tri)
#NETSTAT
http://www.firool.de/netstatgui/
http://www.freeware.de/software/Downloa ... 15026.html
#Start-->>Ausführen-->>Netstat -a eingeben-->>Enter
Stelle doch zunächst einmal fest, welche Verbindungen in diesem Moment von Deinem Rechner zu anderen bestehen und welche Ports dabei verwendet werden. Eine Anzeige erhälst Du zwar auch offline, die Ausgabe wird jedoch realer und interessanter, wenn Du Dich zunächst ins Internet einwählst und einige Web-Seiten abrufst. Gib nun ein:
C:\>netstat –a (beschreibende) oder
C:\>netstat –an (numerische Portangabe)
Die Ausgabe von netstat -an sieht etwa so aus:
http://www.gurusheaven.de/security/trojan_horse.htm
(poste es)
<PC-Selbsttest
http://check.lfd.niedersachsen.de/start.php
<Sygate-Portscann
http://scan.sygatetech.com/
(trojanerports)
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
2 Beiträge • Seite 1 von 1
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: Google [Bot] und 0 Gäste