svchost.exe legt meinen PC lahm!

Also...

- Kaspersky hat keine gefährlichen Objekte gefunden.

- Hier das Log von Autoruns:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

+ !AVG Anti-Spyware AVG Anti-Spyware (Not verified) Anti-Malware Development a.s. c:\programme\grisoft\avg anti-spyware 7.5\avgas.exe

+ Dell QuickSet QuickSet MFC Application c:\programme\dell\quickset\quickset.exe

+ DVDLauncher CyberLink PowerCinema Resident Program (Not verified) CyberLink Corp. c:\programme\cyberlink\powerdvd\dvdlauncher.exe

+ FreePDF Assistant FreePDF Assistent für FreePDF3 (Not verified) shbox.de c:\programme\freepdf_xp\fpassist.exe

+ iTunesHelper iTunesHelper Module (Verified) Apple Computer, Inc. c:\programme\itunes\ituneshelper.exe

+ kis Kaspersky Anti-Virus (Not verified) Kaspersky Lab c:\programme\kaspersky lab\kaspersky internet security 6.0\avp.exe

+ PRONoMgr.exe PRONotifyMgr Module (Not verified) Intel(R) Corporation c:\programme\intel\ncs\proset\pronomgr.exe

+ QuickTime Task QuickTime Task (Not verified) Apple Computer, Inc. c:\programme\quicktime\qttask.exe

+ SunJavaUpdateSched c:\programme\java\j2re1.4.2_03\bin\jusched.exe

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart

+ Adobe Reader - Schnellstart.lnk Adobe Acrobat SpeedLauncher (Not verified) Adobe Systems Incorporated c:\programme\adobe\acrobat 7.0\reader\reader_sl.exe

+ Digital Line Detect.lnk Digital Line Detection (Not verified) BVRP Software c:\programme\digital line detect\dlg.exe

+ VPN Client.lnk c:\windows\installer\{2d448d0b-20d5-4cd6-84f7-db9868cb5f6c}\icon3e5562ed7.ico

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

+ updateMgr Adobe Update Manager (Verified) Adobe Systems, Incorporated c:\programme\adobe\acrobat 7.0\reader\adobeupdatemanager.exe

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components

+ 0 File not found: About:Home

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

+ AVG Anti-Spyware 7.5 AVG Anti-Spyware shellexecutehook (Not verified) Anti-Malware Development a.s. c:\programme\grisoft\avg anti-spyware 7.5\shellexecutehook.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

+ CPL-Erweiterung für Anzeigeverschiebung File not found: deskpan.dll

+ iTunes iTunes Mini Player DLL (Verified) Apple Computer, Inc. c:\programme\itunes\itunesminiplayer.dll

+ IZArc DragDrop Menu c:\programme\izarc\izarccm.dll

+ IZArc Shell Context Menu c:\programme\izarc\izarccm.dll

+ RecordNow! SendToExt Shell Extensions c:\programme\sonic\recordnow!\shlext.dll

+ Web-Anti-Virus Script Monitor Internet Explorer plugin (Not verified) Kaspersky Lab c:\programme\kaspersky lab\kaspersky internet security 6.0\scieplugin.dll

HKLM\Software\Classes\Folder\Shellex\ColumnHandlers

+ PDF Shell Extension PDF Shell Extension (Not verified) Adobe Systems, Inc. c:\programme\adobe\acrobat 7.0\activex\pdfshell.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

+ Adobe PDF Reader Link Helper Adobe Acrobat IE Helper Version 7.0 for ActiveX (Verified) Adobe Systems, Incorporated c:\programme\adobe\acrobat 7.0\activex\acroiehelper.dll

HKLM\Software\Microsoft\Internet Explorer\Extensions

+ @xpsp3res.dll,-20001 File not found: C:\WINDOWS\Network

Task Scheduler

+ AppleSoftwareUpdate.job Software Application (Verified) Apple Computer, Inc. c:\programme\apple software update\softwareupdate.exe

HKLM\System\CurrentControlSet\Services

+ AVG Anti-Spyware Guard AVG Anti-Spyware guard (Not verified) Anti-Malware Development a.s. c:\programme\grisoft\avg anti-spyware 7.5\guard.exe

+ AVP Bietet Schutz vor Computerviren, Spionageprogrammen, Hackerangriffen, Cyberkriminalität und Spam. (Not verified) Kaspersky Lab c:\programme\kaspersky lab\kaspersky internet security 6.0\avp.exe

+ BlueSoleil Hid Service c:\programme\ivt corporation\bluesoleil\btntservice.exe

+ CVPND Cisco Systems VPN Client (Verified) Cisco Systems, Inc. c:\programme\cisco systems\vpn client\cvpnd.exe

+ RegSrvc RegSrvc Module (Not verified) Intel Corporation c:\windows\system32\regsrvc.exe

+ S24EventMonitor Event Monitor - Supports driver extensions to NIC Driver for wireless adapters. (Not verified) Intel Corporation c:\windows\system32\s24evmon.exe

HKLM\System\CurrentControlSet\Services

+ AVG Anti-Spyware Driver c:\programme\grisoft\avg anti-spyware 7.5\guard.sys

+ AvgAsCln AVG7 Clean Driver (Not verified) GRISOFT, s.r.o. c:\windows\system32\drivers\avgascln.sys

+ BlueletAudio Bluelet Audio Driver (Not verified) IVT Corporation c:\windows\system32\drivers\blueletaudio.sys

+ BrPar Brother Parallel class Driver version 1.01 (Not verified) Brother Industries Ltd. c:\windows\system32\drivers\brpar.sys

+ BT Bluetooth PAN Network Adapter Driver (Not verified) IVT Corporation c:\windows\system32\drivers\btnetdrv.sys

+ Btcsrusb Bluetooth USB Device Driver (Not verified) IVT Corporation c:\windows\system32\drivers\btcusb.sys

+ BTHidEnum c:\windows\system32\drivers\vbtenum.sys

+ BTHidMgr Bluetooth HID Manager driver (Not verified) IVT Corporation c:\windows\system32\drivers\bthidmgr.sys

+ CVPNDRVA Cisco Systems VPN Client IPSec Driver (Not verified) Cisco Systems, Inc. c:\windows\system32\drivers\cvpndrva.sys

+ GEARAspiWDM CD/DVD Class Filter Driver (Verified) GEAR Software Inc. c:\windows\system32\drivers\gearaspiwdm.sys

+ kl1 Kaspersky Unified Driver (Not verified) Kaspersky Lab c:\windows\system32\drivers\kl1.sys

+ klif spuper-ptor (Not verified) Kaspersky Lab c:\windows\system32\drivers\klif.sys

+ MDC8021X AEGIS Protocol (IEEE 802.1x) v2.2.1.0 (Not verified) Meetinghouse Data Communications c:\windows\system32\drivers\mdc8021x.sys

+ NAL Intel(R) Network Adapter Diagnostic Driver (Not verified) Intel Corporation c:\windows\system32\drivers\iqvw32.sys

+ OMCI OMCI Device Driver (Not verified) Dell Inc c:\windows\system32\drivers\omci.sys

+ PxHelp20 Px Engine Device Driver for Windows 2000/XP (Not verified) Sonic Solutions c:\windows\system32\drivers\pxhelp20.sys

+ s24trans WLAN Transport (Not verified) Intel Corporation c:\windows\system32\drivers\s24trans.sys

+ TSP spuper-ptor (Not verified) Kaspersky Lab c:\windows\system32\drivers\klif.sys

+ VComm Bluetooth Serial Port Driver (Not verified) IVT Corporation c:\windows\system32\drivers\vcomm.sys

+ VcommMgr Bluetooth VcommMgr driver (Not verified) IVT Corporation c:\windows\system32\drivers\vcommmgr.sys

+ vsdatant TrueVector Device Driver (Verified) Check Point Software Technologies Inc. c:\windows\system32\vsdatant.sys

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

+ C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll kldialhk (Not verified) Kaspersky Lab c:\programme\kaspersky lab\kaspersky internet security 6.0\adialhk.dll

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

+ klogon Logon Visualizer (Not verified) Kaspersky Lab c:\windows\system32\klogon.dll

+ Sebring LogonNotify DLL (Not verified) Intel Corporation c:\windows\system32\lgnotify.dll

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

+ Redirected Port c:\windows\system32\redmonnt.dll

- Und hier die 6 Textdateien von Datfind:

1. system32.txt

08.04.2007 21:50 2.206 wpa.dbl
06.04.2007 16:36 239.944 FNTCACHE.DAT
02.04.2007 13:37 40.326 perfc009.dat
02.04.2007 13:37 311.938 perfh009.dat
02.04.2007 13:37 317.168 perfh007.dat
02.04.2007 13:37 48.552 perfc007.dat
02.04.2007 13:37 723.744 PerfStringBackup.INI
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:32 1.843.712 win32k.sys
07.03.2007 22:36 12.619.736 MRT.exe
07.03.2007 16:15 664 d3d9caps.dat
16.02.2007 11:54 65.536 QuickTimeVR.qtx
16.02.2007 11:54 49.152 QuickTime.qts
15.02.2007 19:01 337.280 WgaTray.exe
15.02.2007 19:01 1.476.992 LegitCheckControl.dll
15.02.2007 19:00 236.928 WgaLogon.dll
14.02.2007 21:20 122.142 TZLog.log
29.01.2007 10:58 60.416 tzchange.exe
23.01.2007 21:30 546.304 hhctrl.ocx
19.01.2007 13:53 51.056 sirenacm.dll
12.01.2007 10:27 3.580.416 mshtml.dll
12.01.2007 10:27 477.696 mshtmled.dll
12.01.2007 10:27 132.608 extmgr.dll
12.01.2007 10:27 6.054.400 ieframe.dll
12.01.2007 10:27 1.149.952 urlmon.dll
12.01.2007 10:27 822.784 wininet.dll
12.01.2007 10:27 27.136 jsproxy.dll
12.01.2007 10:27 51.712 msfeedsbs.dll
12.01.2007 10:27 232.960 webcheck.dll
12.01.2007 10:27 458.752 msfeeds.dll
12.01.2007 10:27 670.720 mstime.dll
10.01.2007 18:42 1.040.384 ieframe.dll.mui
08.01.2007 20:04 105.984 url.dll
08.01.2007 20:04 102.400 occache.dll
08.01.2007 20:03 193.024 msrating.dll
08.01.2007 20:02 1.823.744 inetcpl.cpl
08.01.2007 20:02 266.752 iertutil.dll
08.01.2007 20:02 44.544 iernonce.dll
08.01.2007 20:02 383.488 ieapfltr.dll
08.01.2007 20:02 153.088 ieakeng.dll
08.01.2007 20:02 161.792 ieakui.dll
08.01.2007 20:02 230.400 ieaksie.dll
08.01.2007 20:02 384.000 iedkcs32.dll
08.01.2007 20:01 17.408 corpol.dll
08.01.2007 20:00 124.928 advpack.dll
08.01.2007 19:08 56.832 ie4uinit.exe
08.01.2007 19:08 13.824 ieudinit.exe

2. systemtemp.txt

08.04.2007 21:50 16.384 ~DFC9B2.tmp
08.04.2007 21:50 1.776 jusched.log

3. windows

08.04.2007 21:50 0 0.log
08.04.2007 21:50 1.565.104 WindowsUpdate.log
08.04.2007 21:50 2.048 bootstat.dat
08.04.2007 21:02 284.656 ntbtlog.txt
08.04.2007 18:59 32.580 SchedLgU.Txt
08.04.2007 00:08 216 wiadebug.log
07.04.2007 22:11 50 wiaservc.log
07.04.2007 22:11 0 Sti_Trace.log
07.04.2007 14:26 1.409 QTFont.for
07.04.2007 14:26 54.156 QTFont.qfn
04.04.2007 17:42 439 system.ini
02.03.2007 17:12 1.676 musi.ini
05.02.2007 11:28 453 BRWMARK.INI
26.01.2007 01:08 633 win.ini
09.01.2007 14:39 1.064.089 setupapi.log.0.old
06.01.2007 18:10 5.887 mozver.dat
06.01.2007 18:09 176 wininit.ini

4. temp

08.04.2007 21:57 8.192 cch~6785802a.htp
08.04.2007 21:57 8.192 cch~678587b3.htp
08.04.2007 21:57 8.192 cch~67803f1d.htp
08.04.2007 21:57 8.192 cch~67803a79.htp
08.04.2007 21:57 8.192 cch~67802ebf.htp
08.04.2007 21:57 8.192 cch~678029d6.htp
08.04.2007 21:50 409 WGANotify.settings
08.04.2007 21:50 255 WGAErrLog.txt
08.04.2007 21:50 16.384 ~DF1F1E.tmp
08.04.2007 17:52 16.384 ~DF28C7.tmp
08.04.2007 17:48 16.384 ~DF2C68.tmp
08.04.2007 17:40 16.384 ~DF2F04.tmp
08.04.2007 17:31 16.384 ~DF271E.tmp
08.04.2007 16:45 16.384 ~DF2FA2.tmp
08.04.2007 08:28 16.384 ~DF2CF9.tmp
07.04.2007 21:33 16.384 ~DF2D60.tmp
07.04.2007 21:09 16.384 ~DF291E.tmp

5. down

keine Dateien aus den letzten 3 Monaten

6. c

08.04.2007 22:01 0 sys.txt
08.04.2007 22:01 442 down.txt
08.04.2007 22:01 1.099 tmp.txt
08.04.2007 22:00 4.169 system.txt
08.04.2007 22:00 344 systemtemp.txt
08.04.2007 21:58 101.220 system32.txt
08.04.2007 21:50 805.306.368 pagefile.sys
07.04.2007 21:28 6.088 ComboFix.txt
07.04.2007 21:28 127 ComboFix-quarantined-files.txt

Ich hoffe, das hilft. Vorhin hing wieder alles, CPU 99%. So ein Mist...!

Die Sache könnte doch was mit den Updates von Microsoft zu tun haben:

Also ich eben den Prozess svchost.exe beendete, weil bei 99% CPU-Auslastung mal wieder gar nichts ging, verschwand auch der gelbe Schild in der Taskleiste, der die neuen Updates anzeigt. Seltsam...

Werde obiges Programm jetzt ausführen und danach die Ergebnisse posten.

Prevx1 hat auf meinem Computer eine Datei mit dem Namen UNINST.EXE als Trojaner entlarvt. Die Datei ist meiner Meinung nach aber nur das Deinstallationsprogramm für das Spiel "You Don't Know Jack", wie auch der Verzeichnisname andeutet:

Common Path: %PROGRAMFILES%\YDKJ\

Den ganzen Report hier:

UNINST.EXE
Determination: Bad
UNINST.EXE
AUTOMATED MALWARE PROFILE, ANALYSIS, REMOVAL AND SIGNATURE INFORMATION:
DEFINITION OF: UNINST.EXE

* Safety Rating: Known Malware, do not run
* Malware Family: Part of Malware group - Trojan Shiver A
* Malware Form: TROJAN
* Protection: Prevx1 is a very powerful PC security product, it will protect, disinfect, cleanup and remove UNINST.EXE and safeguard your PC against viruses, trojans, worms, spyware, rootkits and adware
* New Users: You can download the full Prevx1 product and use it to cleanup and remove UNINST.EXE and other infections free of charge, then leave it to monitor your PC for other infections
* First seen: Aug 27 2005 (GMT)
* Last seen: Aug 27 2005 (GMT)
* File Size: 88,738 bytes

MALWARE ASSESSMENT: PREVX 4 AXES OF EVIL METHODOLOGY
1. COVERT ANALYSIS OF: UNINST.EXE

* File Names Used: 2
* Paths Used: 10
* Common File Name: UNINST.EXE
* Common Path: %PROGRAMFILES%\YDKJ\
* Vendor Information: No Vendor details specified
* File Name Structure: Normal
* File and Path Structure: Normal

2. RELATIONSHIP ANALYSIS OF: UNINST.EXE

* No relationship details available for this object

3. ACTIVITY ANALYSIS OF: UNINST.EXE

* No activity has yet been observed for this object

4. PROPAGATION ANALYSIS OF: UNINST.EXE

* Malware Group Propagation Rate: Moderate (spreading)
* Malware Group: Trojan Shiver A
* Copyright Prevx Limited 2005, 2006

Wenn ich diese Datei jetzt lösche, kann ich dann das Spiel trotzdem noch deinstallieren?

Bezüglich der Updates:
Habe die sowieso nur auf Benachrichtigung gestellt und installiere sie immer manuell.

Mache jetzt den Windows-Check, melde mich dann wieder.

So.

Prevx1 hat inzwischen eine weitere "bäse" Datei gefunden:

UNINST.EXE
Determination: Bad
UNINST.EXE
AUTOMATED MALWARE PROFILE, ANALYSIS, REMOVAL AND SIGNATURE INFORMATION:
DEFINITION OF: UNINST.EXE

* Safety Rating: Known Malware, do not run
* Malware Family: Part of Malware group - Trojan Shiver A
* Malware Form: TROJAN
* Protection: Prevx1 is a very powerful PC security product, it will protect, disinfect, cleanup and remove UNINST.EXE and safeguard your PC against viruses, trojans, worms, spyware, rootkits and adware
* New Users: You can download the full Prevx1 product and use it to cleanup and remove UNINST.EXE and other infections free of charge, then leave it to monitor your PC for other infections
* First seen: Aug 27 2005 (GMT)
* Last seen: Aug 27 2005 (GMT)
* File Size: 88,738 bytes

MALWARE ASSESSMENT: PREVX 4 AXES OF EVIL METHODOLOGY
1. COVERT ANALYSIS OF: UNINST.EXE

* File Names Used: 2
* Paths Used: 19
* Common File Name: UNINST.EXE
* Common Path: ?:\system volume information\_restore{?sid?}\rp{folder}\
* Vendor Information: No Vendor details specified
* File Name Structure: Normal
* File and Path Structure: Normal

2. RELATIONSHIP ANALYSIS OF: UNINST.EXE

* No relationship details available for this object

3. ACTIVITY ANALYSIS OF: UNINST.EXE

* No activity has yet been observed for this object

4. PROPAGATION ANALYSIS OF: UNINST.EXE

* Malware Group Propagation Rate: Moderate (spreading)
* Malware Group: Trojan Shiver A
* Copyright Prevx Limited 2005, 2006

Meine Frage: Kann ich diese UNIST.EXE-Dateien ohne Bedenken löschen?

Diesen sfc/scannow-Befehl habe ich auch ausgeführt. Die XP-CD wurde verlangt, aber WIndows gibt keine abschließende Meldung. Irgendwann war der Prozess fertig, und ich hab keine Ahnung was oder ob überhaupt was gemacht/verändert wurde.

HouseCall hat 2 Malware-Dateien und 3 Cookies gefunden, die ich auch gelöscht habe. Eine weitere Untersuchung ergab keine Funde mehr.

Der Onlinescan von Kaspersky will nicht funktionieren. Das Programm startet, aber beim Updaten der Virendatenbanken gibt es schinbar Probleme, und eine Fehlermeldung erinnert mich daran, dass ich online sein muss. Bin ich aber. Keine Ahnung, woran das liegt.
Da ich aber Kaspersky Internet Security 6.0 benutzte, müsse auch ein Offline-Scan mit aktualisierten Datenbanken reichen, oder?

Ich schau gleich noch mal mit nem Neustart, ob das Problem sich inzwischen verflüchtigt hat. Melde mich dann.