Hey leute...

ich habe vor rund zwei Wochen auf meinem Netbook das Windows XP neu aufsetzen müssen...da ich einen Virus hatte und nichts mehr ging.

Nachdem ich alles fertig hatte, habe ich seit rund 5 Tagen dieses problem wie oben beschrieben und zwar wenn ich mein Netbook neu starte oder einschalte kommt nach dem kompletten hochfahren folgende Anwendung: svchost.exe was den Prozessor um 50 Prozent auslastet. Wenn ich dann auf task beenden(TaskPlaner) gehe kommt folgende Meldung: das System wird heruntergefahren. Speichern sie alle Daten.....das Herunterfahren wurde von NT-Autorität\system ausgelöst.
Windos muss neugestartet werden, da der Dienst DCOMM-Server-prozessstart unerwartet beendet wurde.

Ich denke dieses fenster kennt jeder?!

Ich kann es stoppen bzw beenden in dem auch start-ausführen und dann shutdown -a bestätige...dann ist das Fenster plus Auslastung weg.

Aber das ist doch auch nicht die Lösung des Problems!

FixSasser und FixBlast haben nichts gefunden, AdAware und AntiVir findet auch nichts.

Was kann ich jetzt noch tun?

Process Explorer herunterladen. Das gibt an, was diesen einen svchost Prozess benutzt und gestartet hat, du findest also so den Übeltäter heraus.

vielleicht nützt es ja noch was wenn ich HiJack euch zukommen lasse??!!

vielleicht nützt es ja noch was wenn ich HiJack euch zukommen lasse??!!

...auch gut ...

Greets & good luck
S@uDepp

hier Logfile, zu diesem zeitpunkt war svchost aktiv

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:42:10, on 27.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\System Control Manager\MSIService.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\System Control Manager\MGSysCtrl.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Trend Micro\HiJackThis\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MGSysCtrl] C:\Programme\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [UCam_Menu] "C:\Programme\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Programme\HomeCinema\YouCam" update "Software\CyberLink\YouCam\1.0"
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\HomeCinema\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office X3\Programs\QFSCHD130.EXE"
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\GoogleEULA\EULALauncher.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: monxga32.exe
O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing) (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1218105216062
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1219728850859
O17 - HKLM\System\CCS\Services\Tcpip\..\{0060B88A-C6CE-4E89-8189-E57407B9EAE2}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0060B88A-C6CE-4E89-8189-E57407B9EAE2}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0060B88A-C6CE-4E89-8189-E57407B9EAE2}: NameServer = 192.168.0.1
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Micro Star SCM - Unknown owner - C:\Programme\System Control Manager\MSIService.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe

--
End of file - 7417 bytes

Diese "monga32.exe" würde mich etwas stutzig machen. Könnte ein Virus sein.
Lade sie am besten mal auf http://www.virustotal.com/de/ hoch, da siehst dann was andere Virenscanner sagen.

Das ist ein Trojaner.
http://www.removespywareguides.com/how-to-remove-monxga32-exe.html
http://www.virusremovalguru.com/?p=6106

Du solltest auch mal die Proggis aktueller halten.
Z.B. den Adobe Reader oder Java Runtime

Und einen besseren Virenscanner.

Der Antivir Kram ist Müll (sieht man ja denn du hast einen Trojaner im System).

Und einen besseren Virenscanner.

Der Antivir Kram ist Müll (sieht man ja denn du hast einen Trojaner im System).


Allso laut dem Vergleich von AV-Comparative vom Februar (http://www.av-comparatives.org/images/stories/test/ondret/avc_report25.pdf) schneidet Avira eigentlich sehr gut ab.

Laut dem Produktevergleich (http://www.free-av.com/de/produkte/2/avira_antivir_premium.html) müsste ja eigentlich die selbe Engine in der Personal Edition verwendet werden, Heuristik ist auch enthalten, was fehlt ist die Verhaltenserkennung die sicher etwas ausmacht jedoch nicht den Virenscanner unbrauchbar macht.

Worauf begründest du deine Ablehnung gegenüber Avira, abgesehen von der Infektion?
Kannst du ev. eine fundierte Empfehlung eines anderen (kostenlosen) Virenscanners machen?

Der Antivir Kram ist Müll (sieht man ja denn du hast einen Trojaner im System).
Solange ers nicht durch virustotal gejagt hat, wäre ich vorsichtig mit solchen Aussagen.

Zum entfernen werf ich mal Kaspersky Virus Removal Tool (http://www.myantispyware.com/2009/03/26/how-to-use-kaspersky-virus-removal-tool/) in den Raum. Das ist kostenlos, aber nicht gerade klein. :D

Vielen dank jungs :love3: , hat mmir echt weiter geholfen und es hat was gebracht, hier die logdatei:
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4046

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

28.04.2010 20:50:44
mbam-log-2010-04-28 (20-50-44).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 145768
Laufzeit: 21 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Michael\Startmenü\Programme\Autostart\monxga32.exe (Trojan.Agent) -> Quarantined and deleted successfully.

wie man sieht zwei dateien wurden gefunden.
das ist erstmal das erste problem was ich hatte, in ein paar tagen kommt das nächste mit meinem rechner, etwas größer :(

...guck auch mal bei AVAST (http://www2.avast.de/produkte/freeware/avast-free-antivirus.html) rein - der bietet nen BootTimeScan (StartZeitPrüfung) - scant also vorm Hochfahren des Betriebssystems.....

Greets
S@uDepp