[Viren/Trojaner] Wo steckt das Miststück?

MartyStuart

MartyStuart

Senior Member
Wo steckt das Miststück?

Nachdem ich jetzt 2 tage gegoogled habe und nur noch Bahnhof verstehe frag ich Euch:

Nach ca. 10 min Online verursacht die SCVHOST.EXE 100% Prozessorauslastung, hilft nur noch der Resetknopf. Passiert aber nur bei deaktivierten Firewall!

Ich hab die Kiste mit Antivir gescannt - nix. F-Prot - dito. Scannersignatur ist aktuell. Diverse Onlinescanns haben auch nichts gefunden :devil

Mein System: WinXP prof mit SP 1, alle aktuellen MS-Patche.

Ich bin nun ziemlich ratlos. Wo kann sich das Teil versteckt haben?


cu

martystuart
 
@Perry: Ja klar hab ich die Wechsstaben verbuchtelt.

@LT: ist er leider( oder zum Glück) nicht. Weder sind die Einsträge in der Registrierung noch ist die scvhost.exe im Systemordner. Außerdem hat nichts Antivir deaktiviert und ich hatte auch Zugriff auf die Antivir-Seiten. Grrrrrr, hab keinen Plan mehr was ich noch machen sool.
 
hab das gleiche problem....

auslastung 100%.......manchmal der rpc-fehler noch vom alten blaster oder wie der damals hiess...und keine software findet was....aber antivir wurde deaktiviert z.b in der registry keine einträge...einfach da aber irgendwie auch nich...son müll....ich weiss nich welcher scanner da noch was finden kann wenn alle nichts können?
 
Die Prozessorauslastung (besonder unter XP) kann viele Ursachen haben.
Neben evtl. Viren und Trojanern, fangen diese bei aktivierter Bildvorschau an,
über Modemtreiber bis hin zu Dateimanagern und Download/P2P - Programmen.
Wäre es vermessen von mir, euch beide um einen Hijackthislog zu bitten?
Dann können wir am besten sehen, was am Start ist.

Grüße
arcanoa
 
So, da ist die Logdatei. Der letzte Eintrag ist mir suspekt, kommt nach dem löschen nach einiger Zeit immer wieder. :confused
 

Anhänge

  • hijackthis.txt
    1,5 KB · Aufrufe: 236
Original geschrieben von MartyStuart
Der letzte Eintrag ist mir suspekt, kommt nach dem löschen nach einiger Zeit immer wieder.
Zum Vergrößern anklicken....
Laut Visual Route ist

O17 - HKLM\System\CCS\Services\Tcpip\..\{2AAB3D81-F9EA-4EC6-973B-A0F1C37B458E}: NameServer = xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx

t-online.de, was ist daran suspekt?

Ich würde eher auf DUControl tippen - obwohl es bei mir nie probs machte...
 
Falls es DUControl nicht sein sollte, was ist mit dem emule mod?
Stell den ab und schau, ob der Auslastung immer noch so hoch ist.
Wenn nein, ok -> anderer Mod.
Wenn ja, kommen die anderen Telefone dran:
Getright
PFTP

Aber erst mal tippe ich auf den emule mod.
Achja,
O4 - Global Startup: InterVideo WinCinema Manager.lnk.disabled

kannst fixen

Grüße
arcanoa
 
Ich tests mal durch. Das komische ist, den Emule mod und die anderen Programme verwende ich schon lange. Das Problem ist erst seit 2 tagen. Nichts neues installiert, deshalb dachte ich an Virus oder ähnliches. Vor allem wenns eins der Programme ist, warum dann nur bei deaktivierten Firewall?
 
Danke SevenSpirits. CurrPorts ist ganz interessant. Ich hab mal nen Auszug der gesperrten Vorgänge. Seh ich das richtig, daß da unwarscheinlich viel nach hause telefonieren will??
 

Anhänge

  • currports.txt
    19,7 KB · Aufrufe: 627
Hmm,
hauptsächlich 4662, was auf den emule hindeutet.
Ist der emule eingeschränkt (kein Auto Update o.ä.)?
Wenn du sagst, seit 2 Tagen, kann es auch sein, daß ein Update des Mods
durchgeführt wurde und der jetzt für den Trouble sorgt - wäre nicht das erste Mal.

Was sagt denn der Logfile der FW (welche hast du eigentlich)?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben