aaalso....

ich habn problem mit svchost.exe. wenn ich das teil als prozess beende, eines von den vielen svchost prozessen, öffnet sich ein hübsches kleines fenster mit countdown zähler. na? an was erinnert das?
jetzt hab ich schon so allerhand ausprobiert,
virenscanner= nix...
hijackthis log= nix, soweit ich das erkennen kann, wird auch gleich noch geposted
http://virusscan.jotti.org/de= hat nix ergeben...

ach ja, dann hab ich nochn QZTEMP ordner in windowes\temp der sich nach dem löschen immer wieder herstellt und zwei andere dateien die sich nicht löschen lassen, weil sie von irgendwas grade verwendet werden. ich weis aber nicht von was! die dateien sind:
1. Perflib_Perfdata_d40.dat
2.ZLT022f0.TMP

hier der log:

Logfile of HijackThis v1.98.2
Scan saved at 12:59:21, on 28.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\gtwatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ATI Technologies\HydraVision\HydraDM.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\BitTorrent\btdownloadgui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\gülay\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C9175BC-1198-4DBE-91D3-8DE424AEBFB4}: NameServer = 217.237.149.161 217.237.151.225



wär cool, wenn ihr mir da helfen könntet!

EDIT: ach ja und hab versucht die beiden dateien mit http://virusscan.jotti.org/de zu scannen. funzt aber nicht, weil angeblich die dateien kleiner als 0 byte sind oder so und meine firewall das verhindert. irgendwie sowas...klappt jedenfalls nicht

Hallo,

du versuchst einen Systemprozess zu beenden und wunderst dich anschliessend, dass sich dein System runterfahren will!

Viel mehr wundert es mich, dass dein System ohne jegliche Patches durch das I-net geistert!

Zitat:

dann hab ich nochn QZTEMP ordner

Könnte daran liegen, dass du QuickZip als Packprogramm verwendest.

Zitat:

1. Perflib_Perfdata_d40.dat
2.ZLT022f0.TMP

Die Perflib_Perfdata sind Temporärdateien des System-Monitors (Start -> Ausführen -> perfmon.msc)

@ DoubleG

also warum Du einen Systemprozess beenden willst, entzieht sich meiner Kenntnis ;-) Du solltest Systemprozesse (svchost.exe) nicht einfach so beenden, das mag der Rechner nicht ..

Platform: Windows XP (WinNT 5.01.2600)/MSIE: Internet Explorer v6.00 (6.00.2600.0000) - lade Dir bitte das aktuelle Service Pack runter und update Deinen IE: www.windowsupdate.com

bitte überprüfe mit virusscan.jotti.dhs.org, falls noch nicht gemacht:

C:\WINDOWS\gtwatch.exe

teile uns das Ergebnis der Überprüfung aller von Dir überprüften Dateien mit Pfadangabe und Dateinamen mit.

Lade das ClearProg runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

Hast Du Deinen Rechner bereits mit dem eScan überprüft? Na, ich warte erstmal Deine Antwort und das Ergebnis der Online-Scan-Überprüfung ab.

@ Cidre, sah Dich erst nach dem posten.

SD

quickzip! daran hab ich ja gar nicht gedacht! das könnte sein, aber was ist mit der anderen datei? also ZLT022f0.TMP ???

ach ja und gtwatch isn prozess von meinem mustekscanner... weis nicht genau wozu der gut sein soll...

habs trotzdem mal durch den scanner gejagt-->is sauber

also is eigentlich alles oke mit svchost??? auch normal mit PENG---> COUNTDOWN!!! ????

jetzt wo ihr so fragt, frag ich mich auch warum ich den prozess eigentlich unbedingt beendet haben wollte... :P

also service pack, kommt sofort drauf. und escan... hatte ich eigentlich schon...mach ich aber nochmal. habs nämlich mittendrin abgebrochen

danke erstma... und jez erledige ich ma den rest der noch zu tun ist

Zitat:

Zitat von DoubleG

also is eigentlich alles oke mit svchost??? auch normal mit PENG---> COUNTDOWN!!! ????

Das ist völlig normal, update jetzt erstmal dein System, führe escan aus, und dann sehen wir weiter.

so, also...

escan hab ich jez auch gemacht... is scho knapp vor eins, morgen schule, alles wunderbar.

hatte paar viren, hab entsprechende dateien alle gelöscht. alles sauber jetzt. aber hab auch ziemlich oft ERROR gehabt... und zufälligerweise auch bei ZLT022f0.TMP!!! und bei perflib auch... aber die soll ja in ordnung sein die datei...

ich krieg die krise... egal... ich geh jetzt pennen. und morgen nochmal ein komplettes escan und ein nod32 und warum nicht gleich auch ein norton check

danke schonmal

Bitte poste noch was von eScan gefunden wurde!
Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

So, das escan ergebnis:

Mon Nov 29 08:45:04 2004 => C:\Dokumente und Einstellungen\gülay\Recent\kumarli.jpg.lnk possibly infected and removed by background antivirus package!
Mon Nov 29 08:45:08 2004 => C:\Dokumente und Einstellungen\gülay\Recent\kumarli.jpg.lnk possibly infected and removed by background antivirus package!
Mon Nov 29 08:45:08 2004 => File C:\Dokumente und Einstellungen\gülay\Recent\kumarli.jpg.lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
Mon Nov 29 08:48:12 2004 => C:\Dokumente und Einstellungen\gülay\Desktop\kumarli.jpg possibly infected and removed by background antivirus package!
Mon Nov 29 08:48:12 2004 => File C:\Dokumente und Einstellungen\gülay\Desktop\kumarli.jpg infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
Mon Nov 29 08:49:44 2004 => File C:\System Volume Information\_restore{DDD51E55-AD36-46E8-9E00-237947D9EC13}\RP2\A0000189.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
Mon Nov 29 08:49:45 2004 => File C:\System Volume Information\_restore{DDD51E55-AD36-46E8-9E00-237947D9EC13}\RP2\A0000190.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: File Deleted.
Mon Nov 29 08:49:45 2004 => File C:\System Volume Information\_restore{DDD51E55-AD36-46E8-9E00-237947D9EC13}\RP2\A0000191.dll infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: File Deleted.
Mon Nov 29 08:49:46 2004 => File C:\System Volume Information\_restore{DDD51E55-AD36-46E8-9E00-237947D9EC13}\RP2\A0000192.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: File Deleted.
Mon Nov 29 08:49:46 2004 => File C:\System Volume Information\_restore{DDD51E55-AD36-46E8-9E00-237947D9EC13}\RP2\A0000193.exe infected by "TrojanDownloader.Win32.Swizzor.cb" Virus. Action Taken: File Deleted.
Mon Nov 29 08:49:47 2004 => File C:\System Volume Information\_restore{DDD51E55-AD36-46E8-9E00-237947D9EC13}\RP2\A0000194.exe infected by "Trojan-Downloader.Win32.Swizzor.cc" Virus. Action Taken: File Deleted.
Mon Nov 29 08:49:47 2004 => File C:\System Volume Information\_restore{DDD51E55-AD36-46E8-9E00-237947D9EC13}\RP2\A0000195.exe infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: File Deleted.
Mon Nov 29 15:00:09 2004 => C:\Dokumente und Einstellungen\gülay\Recent\kumarli.jpg.lnk possibly infected and removed by background antivirus package!
Mon Nov 29 15:00:12 2004 => C:\Dokumente und Einstellungen\gülay\Recent\kumarli.jpg.lnk possibly infected and removed by background antivirus package!
Mon Nov 29 15:00:12 2004 => File C:\Dokumente und Einstellungen\gülay\Recent\kumarli.jpg.lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
Mon Nov 29 15:00:12 2004 => C:\Dokumente und Einstellungen\gülay\Recent\narins bulmaca kagidi.jpg.lnk possibly infected and removed by background antivirus package!
Mon Nov 29 15:00:12 2004 => C:\Dokumente und Einstellungen\gülay\Recent\narins bulmaca kagidi.jpg.lnk possibly infected and removed by background antivirus package!
Mon Nov 29 15:00:12 2004 => File C:\Dokumente und Einstellungen\gülay\Recent\narins bulmaca kagidi.jpg.lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
Mon Nov 29 15:03:19 2004 => C:\Dokumente und Einstellungen\gülay\Desktop\kumarli.jpg possibly infected and removed by background antivirus package!
Mon Nov 29 15:03:19 2004 => File C:\Dokumente und Einstellungen\gülay\Desktop\kumarli.jpg infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
Mon Nov 29 15:04:12 2004 => C:\Dokumente und Einstellungen\gülay\Eigene Dateien\Meine empfangenen Dateien\narins bulmaca kagidi.jpg possibly infected and removed by background antivirus package!
Mon Nov 29 15:04:12 2004 => C:\Dokumente und Einstellungen\gülay\Eigene Dateien\Meine empfangenen Dateien\narins bulmaca kagidi.jpg possibly infected and removed by background antivirus package!
Mon Nov 29 15:04:12 2004 => File C:\Dokumente und Einstellungen\gülay\Eigene Dateien\Meine empfangenen Dateien\narins bulmaca kagidi.jpg infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.


so... und dann hab ich einfach noch die virus log information kopiert... vielleicht nützt das ja...


File C:\Dokumente und Einstellungen\gülay\Recent\kumarli.jpg.lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\gülay\Recent\narins bulmaca kagidi.jpg.lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\gülay\Desktop\kumarli.jpg infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\gülay\Eigene Dateien\Meine empfangenen Dateien\narins bulmaca kagidi.jpg infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{DDD51E55-AD36-46E8-9E00-237947D9EC13}\RP2\A0000763.exe tagged as not-a-virus:RiskWare.Tool.PrcView.3725. No Action Taken.
File C:\Recycled\Dc55.exe tagged as not-a-virus:AdWare.Lop.e. No Action Taken.
File C:\Recycled\Dc59.exe tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken.
File C:\Recycled\Dc60.exe tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken.
File C:\Recycled\Dc61.exe tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken.
File D:\Recycled\Dd1.exe tagged as not-a-virus:RiskWare.Tool.PrcView.3725. No Action Taken.
File D:\SIERRA\Half-Life\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.
File D:\Eigene Dateien\~-gülay-~\Schule\Informatik\JAVA BlueJ\Java Literatur aktuell\javawerk\javawerk\java\demo\BarChart\Chart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File D:\Eigene Dateien\~-gülay-~\Schule\Informatik\JAVA BlueJ\Java Literatur aktuell\javawerk\javawerk\java\demo\Blink\Blink.class tagged as not-a-virus:JavaClass.Blink. No Action Taken.

da ist was was ich nicht so ganz check... wieso erkennt escan viren die nod32 nicht erkennt? ich denk das teil ist zu 100% sicher?! hab ich erst letztens noch in der zeitung gelesen! ...son scheiß ey...

Das Log-File sieht zwar augenscheinlich sauber aus, aber für mich wäre dein/dieses System nicht mehr vertrauenswürdig, da z.B. der Backdoor Rbot.gen aktiv war.

Zitat:

File C:\System Volume Information\_restore{DDD51E55-AD36-46E8-9E00-237947D9EC13}\RP2\A0000189.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.

Die sicherste Lösung wäre dies gewesen:
http://www.trojaner-board.de/showpos...28&postcount=2

Solltest du dennoch diesen Zustand beibehalten wollen, dann ändere zumindest alle vergebenen Passwörter.

sch****!!!



neues system muss her... oke das werd ich mal tun... is glaub ich besser als alle passwörter zu ändern... son dreck ...

naja, auf jeden fall vielen dank für eure hilfe... ihr habts voll drauf man,

nochmal danke!
peace