Help needed -.-

MyFunnnnChars · 29.01.2005, 17:24

Hi Leute,

hab nen dickes fettes Problem. bin mir nicht sicher ob das nen reines windows problem is oder doch eher nen trojaner problem -.-
also wie folgt :
Ich krieg regelmässig die Meldung windows system32 error und dann geht bei mir nichts mehr. kann nicht mehr in den task manager internet geht dann nicht mehr etc. muss dann regelmässig neustarten.

Verursacher des Problems ist eine songenannte "svchost.exe" datei.
ich weiss, dass es eine svchost.exe als windows system datei gibt. die ist es allerdings nicht.
denn ich habe komischerweise im taskmanager immer 5 mal svchost.exe laufen. allerdings gehören da nur 4 rein wenn ich richtig informiert bin...
die falsche svchost.exe installiert sich immer wieder trotz löschen etc in den ordner windows / prefetch und eigene dateien lokale einstellungen temp. kann das teil löschenwie ich will. 3 minuten später is es wieder da. nichts hilft.

virenscan mit trendmirco panda soft und nortin hat rein gar nichts gebracht. addaware se auch nicht. ich bin am ende. -.- was nun ?? -.-

danke schon jetzt

Chris14 · 29.01.2005, 17:32

erstelle ein HijackThis log wie es auf http://www.trojaner-board.de/51130-a...ijackthis.html steht und poste es.

MyFunnnnChars · 29.01.2005, 17:35

keine ahnung was das da is aber hier der "hihack" report:

Logfile of HijackThis v1.99.0
Scan saved at 17:34:13, on 29.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Atguard\iamserv.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Diablo II\Diablo II.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\PowerArchiver\POWERARC.EXE
C:\DOKUME~1\Sascha\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: Shell=
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\en-us\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\en-us\msntb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: ChatSpace Java Client 2.1.0.88L - http://216.65.197.84:8080/Java/cs4msl088.cab
O16 - DPF: ConferenceRoom Java Client - http://irc.d2jsp.org:8000/java/cr.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.blizzard.com/support/includes/cabs/si.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game14.zylomgames.com/activex/zylomloader.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.comp...bio5_1_6_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E65F69F-987C-4D5C-9C1E-020DCC40FB6E}: NameServer = 217.65.24.98
O23 - Service: BrSplService - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: CA ISafe - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: WRQ IAM - WRQ, Inc. - C:\Programme\Atguard\iamserv.exe
O23 - Service: MySql - Unknown - C:/apacheprogramm/bin/mysqld-opt.exe (file missing)
O23 - Service: Sicherheitskontenverwaltung - Realtek Semiconductor Corporation - (no file)
O23 - Service: SmartLinkService - - (no file)
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Win Dump Eventlog - Unknown - C:\WINDOWS\wdumpevt.exe (file missing)

MyFunnnnChars · 29.01.2005, 17:37

wobei ich vor dem hijack die falsche svchost.exe per prozesstruktur beenden gekilled hatte

Chris14 · 29.01.2005, 17:39

ich sehe schon dinge die gefixt werden sollen..

also führe das aus:
1.escan
-lade dir escan runter und gehe genau nach dieser anleitung vor

2.einträge löschen
-fixe mit HijackThis diese einträge:
F2 - REG:system.ini: Shell=
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.blizzard.com/support/includes/cabs/si.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game14.zylomgames.com/activex/zylomloader.cab
O23 - Service: MySql - Unknown - C:/apacheprogramm/bin/mysqld-opt.exe (file missing)
O23 - Service: Sicherheitskontenverwaltung - Realtek Semiconductor Corporation - (no file)
O23 - Service: SmartLinkService - - (no file)
O23 - Service: Win Dump Eventlog - Unknown - C:\WINDOWS\wdumpevt.exe (file missing)

3.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues HijackThis log

MyFunnnnChars · 29.01.2005, 17:40

arf hilfe. ich bin absoluter noob in den dingen -.- wird nen bissl dauern fang jetz an -.-

chaosman · 29.01.2005, 19:29

@MyFunnnnChars
mehr infos zur svchost.exe
http://www.neuber.com/taskmanager/de...chost.exe.html
chaosman

MyFunnnnChars · 29.01.2005, 20:04

oh mann ich hab nen echtes problem -.- hier das MWAV teil :

File C:\WINDOWS\System32\d2kbpn.exe infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\notepad.exe infected by "Trojan.Win32.Dialer.by" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Dokumente\csrsss.exe infected by "Backdoor.Win32.Agobot.xf" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Dokumente\fensvc32.exe infected by "Backdoor.Win32.Agobot.wn" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Dokumente\install.exe infected by "Trojan-Proxy.Win32.Agent.cw" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Dokumente\MSlti64.exe infected by "Backdoor.Win32.Agobot.vm" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Dokumente\uninstall.exe infected by "Worm.Win32.Dedler.r" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Sascha\Eigene Dateien\Meine empfangenen Dateien\esheep.exe tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken.
File C:\Dokumente und Einstellungen\Sascha\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XWBMB8D\a375aa[1].js infected by "Trojan-Downloader.JS.Small.af" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Sascha\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CTG78RGV\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Sascha\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHQF4D6B\Bridge-c139[1].cab infected by "not-a-virus:AdWare.WinAD.p" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Sascha\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHWTE349\AdStatKeep[1].exe infected by "not-a-virus:AdWare.WinAD.k" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\run.exe infected by "Trojan.Win32.Zapchast" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\AdStatServX.dll infected by "not-a-virus:AdWare.WinAD.p" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\d2kbpn.exe infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\notepad.exe infected by "Trojan.Win32.Dialer.by" Virus. Action Taken: No Action Taken.

Help needed -.-

Log-Analyse und Auswertung: Help needed -.-

svchost.exe problem

Help needed -.-

Help needed -.-

Help needed -.-

Help needed -.-

Help needed -.-

Help needed -.-

Help needed -.-

Ähnliche Themen: Help needed -.-

29.01.2005, 17:32	#2
Chris14	Help needed -.- erstelle ein HijackThis log wie es auf http://www.trojaner-board.de/51130-a...ijackthis.html steht und poste es. __________________

29.01.2005, 17:37	#4
MyFunnnnChars	Help needed -.- wobei ich vor dem hijack die falsche svchost.exe per prozesstruktur beenden gekilled hatte

29.01.2005, 17:40	#6
MyFunnnnChars	Help needed -.- arf hilfe. ich bin absoluter noob in den dingen -.- wird nen bissl dauern fang jetz an -.-

29.01.2005, 19:29	#7
chaosman	Help needed -.- @MyFunnnnChars mehr infos zur svchost.exe http://www.neuber.com/taskmanager/de...chost.exe.html chaosman __________________ Bonus vir semper tiro