svchost.exe <>Trojaner hier oder nicht und was tun

chvoyage · 28.07.2006, 15:19

hallo liebe gemeinde

ich bin völlig hilflos und erhoffe mir eine lösung meines problems.

beim start meines pc unter windows 2000 kam erstmals die meldung

svchost.exe konnte nicht exakt gestartet werden ( oder so ähnlich)

nachdem ich in google mal nach dieser datei gesucht habe,
habe ich das programm "hijackfree **" gesaugt und mal laufen lassen.

nach 1 stündigem lesen in net bin ich auf dieses board gestoßen.

ein check mit hijackfree ergibt das folgende:
(ich hoffe ich verstoße nicht gegen irgendeine regel hier, aber ich bin blutiger anfänger)

leider weiß ich weder wie man das zeugs hier formatiert reinbekommt, noch verstehe ich was ich tun muß.

deshalb versuche ich es mit dem link auf die seite mit der analyse

h**p://analyze.hijackfree.com/analyze/?id=52c925b0-d0a2-45a4-9e3b-f52dddb95862

ich gehe davon aus , das ich mehrere trojaner an board habe.

könnt ihr mir helfen ??

danke und

gruß

christian

dartus · 28.07.2006, 22:54

Hallo,

poste bitte ein Hijackthis-Logfile.
Editiere bitte sämtliche Links und ev. persönliche Daten

dartus

chvoyage · 29.07.2006, 19:22

Hallo darius

danke für deine antwort

jetzt weiß ich wie man das logfile macht

hier ist es

Logfile of HijackThis v1.99.1
Scan saved at 20:24:38, on 29.07.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
c:\jetsuite\jsdaemon.exe
C:\WINNT\system32\mgabg.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\PDesk\PDesk.exe
C:\WINNT\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\AOL 8.0\aoltray.exe
C:\jetsuite\DLLCMD32.EXE
C:\jetsuite\JETSTAT.EXE
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\nikon\PictureProject\NkbMonitor.exe
C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
c:\jetsuite\JSFMAN.EXE
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.accoona.com/search_assistant/accoona_search_assistant.jsp?&utm_id=400010&utm_content=leftnav&utm_source=efc&utm_medium=bund&utm_campaign=efc0605
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.accoona.com/search_assistant/accoona_search_assistant.jsp?&utm_id=400010&utm_content=leftnav&utm_source=efc&utm_medium=bund&utm_campaign=efc0605
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: ADefaultSearch Class - {944864A5-3916-46E2-96A9-A2E84F3F1208} - C:\Programme\Accoona\ASearchAssist.dll (file missing)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: Accoona - {364B6276-C6C1-40B6-A6D7-6C48871FD707} - C:\Programme\Accoona\atoolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Microsoft Office Shortcut-Leiste.Lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: DllCmd32.lnk = C:\jetsuite\DLLCMD32.EXE
O4 - Global Startup: HP LaserJet 3100 Status.lnk = C:\jetsuite\JETSTAT.EXE
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\system32\Shdocvw.dll
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.gemnet.co.at/mgaxctrl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{65ABE2C0-39EC-4CC1-AE29-1E10A0348604}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD5AB9F5-5F51-47C2-AB11-D3B5EDAD361C}: NameServer = 205.188.146.145
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: jsdaemon - JetFax, Inc. - c:\jetsuite\jsdaemon.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINNT\wanmpsvc.exe

felix1 · 29.07.2006, 19:53

Auch wenn ich nicht der darius

bin:
Lösche über Systemsteuerung->Software Programme wie accoona sowie weitere Dir unbekannte Programme.

Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Prüfe Dein System mit Ewido http://www.ewido.net/de/ Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis.

Wenn Du damit fertig bist, erstelle ein Log-File mit HJT und poste es.

@Dartus
Moin, moin

chvoyage · 30.07.2006, 19:58

hi

ich habe nicht gewagt f-secure downzuloaden, weil ich nicht weiß, ob es kostenlos ist oder schaden anrichten kann.

mit ewido habe ich den check gemacht, der hat einige cookies rausgeworfen.
die fehlermeldung erscheint auch nicht mehr beim booten.

frage;

sollte ich noch mehr unternehmen ?
ist f-secure kostenfrei und ohne risiko ?

danke

felix1 · 01.08.2006, 16:48

Es ist kostenlos.

chvoyage · 02.08.2006, 20:47

ich danke Dir sehr Felix,
das hilft weiter

gruß christian

felix1 · 02.08.2006, 20:50

Zitat:

Zitat von chvoyage

ich danke Dir sehr Felix,
das hilft weiter

gruß christian

Ich rate hier zum Nachsuchen prinzipiell nur zu kostenfreien Tools und Software.

chvoyage · 03.08.2006, 17:32

hallo felix

habe es nun mit blacklight geprüft

hier das log

08/03/06 18:39:31 [Info]: BlackLight Engine 1.0.42 initialized
08/03/06 18:39:31 [Info]: OS: 5.0 build 2195 (Service Pack 4)
08/03/06 18:39:31 [Note]: 7019 4
08/03/06 18:39:31 [Note]: 7005 0
08/03/06 18:39:36 [Note]: 7006 0
08/03/06 18:39:36 [Note]: 7011 940
08/03/06 18:39:36 [Note]: 7026 0
08/03/06 18:39:36 [Note]: 7026 0
08/03/06 18:39:40 [Note]: FSRAW library version 1.7.1019
08/03/06 18:41:10 [Note]: 7007 0

damit ist wohl alles sauber, jedenfalls hat er ja nix gefunden

damit ist dann alles palettie, oder ?

oder muß ich hijackthis nun dennoch wiederholen ??

gruß

christian

chvoyage · 20.08.2006, 22:09

wiso ist felix gesperrt??

bekomme ich nun keine antworten mehr??

chvoyage · 22.08.2006, 20:36

hlft mir jetzt keiner mehr hier ?? :-((

01.08.2006, 16:48	#6
felix1 /// Helfer-Team	svchost.exe <>Trojaner hier oder nicht und was tun Es ist kostenlos. __________________ --> svchost.exe <>Trojaner hier oder nicht und was tun

svchost.exe <>Trojaner hier oder nicht und was tun

Log-Analyse und Auswertung: svchost.exe <>Trojaner hier oder nicht und was tun