Grüß gott zusammen.
Immer wenn ich, aus welchen gründen auch immer, kurz mein ZoneAlarm ausschalte, wird nach wenigen Minuten der general host for win32 prozesses beendet. Dies geschieht auch bei aktivierter Windows Firewall. Ich habe Win-XP mit installiertem service pack 2. Es ändert sich der Schriftgrad in Fenstern für wenige Sekunden, auch die Startleiste schaut "älter" aus, etwa wie bei Win98. Mein Winamp hängt sich auf, und ein neues Programm zu startet dauert mehrere Minuten. Ich habe bereits mit ZoneAlarm nach Spyware gesucht, mit Antivir nach Viren und mit HijackThis einen
(für mich) ergebnislosen Suchlauf hinter mir. In unzähligen Suchen bei google habe ich mehrere Beiträge bei Foren gelesen und mich so schon ziemlich informiert. Ich bin mir darüber im klaren, dass dieser Prozess Teil von svchost.exe ist, und dringend erforderlich ist. Also schildere ich hier nur Symptome, die eigentliche Grundlage dieses Problems bleibt mir unergründlich. Dieses Problem existiert nun schon seit ein paar Wochen, ich kann mir nicht mehr helfen, und bitte nun um die geschätzte Hilfe der Leser.
Mit freundlichen Grüßen und Dank im Vorraus,
Johannes

Poste doch mal das Hijackthis-Logfile, vllt. sieht man da was.

Hier, wie verlangt, ein Log von Hijackthis.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 20:23:17, on 07.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
D:\D_ALT\Programme\HeyJoe\HeyJoe.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATITool\ATITool.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\ICQLite\ICQLite.exe
D:\D_ALT\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp\winamp.exe
C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [Hey, Joe!] D:\D_ALT\Programme\HeyJoe\HeyJoe.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Verknüpfung mit ATITool.lnk = C:\Programme\ATITool\ATITool.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
         

Danke im Vorraus,
Johannes

Scanne mal "D:\D_ALT\Programme\HeyJoe\HeyJoe.exe" auf http://www.virustotal.com/ und poste das Logfile.

MfG

Bei dem gewünschten File handelt es sich um einen Offline-Messenger, über ein lokales Netzwerk. Hier das entsprechende Logfile:

Code: Alles auswählenAufklappen

ATTFilter

AntiVir	7.2.0.49	12.07.2006	no virus found
Authentium	4.93.8	12.07.2006	no virus found
Avast	4.7.892.0	12.07.2006	no virus found
AVG	386	12.07.2006	no virus found
BitDefender	7.2	12.07.2006	no virus found
CAT-QuickHeal	8.00	12.07.2006	no virus found
ClamAV	devel-20060426	12.07.2006	no virus found
DrWeb	4.33	12.07.2006	no virus found
eSafe	7.0.14.0	12.07.2006	no virus found
eTrust-InoculateIT	23.73.79	12.07.2006	no virus found
eTrust-Vet	30.3.3236	12.07.2006	no virus found
Ewido	4.0	12.07.2006	no virus found
Fortinet	2.82.0.0	12.07.2006	suspicious
F-Prot	3.16f	12.07.2006	no virus found
F-Prot4	4.2.1.29	12.07.2006	no virus found
Ikarus	T3.1.0.26	12.07.2006	no virus found
Kaspersky	4.0.2.24	12.07.2006	no virus found
McAfee	4913	12.07.2006	no virus found
Microsoft	1.1804	12.07.2006	no virus found
NOD32v2	1908	12.07.2006	no virus found
Norman	5.80.02	12.07.2006	no virus found
Panda	9.0.0.4	12.07.2006	no virus found
Prevx1	V2	12.07.2006	no virus found
Sophos	4.12.0	12.06.2006	no virus found
Sunbelt	2.2.907.0	11.30.2006	VIPRE.Suspicious
TheHacker	6.0.3.130	12.06.2006	no virus found
UNA	1.83	12.07.2006	no virus found
VBA32	3.11.1	12.07.2006	no virus found
VirusBuster	4.3.15:9	12.07.2006	no virus found
Additional Infos:
File size: 566784 bytes
MD5: 06ee6decb97d2515520b87b1048fa1d1
SHA1: ee2ba1a63ea34587f8c99fd9dc91fe21c408d7a4
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
         

Vielen dank, Johannes

Da es inzwischen Malware gibt die sich vor HijackThis.exe versteckt benenne die .exe mal in HJT1991.exe um und poste ein neues Logfile.

MfG

Mach auch mal gleich einen Check mit Blacklight und eScan (siehe Sig) - poste die Logs. Anleitung von eScan bitte genau beachten. Poste aber hier rein mach keinen neuen Thread auf (auch wenns in der Anleitung drinsteht ).

Vielen Dank erstmal für die Vorschläge. Zuerst mein blabla-Loglife (=Hijackthis)

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 14:53:23, on 09.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
D:\D_ALT\Programme\HeyJoe\HeyJoe.exe
C:\Programme\ATITool\ATITool.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Microsoft Visual Studio\Common\MSDev98\Bin\MSDEV.EXE
D:\D_ALT\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\Hijackthis\blabla.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://w*w.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ***.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ***.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [Hey, Joe!] D:\D_ALT\Programme\HeyJoe\HeyJoe.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Verknüpfung mit ATITool.lnk = C:\Programme\ATITool\ATITool.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
         

blacklight hat keinerlei versteckten Prozesse gefunden, die Gefundenen unterschieden sich nicht von denen von Hijackthis. Zu meinem Bedauern konnte ich die mir dadurch gegebenen Informationen nicht als Textfile speichern.
Der e-scan-log folgt in wenigen Minuten, nachdem ich aus dem abgesichertem Modus wieder zurückgekehrt bin.
P.S. Ich habe jetzt erst die direct-links entfernt... Ich bitte um Entschuldigung

Hi


Ja dann warten wir mal auf die Log von eScan


MfG

Da werden wir wohl noch etwas länger warten müssen. Ich habe zwei Probleme mit diesem Programm: Laut Anleitung (danke btw) muss ich zuerst logischerweise ein Update machen, was aber laut logfile immer fehlschlägt:

HTML-Code:

Automatic HTTP Downloader Ver 1.0.
-------------------------------------------------------------------------------
09.12.2006 15:08:03 Starte manuelle HTTP Sitzung mit Host ***.microworldsystems.com/pub/update
Verbinde mit HTTP Host <Direkte Verbindung>
Angeforderte Dateinamen und -größen Information...
Fehler aufgetreten :  can't connect: Connection refused (Error #10061)
Kann keine Dateigrößeninfo vom entfernten Host bekommen!!!
----------------------------------------------------------------------
09.12.2006 15:08:04 beende HTTP Sitzung

Ich habe eine direkte Internetverbindung, keinen Proxy-server oder Vergleichbares. Und der zweite Punkt: Das Programm beendet sich im abgesichertem Modus mit einer Zugriffsverletzung kurz nach dem Start.
Vielen Dank,
Johannes

Auch auf die Gefahr eines Doppelposts hin: Es ist ein neues Problem zu meiner sowieso schon langen Liste an Beschwerden hinzugekommen, nämlich spielt winamp nach einiger Zeit die Musik rund ein Drittel tiefer und somit langsamer ab.
Das Auftreten dieses Phänomens folgt keinen mir bekanntem Zyklus, mal tritt es nach 10 min auf, dann ist wieder ein ungestörtes Arbeiten für mehrere Stunden möglich. Ich bitte um Hilfe.
Mit vielem Dank im Vorraus,
Johannes
(offtopic P.S. F@H läuft nun schon auf 6 rechnern