Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: svchost.exe, explorer.exe und winlogon reg key

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.08.2007, 17:03   #1
jeepl
 
svchost.exe, explorer.exe und winlogon reg key - Standard

svchost.exe, explorer.exe und winlogon reg key



Hallo,

ich bin neu hier und habe noch nicht so viel Ahnung von Viren etc. Ich habe folgendes Problem.

Ich habe ein selbstentpackendes Archiv geöffnet und der Inhalt wurde auch entpackt.

Beim nächsten Starten kam ein Fenster mit dem Titel: "Persönliche Einstellungen" und darin der Text: "Einstellungen für svchost". Der PC war sehr ausgelastet, ich habe den Task-Manager geöffnet. Es waren mehrere svchost.exe aktiv, 2 von ihnen mit 150 - 600 MB Größe! Ich habe die Dienste dann beendet. Sie starteten öfters neu, irgendwann war dann ruhe.

Des Weiteren ist mir aufgefallen, dass mein avguard nicht mehr in den aktiven Zustand gestartet wurde. Das Fenster mit "Persönliche Einstellungen" startet auch, wenn ich den Dienst explorer beende und neu starte. Das Archiv und die entpackten Dateien habe ich natürlich gelöscht.

Antivir hatte auch etwas gefunden und behoben, ich weiß aber nicht mehr was. Jedenfalls blieb das Problem bestehen. Adaware hat einen Reg-Eintrag gefunden: HKLM/software/microsoft/windowsnt/currentversion/winlogon/shell (svchost.exe explorer.exe). Aber nach einem Neustart ist das auch wieder da. Systemwiederherstellung ist ausgeschaltet.

Spybot hat dann auch noch paar sachen gefunden, so etwas wie antiviroverride und firewall-aus-dinger.... schätze mal, dass die nach einem Neustart auch wieder da sind. habe nach dem Suchlauf mit den zwei Programmen nun ein HJT logfile erstellt, siehe unten.

Zusammenfassend kann man sagen, dass ich irgendein Dings habe, dass beim hochfahren und starten von explorer.exe ein Programm läd, wodurch dann svchosts geöffnet werden die unheimlich viele Ressourchen brauchen, dazu meine Firewall wohl ausgestellt und das Virenprogramm deaktiviert wird.

Ich hoffe, mir kann jemand helfen. Wenn ich den Rechner starte und direkt die ganzen svchosts beende und den explorer.exe neu starte kann ich mit dem rechner wenigstens noch normal arbeiten...

hier das logfile (nach dem Suchlauf von adawrare und spybot):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:39:00, on 29.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Dell Photo AIO Printer 924\dlccmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\dlcccoms.exe
C:\Programme\WinTV\Ir.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\WinTV\WinTV2K.EXE
C:\Dokumente und Einstellungen\Giuliano\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://dellsearchedit.myway.com/samisc/dellsidebar.jhtml?p=EC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
R3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - C:\Programme\MyWaySA\SrchAsDe\deSrcAs.dll
F3 - REG:win.ini: run=C:\WINDOWS\svchost.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4D25F921-B9FE-4682-BF72-8AB8210D6D75} - C:\Programme\MyWaySA\SrchAsDe\deSrcAs.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PMCS] "C:\Programme\Pinnacle\Shared Files\\Programs\MediaCenterService\PMC.Service.Main.exe" -host -clearDebug
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [DLCCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [TrustInstaller] "D:\Setup.EXE"
O4 - HKLM\..\Run: [dlccmon.exe] "C:\Programme\Dell Photo AIO Printer 924\dlccmon.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\svchost.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\system32\mstask.exe
O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\svchost.exe
O4 - HKLM\..\RunOnce: [Windows Update] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {47CEF84E-92D8-4C4A-86D7-CB982889DCC0} (Oberon Media Network Optimizer) - http://mp1.mplay.oberon-media.com/client/flashnet.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C36CC678-DC13-43E7-B187-2BB24A691EF3}: NameServer = 134.245.10.7,134.245.1.2
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: dlcc_device - - C:\WINDOWS\system32\dlcccoms.exe
O23 - Service: Intel® Quick Resume Technology Drivers (ELService) - Intel Corporation - C:\Programme\Intel\IntelDH\Intel(R) Quick Resume Technology\ELService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8446 bytes


Also danke schomal für Eure Mühen!!!!!!!!!!!!!!!!!!!

Alt 29.08.2007, 18:04   #2
Majinprey
 
svchost.exe, explorer.exe und winlogon reg key - Standard

svchost.exe, explorer.exe und winlogon reg key



Hi,

Ich bin in so sachen auch nicht grad der Checker aber du kannst dir mal eScan[URL="http://tinyurl.com/2bbomw"] downloaden oder eine der befallenen Dateien bei Virustotal http://www.virustotal.com/ prüfen lassen.

mfg

Majinprey
__________________


Alt 29.08.2007, 18:10   #3
Majinprey
 
svchost.exe, explorer.exe und winlogon reg key - Icon17

svchost.exe, explorer.exe und winlogon reg key



ftp://update.mailscan.info/download/tools/mwav.exe

so hier gehts zu eScan sorry ging leicht daneben

PS. Die Anleitung gibt´s im Forum
__________________

Alt 29.08.2007, 18:55   #4
undoreal
/// AVZ-Toolkit Guru
 
svchost.exe, explorer.exe und winlogon reg key - Standard

svchost.exe, explorer.exe und winlogon reg key



Hallo Jeepl.


-Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

-Deinstalliere Java über die Systemsteuerung.

-Lasse Blacklight sowie Silentrunners laufen und poste die logFiles..


-Fixe mit HJT folgende Einträge:

Zitat:
* R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://dellsearchedit.myway.com/samisc/dellsidebar.jhtml?p=EC *
* F3 - REG:win.ini: run=C:\WINDOWS\svchost.exe *
* O2 - BHO: (no name) - {4D25F921-B9FE-4682-BF72-8AB8210D6D75} - C:\Programme\MyWaySA\SrchAsDe\deSrcAs.dll *
* O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) *
* O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\svchost.exe *
* O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\svchost.exe *
* O4 - HKLM\..\RunOnce: [Windows Update] C:\WINDOWS\svchost.exe *
* O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) *
* O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) *
* O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) *
* O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) *
* O16 - DPF: {47CEF84E-92D8-4C4A-86D7-CB982889DCC0} (Oberon Media Network Optimizer) - h**p://mp1.mplay.oberon-media.com/client/flashnet.cab *
-Run Combofix. Poste den erscheinenden Text.

-Lasse CWS arbeiten.

-Durchsuche mit Lavasoft und Spybot-S&D sowie deinem AV-Prog (alle drei mit aktuellen Signaturen!) dein System jeweils 2x. Erst im normalen und dann im abgesicherten Modus (F8 beim Hochfahren).

-Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

-Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).

-Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log.


Gruß

Undoreal
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 29.08.2007, 19:10   #5
jeepl
 
svchost.exe, explorer.exe und winlogon reg key - Standard

svchost.exe, explorer.exe und winlogon reg key



Alter Schwede, dann werde ich das morgen mal machen, da hab ich ja einiges zu tun. Alles nur wegen dem einen selbstentpackenden Teil oder einfach, weil bei mir soo viel Müll drauf is?

Aber danke für die ausführliche und schnelle Antwort, hoffe, dass sie die gewünschte Wirkung hat!


Alt 29.08.2007, 20:23   #6
undoreal
/// AVZ-Toolkit Guru
 
svchost.exe, explorer.exe und winlogon reg key - Standard

svchost.exe, explorer.exe und winlogon reg key



Zitat:
hoffe, dass sie die gewünschte Wirkung hat!
das hoffe ich auch
__________________
--> svchost.exe, explorer.exe und winlogon reg key

Antwort

Themen zu svchost.exe, explorer.exe und winlogon reg key
adobe, ausgelastet, avira, bho, desktop, drivers, einstellungen, excel, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mehrere, monitor, mozilla, mozilla firefox, neustart, nvidia, rundll, s-1-5-18, starten, suchlauf, svchost, svchost.exe, task-manager, trend micro, urlsearchhook, viren, virenprogramm deaktiviert, windows xp




Ähnliche Themen: svchost.exe, explorer.exe und winlogon reg key


  1. svchost.exe ( Svchost Prozess Analyser)
    Log-Analyse und Auswertung - 23.09.2011 (7)
  2. svchost.exe / Internet Explorer/Google leitet um
    Log-Analyse und Auswertung - 25.02.2011 (7)
  3. Winlogon.exe hat vermutlich Virus. Explorer.exe spielt verrückt.
    Plagegeister aller Art und deren Bekämpfung - 31.01.2011 (1)
  4. svchost Virus ! C:\Benutzer\Windows\Install\svchost.exe - WORM/Rebhip.A.318
    Plagegeister aller Art und deren Bekämpfung - 20.01.2011 (1)
  5. TR/Patched.GR.10 in explorer.exe & TR/Patched.KL.238 in winlogon.exe
    Plagegeister aller Art und deren Bekämpfung - 01.12.2010 (5)
  6. Explorer.exe: TR/Spy.1035264.7; winlogon.exe: TR/Spy.507392.8
    Log-Analyse und Auswertung - 12.10.2010 (14)
  7. Win32.Loader.O (DB) in C:\WINDOWS\SYSTEM32\WINLOGON.EXE und C:\WINDOWS\Explorer.EXE
    Plagegeister aller Art und deren Bekämpfung - 26.08.2010 (3)
  8. Antivir zeigt winlogon,svchost und mehr als virus!
    Plagegeister aller Art und deren Bekämpfung - 10.09.2009 (1)
  9. explorer.exe & svchost.exe
    Log-Analyse und Auswertung - 03.02.2009 (0)
  10. trojaner-backdoor versendet mails über svchost / winlogon
    Plagegeister aller Art und deren Bekämpfung - 02.06.2008 (5)
  11. svchost und explorer.exe nutzen CPU speicher
    Alles rund um Windows - 28.10.2007 (0)
  12. svchost.exe und explorer.exe haben hohe cpu auslastung
    Log-Analyse und Auswertung - 19.10.2007 (6)
  13. Fehler: SVCHOST, Explorer.exe, runterfahren geht nicht, programme nicht zu öffnen...
    Log-Analyse und Auswertung - 05.04.2007 (7)
  14. mobsync / explorer / winlogon Systemauslastung
    Plagegeister aller Art und deren Bekämpfung - 05.03.2007 (4)
  15. winlogon.exe und explorer.exe
    Log-Analyse und Auswertung - 29.12.2006 (9)
  16. Svchost.exe fehler / probleme mit dem explorer / hijack logfile auswertung
    Log-Analyse und Auswertung - 25.07.2006 (4)
  17. svchost.exe & explorer.exe = irrsinnige Speicherauslastung
    Plagegeister aller Art und deren Bekämpfung - 03.07.2006 (5)

Zum Thema svchost.exe, explorer.exe und winlogon reg key - Hallo, ich bin neu hier und habe noch nicht so viel Ahnung von Viren etc. Ich habe folgendes Problem. Ich habe ein selbstentpackendes Archiv geöffnet und der Inhalt wurde auch - svchost.exe, explorer.exe und winlogon reg key...
Archiv
Du betrachtest: svchost.exe, explorer.exe und winlogon reg key auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.