![]() |
|
Plagegeister aller Art und deren Bekämpfung: svchost.exe, explorer.exe und winlogon reg keyWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
![]() | ![]() svchost.exe, explorer.exe und winlogon reg key Hallo, ich bin neu hier und habe noch nicht so viel Ahnung von Viren etc. Ich habe folgendes Problem. Ich habe ein selbstentpackendes Archiv geöffnet und der Inhalt wurde auch entpackt. Beim nächsten Starten kam ein Fenster mit dem Titel: "Persönliche Einstellungen" und darin der Text: "Einstellungen für svchost". Der PC war sehr ausgelastet, ich habe den Task-Manager geöffnet. Es waren mehrere svchost.exe aktiv, 2 von ihnen mit 150 - 600 MB Größe! Ich habe die Dienste dann beendet. Sie starteten öfters neu, irgendwann war dann ruhe. Des Weiteren ist mir aufgefallen, dass mein avguard nicht mehr in den aktiven Zustand gestartet wurde. Das Fenster mit "Persönliche Einstellungen" startet auch, wenn ich den Dienst explorer beende und neu starte. Das Archiv und die entpackten Dateien habe ich natürlich gelöscht. Antivir hatte auch etwas gefunden und behoben, ich weiß aber nicht mehr was. Jedenfalls blieb das Problem bestehen. Adaware hat einen Reg-Eintrag gefunden: HKLM/software/microsoft/windowsnt/currentversion/winlogon/shell (svchost.exe explorer.exe). Aber nach einem Neustart ist das auch wieder da. Systemwiederherstellung ist ausgeschaltet. Spybot hat dann auch noch paar sachen gefunden, so etwas wie antiviroverride und firewall-aus-dinger.... schätze mal, dass die nach einem Neustart auch wieder da sind. habe nach dem Suchlauf mit den zwei Programmen nun ein HJT logfile erstellt, siehe unten. Zusammenfassend kann man sagen, dass ich irgendein Dings habe, dass beim hochfahren und starten von explorer.exe ein Programm läd, wodurch dann svchosts geöffnet werden die unheimlich viele Ressourchen brauchen, dazu meine Firewall wohl ausgestellt und das Virenprogramm deaktiviert wird. Ich hoffe, mir kann jemand helfen. Wenn ich den Rechner starte und direkt die ganzen svchosts beende und den explorer.exe neu starte kann ich mit dem rechner wenigstens noch normal arbeiten... hier das logfile (nach dem Suchlauf von adawrare und spybot): Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:39:00, on 29.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\tcpsvcs.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\ehome\ehtray.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe C:\WINDOWS\System32\DLA\DLACTRLW.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\eHome\ehmsas.exe C:\WINDOWS\Mixer.exe C:\WINDOWS\stsystra.exe C:\Programme\Dell Photo AIO Printer 924\dlccmon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ICQ6\ICQ.exe C:\WINDOWS\system32\dlcccoms.exe C:\Programme\WinTV\Ir.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\WinTV\WinTV2K.EXE C:\Dokumente und Einstellungen\Giuliano\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://dellsearchedit.myway.com/samisc/dellsidebar.jhtml?p=EC R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen R3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - C:\Programme\MyWaySA\SrchAsDe\deSrcAs.dll F3 - REG:win.ini: run=C:\WINDOWS\svchost.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {4D25F921-B9FE-4682-BF72-8AB8210D6D75} - C:\Programme\MyWaySA\SrchAsDe\deSrcAs.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [PMCS] "C:\Programme\Pinnacle\Shared Files\\Programs\MediaCenterService\PMC.Service.Main.exe" -host -clearDebug O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe O4 - HKLM\..\Run: [DLCCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll,_RunDLLEntry@16 O4 - HKLM\..\Run: [TrustInstaller] "D:\Setup.EXE" O4 - HKLM\..\Run: [dlccmon.exe] "C:\Programme\Dell Photo AIO Printer 924\dlccmon.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\svchost.exe O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\system32\mstask.exe O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\svchost.exe O4 - HKLM\..\RunOnce: [Windows Update] C:\WINDOWS\svchost.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {47CEF84E-92D8-4C4A-86D7-CB982889DCC0} (Oberon Media Network Optimizer) - http://mp1.mplay.oberon-media.com/client/flashnet.cab O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C36CC678-DC13-43E7-B187-2BB24A691EF3}: NameServer = 134.245.10.7,134.245.1.2 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: dlcc_device - - C:\WINDOWS\system32\dlcccoms.exe O23 - Service: Intel® Quick Resume Technology Drivers (ELService) - Intel Corporation - C:\Programme\Intel\IntelDH\Intel(R) Quick Resume Technology\ELService.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 8446 bytes Also danke schomal für Eure Mühen!!!!!!!!!!!!!!!!!!! |
![]() | #2 |
| ![]() svchost.exe, explorer.exe und winlogon reg key Hi,
__________________Ich bin in so sachen auch nicht grad der Checker aber du kannst dir mal eScan[URL="http://tinyurl.com/2bbomw"] downloaden oder eine der befallenen Dateien bei Virustotal http://www.virustotal.com/ prüfen lassen. mfg Majinprey |
![]() | #3 |
| ![]() svchost.exe, explorer.exe und winlogon reg key ftp://update.mailscan.info/download/tools/mwav.exe
__________________so hier gehts zu eScan sorry ging leicht daneben ![]() PS. Die Anleitung gibt´s im Forum |
![]() | #4 | |
/// AVZ-Toolkit Guru ![]() ![]() ![]() ![]() ![]() | ![]() svchost.exe, explorer.exe und winlogon reg key Hallo Jeepl. -Deaktiviere die Systemwiederherstellung auf allen Laufwerken. -Deinstalliere Java über die Systemsteuerung. -Lasse Blacklight sowie Silentrunners laufen und poste die logFiles.. -Fixe mit HJT folgende Einträge: Zitat:
-Lasse CWS arbeiten. -Durchsuche mit Lavasoft und Spybot-S&D sowie deinem AV-Prog (alle drei mit aktuellen Signaturen!) dein System jeweils 2x. Erst im normalen und dann im abgesicherten Modus (F8 beim Hochfahren). -Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen). -Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report). -Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log. Gruß Undoreal
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
![]() | #5 |
![]() | ![]() svchost.exe, explorer.exe und winlogon reg key Alter Schwede, dann werde ich das morgen mal machen, da hab ich ja einiges zu tun. Alles nur wegen dem einen selbstentpackenden Teil oder einfach, weil bei mir soo viel Müll drauf is? Aber danke für die ausführliche und schnelle Antwort, hoffe, dass sie die gewünschte Wirkung hat! |
![]() | #6 | |
/// AVZ-Toolkit Guru ![]() ![]() ![]() ![]() ![]() | ![]() svchost.exe, explorer.exe und winlogon reg keyZitat:
![]()
__________________ --> svchost.exe, explorer.exe und winlogon reg key |
![]() |
Themen zu svchost.exe, explorer.exe und winlogon reg key |
adobe, ausgelastet, avira, bho, desktop, drivers, einstellungen, excel, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mehrere, monitor, mozilla, mozilla firefox, neustart, nvidia, rundll, s-1-5-18, starten, suchlauf, svchost, svchost.exe, task-manager, trend micro, urlsearchhook, viren, virenprogramm deaktiviert, windows xp |