| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
13.09.2007, 12:47
| #1 |
| |  Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services) Hi, ich habe seit einiger Zeit das Problem,dass nach jedem Systemstart ich folgende Fehlermeldung bekomme: Datenausführungsverhinderung - Microsoft Windows Dieses Programm wurde aus Sicherheitsgründen geschlossen Name: Generic Host Process for Win32 Services Herausgeber: Microsoft Corporation Anschließend klicke ich auf 'Meldung schließen', woraufhin sich folgende Fehlermeldung öffnet: aaa hat ein Problem festgestellt und muss beendet werden Problemsignatur: EventType: BEX P1: svchost.exe P2: 5.1.2600.2180 P3: 41107ed6 P4: unknown P5: 0.0.0.0 P6: 00000000 P7: 000c7600 P8: c0000005 P9: 00000008 Diese Fehlermeldung bezieht sich soweit ich weiß auf diese Datei: services.exe Dateiversion : 1.00 Firma : aaa Interner Name : aaa Originaldateiname : aaa.exe Produktname : aaa Produktversion : 1.00 Sprache : Englisch(USA) und befindet sich in C:\WINDOWS Info: Diese beiden Fehlermeldungen tauchten zu erst auf,nachdem ich die,mit dem TuneUp Styler 2 von TuneUp Utilities 2007 veränderten, Boot-und Loginscreens wieder auf die Standardscreens zurücksetzte (auch mit TuneUp Styler 2). Frage: Ist diese services.exe ein Virus oder gehört sie zum Sytem? Oder hab ich mit TuneUp Styler einfach nur meine svchost.exe geschrottet? Wenn ja,wisst ihr,wie ich den Fehler beheben kann? Habe Sophos Antivirus mehrmals komplettes Sytem scannen lassen,ebenfalls mit Spybot S&D,Norton,Blacklight und catchme. Es wurde nichts gefunden. In meinem HJT-Logfile finde ich auch nichts auffälliges. Mein Sytem: Windows XP Professional (5.1.2600) mit SP 2 IE Version: 7.0.5730.11 Vielen Dank im vorraus!  MFG ErrOr^ Geändert von ErrOR^ (13.09.2007 um 13:21 Uhr) |
|
13.09.2007, 16:17
| #2 |
| /// Helfer-Team    | Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services) Hi,
__________________also mit Tuneup an einem System herumzupfuschen empfehle ich nicht. Wegen den paar Sekunden, die man mal den Bootscreen sieht, haben sich schon eine Reihe Leute ihr System platt gemacht. Allerdings finde ich die ergänzenden Angaben zur services.exe sehr merkwürdig, ebenso, dass sie sich in C:\Windows befindet. Die Windowsdatei services.exe ist in system32. Sehr verdächtig! Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
Fertige ein HijackThis Log deines Systems an. Dazu diese Datei runterladen und in einen eigenen Ordner entpacken, nicht aus dem Zip-Ordner starten. Alle anderen Programme schließen, Hijackthis.exe starten, auf "Scan" klicken und das Log hier posten. Lass die C:\Windows\services.exe mal bei VirusTotal scannen und kopiere die Ergebnisse hierher inklusive der ergänzenden Angaben wie Name und Größe, MD5 und SHA1. Gleiches für die svchost.exe. Die soll sich übrigens auch in system32 befinden. Gruß, Karl |
|
13.09.2007, 17:15
| #3 |
| | Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services) Hi Karl,
__________________danke für deine Hilfe! aha! hab die services.exe bei VirusTotal scannen lassen,hab es doch geahnt das es so ein W32-Worm ist! Übrigens hab ich auch in C:\WINDOWS\system32 eine services.exe hier das ergebnis für die services.exe aus C:\WINDOWS: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.13.0 2007.09.12 - AntiVir 7.6.0.10 2007.09.13 HEUR/Crypted Authentium 4.93.8 2007.09.12 - Avast 4.7.1043.0 2007.09.13 - AVG 7.5.0.485 2007.09.13 - BitDefender 7.2 2007.09.13 - CAT-QuickHeal 9.00 2007.09.13 - ClamAV 0.91.2 2007.09.13 - DrWeb 4.33 2007.09.13 - eSafe 7.0.15.0 2007.09.13 suspiciousTrojan/Worm eTrust-Vet 31.1.5134 2007.09.13 - Ewido 4.0 2007.09.13 - FileAdvisor 1 2007.09.13 - Fortinet 3.11.0.0 2007.09.13 - F-Prot 4.3.2.48 2007.09.12 - F-Secure 6.70.13030.0 2007.09.13 - Ikarus T3.1.1.12 2007.09.13 - Kaspersky 4.0.2.24 2007.09.13 - McAfee 5118 2007.09.12 - Microsoft 1.2803 2007.09.13 - NOD32v2 2528 2007.09.13 - Norman 5.80.02 2007.09.13 - Panda 9.0.0.4 2007.09.13 Suspicious file Prevx1 V2 2007.09.13 W32.Redplut Rising 19.40.32.00 2007.09.13 - Sophos 4.21.0 2007.09.13 Mal/HckPk-A Sunbelt 2.2.907.0 2007.09.13 - Symantec 10 2007.09.13 - TheHacker 6.1.10.186 2007.09.13 - VBA32 3.12.2.4 2007.09.13 - VirusBuster 4.3.26:9 2007.09.13 - Webwasher-Gateway 6.0.1 2007.09.13 Heuristic.Crypted weitere Informationen: File size: 102857 bytes MD5: 93159995523af1dde2ce32bc9bce391c SHA1: 0b391beef2b146077d6a480528a6d3366d494c1e Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=1D1A99F0C916BC0291F001C54328D3006D2DD161 hier das Ergebnis für die svchost.exe (befindet sich in C:\WINDOWS\system32): Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.13.0 2007.09.12 - AntiVir 7.6.0.10 2007.09.13 - Authentium 4.93.8 2007.09.12 - Avast 4.7.1043.0 2007.09.13 - AVG 7.5.0.485 2007.09.13 - BitDefender 7.2 2007.09.13 - CAT-QuickHeal 9.00 2007.09.13 - ClamAV 0.91.2 2007.09.13 - DrWeb 4.33 2007.09.13 - eSafe 7.0.15.0 2007.09.13 - eTrust-Vet 31.1.5134 2007.09.13 - Ewido 4.0 2007.09.13 - FileAdvisor 1 2007.09.13 - Fortinet 3.11.0.0 2007.09.13 - F-Prot 4.3.2.48 2007.09.12 - F-Secure 6.70.13030.0 2007.09.13 - Ikarus T3.1.1.12 2007.09.13 - Kaspersky 4.0.2.24 2007.09.13 - McAfee 5118 2007.09.12 - Microsoft 1.2803 2007.09.13 - NOD32v2 2528 2007.09.13 - Norman 5.80.02 2007.09.13 - Panda 9.0.0.4 2007.09.13 - Prevx1 V2 2007.09.13 - Rising 19.40.32.00 2007.09.13 - Sophos 4.21.0 2007.09.13 - Sunbelt 2.2.907.0 2007.09.13 - Symantec 10 2007.09.13 - TheHacker 6.1.10.186 2007.09.13 - VBA32 3.12.2.4 2007.09.13 - VirusBuster 4.3.26:9 2007.09.13 - Webwasher-Gateway 6.0.1 2007.09.13 - weitere Informationen: File size: 14336 bytes MD5: 65a819b121eb6fdab4400ea42bdffe64 SHA1: 0dfdee2871427e9c40ec82541156884ff9b4bfa3 Zusatzinfos: svchost.exe Dateiversion : 5.1.2600.2180(xpsp_sp2_rtm.040803-2158) Firma : Microsoft Corporation Interner Name : svchost.exe Originaldateiname : svchost.exe Produktname : Microsoft® Windows® Operating System Produktversion : 5.1.2600.2180 Sprache : Englisch(USA) services.exe (aus C:\WINDOWS\system32) Dateiversion : 5.1.2600.2180(xpsp_sp2_rtm.040803-2158) Firma : Microsoft Corporation Interner Name : services.exe Originaldateiname : services.exe Produktname : Betriebssystem Microsoft® Windows® Produktversion : 5.1.2600.2180 zu guter letzt noch mein HJT-Logfile: Logfile of HijackThis v1.99.1 Scan saved at 12:56:20, on 05.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\NetLimiter 2 Pro\nlsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe C:\Programme\Sophos\AutoUpdate\ALsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\CursorXP\CursorXP.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\<Benutzername>\Desktop\Hijackthis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O17 - HKLM\System\CCS\Services\Tcpip\..\{EA95F517-D185-4365-BAA0-3F671F57E5C1}: NameServer = <ip> O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Programme\NetLimiter 2 Pro\nlsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe Vielen Dank nochmal!  MFG ErrOR^ |
|
13.09.2007, 23:19
| #4 |
| /// Helfer-Team | Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services) Das Hiujackthis zeigt Virenscanner von Norton und von Sophos, nicht gute, mehrere zu haben. Außerdem einveraltetes Java. svchost.exe und services.exe in system32 sehen danach aus, dass sie in Ordnung ist. Die services.exe in Windows wohl eher nicht. Bei Sophos habe ich diese Beschreibung gefunden. Bezieht sich also mehr auf die Verpackung als den Inhalt der Datei. Ansonsten sind die Erkennungen sehr wenige, unklar (heuristisch) und stammen größtenteils von Scannern, die nicht gerade erste Klasse sind. Die Datei sollte man mal ansehen. Geh zu The Spykiller - Index und eröffne dort einen neuen Thread, Du musst dich nicht registrieren. Schreib "Mal/HckPk-A" drüber. Kopiere die Scanresultate und lade hoch:
Wir wollen uns mal den Inhalt einiger kritischer Verzeichnisse auf deinem System ansehen. Dazu arbeite bitte diese Anleitung ab. Mach mal einen Onlinecan. Wegen ActiveX brauchst Du dafür den Internet Explorer und musst die ActiveX Controls zulassen. Wenn es nicht funktioniert die jeweilige Seite zu den sicheren hinzufügen. Log speichern und später posten. Kaspersky Ist Tuneup nicht mehr auf dem System? Gibt es die Fehlermeldungen noch? |
|
14.09.2007, 09:47
| #5 |
| | Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services) Soo,hier erstmal der Log von der filelist.bat: Code:
ATTFilter ----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9821-2A96
Verzeichnis von C:\
14.09.2007 10:31 1.610.612.736 pagefile.sys
09.09.2007 14:45 225 boot.ini
31.07.2007 10:49 451 os466477.bin
12.05.2007 18:48 2.786 LGSInst.Log
26.11.2006 12:28 47.564 NTDETECT.COM
26.11.2006 12:28 251.184 ntldr
26.11.2006 12:20 0 MSDOS.SYS
26.11.2006 12:20 0 CONFIG.SYS
26.11.2006 12:20 0 AUTOEXEC.BAT
26.11.2006 12:20 0 IO.SYS
01.09.2000 10:39 4.952 bootfont.bin
11 Datei(en) 1.610.919.898 Bytes
0 Verzeichnis(se), 8.461.791.232 Bytes frei
----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9821-2A96
Verzeichnis von C:\WINDOWS\system32
14.09.2007 10:31 88.566 nvapps.xml
14.09.2007 10:31 149.283 OODBS.lor
13.09.2007 21:49 103.736 PnkBstrB.exe
13.09.2007 10:21 2.228 wpa.dbl
06.09.2007 04:50 17.474.680 MRT.exe
03.09.2007 16:00 249.768 TZLog.log
23.08.2007 22:08 48.128 lpr.exe
04.08.2007 19:28 2.324.224 TUKernel.exe
02.08.2007 14:35 189.792 FNTCACHE.DAT
31.07.2007 14:11 3.176 gafilter.sti
31.07.2007 10:49 562 ws344069.ocx
31.07.2007 10:45 4.808 gaeffect.sti
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
26.07.2007 15:46 66.872 PnkBstrA.exe
19.07.2007 08:56 3.583.488 mshtml.dll
18.07.2007 14:42 60.416 tzchange.exe
06.07.2007 12:20 98.304 CmdLineExt.dll
04.07.2007 09:27 320.442 perfh007.dat
04.07.2007 09:27 49.294 perfc007.dat
04.07.2007 09:27 40.952 perfc009.dat
04.07.2007 09:27 314.816 perfh009.dat
04.07.2007 09:27 1.786 PerfStringBackup.TMP
27.06.2007 16:05 823.808 wininet.dll
27.06.2007 16:05 232.960 webcheck.dll
27.06.2007 16:05 1.152.000 urlmon.dll
27.06.2007 16:05 671.232 mstime.dll
27.06.2007 16:05 105.984 url.dll
27.06.2007 16:05 102.400 occache.dll
27.06.2007 16:05 193.024 msrating.dll
27.06.2007 16:05 477.696 mshtmled.dll
27.06.2007 16:05 459.264 msfeeds.dll
27.06.2007 16:05 52.224 msfeedsbs.dll
27.06.2007 16:05 27.648 jsproxy.dll
27.06.2007 16:05 1.824.256 inetcpl.cpl
27.06.2007 16:04 267.776 iertutil.dll
27.06.2007 16:04 6.058.496 ieframe.dll
27.06.2007 16:04 44.544 iernonce.dll
27.06.2007 16:04 384.512 iedkcs32.dll
27.06.2007 16:04 383.488 ieapfltr.dll
27.06.2007 16:04 230.400 ieaksie.dll
27.06.2007 16:04 124.928 advpack.dll
27.06.2007 16:04 132.608 extmgr.dll
27.06.2007 16:04 153.088 ieakeng.dll
27.06.2007 10:27 13.824 ieudinit.exe
27.06.2007 10:27 63.488 ie4uinit.exe
27.06.2007 09:00 161.792 ieakui.dll
26.06.2007 08:08 1.104.896 msxml3.dll
19.06.2007 15:31 282.112 gdi32.dll
19.06.2007 08:59 70.400 PhysXLoader.dll
17.05.2007 13:28 549.376 oleaut32.dll
16.05.2007 17:11 683.520 inetcomm.dll
08.05.2007 15:03 1.275.392 msxml4.dll
30.04.2007 02:22 4.734.976 wmp.dll
25.04.2007 16:22 144.896 schannel.dll
20.04.2007 07:57 53.248 AgCPanelTraditionalChinese.dll
20.04.2007 07:57 489.000 PhysX.cpl
20.04.2007 07:57 53.248 AgCPanelSpanish.dll
20.04.2007 07:57 53.248 AgCPanelKorean.dll
20.04.2007 07:57 53.248 AgCPanelJapanese.dll
20.04.2007 07:57 53.248 AgCPanelSwedish.dll
20.04.2007 07:57 53.248 AgCPanelFrench.dll
20.04.2007 07:57 53.248 AgCPanelPortugese.dll
20.04.2007 07:57 53.248 AgCPanelSimplifiedChinese.dll
20.04.2007 07:57 53.248 AgCPanelGerman.dll
18.04.2007 18:13 2.854.400 msi.dll
17.04.2007 11:32 2.455.488 ieapfltr.dat
16.04.2007 18:09 1.059.840 kernel32.dll
14.04.2007 19:46 43.520 CmdLineExt03.dll
11.04.2007 20:07 729.988 PerfStringBackup.INI
30.03.2007 15:44 261.480 xactengine2_7.dll
30.03.2007 15:43 81.768 xinput1_3.dll
28.03.2007 19:42 29.704 uxtuneup.dll
28.03.2007 18:41 517.848 SymNeti.dll
28.03.2007 18:41 132.824 SymRedir.dll
17.03.2007 15:44 293.376 winsrv.dll
15.03.2007 16:57 443.752 d3dx10_33.dll
14.03.2007 09:18 21.840 SIntfNT.dll
14.03.2007 09:18 17.212 SIntf32.dll
14.03.2007 09:18 12.067 SIntf16.dll
12.03.2007 20:14 8.775 jupdate-1.5.0_09-b03.log
12.03.2007 16:42 3.495.784 d3dx9_33.dll
12.03.2007 16:42 1.123.696 D3DCompiler_33.dll
09.03.2007 13:51 270.336 xpsp3res.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:32 1.843.712 win32k.sys
08.03.2007 01:51 64.760 pxcpya64.exe
08.03.2007 01:51 510.712 pxdrv.dll
08.03.2007 01:51 72.440 pxhpinst.exe
08.03.2007 01:51 129.784 pxafs.dll
08.03.2007 01:51 1.628.920 pxsfs.dll
08.03.2007 01:51 39.672 vxblock.dll
08.03.2007 01:51 64.760 pxinsa64.exe
08.03.2007 01:51 547.576 px.dll
08.03.2007 01:51 187.128 pxmas.dll
08.03.2007 01:51 379.640 pxwave.dll
06.03.2007 03:14 15.584 spmsg.dll
05.03.2007 12:42 15.128 x3daudio1_1.dll
2180 Datei(en) 525.780.727 Bytes
0 Verzeichnis(se), 8.461.651.968 Bytes frei
----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9821-2A96
Verzeichnis von C:\WINDOWS\Prefetch
14.09.2007 10:33 11.316 FIND.EXE-0EC32F1E.pf
14.09.2007 10:33 11.116 CMD.EXE-087B4001.pf
14.09.2007 10:33 55.658 WMIPRVSE.EXE-28F301A9.pf
14.09.2007 10:33 22.138 WUAUCLT.EXE-399A8E72.pf
14.09.2007 10:32 86.478 FIREFOX.EXE-1D57670A.pf
14.09.2007 10:32 48.052 SVCHOST.EXE-3530F672.pf
14.09.2007 10:32 24.214 DRWTSN32.EXE-2B4B52AC.pf
14.09.2007 10:32 19.994 MSMSGS.EXE-32066BA5.pf
14.09.2007 10:32 15.500 ALG.EXE-0F138680.pf
14.09.2007 10:32 28.406 DWWIN.EXE-30875ADC.pf
14.09.2007 10:32 54.944 LUCOMS~1.EXE-02DB5950.pf
14.09.2007 10:32 26.400 RUNDLL32.EXE-464547A6.pf
14.09.2007 10:32 17.030 IMAPI.EXE-0BF740A4.pf
14.09.2007 10:32 23.538 RUNDLL32.EXE-35A483DA.pf
14.09.2007 10:32 13.682 SYMLCSVC.EXE-04DC2DC5.pf
14.09.2007 10:32 1.059.810 NTOSBOOT-B00DFAAD.pf
14.09.2007 10:32 64.978 DUMPREP.EXE-1B46F901.pf
14.09.2007 10:30 40.078 LOGONUI.EXE-0AF22957.pf
14.09.2007 10:29 70.704 WINRAR.EXE-3588DFE8.pf
14.09.2007 10:25 91.284 IEXPLORE.EXE-2CA9778D.pf
14.09.2007 10:22 17.950 NOTEPAD.EXE-336351A9.pf
14.09.2007 09:24 95.946 NAVW32.EXE-20C61389.pf
14.09.2007 09:13 89.836 LUCALLBACKPROXY.EXE-0B5F632D.pf
14.09.2007 09:13 66.904 AUPDATE.EXE-089630E1.pf
13.09.2007 21:58 92.492 REGISTRYCLEANER.EXE-17B6D63B.pf
13.09.2007 21:58 78.086 SYSTEMOPTIMIZER.EXE-2D3174F1.pf
13.09.2007 21:57 48.408 ONECLICKMAINTENANCE.EXE-05D14B98.pf
13.09.2007 21:55 22.208 CLEARPROG.EXE-1934C98F.pf
13.09.2007 21:55 43.272 RUNDLL32.EXE-40A79BC1.pf
13.09.2007 21:53 21.614 RUNDLL32.EXE-2E5AF1D7.pf
13.09.2007 21:49 12.276 PNKBSTRB.EXE-21412697.pf
13.09.2007 21:48 45.632 XFIRE.EXE-021C4593.pf
13.09.2007 21:47 72.570 COD2MP_S.EXE-2E228D27.pf
13.09.2007 21:17 123.366 WINWORD.EXE-3395695A.pf
13.09.2007 21:17 33.284 EXCEL.EXE-0DC93B7A.pf
13.09.2007 21:12 18.086 VERCLSID.EXE-3667BD89.pf
13.09.2007 20:30 464.610 Layout.ini
13.09.2007 19:46 15.834 HIJACKTHIS.EXE-1A5C47B8.pf
13.09.2007 18:59 140.988 HELPSVC.EXE-2878DDA2.pf
13.09.2007 18:22 86.462 ICQ.EXE-3425F561.pf
13.09.2007 17:25 34.102 GMER.EXE-2A96EB70.pf
13.09.2007 17:12 66.524 INTEGRATOR.EXE-3967D297.pf
13.09.2007 17:12 75.946 WINSTYLER.EXE-23240E61.pf
13.09.2007 17:02 22.496 RUNDLL32.EXE-2A94BB85.pf
13.09.2007 16:21 80.742 IL2FB.EXE-13F3BD90.pf
13.09.2007 15:53 20.486 RUNDLL32.EXE-232C337F.pf
13.09.2007 15:50 23.162 RUNDLL32.EXE-2576181F.pf
13.09.2007 15:50 19.466 TASKMGR.EXE-20256C55.pf
13.09.2007 15:28 73.176 WINAMP.EXE-08C38ED9.pf
13.09.2007 14:14 19.792 FSBL.EXE-29CB9910.pf
13.09.2007 13:40 65.126 SYSTEMINFORMATION.EXE-36C3168F.pf
13.09.2007 13:22 51.990 OIS.EXE-33076924.pf
13.09.2007 13:17 26.954 RUNDLL32.EXE-20BE1A16.pf
13.09.2007 13:17 27.464 RUNDLL32.EXE-3BD4BE8B.pf
13.09.2007 13:02 26.370 MSPAINT.EXE-11CBB631.pf
13.09.2007 10:22 45.774 RUNDLL32.EXE-2E7B9EF2.pf
13.09.2007 10:22 22.860 NWIZ.EXE-2D0F9FBC.pf
12.09.2007 19:48 71.534 UNDELETE.EXE-2D4481FE.pf
12.09.2007 12:36 21.202 WINDOWS-KB890830-V1.33-DELTA.-263BCBC4.pf
12.09.2007 12:35 53.662 MRT.EXE-1B4A8D49.pf
12.09.2007 12:35 51.040 MRTSTUB.EXE-027458CA.pf
12.09.2007 11:28 36.178 DFRGNTFS.EXE-269967DF.pf
12.09.2007 11:28 15.270 DEFRAG.EXE-273F131E.pf
11.09.2007 20:47 26.302 AUTORUN.EXE-348A3A74.pf
11.09.2007 20:47 51.868 WINRAR-PAKET 3.70.EXE-21018A08.pf
11.09.2007 19:57 21.248 RUNDLL32.EXE-36C37943.pf
11.09.2007 19:54 63.466 NLCLIENT.EXE-2D20CC93.pf
11.09.2007 18:17 77.458 GOOGLEEARTH.EXE-0978F2AD.pf
11.09.2007 17:57 41.302 REGSEEKER.EXE-396B17D9.pf
11.09.2007 17:54 47.754 RUNDLL32.EXE-13404D23.pf
11.09.2007 17:53 14.944 _IU14D2N.TMP-0F56AC49.pf
11.09.2007 17:53 12.170 UNINS000.EXE-319CCA78.pf
11.09.2007 17:53 62.762 MSIEXEC.EXE-2F8A8CAE.pf
11.09.2007 17:53 69.330 UNINSTALLMANAGER.EXE-2714C224.pf
11.09.2007 17:20 41.382 RUNDLL32.EXE-1198D8AF.pf
11.09.2007 17:20 6.484 CNMSE85.EXE-0C030348.pf
11.09.2007 17:20 12.126 RUNDLL32.EXE-451FC2C0.pf
11.09.2007 16:37 27.592 SPYBOTSD.EXE-1D495A65.pf
11.09.2007 15:31 3.874 XPICLEANUP.EXE-3306B804.pf
11.09.2007 15:22 13.914 XPINSTALL.EXE-0C299A74.pf
11.09.2007 15:03 39.022 MPNSCAN.EXE-0D97832C.pf
11.09.2007 15:01 54.432 MPN30.EXE-399681E3.pf
11.09.2007 15:01 21.790 WIAACMGR.EXE-212ED878.pf
10.09.2007 22:03 26.996 SAMPLEPARTICLEFLUID.EXE-0E69E3BB.pf
10.09.2007 22:01 30.654 SAMPLECLOTH.EXE-01C610CD.pf
10.09.2007 22:01 27.928 AGEIAPHYSXBOXES.EXE-260373E6.pf
10.09.2007 21:59 16.254 RUNDLL32.EXE-430C0B3E.pf
10.09.2007 21:57 27.882 RUNDLL32.EXE-44A0B4BC.pf
10.09.2007 19:46 65.852 UPDATEWIZARD.EXE-13F4E8AB.pf
10.09.2007 16:57 74.856 ACRORD32.EXE-0EC716D9.pf
10.09.2007 16:06 24.444 ALUPDATE.EXE-07285CF1.pf
28.08.2007 19:08 0 SYSTEM32
93 Datei(en) 5.416.952 Bytes
0 Verzeichnis(se), 8.461.668.352 Bytes frei
----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9821-2A96
Verzeichnis von C:\WINDOWS
14.09.2007 10:32 0 0.log
14.09.2007 10:32 1.170.538 WindowsUpdate.log
14.09.2007 10:32 159 wiadebug.log
14.09.2007 10:32 50 wiaservc.log
14.09.2007 10:32 649.745 win.dll
14.09.2007 10:31 34.816 fwbmz.dll
14.09.2007 10:31 2.048 bootstat.dat
14.09.2007 10:30 32.536 SchedLgU.Txt
14.09.2007 09:24 182.095 setupapi.log
13.09.2007 17:25 250 gmer.ini
11.09.2007 15:22 3.741 mozver.dat
10.09.2007 17:28 107.134 UninstallFirefox.exe
09.09.2007 14:45 227 system.ini
09.09.2007 14:45 666 win.ini
06.09.2007 10:33 80 gmer_uninstall.cmd
06.09.2007 10:33 585.791 gmer.dll
03.09.2007 16:00 1.090.699 iis6.log
03.09.2007 16:00 188.948 ntdtcsetup.log
03.09.2007 16:00 310.041 comsetup.log
03.09.2007 16:00 50.232 ocmsn.log
03.09.2007 16:00 24.529 KB933360.log
03.09.2007 16:00 1.355 imsins.log
03.09.2007 16:00 418.384 tsoc.log
03.09.2007 16:00 43.668 tabletoc.log
03.09.2007 16:00 154.084 netfxocm.log
03.09.2007 16:00 452.499 ocgen.log
03.09.2007 16:00 63.516 medctroc.Log
03.09.2007 16:00 45.475 msgsocm.log
03.09.2007 16:00 885.510 FaxSetup.log
03.09.2007 16:00 298.208 msmqinst.log
02.09.2007 11:27 367.332 DirectX.log
02.09.2007 11:26 1.567 DIFx.log
31.08.2007 12:45 572 wininit.ini
28.08.2007 23:27 60.416 ALCFDRTM.VER
28.08.2007 19:08 49 win.bat
28.08.2007 19:08 102.857 services.exe
28.08.2007 18:22 335 mozregistry.dat
27.08.2007 14:11 116 NeroDigital.ini
21.08.2007 17:05 16.783 wmsetup.log
17.08.2007 12:34 155 winamp.ini
15.08.2007 14:21 36.598 spupdsvc.log
15.08.2007 14:20 1.374 imsins.BAK
15.08.2007 14:20 19.875 KB936021.log
15.08.2007 14:20 57.064 updspapi.log
15.08.2007 14:20 22.138 KB938828.log
15.08.2007 14:19 12.490 KB936782.log
15.08.2007 14:19 18.656 KB921503.log
15.08.2007 14:19 18.459 KB938829.log
15.08.2007 14:18 23.535 KB937143-IE7.log
15.08.2007 14:18 13.429 KB938127-IE7.log
15.08.2007 14:18 282.846 msxml4-KB936181-enu.LOG
01.08.2007 19:42 474 DXError.log
01.08.2007 12:05 191 ULEAD32.INI
29.06.2007 09:38 581.632 gmer.exe
13.06.2007 15:10 1.036.288 explorer.exe
12.06.2007 21:19 20.039 KB929123.log
12.06.2007 21:19 19.336 KB935840.log
12.06.2007 21:18 21.824 KB935839.log
12.06.2007 21:18 24.229 KB933566-IE7.log
12.06.2007 08:51 1.389.231 setupapi.log.0.old
23.05.2007 16:06 8.225 KB927891.log
20.05.2007 12:42 342 nsw.log
19.05.2007 11:33 0 pestpatrol5.INI
16.05.2007 14:08 269 game.ini
14.05.2007 10:15 169.568 setupact.log
10.05.2007 10:18 17.983 KB931768-IE7.log
10.05.2007 10:18 11.814 KB930916.log
11.04.2007 16:39 21.418 KB931784.log
11.04.2007 16:38 13.441 KB931261.log
11.04.2007 16:38 13.684 KB930178.log
11.04.2007 16:38 16.133 KB932168.log
04.04.2007 12:17 13.310 KB925902.log
31.03.2007 20:11 616 eReg.dat
15.03.2007 16:16 6.197 KB929399.log
15.03.2007 16:16 16.926 KB929338.log
159 Datei(en) 18.087.115 Bytes
0 Verzeichnis(se), 8.461.651.968 Bytes frei
----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9821-2A96
Verzeichnis von C:\WINDOWS\tasks
14.09.2007 10:31 6 SA.DAT
01.09.2000 10:41 65 desktop.ini
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 8.461.660.160 Bytes frei
----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9821-2A96
Verzeichnis von C:\WINDOWS\temp
----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9821-2A96
Verzeichnis von C:\DOKUME~1\<Benutzername>\LOKALE~1\Temp
14.09.2007 10:33 122.406 filelist.txt
14.09.2007 10:31 16.384 ~DFE0D.tmp
14.09.2007 09:08 16.384 ~DFA38.tmp
28.08.2007 19:08 102.857 ex.jpg
4 Datei(en) 258.031 Bytes
0 Verzeichnis(se), 8.461.660.160 Bytes frei
zu guter letzt noch den link zu meinem post in spykiller: Mal/HckPk-A Ich habe am System nichts verändert,Tuneup ist noch drauf und die Fehlermeldungen erscheinen immer nach dem Systemstart. MFG ErrOR^ |
|
14.09.2007, 09:56
| #6 |
| | Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services) und hier noch das Logfile vom Onlinescan mit Kaspersky: Viren gefunden: 2 Infizierte Objekte gefunden: 2 / 0 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\settings.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\LiveUpdate\2007-09-14_Log.ALUSchedulerSvc.LiveUpdate Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\cert8.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\formhistory.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>v\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\history.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\key3.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\parent.lock Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\ntuser.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\<Benutzername>\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDALRT.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDCON.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDDBG.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDFW.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDIDS.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSYS.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SPPolicy.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SPStart.log Das Objekt ist gesperrt übersprungen C:\Programme\Gemeinsame Dateien\Symantec Shared\SPStop.log Das Objekt ist gesperrt übersprungen C:\Programme\Norton AntiVirus\AVApp.log Das Objekt ist gesperrt übersprungen C:\Programme\Norton AntiVirus\AVError.log Das Objekt ist gesperrt übersprungen C:\Programme\Norton AntiVirus\AVVirus.log Das Objekt ist gesperrt übersprungen C:\Programme\Norton AntiVirus\Quarantine\227D62BC.htm Infizierte Objekte: Trojan-Downloader.JS.Agent.hv übersprungen C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen C:\System Volume Information\_restore{B67734EA-AAA9-403B-A9E1-B846457327B3}\RP397\change.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\EventCache\{8F9115E0-80D3-4FB5-80E4-DE640D01F5AC}.bin Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\NetLimit.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\dtscsi.sys Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\lpr.exe Infizierte Objekte: Trojan.Win32.Inject.eg übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen |
|
14.09.2007, 17:33
| #7 |
| /// Helfer-Team | Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services) C:\DOKUME~1\<Benutzername>\LOKALE~1\Temp\ex.jpg ist eine Kopie der C:\WINDOWS\services.exe, Inhalt sieht sehr nach einer Backdoor auss. C:\WINDOWS\fwbmz.dll und C:\WINDOWS\win.bat wurden von dieser Infektion auf dem System angelegt. Lass die C:\WINDOWS\system32\lpr.exe ebenfalls mal bei Virustotal scannen. Sie fiel bereits in der Filelist durch eine ungewöhnliche Größe und ein recht aktuelles Datum auf, nun hat Kaspersky auch noch was gefunden. Normalerweise ist die lpr.exe ein Teil von Windows, bei dir wurde sie wohl ersetzt. C:\WINDOWS\win.dll ist ebenfalls verdächtig, auch die scannen lassen. Kannst auch noch mal mit GMER scannen. Ich würde neu installieren. Ich werde es sogar bestimmt tun, denn beim verschieben der Datei ins Archiv hatte ich einen Unfall mit einer prellenden Maustaste  |
|
14.09.2007, 18:43
| #8 |
| | Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services) Sry dass dein system nun auch infiziert wurde die win.dll erbrachte kein ergebnis beim virustotal-check. allerdings erzielte der check der lpr.exe mehrere treffer. naja,hab ja eh schon mit Neuaufsetzen gerechnet,was solls trotzdem vielen dank Karl für die kompetente hilfe! MFG ErrOR^ |
|
14.09.2007, 20:20
| #9 |
| | Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services) Hey Karl! ich hab die lpr.exe mit AVG reinigen lassen,ohne sie löschen zu müssen,scheint nun wieder absolut clean zu sein!! services.exe (in C:\WINDOWS),ex.jpg,win.bat,win.dll und fwbmz.dll hab ich im abgesicherten modus manuell gelöscht und siehe da! nach dem nächsten neustart kamen keine fehlermeldungen mehr! weiterhin wurden die gelöschten dateien nicht wiederhergestellt! scheint also wieder alles clean zu sein!  MFG ErrOR^ |
|
15.09.2007, 06:34
| #10 | ||
 | Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services) Moin Zitat:
 Zitat:
 Kein Mensch und schon gar keine Software wird dir sagen können, ob und was an deinem System verbogen wurde, mit Ausnahme der Schreiber des Schädlings, aber es ist deine Entscheidung. Prost |
|
19.09.2007, 22:01
| #11 |
| /// Helfer-Team | Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services) So sieht jedenfalls eine korrekte lpr.exe aus, der md5-Wert aus der letzten Zeile wird auch bei VirusTotal mit angezeigt. Code:
ATTFilter C:\WINDOWS\system32>\bin\o\sigcheck.exe -q lpr.exe & \bin\md5sum.exe lpr.exe
C:\WINDOWS\system32\lpr.exe:
Verified: Signed
Signing date: 10:54 04.08.2004
Publisher: Microsoft Corporation
Description: TCP/IP-Befehl LPR
Product: Betriebssystem Microsoft« Windows«
Version: 5.1.2600.0
File version: 5.1.2600.0 (xpclient.010817-1148)
c849ac5ab3bdcc85b09260bb1b6a111c *lpr.exe
Ich gerne mal einen Bericht von GMER von deinem System sehen. Da habe ich nämlich ein paar seltsame Einträge entdeckt. |
|
| Themen zu Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services) |
| antivirus, aus sicherheitsgründen, beendet, datei, datenausführungsverhinderung, englisch, fehlermeldung, fehlermeldungen, festgestellt, folge, generic, generic host, generic host process, klicke, microsoft, norton, problem, programm, scan, services, services.exe, sicherheitsgründe, sicherheitsgründen, sophos, spybot, svchost.exe, systemstart, tuneup utilities, virus, win, win32, öffnet |
Linear-Darstellung
