Hallo!
Habe mehrere Fragen:
1. Ich hab 5x svchost. Bis dahin ja nichts Ungwöhnliches. Aber 4x ist der Ordner System32 großgeschriben und bei einer svchost klein? Kann es sein das sich dahinter ein Trojaner verbirgt, oder ist es nur Einbildung?
2. Es soll nach "Hijackthis automatische Auswärtung" ein Prozess laufen, der im Taskmanager und ähnlichen Programmen nicht aufgeführt ist. Nämlich:
UserInit = D:\WINDOWS\system32\userinit.exe,
Kann es sein das das Böse ist?
3. Shell=Explorer.exe soll ein unbekannter Prozess sein. Ist es doch nicht, oder?
4. Was ist eine mshta.exe? eine ie4unit.exe

Logs:
http://www.hijackthis.de/logfiles/36...91dffa1d9.html
http://www.hijackthis.de/logfiles/d3...11a8eaf9d.html


Der Anlass weshalb ich ein 2. Mal Poste ist, dass ich vor kurzem mit Bildbearbeitung angefangen habe und dass dabei eine Maus die sich von selbst bewegt und Programme schließt sehr sehr sehr sehr sehr sehr sehr sehr sehr sehr sehr sehr sehr hinderlich ist .

Hallo

Zitat:

Zitat von Konflaxx

Habe mehrere Fragen:
1. Ich hab 5x svchost. Bis dahin ja nichts Ungwöhnliches. Aber 4x ist der Ordner System32 großgeschriben und bei einer svchost klein? Kann es sein das sich dahinter ein Trojaner verbirgt, oder ist es nur Einbildung?

Es ist möglich. Was sagt dein Antivurus-Programm?

Zitat:

2. Es soll nach "Hijackthis automatische Auswärtung" ein Prozess laufen, der im Taskmanager und ähnlichen Programmen nicht aufgeführt ist. Nämlich:
UserInit = D:\WINDOWS\system32\userinit.exe,
Kann es sein das das Böse ist?

Kaum. Es hat was mit Instanzt Messenger zu tun. Habe noch nie gehört , dass etwas Schlimmes dahinter steckt.

Zitat:

3. Shell=Explorer.exe soll ein unbekannter Prozess sein. Ist es doch nicht, oder?

Wahrscheinlich doch.

Zitat:

4. Was ist eine mshta.exe?

http://www.liutilities.com/products/...library/mshta/

Zitat:

eine ie4unit.exe

..oder ie4uinit.exe? Bitte die Schreibweise prüfen und deinen Log als *.txt-Datei hier posten.

Hijackthis Normaler Log:

Logfile of HijackThis v1.98.2
Scan saved at 17:25:57, on 15.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\D-Tools\daemon.exe
D:\Programme\PestPatrol\PPMemCheck.exe
D:\Programme\PestPatrol\PPControl.exe
D:\Programme\PestPatrol\CookiePatrol.exe
D:\WINDOWS\System32\RunDLL32.exe
D:\Programme\Ares\Ares.exe
D:\Programme\GetRight\getright.exe
D:\Programme\GetRight\getright.exe
C:\PROGRA~2\ICQ\ICQ.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\SLEE503.exe
D:\Programme\iPod\bin\iPodService.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ntvdm.exe
D:\T-ONLINE\BSW4\ToDuCAlC.EXE
d:\progra~1\intern~1\iexplore.exe
C:\loeschenpresent\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PPMemCheck] D:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] D:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] D:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~2\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ares] "D:\Programme\Ares\Ares.exe" -h
O4 - Global Startup: GetRight - Tray Icon.lnk = D:\Programme\GetRight\getright.exe
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~2\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~2\ICQ\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89443DE5-38C0-4DC0-82BC-3503B947BB37}: NameServer = 217.237.149.161 194.25.2.129


Dann dieser Stareinträge Log

StartupList report, 15.08.2004, 17:29:47
StartupList version: 1.52.2
Started from : C:\loeschenpresent\hijackthis\HijackThis.EXE
Detected: Windows XP (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 (6.00.2600.0000)
* Using default options
==================================================

Running processes:

D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\D-Tools\daemon.exe
D:\Programme\PestPatrol\PPMemCheck.exe
D:\Programme\PestPatrol\PPControl.exe
D:\Programme\PestPatrol\CookiePatrol.exe
D:\WINDOWS\System32\RunDLL32.exe
D:\Programme\Ares\Ares.exe
D:\Programme\GetRight\getright.exe
D:\Programme\GetRight\getright.exe
C:\PROGRA~2\ICQ\ICQ.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\SLEE503.exe
D:\Programme\iPod\bin\iPodService.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ntvdm.exe
D:\T-ONLINE\BSW4\ToDuCAlC.EXE
d:\progra~1\intern~1\iexplore.exe
C:\loeschenpresent\hijackthis\HijackThis.exe
D:\WINDOWS\system32\NOTEPAD.EXE

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[D:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart]
GetRight - Tray Icon.lnk = D:\Programme\GetRight\getright.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = D:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

iTunesHelper = D:\Programme\iTunes\iTunesHelper.exe
DAEMON Tools-1033 = "D:\Programme\D-Tools\daemon.exe" -lang 1033
NvCplDaemon = RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
PPMemCheck = D:\Programme\PestPatrol\PPMemCheck.exe
PestPatrol Control Center = D:\Programme\PestPatrol\PPControl.exe
CookiePatrol = D:\Programme\PestPatrol\CookiePatrol.exe
Mirabilis ICQ = C:\PROGRA~2\ICQ\ICQNet.exe
NvMediaCenter = RunDLL32.exe NvMCTray.dll,NvTaskbarInit

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

ares = "D:\Programme\Ares\Ares.exe" -h

--------------------------------------------------

Shell & screensaver key from D:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=D:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Download Program Files:

[Shockwave ActiveX Control]
InProcServer32 = D:\WINDOWS\system32\Macromed\Director\SwDir.dll
CODEBASE = http://download.macromedia.com/pub/s...irector/sw.cab

[Symantec AntiVirus scanner]
InProcServer32 = D:\WINDOWS\Downloaded Program Files\avsniff.dll
CODEBASE = http://security.symantec.com/sscv6/S...in/AvSniff.cab

[Symantec RuFSI Utility Class]
InProcServer32 = D:\WINDOWS\Downloaded Program Files\rufsi.dll
CODEBASE = http://security.symantec.com/sscv6/S.../bin/cabsa.cab

[Shockwave Flash Object]
InProcServer32 = D:\WINDOWS\System32\Macromed\Flash\FLASH.OCX
CODEBASE = http://download.macromedia.com/pub/s...sh/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: D:\WINDOWS\system32\SHELL32.dll
CDBurn: D:\WINDOWS\system32\SHELL32.dll
WebCheck: D:\WINDOWS\System32\webcheck.dll
SysTray: D:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 4.763 bytes
Report generated in 0,040 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only


Noch eine Frage zu diesem Shell Eintrag, soll ich explorer.exe löschen?

Ach ja, hab zig Antiviren und Scan Programe benutzt und nichts wurde gefunden! Warte, mir ist gerade etwas eingefallen, immer wenn ich mit Pest Patrol meinen Pc nach ein Paar Tagen auf spyware prüfe, dann ist immer wieder dieses Bearshare drauf. Wenn ich es also lösche kommt es nach ein paar Tagen wieder, das müsste heißen, dass das eigentliche Programm, welches diese Spyware installiert, noch da sein müsst. Ist vielleicht ne Hilfe.

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

hast du schon etwas von ServicePack1 oder 2 mitbekommen?

Zitat:

D:\WINDOWS\System32\SLEE503.exe

Ich kenne dieses Programm, bzw. Dienst gar nicht.
Mit http://www.kaspersky.com/de/remoteviruschk.html prüfen.

Erstens: Wenn ich mir beide Servicepacks draufpacke heißt es doch noch lange nicht, dass ich den Trojaner los bin, oder?
Zweitens: Ich hab mir schonmal das Servicepack 1 heruntergeladen, jedoch konnte ich es nicht installieren. Genauso wie mit den Sicherheitspatches, die ich manuell runtergeladen hab (mit updatemanager hats jedoch gefunzt).

Man kann doch bestimmt irgendiwe diesen Trojaner auch ohne Servipacks entfernen.

Ah, und slee505 oder so ist von Steganos, also nichts böses.

Zitat:

Erstens: Wenn ich mir beide Servicepacks draufpacke heißt es doch noch lange nicht, dass ich den Trojaner los bin, oder?

Du hast mich falsch verstanden. Service Packs verhindern das Eindringen der Seuche an Computer.

Zitat:

Zweitens: Ich hab mir schonmal das Servicepack 1 heruntergeladen, jedoch konnte ich es nicht installieren.

Warum? Hast du eine nicht lizensierte Version von Windows? Du musst nach Ursache des Problems suchen und dieses Problem als Hauptproblem zu betrachten. Wenn dein System ohne die aktuellen Security-Patches läuft, gibt es keinen Sinn, über das Thema "Ich habe Virus/Trojaer usw...." weiter zu sprechen, weil das Thema kein Ende haben wird.

Okay, dann installiere Ich die Servicepacks. Wenn ich es getan hab meld ich mich wieder. Aber trotzdem verstehe ich nicht, wieso das so schlimm ist, dass ich sie nicht drauf hatte. Ich meine, okay, ich könnte mich theoretisch wieder infizieren, aber ich kann doch den Trojaner auch entfernen bevor ich die Servicepacks installiere.

Zitat:

Okay, dann installiere Ich die Servicepacks. Wenn ich es getan hab meld ich mich wieder.

Kannst und solltest du auch machen, denn nur so macht unsere Hilfe einen Sinn.

Zitat:

Aber trotzdem verstehe ich nicht, wieso das so schlimm ist, dass ich sie nicht drauf hatte.

Weil dein System offen wie ein Scheunentor ist und so für jeden zugänglich ist.

Zitat:

Ich meine, okay, ich könnte mich theoretisch wieder infizieren, aber ich kann doch den Trojaner auch entfernen bevor ich die Servicepacks installiere.

Nicht nur theoretisch, sondern auch praktisch in sekundenschnelle.