![]() |
|
Log-Analyse und Auswertung: svchost.exe in "system32/windows update"Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() |
|
![]() | #1 |
| ![]() svchost.exe in "system32/windows update" Guten Morgen, hatte beim Starten von Windows das Problem, dass der Rechner tierisch langsam. Bin daraufhin in den abgesicherten Modus und hab msconfig ausgeführt, dabei fiel mir der Autostarteintrag von svchost.exe in system32/windows update/ auf. Der Ordner war versteckt und die svchost.exe ca. 30 mb groß. Habe den Ordner per Kaspersky prüfen lassen, aber das Programm hat nichts gefunden. Habe den Ordner daraufhin gelöscht und wollte jetzt nur nochmal auf Nummer sicher gehen, dass da nichts größeres passiert ist. Habe Spybot drüberlaufen lassen und Kaspersky hat den Rechner mal komplett gescannt. Es wurde aber nichts gefunden. HJT-Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:22:28, on 15.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\oodtray.exe E:\Internet\Thunderbird\thunderbird.exe E:\ObjectDock\ObjectDock.exe E:\Internet\Browser\Opera\opera.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - E:\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Java\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Java\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Java\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [AVP] "E:\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe O4 - Startup: Mozilla Thunderbird.lnk = E:\Internet\Thunderbird\thunderbird.exe O4 - Startup: Stardock ObjectDock.lnk = E:\ObjectDock\ObjectDock.exe O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Hinzufügen zu Anti-Banner - E:\Kaspersky Internet Security 2009\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\OFFICE~1\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java\bin\jp2iexp.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java\bin\jp2iexp.dll O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\OFFICE~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\OFFICE~1\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\OFFICE~1\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201369939537 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1201450723328 O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab O23 - Service: Kaspersky Internet Security (avp) - Kaspersky Lab - E:\Kaspersky Internet Security 2009\avp.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe -- End of file - 4743 bytes Malwarebytes konnte ich nicht installieren, bzw. er legt zwar nen Ordner in C:/Programme an, aber der ist immer leer. Danke schonmal im voraus. |
![]() | #2 |
Gast | ![]() svchost.exe in "system32/windows update" Hallo Toddy.G.,
__________________lass die Datei "svchost.exe" in "system32/windows update/" mal unter VirusTotal - Kostenloser online Viren- und Malwarescanner prüfen (auf jeden Fall auf analysieren klicken, auch wenn der Text erscheint, dass die Datei schon einmal überprüft wurde) und poste das Ergebnis. Grüße 45cl3p1u5 |
![]() | #3 | ||
/// Selecta Jahrusso ![]() ![]() ![]() ![]() ![]() ![]() | ![]() svchost.exe in "system32/windows update" Hallo Toody G.
__________________Zitat:
Rechtsklick auf START-->Explorer-->Extras-->Ordneroptionen -->den Reiter "Ansicht" -->Versteckte Dateien und Ordner-->"alle Dateien und Ordner" aktivieren-->und--> Extras-->Ordneroptionen-->den Reiter "Ansicht"-->Dateien und Ordner-->geschützte Systemdateien ausblenden(empfohlen)"deaktivieren Sollte dies nicht der fall sein bitte umstellen und ein neue Log posten Zitat:
|
![]() | #4 |
| ![]() svchost.exe in "system32/windows update" Hi, hab alles auf sichtbar. Hab nun Malwarebytes installiert bekommen und nen Scan durchgeführt. Die Datei konnte ich nicht meher hochladen, da ich sie leider bereits gelöscht hatte - war da etwas voreilig. Spybot S&D ist noch installiert. Von den Kaspersky Berichten hab ich mal ein Screenshot gemacht: http://www.bilder-hochladen.net/files/30fe-2-jpg.html Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1763 Windows 5.1.2600 Service Pack 3 15.02.2009 17:22:28 mbam-log-2009-02-15 (17-22-25).txt Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000162-9980-0010-8000-00aa00389b71} (Rogue.WinAntivirus) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000162-9980-0010-8000-00aa00389b71} (Rogue.WinAntivirus) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:25:59, on 15.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe E:\ObjectDock\ObjectDock.exe E:\Internet\Browser\Opera\opera.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - E:\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Java\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Java\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Java\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [AVP] "E:\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe O4 - Startup: Mozilla Thunderbird.lnk = E:\Internet\Thunderbird\thunderbird.exe O4 - Startup: Stardock ObjectDock.lnk = E:\ObjectDock\ObjectDock.exe O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Hinzufügen zu Anti-Banner - E:\Kaspersky Internet Security 2009\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\OFFICE~1\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java\bin\jp2iexp.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java\bin\jp2iexp.dll O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\OFFICE~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\OFFICE~1\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\OFFICE~1\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201369939537 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1201450723328 O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab O23 - Service: Kaspersky Internet Security (avp) - Kaspersky Lab - E:\Kaspersky Internet Security 2009\avp.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe -- End of file - 4285 bytes |
![]() | #5 |
/// Selecta Jahrusso ![]() ![]() ![]() ![]() ![]() ![]() | ![]() svchost.exe in "system32/windows update" Erstelle den Ordner C:\programme-Downloads\CCleaner Bitte lade dir den CCleaner herunter und installier ihn in diesen Ordner Gehe im menü auf Extras---> Speichere deine Installierten Programme in eine Textdatei und schreibe mir dazu was dir bekannt ist oder nicht bekannt und welche du wirklich benötigst Poste diese Textdatei |
![]() | #6 |
| ![]() svchost.exe in "system32/windows update" Hab noch SUPERAntiSpyware laufen lassen, das Programm hat jedoch nur ein 20Cookies gefunden, hab die auch gelöscht. So, nun der Inhalt der install.txt Bekannt und benötigt: Adobe Reader 9 - Deutsch Apple Software Update ATI - Software Uninstall Utility ATI Catalyst Control Center ATI Display Driver CDex extraction audio Counter-Strike Day of Defeat DivX Codec FLV Player 2.0 (build 25) Google Earth iTunes Java(TM) 6 Update 11 Java(TM) 6 Update 3 Java(TM) 6 Update 5 Kaspersky Internet Security 2009 Microsoft – Speichern als PDF – Add-In für 2007 Microsoft Office-Programme Microsoft .NET Framework 2.0 Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU Microsoft .NET Framework 3.0 Service Pack 2 Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU Microsoft .NET Framework 3.5 Language Pack SP1 - DEU Microsoft .NET Framework 3.5 SP1 Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Flight Simulator 2004 - Das Jahrhundert der Luftfahrt Microsoft Flight Simulator X Service Pack 2 Microsoft Office Home and Student 2007 Microsoft Office Outlook 2007 Microsoft Silverlight Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket Mozilla Firefox (3.0.6) Mozilla Thunderbird (2.0.0.19) Mp3tag v2.42 NVIDIA Drivers O&O Defrag Professional O&O SafeErase ObjectDock OpenTTD 0.6.3 Opera 9.63 ORF-Ski Challenge 2009 Paint.NET v3.36 Paragon Partition Manager 8.5 Picasa 2 PokerStars PrintFit Visitenkarten-Druckerei QuickTime SkyTest® Piloten Edition 2.1 sPlan 6.0 StationRipper 2.91D Steam(TM) Trillian Update für Windows XP (KB943729) VLC media player 0.9.8a WebFldrs XP Winamp Windows Internet Explorer 7 Windows Media Format 11 runtime Windows Media Player 11 Windows XP Service Pack 3 WinRAR XnView 1.95.3 Temporär benötigt: HijackThis 2.0.2 SUPERAntiSpyware Free Edition Spybot - Search & Destroy Malwarebytes' Anti-Malware CCleaner (remove only) Nicht wirklich benötigt: Adobe Flash Player 10 ActiveX Adobe Flash Player 10 Plugin Adobe Shockwave Player 11 Nero |
![]() |
Themen zu svchost.exe in "system32/windows update" |
abgesicherten modus, ad-aware, ad-watch, adobe, avp, avp.exe, bho, browser, explorer, hijack, hijackthis, internet, internet explorer, internet security, kaspersky, mozilla, nvidia, plug-in, problem, programm, prüfen, schutz, security, senden, software, starten, svchost.exe, system, windows, windows xp |