|
Log-Analyse und Auswertung: Generic Host process for win32 services windows xp sp3Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
18.06.2009, 12:52 | #1 |
| Generic Host process for win32 services windows xp sp3 Ich habe schon gestern den ganzen Tag nach Lösungen für dieses Probem gesucht,aber ich finde nur Lösungswege für Windows XP SP2,nich Sp3,das ich besitze,deshalb hoffe ich das mir jemand helfen kann. Erstmal wie es dau gekommen ist: Ich habe ganz normal morgens den PC angeschaltet und dann erschien plötzlich die Fehlermeldung,die danach dann auch jede 5 Minuten nochmal kam.Außerdem kann ich nicht ins Internet (schreibe von meinem Laptop aus).Später habe ich bemerkt das die Fehlermeldung nicht mehr kommt;wenn ich die Internetverbindung ausgeschaltet habe. Dann meine Hijack This Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:07:49, on 18.06.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16850) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\Programme\websrvx\websrvx.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Java\jre6\bin\jusched.exe C:\windows\ld09.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Hama\Common\RaUI.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\Windows Live\Contacts\wlcomm.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe E:\stuff\test.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: (no name) - {8cc1be3e-a44b-447a-87e0-9659dfcd8c5c} - C:\WINDOWS\system32\mesavifu.dll (file missing) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [EKIJ5000StatusMonitor] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EKIJ5000MUI.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [dajefizihe] Rundll32.exe "C:\WINDOWS\system32\gereviba.dll",s O4 - HKLM\..\Run: [XboxStat] "C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [] G:\\csrss.exe O4 - HKLM\..\Run: [sysldtray] C:\windows\ld09.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: rncsys32.exe O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - AppInit_DLLs: C:\WINDOWS\system32\nejozege.dll O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ablagemappe ClipSrvNetDDEdsdm (ClipSrvNetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\acctresc.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: websrvx - Unknown owner - C:\Programme\websrvx\websrvx.exe -- End of file - 6164 bytes Und bevor ich es vergesse.Bei mir taucht auch noch eine Fehlermeludung auf (schon seit einigen Monaten,aber ich habe mir nichts dabei gedacht,weil nichts auffälliges passiert ist).Nämlich das eine Rundll32 Datei fehlt (C:\Windows\system32\gereviba.dll) Habe herausgefunden das ich Trojaner auf meinem PC habe,aber ich weiß nicht wie ich die entfernen kann. |
18.06.2009, 14:54 | #2 |
| Generic Host process for win32 services windows xp sp3 Hi,
__________________was wurde den wo gefunden? Bitte folgende Files prüfen (dazu auch Laufwerk G: anschließen) Dateien Online überprüfen lassen:
Code:
ATTFilter C:\Programme\websrvx\websrvx.exe C:\windows\ld09.exe C:\WINDOWS\system32\gereviba.dll G:\csrss.exe C:\WINDOWS\system32\rncsys32.exe C:\WINDOWS\system32\nejozege.dll C:\WINDOWS\system32\acctresc.exe
Also wenn die Files: ld09.exe, gereviba.dll, csrss.exe erkannt wurden, dann (sonst die nicht erkannten unten rauslöschen bei Files to delete!): Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Registry values to replace with dummy: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs Registry values to delete: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|sysldtray HKLM\Software\Microsoft\Windows\CurrentVersion\Run|dajefizihe Files to delete: C:\windows\ld09.exe C:\WINDOWS\system32\gereviba.dll G:\csrss.exe 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp Danach noch ein neues HJ-Log&Rsit.. RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ speichere es auf Deinem Desktop. Starte mit Doppelklick die RSIT.exe. Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris
__________________ Geändert von Chris4You (18.06.2009 um 15:06 Uhr) |
18.06.2009, 20:03 | #3 |
| Generic Host process for win32 services windows xp sp3 Erstmal Danke Chris! Ich habe auf verschiedenen Seiten (die ich jetzt nicht alle aufzählen will) über die Patches etc gelesen,aber wie gesagt waren alle Lösungswege nur für das Windows XP SP2,nicht für das in meinem Besitz Windows XP SP3.
__________________Dann konnte ich deinen Schritt "Dateien Online überprüfen lassen " nicht ausführen,weil ich,wie gesagt auf dem PC mit der Generic... nicht in das Internet kann. Dann jetzt als nächstes die ganzen Logfiles: Avenger: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File "C:\windows\ld09.exe" deleted successfully. Error: file "C:\WINDOWS\system32\gereviba.dll" not found! Deletion of file "C:\WINDOWS\system32\gereviba.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not open file "G:\csrss.exe" Deletion of file "G:\csrss.exe" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Registry value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully. Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|sysldtray" deleted successfully. Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|dajefizihe" deleted successfully. Completed script processing. ******************* Finished! Terminate. Malwarebytes`Anti-Malware: Malwarebytes' Anti-Malware 1.37 Datenbank Version: 2182 Windows 5.1.2600 Service Pack 3 18.06.2009 20:30:07 mbam-log-2009-06-18 (20-30-07).txt Scan-Methode: Vollständiger Scan (C:\|E:\|G:\|) Durchsuchte Objekte: 215005 Laufzeit: 45 minute(s), 59 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 96 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 3 Infizierte Verzeichnisse: 1 Infizierte Dateien: 1 Infizierte Speicherprozesse: C:\Programme\websrvx\websrvx.exe (Trojan.Downloader) -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8cc1be3e-a44b-447a-87e0-9659dfcd8c5c} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{8cc1be3e-a44b-447a-87e0-9659dfcd8c5c} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\websrvx (Trojan.Downloader) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\websrvx (Trojan.Downloader) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\websrvx (Trojan.Downloader) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVCONSOL.EXE (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVP32.EXE (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.EXE (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapw32.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVNT.EXE (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navw32.EXE (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVWNT.EXE (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SCAN32.EXE (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ZONEALARM.EXE (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\filemon.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\outpost.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regmon.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zapro.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASTask.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32X.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPF.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OllyDBG.EXE (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regtool.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\niu.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A2SERVICE.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVGNT.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVGUARD.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVSCAN.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdagent.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CASECURITYCENTER.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EKRN.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FAMEH32.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FPAVSERVER.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FPWIN.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FSAV32.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FSGK32ST.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FSMA32.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsserv.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drwadins.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drwebupw.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GFRing3.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ArcaCheck.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\arcavir.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashDisp.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashEnhcd.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashServ.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashUpd.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\aswUpdSv.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avadmin.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avcenter.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avcls.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avconfig.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz4.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz_se.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdinit.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\caav.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\caavguiscan.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccupdate.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cfp.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cfpupdat.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmdagent.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DRWEB32.EXE (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\fpscan.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\guardgui.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\guardxservice.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\guardxup.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVSTUB.EXE (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nvcc.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\preupd.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pskdr.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SfFnUp.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Vba32arkit.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vba32ldr.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Zanda.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Zlh.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zoneband.dll (Security.Hijack) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: RSIT: Wie minimieren? Meinst du ich soll einen Teil weglassen? Ergebnis: Die Rundll32 Fehlermeldung kommt nachdem ich Avenger einsetzte nicht mehr,aber die Generic...Fehlermeldung taucht immer noch alle 5 Minuten auf.Außerdem hat AntiVir Trojaner entdeckt nachdem ich Malwarebytes' benutzte und den PC neu startete. |
19.06.2009, 06:25 | #4 |
| Generic Host process for win32 services windows xp sp3 Hi, Da läuft wahrscheinlich dann noch ein Rootkit (neben dem (vom) Wurm)... Falls RSIT-Log zu groß ist: Fileuplod: http://www.file-upload.net/, hochladen und den Link (mit Löschlink) als "PrivateMail" an mich... Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Alternative downloads: http://subs.geekstogo.com/ComboFix.exe chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
19.06.2009, 14:22 | #5 |
| Generic Host process for win32 services windows xp sp3 Hi, da haben wir noch was... Bitte vor CombFix-Lauf prüfen: Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\system32\nejozege.dll -> wird im Falle des Falles interessant zu entfernen sein C:\Programme\podmena\podmena.sys -> http://htlogs.com/podmenasys-is-a-trojandownloader/
Dann Combofix starten und laufen lassen, falls er die Sachen nicht bereinigt, wie folgt vorgehen: Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Drivers to delete: podmenadrv podmena Files to delete: C:\Programme\podmena\podmena.sys 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O2 - BHO: (no name) - {060BB0AB-4B09-4C51-9ECB-9580A6D08D7F} - C:\WINDOWS\system32\xxyyxWmj.dll dann manuel entfernt werden... Chris mit Kopfschmerzen...(meine Konzentration lässt nach)..
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) Geändert von Chris4You (19.06.2009 um 14:30 Uhr) |
20.06.2009, 15:43 | #6 |
| Generic Host process for win32 services windows xp sp3 So,erst mal: ComboFix konnte ich zwar öffnen,aber dort wurde nur das Fenster mit dem blauen Hintergrund gezeigt,auch nach 10 hat sich nichts getan,also bin ich zum Avenger Schritt gegangen.Und nachdem ich Avenger benutzte und mein PC sich neu gestartet hat,tauchte die Generic... Fehlermeldung bis jetzt nicht mehr auf! Also soll ich immer noch HijackThis benutzen,obwohl es jetzt anscheinend funktioniert? Die Avnger Logfile poste ich dann dch nochmal,da ich sie eh habe: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Driver "podmenadrv" deleted successfully. Driver "podmena" deleted successfully. File "C:\Programme\podmena\podmena.sys" deleted successfully. |
20.06.2009, 20:51 | #7 |
| Generic Host process for win32 services windows xp sp3 Hi, probiere unbeding noch mal ComboFix, deinstalliere dazu die alte Version und lade ihn neu runter... Deinstallation: Start->Ausführencombofix /u Falls das nicht geht Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
20.06.2009, 21:14 | #8 |
| Generic Host process for win32 services windows xp sp3 Habe deinstalliert und nochmal gedownloadet und diesmal hat es geklappt. Also hier dann die Logfile: ComboFix 09-06-20.02 - User 20.06.2009 22:03.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2046.1616 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\programme\driver c:\programme\podmena c:\windows\system32\acctresc.exe c:\dokumente und einstellungen\User\Anwendungsdaten\wiaserva.log c:\programme\driver\driver.dll c:\programme\driver\driver.sys c:\programme\podmena\podmena.dll c:\windows\zaponce52689.dat c:\windows\zaponce53652.dat c:\windows\zaponce54043.dat E:\Autorun.inf . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_CLIPSRVNETDDEDSDM -------\Legacy_DRIVER -------\Legacy_DRIVERDRV -------\Legacy_PODMENA -------\Legacy_PODMENADRV -------\Service_ClipSrvNetDDEdsdm -------\Service_driver -------\Service_driverdrv ((((((((((((((((((((((( Dateien erstellt von 2009-05-20 bis 2009-06-20 )))))))))))))))))))))))))))))) . 2009-06-20 17:53 . 2009-06-20 17:53 -------- d-----w- c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Fallout3 2009-06-20 17:30 . 2009-06-20 17:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Fallout3 2009-06-20 17:30 . 2008-09-18 19:10 121064 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Fallout3\setup.exe 2009-06-18 18:34 . 2009-06-18 18:35 -------- d-----w- C:\rsit 2009-06-18 17:40 . 2009-06-18 17:40 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Malwarebytes 2009-06-18 17:40 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-06-18 17:40 . 2009-06-18 17:40 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-06-18 17:40 . 2009-06-18 17:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-06-18 17:40 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-06-17 18:45 . 2009-06-17 18:45 -------- d-----w- c:\programme\Trend Micro 2009-06-17 18:28 . 2009-06-17 18:28 -------- d-----w- c:\programme\Enigma Software Group 2009-06-17 16:33 . 2009-06-17 17:21 -------- d-----w- c:\programme\a-squared Free 2009-06-16 20:15 . 2009-06-16 20:15 -------- d-----w- c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\CAPCOM 2009-06-02 21:21 . 2009-06-03 09:20 32 --s-a-w- c:\windows\system32\4229450681.dat 2009-06-02 20:40 . 2009-06-02 22:10 -------- d-----w- c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Oblivion . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-06-20 20:06 . 2009-01-16 13:52 -------- d-----w- c:\programme\Steam 2009-06-20 20:02 . 2009-01-19 12:56 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\uTorrent 2009-06-20 18:27 . 2009-03-06 13:31 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\U3 2009-06-20 17:31 . 2009-01-14 08:43 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-06-02 20:41 . 2009-01-14 08:41 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield 2009-06-02 20:39 . 2009-04-18 20:56 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Bioshock 2009-05-12 14:14 . 2008-04-14 12:00 80290 ----a-w- c:\windows\system32\perfc007.dat 2009-05-12 14:14 . 2008-04-14 12:00 448726 ----a-w- c:\windows\system32\perfh007.dat 2009-05-09 17:44 . 2009-05-09 17:44 -------- d-----w- c:\programme\OpenAL 2009-05-09 17:44 . 2009-05-09 17:44 413696 ----a-w- c:\windows\system32\wrap_oal.dll 2009-05-09 17:44 . 2009-05-09 17:44 110592 ----a-w- c:\windows\system32\OpenAL32.dll 2009-05-07 15:32 . 2008-04-14 12:00 348160 ----a-w- c:\windows\system32\localspl.dll 2009-05-01 07:27 . 2009-05-01 07:27 -------- d-----w- c:\programme\Avira 2009-05-01 07:27 . 2009-05-01 07:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-04-29 04:42 . 2008-04-14 12:00 827392 ----a-w- c:\windows\system32\wininet.dll 2009-04-29 04:41 . 2008-04-14 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll 2009-04-19 19:46 . 2008-04-14 12:00 1847296 ----a-w- c:\windows\system32\win32k.sys 2009-04-15 14:51 . 2008-04-14 12:00 585216 ----a-w- c:\windows\system32\rpcrt4.dll 2009-04-05 08:35 . 2009-04-05 08:35 1594545 ----a-w- c:\windows\WANEUninstaller.exe 2009-04-01 11:44 . 2009-04-01 11:44 152576 ----a-w- c:\dokumente und einstellungen\User\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll 2009-03-31 16:35 . 2009-03-31 16:35 0 ----a-w- c:\windows\DXT5F.tmp 2009-03-31 16:35 . 2009-03-31 16:35 0 ----a-w- c:\windows\DXT5E.tmp 2009-03-31 16:35 . 2009-03-31 16:35 0 ----a-w- c:\windows\DXT5D.tmp 2009-03-31 16:35 . 2009-03-31 16:35 0 ----a-w- c:\windows\DXT5C.tmp 2009-03-31 16:35 . 2009-03-31 16:35 0 ----a-w- c:\windows\DXT5B.tmp 2009-03-31 16:35 . 2009-03-31 16:35 0 ----a-w- c:\windows\DXT5A.tmp 2009-03-30 08:33 . 2009-05-01 07:28 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-03-24 14:08 . 2009-05-01 07:28 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "Steam"="c:\programme\steam\steam.exe" [2009-06-11 1217784] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HDAudDeck"="c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe" [2008-05-14 29831168] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-08-02 13570048] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-08-02 86016] "EKIJ5000StatusMonitor"="c:\windows\System32\spool\DRIVERS\W32X86\3\EKIJ5000MUI.exe" [2008-08-21 1306624] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-14 208952] "MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-14 59392] "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168] "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168] "XboxStat"="c:\programme\Microsoft Xbox 360 Accessories\XboxStat.exe" [2007-09-27 734264] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-08-02 1657376] "BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Hama Wireless LAN Utility.lnk - c:\programme\Hama\Common\RaUI.exe [2009-1-15 1122304] InterVideo WinCinema Manager.lnk - c:\programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2009-1-15 303104] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Steam\\steamapps\\lpfreaklp\\counter-strike\\hl.exe"= "c:\\Programme\\Steam\\steamapps\\lpfreaklp\\counter-strike source\\hl2.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\uTorrent\\uTorrent.exe"= "c:\\Programme\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"= "c:\\Programme\\Steam\\steamapps\\lpfreaklp\\half-life 2 deathmatch\\hl2.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\WINDOWS\\system32\\PnkBstrA.exe"= "c:\\WINDOWS\\system32\\PnkBstrB.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\TmNationsForever\\TmForever.exe"= "c:\\WINDOWS\\system32\\usmt\\migwiz.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "8085:TCP"= 8085:TCP:driver "53:TCP"= 53:TCP:websrvx R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [01.05.2009 09:28 108289] R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [14.01.2009 10:41 238080] S3 SaiHF51A;SaiHF51A;c:\windows\system32\drivers\SaiHF51A.sys [11.03.2009 13:12 135048] S3 SaiUF51A;SaiUF51A;c:\windows\system32\drivers\SaiUF51A.sys [11.03.2009 13:12 28544] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank FF - ProfilePath - c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\sy55hpor.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ FF - plugin: c:\programme\Veoh Networks\VeohWebPlayer\NPVeohTVPlugin.dll FF - plugin: c:\programme\Veoh Networks\VeohWebPlayer\npWebPlayerVideoPluginATL.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-06-20 22:06 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... HKLM\Software\Microsoft\Windows\CurrentVersion\Run HDAudDeck = c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe 1???????????????????????????????????????????? Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-73586283-2111687655-682003330-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:1a,88,9a,c8,b9,e4,b2,1d,fd,ad,20,ff,95,74,d7,56,0b,05,f4,f5,03,83,98, 58,e6,5c,b8,16,0b,65,b7,c8,54,14,7b,95,a6,1f,6d,67,4f,13,ef,87,1e,e2,11,6c,\ "??"=hex:41,e0,42,8c,cf,55,c7,95,2b,14,4d,f8,66,7b,0c,1b [HKEY_USERS\S-1-5-21-73586283-2111687655-682003330-1004\Software\SecuROM\License information*] "datasecu"=hex:76,d1,a2,a6,3e,9a,30,c7,61,f0,bc,ff,ee,6a,3d,b0,42,1f,25,25,08, 49,3b,01,5c,8a,27,19,e6,69,ec,0a,b5,5b,66,df,2c,62,2d,3f,e0,6e,6f,5b,80,38,\ "rkeysecu"=hex:8d,32,41,ca,02,13,22,e2,c4,ea,87,36,84,b2,50,b0 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(2136) c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\PnkBstrA.exe c:\windows\system32\wbem\wmiapsrv.exe c:\windows\system32\rundll32.exe c:\windows\system32\rundll32.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-06-20 22:08 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-06-20 20:08 Vor Suchlauf: 9 Verzeichnis(se), 76.413.648.896 Bytes frei Nach Suchlauf: 9 Verzeichnis(se), 77.509.705.728 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn 193 --- E O F --- 2009-06-10 11:38 |
20.06.2009, 21:30 | #9 |
| Generic Host process for win32 services windows xp sp3 Hi, ganz schön zäh die viecher... kaum von avenger gelöscht, schon wieder da... (na nicht ganz, die Treiber waren weg, das hat wahrscheinlich den Start von Combofix ermöglicht...) Kontrolliere unbedingt die Firewall, die netten kleinen haben sich zwei Ports freigeschaltet: Code:
ATTFilter [HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List] "8085:TCP"= 8085:TCP:driver "53:TCP"= 53:TCP:websrvx http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
21.06.2009, 13:17 | #10 |
| Generic Host process for win32 services windows xp sp3 Meinst du ich soll den Code wieder in Avenger reinkopieren? Und Prevx hat nichts gefunden. |
21.06.2009, 18:03 | #11 |
| Generic Host process for win32 services windows xp sp3 Hi, nein ist kein Avengerscript, sondern muss in den Einstellungen für die Windowsfirewall geändert werden. Kann da aber erst morgen nachschauen, da ich hier vista auf dem Laptop habe... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
21.06.2009, 20:19 | #12 |
| Generic Host process for win32 services windows xp sp3 Wenn ich auf die Windows-Firewall Einstellungen gehe gibt es dort (unter "Erweitert") verschiedene Einstellungen zum Ändern.Also welche muss ich ändern bzw. was hat das mit dem Code zu tun,weil wenn ich auf die clicke dann sehe ich dort nichts was Ähnlickeit mit dem Code hat? |
22.06.2009, 12:22 | #13 |
| Generic Host process for win32 services windows xp sp3 Hi, Start->Systemsteuerung->WindowsFirewall, Reiter Ausnahmen. Dort den Eintrag driver löschen und den Eintrag websrvx chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
22.06.2009, 18:26 | #14 |
| Generic Host process for win32 services windows xp sp3 Okay,habe ich gemacht.Soll ich jetzt noch irgendwas wie einen Scan oder ähnliches machen? |
23.06.2009, 07:20 | #15 |
| Generic Host process for win32 services windows xp sp3 Hi, falls Prevx & GMER nichts gefunden haben, wären wir erstmal durch... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
Themen zu Generic Host process for win32 services windows xp sp3 |
5 minuten, adobe, antivir, antivir guard, avg, avgnt, avgnt.exe, avira, bho, desktop, dll, entfernen, explorer, fehlermeldung, generic, generic host, generic host process, hijack, hijack this, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, nvidia, plug-in, rundll, software, system, trojaner, windows, windows xp, wireless lan |