svchost Probleme

Melli04 · 06.09.2009, 16:06

Hallo,
hab mal wieder ein Problem. Wenn ich den Rechner starte, bringt er mir ne Fehlermeldung. Dann würde der PC runterfahren, wenn ich nicht mit shutdown -a unterbrechen würde.

Zu diverse Internetseiten (Kaperski, Microsoft etc.) werde ich nicht verbunden. Verdächtig kommt die sofatnet.exe vor...
Kann mir jemand helfen den Eindringling loszuwerden? Hier der Hijack Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:57:49, on 06.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\sofatnet.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\3.tmp
C:\WINDOWS\system32\5.tmp
C:\WINDOWS\system32\6.tmp
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\dwwin.exe
C:\Dokumente und Einstellungen\Melli\Desktop\mell\hijackthis_199\HijackThis.exe

F3 - REG:win.ini: load=C:\WINDOWS\fonts\services.exe
F3 - REG:win.ini: run=C:\WINDOWS\fonts\services.exe
O4 - HKLM\..\Run: [6849] C:\WINDOWS\system32\5.tmp.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{72145F80-2286-43F3-B421-6BF441513833}: NameServer = 217.0.43.113 217.0.43.97
O23 - Service: Microsoft DDE+ server (580b3e8e982df924) - Unknown owner - C:\WINDOWS\system32\.580b3e8e982df924\580b3e8e982df924.exe (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: Message Queuing Service (MSMQSVC) - Unknown owner - C:\WINDOWS\system32\mqsv32.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: sofatnet Service (sofatnet) - Sigma Designs In - C:\WINDOWS\system32\sofatnet.exe

Angelsboy · 06.09.2009, 17:02

Hi,
mich würden 2 Dinge intressieren.
1) öffne cmd und gib dort mal netstat -b ein. Dann mach nen Screen davon und stells hier rein. Das Zeigt alle aktiven verbindungen.
und als zweites schau mal in deiner Host Datei was da drin steht.
Normalerweise müsste die etwa so aussehen:

Code:

ATTFilter

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
#      102.54.94.97     rhino.acme.com          # Quellserver
#       38.25.63.10     x.acme.com              # x-Clienthost

127.0.0.1       localhost

steht da noch was anders als 127.0.0.1 localhost?
Wenn ja poste bitte was! Ich hatte genau das selbe problem damals und bei mir stand ganz oben über allem anderen noch was anders. Wenn dort was steht entferne es aus der Hosts datei. die Hosts Datei findest du unter [C:\WINDOWS\system32\drivers\etc] - [musst sie mit dem edifor öffnen]

Kann es sein das der HijackThis Log nicht komplett ist?
normalerweise steht da noch end of files drunter.

Mfg
Till aka. Angelsboy

Melli04 · 06.09.2009, 17:13

Hi,
also komplett ist die Hijack Logdatei. Da ich Strg-A markiert hab

es gibt etliche aktive Verbindungen

. Der wird gar nicht fertig ...
unter anderem 82.98.86.171 oder 193.222.84.70

aber wie gesagt, fertig ist er immer noch nicht ...

Danke für Hilfe
LG
Melli

Melli04 · 06.09.2009, 17:14

Hi,
in Host datei steht nur
127.0.0.1 localhost

LG
Melli

cosinus · 06.09.2009, 17:15

Hallo Melli,

Du hast da mit ner Uraltversion von HijackThis das Logfile erstellt - bitte diese Liste beachten und abarbeiten.

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Angelsboy · 06.09.2009, 17:16

Jo bin noch nich so lang hier. Aber genau so ziemlich das prob hatte ich auch..
Mich interessiert die Hosts Datei, kannst du da mal bitte als nächstes schauen. Am besten den kompletten Inhalt hierher kopieren

Mfg
Till aka. Angelsboy

Edit,

Zitat:

Zitat von Melli04

Hi,
in Host datei steht nur
127.0.0.1 localhost

LG
Melli

Hm k steht auch ganz oben über allem nichts anderes?
Naja mach erstmal nen neuen HijackThis Scan mit der neusten version von HijackThis wie cosinus schon sagte..

Melli04 · 06.09.2009, 17:26

kann das neue Hijack This nicht runterladen, da ich auf die Seite nicht *darf*
:-(

Angelsboy · 06.09.2009, 17:36

Hi,
von hier müsste es aber gehen:
klick

Und schon in der Host datei geschaut? Würde echt darauf Tippen das da was drin steht. Es hört sich so wie bei mir an. bei mir lief damals das ganze internet über sys.zief.pl [218.93.205.24].
Und dieser Server hat dann die seiten für mich geblockt.
Naja lad erstmal HijackThis bei Chip.

mfg
Till aka. Angelsboy

cosinus · 07.09.2009, 08:41

Melli, was ist denn mit der Liste? Gibts da Probleme?

Melli04 · 07.09.2009, 15:13

Hi ihr Lieben,

sitze jetzt bei nem Kumpel, mein Internet funktionierte gestern dann gar nicht mehr.

Die Host hab ich doch geschickt

Hi,
in Host datei steht nur
127.0.0.1 localhost

LG
Melli

Melli04 · 07.09.2009, 15:28

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:25:03, on 07.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\sofatnet.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
F3 - REG:win.ini: load=C:\WINDOWS\fonts\services.exe
F3 - REG:win.ini: run=C:\WINDOWS\fonts\services.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1292428093-838170752-1801674531-1003\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Dokumente und Einstellungen\Melli\reader_s.exe (User '?')
O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Dokumente und Einstellungen\Melli\reader_s.exe (User 'Default user')
O23 - Service: Microsoft DDE+ server (580b3e8e982df924) - Unknown owner - C:\WINDOWS\system32\.580b3e8e982df924\580b3e8e982df924.exe (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Message Queuing Service (MSMQSVC) - Unknown owner - C:\WINDOWS\system32\mqsv32.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: sofatnet Service (sofatnet) - Sigma Designs In - C:\WINDOWS\system32\sofatnet.exe

--
End of file - 2984 bytes

So hier ist der log

Angelsboy · 07.09.2009, 17:17

Also,
komisch sind folgende Sachen:

Code:

ATTFilter

C:\WINDOWS\system32\sofatnet.exe
F3 - REG:win.ini: load=C:\WINDOWS\fonts\services.exe
F3 - REG:win.ini: run=C:\WINDOWS\fonts\services.exe
O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Dokumente und Einstellungen\Melli\reader_s.exe (User '?')
O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Dokumente und Einstellungen\Melli\reader_s.exe (User 'Default user')
Unbekannt
O23 - Service: Microsoft DDE+ server (580b3e8e982df924) - Unknown owner - C:\WINDOWS\system32\.580b3e8e982df924\580b3e8e982d f924.exe (file missing)
O23 - Service: Message Queuing Service (MSMQSVC) - Unknown owner - C:\WINDOWS\system32\mqsv32.exe (file missing)
Unbekannt
O23 - Service: sofatnet Service (sofatnet) - Sigma Designs In - C:\WINDOWS\system32\sofatnet.exe

Allerdings kenne ich mich damit nicht so gut aus sry. Will dir keine falschen anweisungen geben oo
Also wart hier lieber auf ne antwort aus dem Team vom board.
Aber ich glaub die Sachen da oben heißen nichts gutes..
Ich googel jetzt mal ein bisschen wenn ich was rausfind poste ichs

Mfg
Till aka. Angelsboy

Edit:
Also du kannst schon noch wass machen während du wartest!
Arbeite hier bitte Punkt 2 ab:
klick
Und bitte genau an die anweisungen halten!!
Sammle die logs und pack sie dann zu nem rar oder zip archiv zusammen und lad dieses dann bei zb http://www.file-upload.net/ hoch und poste den link. So können wir uns sofort alle auf einmal laden und anschauen

cosinus · 07.09.2009, 18:02

Was ist denn jetzt mit der Liste Melli? Wie sollen wir Dir helfen wenn Du die Liste für Neulinge nicht liest?

Melli04 · 07.09.2009, 18:21

Hi,

erstmal Malware:
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 3

06.09.2009 15:58:37
mbam-log-2009-09-06 (15-58-37).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 73695
Laufzeit: 3 minute(s), 53 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Protect (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\protect.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\2.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\3.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\4.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\5.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\6.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

und der Komplettscan danach:
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 3

06.09.2009 16:50:17
mbam-log-2009-09-06 (16-50-17).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 237303
Laufzeit: 43 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Das RSIT kann ich nicht ausführen. Fehlermeldung:
Error Variable used without being declared

LG
Melli

cosinus · 07.09.2009, 18:41

Nimm mal bitte für RSIT diese in melli04.exe umbenannte RSIT-Executable - es ist dasselbe Programm, nur die Datei heißt anders.

07.09.2009, 08:41	#9
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	svchost Probleme Melli, was ist denn mit der Liste? Gibts da Probleme? __________________ Logfiles bitte immer in CODE-Tags posten

07.09.2009, 18:02	#13
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	svchost Probleme Was ist denn jetzt mit der Liste Melli? Wie sollen wir Dir helfen wenn Du die Liste für Neulinge nicht liest? __________________ Logfiles bitte immer in CODE-Tags posten

07.09.2009, 18:41	#15
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	svchost Probleme Nimm mal bitte für RSIT diese in melli04.exe umbenannte RSIT-Executable - es ist dasselbe Programm, nur die Datei heißt anders. __________________ Logfiles bitte immer in CODE-Tags posten

svchost Probleme

Log-Analyse und Auswertung: svchost Probleme