| |
| |||||||
Log-Analyse und Auswertung: Ping: Zu HochWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
04.10.2004, 16:30
| #1 |
 |  Ping: Zu Hoch Hi ich habe irgendwie zu befürchten das ich ein Virus u.a Wurm habe. Und zwar die svchosting.exe ich bekomme sie nicht weg auch nicht aim abgesicherten Modus. Mein Viren Programm, Addware findet wirklich nichts. Immer wenn ich mein SPiel Online Spiele habe ich derbe Ping Schwankungen min 500er. Hier ist mal meine HijackThis Log Logfile of HijackThis v1.98.2 Scan saved at 17:26:51, on 04.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE D:\Programme\AVPersonal\AVGUARD.EXE D:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchosting.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe D:\Programme\AVPersonal\AVGNT.EXE D:\Programme\D-Tools\daemon.exe D:\Programme\Winamp\winampa.exe D:\Programme\NN-Script\mirc.exe D:\Programme\AVPersonal\INETUPD.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Basti\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.microsoft.com/access/allinone.asp R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.microsoft.com/intl/de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.microsoft.com/germany/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.microsoft.com/access/allinone.asp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.com/search/search.asp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.microsoft.com/access/allinone.asp R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\RunServices: [Microsoft AUT Update] MSlti32.exe O4 - HKLM\..\RunServices: [Win32 USB2 Driver] svchosting.exe O4 - HKLM\..\RunServices: [Start Upping] svchostes.exe O4 - HKLM\..\RunServices: [Generic Host Process] schost.exe O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] svchosting.exe O4 - HKCU\..\Run: [Steam] D:\Games\Steam\Steam.exe -silent O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] svchosting.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096669275419 O17 - HKLM\System\CCS\Services\Tcpip\..\{3B9A764F-0764-4764-9E27-BB1079408602}: NameServer = 217.237.150.225 217.237.150.141 O17 - HKLM\System\CS1\Services\Tcpip\..\{3B9A764F-0764-4764-9E27-BB1079408602}: NameServer = 217.237.150.225 217.237.150.141 Bitte um Hilfe Danke |
|
04.10.2004, 16:42
| #2 |
  |  Ping: Zu Hoch Du hast zumindest einen aktiven ...bot. Teste bitte diese Datei C:\WINDOWS\System32\svchosting.exe hier http://www.kaspersky.com/scanforvirus und sage, was gefunden wurde.
__________________
__________________ |
|
04.10.2004, 16:46
| #3 |
| | Ping: Zu Hoch sorry ich habe die datei jetzt gelöscht und nun beim windows start fragte er eben nach der Datei.
__________________Sorry hätte gerne gewusst was das war. Bzw "noch" ist weil er fragt ja nach der. |
|
04.10.2004, 16:54
| #4 |
| | Ping: Zu Hoch Das kommt daher, das in der Registrierung verweise auf den Dateinamen eingetragen sind, und windows sie nicht mehr finden kann. Fix mal folgendes: O4 - HKLM\..\RunServices: [Microsoft AUT Update] MSlti32.exe O4 - HKLM\..\RunServices: [Win32 USB2 Driver] svchosting.exe O4 - HKLM\..\RunServices: [Start Upping] svchostes.exe O4 - HKLM\..\RunServices: [Generic Host Process] schost.exe O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] svchosting.exe O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] svchosting.exe starte neu und nutze mal eScan . Sag, ob es noch etwas gefunden hat(und was genau). Das Problem ist, das wir nicht genau sagen koenne, was es gewesen ist. Wenn wir mal nicht vom Totalgau ausgehen, solltest du zumindest alle Passwoerter wechseln, die Windowsfirewall aktivieren und dein Windows aktualisieren. Davon ausgehend, das der Scanner nichts mehr findet.
__________________ MfG Ralf |
|
04.10.2004, 17:04
| #5 |
| /// Mr. Schatten | Ping: Zu Hoch http://www.sophos.de/virusinfo/analyses/w32forbotj.html W32/Forbot-J ist ein Netzwerkwurm mit IRC-Backdoor-Funktionalität. Damit er automatisch beim Start von Windows aktiviert wird, kopiert sich der Wurm in die Datei svchosting.exe im Windows-Systemordner und fügt folgende Einträge zur Registrierung hinzu: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Win32 USB Driver HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Win32 USB Driver HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32 USB Driver HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Win32 USB Driver HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Win32 USB Driver Sobald der Wurm installiert ist, verbindet er sich mit einem vorkonfigurierten IRC-Server und wartet auf weitere Anweisungen. Aufgrund dieser Anweisungen kann der Wurm die folgenden Aktionen ausführen:
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
|
04.10.2004, 17:16
| #6 |
| | Ping: Zu Hoch Naja, das und dieses Name: [Microsoft AUT Update] Status: X File: MSlti32.exe W32/Rbot-X worm http://www.sophos.com/virusinfo/analyses/w32rbotx.html http://castlecops.com/startuplist-4796.html laesst wohl auf "totalgau" schliessen. 
__________________ --> Ping: Zu Hoch |
|
| Themen zu Ping: Zu Hoch |
| addware, adobe, bho, danke, desktop, einstellungen, explorer, firefox, generic, generic host, generic host process, hijack, hijackthis, internet, internet explorer, logfile, microsoft, mozilla, mozilla firefox, programm, programme, scan, software, system, tcpip, usb, viren, virus, windows, windows xp, wurm |
Hybrid-Darstellung
