Hallo, schlage mich den Ganzen Tag mit diversen Problemchen herum, angefangen von diversen Firefox Problemmeldungen. bis hin zu 10x (in Worten Zehn) svchost.exe die mir im Taskmanager angezeigt werden, auch andere Komische teile die http://www.processlibrary.com/de/ nicht erklären kann...

Im TEMPordner hab ich dubiose Dateien die ich nicht löschen kann (UuU.UuU + XxX.XxX) auch kein öffnen oder knacken... auch http://virusscan.jotti.org/de/ sagt mir nix

Und der im msconfig zeigt er mir unter Systemstart 4x was von server.exe an, auch nicht ausschaltbar... und auch nicht findbar, der Ordner der gezeigt wird ist weder mit der CMD zu finden noch zu löschen...

Probierte Programme:
Stinger v10
Spybot
hous.call (trentmicro)
Avira läuft da auch irgendwo
BitDefender hat die Schadhafte Datei sogar gedownloadet, aber nicht gemeckert?! komisch

alle nix gefunden!!! ich hab mal einen Informatikkurs gahabt aber darüber hinaus... als quält mich, sollte jemand antworten, bitte nicht mit Kanaanäisch


hier mal der
Hijack-log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:06:44, on 20.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Kalenderchen\Kalenderchen.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Autorun Eater\oldmcdonald.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Autorun Eater\billy.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
F:\ANTI\stinger1001546.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\msiexec.exe
F:\ANTI\tool\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.medion.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://suisse.aldi.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.medion.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [DMS-Kalenderchen] C:\Programme\Kalenderchen\Kalenderchen.exe /autorun
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Autorun Eater] C:\Programme\Autorun Eater\oldmcdonald.exe
O4 - HKLM\..\Run: [HKLM] C:\WINDOWS\system32\spynet\server.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [HKCU] C:\WINDOWS\system32\spynet\server.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [UniblueRegistryBooster] "C:\Programme\Uniblue\RegistryBooster\launcher.exe" delay 20000
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\spynet\server.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\spynet\server.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing) (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211625236765
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - (no file)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FABS - Helping agent for MAGIX media database (Fabs) - MAGIX AG - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Micro Star SCM - Unknown owner - C:\Programme\System Control Manager\MSIService.exe (file missing)
O23 - Service: NMSAccess - Unknown owner - C:\Programme\Blaze Media Pro\NMSAccess32.exe (file missing)
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7841 bytes

erklärt mir einer was da ober das Themenpräfix ist?

hi

bin auch auf der suche nach den svchost.exe, hab auch ne gute hand voll
woher die kommen, keinen plan

Hab noch einen Nachtrag... hier wird ja in den RulZ noch ein Programm vorgeschlagen und ich muss sagen! Malwarebytes hat 17Bedrohungen gefunden und über den Jordan geschickt...

die Server.exe sind weg genau wie die anderen Dateien die so komisch sind... inkl. zugehöriger Regs... cool!

aber!!! die svchost.exe sind immer noch zu 10.

das stehen doch irgendwie im Zusammenhang mit Liveupdates von div. Programmen... komisch nur, mal sind sie (wie bei Kollege St1rb da unten) unter verschiedenen Benutzernamen

@Natur.freak: Poste bitte das Malwarebytes Logfile. Erstell auch welche mit RSIT und poste sie.

Zitat:

C:\WINDOWS\system32\spynet\server.exe

Sieht nach einem dicken Fisch aus, bitte diese Datei bei Virustotal auswerten lassen und von jeder den Ergebnislink posten. Falls Du die Datei nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten.

Hi... ja zum Glück hab ich ja wieder alles hinbekommen bis auf die Großen ? (Fragezeichen) hinter den svchost.exe...

den Log hab ich leider heute morgen gelöscht aber ich hab einen danach... der bringt jetzt aber auch keine Weisheiten mit sich!!!

alles auf NULL! keine fehlerhaften Regs! das andere tool teste ich gleich mal!


... ne, alles wieder sauber... hätte den Tipp mit dem Hochladen gern früher gehabt! Um für die Nachwelt eine antwort zu hinterlassen... naja nächstes mal *nichthoff*

Du hast meine Anwiesungen aber nicht ausgeführt

Wie unten steht... ich hatte die Probleme gelöst bevor du geschrieben hast!

und die svchost.exe lassen immernoch Fragen offen... kann mir da keiner helfen?! und bitte auch lesen was ich schreibe!



erklärt mir einer was da ober das Themenpräfix ist? und bedeutet

Zitat:

und bitte auch lesen was ich schreibe!

Dann bitte auch die Logs posten!
Ich hab Deine Postings schon gelesen, bei Befall sind hier Logs von Malwarebytes und RSIT die Standardprozedur!

Aber ich hab sie doch nicht mehr, da... wie unten steht... gleich fündig und gelöscht! tut mir doch auch Leid dass die Programme so gut funktionieren! der LOG ist wirklich weg... sorry!

Was hast Du gelöscht, die Logfiles oder die gefundenen Dateien?
RSIT war vorher garnicht erwähnt, also glaub ich kaum, dass Du das Tool ausgeführt hast um gleich danach die Logs wieder zu löschen

Malwarebytes erzeugt eine Log-Historie. Öffne das Programm und schau im Reiter "Scan-Berichte" nach, da bitte Logs anzeigen lassen und hier posten.

ach Mensch, diesesn aneinander vorbei gerede... voll weg vom Thema...
ja...
Malwarebytes war das Programm welches den Erfolg brachte
Dann hast du mit RSIT vorgeschlagen (da war aber schon alles wieder Chic!
die LOgdatei ist weg, ich hab nur die von danach, da ich, weil ich es ja vorhatte die LOG zu Posten mir auf den Desktop gelegt hab... da hab ich sie kurz bevor die sie sehen wolltest (ich das hier gelesen habe) schon gelöscht!

wenn sie sooo wichtig ist, sag mir ein gutes recovertool und ich such sie für dich zusammen, ich seh aber vorher nochmal im Temp nach (mach dir aber keine Hoffnungen!

also... bleib immernoch die Frage woher das Familientreffen der svchost.exe und stimm meine unten angegebene Behauptung (Ahnung)

schönen TAg muss los!

Zitat:

ach Mensch, diesesn aneinander vorbei gerede... voll weg vom Thema...

Das mag daran liegen, dass ich es nicht wirklich nachvollziehen konnte, dass Du schon (voreilig) die Logs gelöscht hast. Was ist mit Malwarebytes und der Log-Historie?

also nu reichts gleich! Die Dateien sind weg (bin wieder glücklich sauber!) die Logs sind auch weg, Von MAL und allen ganz unten aufgeführten Programmen! und deine Anfrage die Logs zu sehen war einfach einen Moment zu spät!

Da stehts!

Zitat:

Zitat von Natur.freak

Hab noch einen Nachtrag... hier wird ja in den RulZ noch ein Programm vorgeschlagen und ich muss sagen! Malwarebytes hat 17Bedrohungen gefunden und über den Jordan geschickt...

die Server.exe sind weg genau wie die anderen Dateien die so komisch sind... inkl. zugehöriger Regs... cool!

aber!!! die svchost.exe sind immer noch zu 10.

das stehen doch irgendwie im Zusammenhang mit Liveupdates von div. Programmen... komisch nur, mal sind sie (wie bei Kollege St1rb da unten) unter verschiedenen Benutzernamen

das ist jetzt mein Problem und nicht irgendwelche gelöschten LOGs ! Ist jetzt halt so, hätte sie gern noch geposten... geht nu aber nicht mehr!

Deswegen hab ich extra nachgefragt, ob die Logs noch im Reiter "Scan-Berichte" ersichtlich sind. Du bist da aber nicht reichtig drauf eingegangen, deswegen hake ich da immer hartnäckig nach.

Wenn Du keine RSIT Logfile (mehr) hast, dann bitte neu erstellen und posten. So ohne Kontrolle der Logfiles von einem sauberen System auszugehen ist fahrlässig.

Wegen der vielen svchost-Instanzen sei Dir das gesagt, aber mehr kann ich erst sagen, wenn Du RSIT Logfiles postest

Mehrere laufende svchost.exe sind normal. Diese Legende, dass mehrere laufende svchost.exe "unnormal" bis "schädlich" seien, hält sich einfach hartnäckig, ich versteh das nicht

Dabei ist die svchost.exe bloß nur ein "Hüllenprozess", eine Art Hilfsdienst, damit andere Dienste und Programme ordentlich funktionieren.

Zitat:

Zitat:

Zitat von http://www.neuber.com/taskmanager/deutsch/prozess/svchost.exe.html

"Svchost.exe" ist ein allgemeiner Hostprozessname für Dienste, die mit Hilfe von DLL-Dateien ausgeführt werden. Dienste sind Funktionen, die z.B. automatische USB-Geräten erkennen oder die Druck-Funktionen ermöglichen. Dienste können gestartet oder gestoppt werden. Nicht alle Dienste benötigen Svchost.exe (nur solche, die per DLL-Dateien ausgeführt werden müssen). Das Betriebssystem startet Svchost-Sessions sobald es solche benötigt und beendet sie auch wieder, sobald einer nicht mehr gebraucht wird. Svchost.exe fasst mehrere Dienste zusammen, d.h. es können mehrere Instanzen von Svchost.exe gleichzeitig ausgeführt werden.