Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   svchost.exe <>Trojaner hier oder nicht und was tun (https://www.trojaner-board.de/30957-svchost-exe-trojaner-tun.html)

chvoyage 28.07.2006 15:19
svchost.exe <>Trojaner hier oder nicht und was tun
 
hallo liebe gemeinde

ich bin völlig hilflos und erhoffe mir eine lösung meines problems.

beim start meines pc unter windows 2000 kam erstmals die meldung

svchost.exe konnte nicht exakt gestartet werden ( oder so ähnlich)

nachdem ich in google mal nach dieser datei gesucht habe,
habe ich das programm "hijackfree **" gesaugt und mal laufen lassen.

nach 1 stündigem lesen in net bin ich auf dieses board gestoßen.

ein check mit hijackfree ergibt das folgende:
(ich hoffe ich verstoße nicht gegen irgendeine regel hier, aber ich bin blutiger anfänger)

leider weiß ich weder wie man das zeugs hier formatiert reinbekommt, noch verstehe ich was ich tun muß.

deshalb versuche ich es mit dem link auf die seite mit der analyse

h**p://analyze.hijackfree.com/analyze/?id=52c925b0-d0a2-45a4-9e3b-f52dddb95862

ich gehe davon aus , das ich mehrere trojaner an board habe.

könnt ihr mir helfen ??

danke und

gruß

christian

dartus 28.07.2006 22:54
Hallo,

poste bitte ein Hijackthis-Logfile.
Editiere bitte sämtliche Links und ev. persönliche Daten


dartus

chvoyage 29.07.2006 19:22
Hallo darius

danke für deine antwort

jetzt weiß ich wie man das logfile macht

hier ist es

Logfile of HijackThis v1.99.1
Scan saved at 20:24:38, on 29.07.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
c:\jetsuite\jsdaemon.exe
C:\WINNT\system32\mgabg.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\PDesk\PDesk.exe
C:\WINNT\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\AOL 8.0\aoltray.exe
C:\jetsuite\DLLCMD32.EXE
C:\jetsuite\JETSTAT.EXE
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\nikon\PictureProject\NkbMonitor.exe
C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
c:\jetsuite\JSFMAN.EXE
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.accoona.com/search_assistant/accoona_search_assistant.jsp?&utm_id=400010&utm_content=leftnav&utm_source=efc&utm_medium=bund&utm_campaign=efc0605
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.accoona.com/search_assistant/accoona_search_assistant.jsp?&utm_id=400010&utm_content=leftnav&utm_source=efc&utm_medium=bund&utm_campaign=efc0605
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: ADefaultSearch Class - {944864A5-3916-46E2-96A9-A2E84F3F1208} - C:\Programme\Accoona\ASearchAssist.dll (file missing)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: Accoona - {364B6276-C6C1-40B6-A6D7-6C48871FD707} - C:\Programme\Accoona\atoolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Microsoft Office Shortcut-Leiste.Lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: DllCmd32.lnk = C:\jetsuite\DLLCMD32.EXE
O4 - Global Startup: HP LaserJet 3100 Status.lnk = C:\jetsuite\JETSTAT.EXE
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\system32\Shdocvw.dll
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.gemnet.co.at/mgaxctrl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{65ABE2C0-39EC-4CC1-AE29-1E10A0348604}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD5AB9F5-5F51-47C2-AB11-D3B5EDAD361C}: NameServer = 205.188.146.145
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: jsdaemon - JetFax, Inc. - c:\jetsuite\jsdaemon.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINNT\wanmpsvc.exe

felix1 29.07.2006 19:53
Auch wenn ich nicht der darius:D bin:
Lösche über Systemsteuerung->Software Programme wie accoona sowie weitere Dir unbekannte Programme.

Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Prüfe Dein System mit Ewido http://www.ewido.net/de/ Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis.

Wenn Du damit fertig bist, erstelle ein Log-File mit HJT und poste es.

@Dartus
Moin, moin:daumenhoc :party:

chvoyage 30.07.2006 19:58
hi

ich habe nicht gewagt f-secure downzuloaden, weil ich nicht weiß, ob es kostenlos ist oder schaden anrichten kann.

mit ewido habe ich den check gemacht, der hat einige cookies rausgeworfen.
die fehlermeldung erscheint auch nicht mehr beim booten.

frage;

sollte ich noch mehr unternehmen ?
ist f-secure kostenfrei und ohne risiko ?

danke

felix1 01.08.2006 16:48
Es ist kostenlos.

chvoyage 02.08.2006 20:47
ich danke Dir sehr Felix,
das hilft weiter

gruß christian

felix1 02.08.2006 20:50
Zitat:
Zitat von chvoyage
ich danke Dir sehr Felix,
das hilft weiter

gruß christian
Ich rate hier zum Nachsuchen prinzipiell nur zu kostenfreien Tools und Software.

chvoyage 03.08.2006 17:32
hallo felix

habe es nun mit blacklight geprüft

hier das log

08/03/06 18:39:31 [Info]: BlackLight Engine 1.0.42 initialized
08/03/06 18:39:31 [Info]: OS: 5.0 build 2195 (Service Pack 4)
08/03/06 18:39:31 [Note]: 7019 4
08/03/06 18:39:31 [Note]: 7005 0
08/03/06 18:39:36 [Note]: 7006 0
08/03/06 18:39:36 [Note]: 7011 940
08/03/06 18:39:36 [Note]: 7026 0
08/03/06 18:39:36 [Note]: 7026 0
08/03/06 18:39:40 [Note]: FSRAW library version 1.7.1019
08/03/06 18:41:10 [Note]: 7007 0

damit ist wohl alles sauber, jedenfalls hat er ja nix gefunden

damit ist dann alles palettie, oder ?

oder muß ich hijackthis nun dennoch wiederholen ??

gruß

christian

chvoyage 20.08.2006 22:09
wiso ist felix gesperrt??

bekomme ich nun keine antworten mehr??

chvoyage 22.08.2006 20:36
hlft mir jetzt keiner mehr hier ?? :-((


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:10 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131