Trojaner-Board - need help

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - need help (https://www.trojaner-board.de/31359-need-help.html)

hallo leute

seit gestern hab ich ein problem.
nach einwählen ins netz kommt nach ca. 3 min die nachricht das Generic Host Process for Win 32 ein problem hat und beendet werden muss..danach wird die verbindung gekappt und nur nach einem neustart funktionierts wieder..für 3min :( hab schon gelesen das das ein wurm sein kann oder ähnliches nur kann ich nichts finden mit diversen removal-tools und anti-viren scanner.

da ich net so der crack bin bitte ich euch mal über mein log zu schauen vielleicht kann man da ja was machen.
ich hoffe ich hab mit dem log alles richtig gemacht ?!

danke und gruß

zapek

Logfile of HijackThis v1.99.1
Scan saved at 16:01:48, on 13.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\rainer\Desktop\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EA Core] C:\Programme\Electronic Arts\EA Downloader\Core.exe -silent
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Hallo zapek,
kurze Rückfrage.
Du nutzt als Antivierensoftware zum einen AVG von Grisoft
http://www.grisoft.com/doc/1
und zum anderen
Antvir von Avira gleichzeitig?

Was hast Du in den letzten Tagen an deinem PC verändert?

PP

hallo peter..

also erst hatte ich antvir ganz normal im gebrauch..dann als gestern dieser fehler anfing und antivir nichts gefunden hat,hab ich mir avg runtergeladen und installiert.vorher hab ich antivir deaktiviert,aber nicht gelöscht.da avg auch nichts gefunden hat,hab ich das gleiche nochmal mit kaspersky gemacht,was allerdings erst ca.1 stunde her ist,und auch hier kein fund.

gruß

zapek

Nutzt du Ad-Aware SE Personal und spybot S&D?
PP

ja hab ich beide drauf und damit auch schon gescannt..adaware hat 3 cookies gefunden die ich gelöscht hab..S&D warens ein paar mehr aber ob das alles cookies waren weiss ich nicht mehr :(

oh hatte gerade eine der letzten fragen übersehen :)

also ich hab die letzten tage nichts verändert am system..kam quasi aus heiterem himmel diese fehlermeldung.es wird allein die i.net verbindung gekappt ansonsten läuft alles normal wie sonst auch..

also normalerweise läuft nur ein antivirus program^^..mit adaware oder S&D scann ich von zeit zu zeit mal..

Also, ich muß zugeben, ich kann nichts Auffälliges finden.
Z.ZT. bin ich mit meinem Latein am Ende.
PP

Zuerst hast du mit Antivir als Antivirenprogramm gearbeitet.

Zitat:

Zitat von zapek

also erst hatte ich antvir ganz normal im gebrauch..dann als gestern dieser fehler anfing und antivir nichts gefunden hat

Ok, vermuten wir einfach mal den Befall mit W32/Netsky-G in
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

Sophos schreibt dazu

Zitat:

Damit er automatisch beim Start von Windows aktiviert wird, kopiert sich der Wurm in die Datei avguard.exe im Windows-Ordner und erstellt den folgenden Registrierungseintrag:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Special Firewall Service
= "C:\WINDOWS\avguard.exe -av service"

usw.

Kannst du die Datei avguard mal auf Befall überprüfen?

PP

@PeterPan,

Zitat:

Ok, vermuten wir einfach mal den Befall mit W32/Netsky-G in

nicht wir Du.
In diesem Logfile ist "avguard.exe" an der koreekter Stelle!

dartus

@dartus
wie du liest, haben in den letzten Tagen mehrere User ähnliche Probleme.
Ich schrieb ehrlich, dass ich nicht weiter weiß.
Was ich ihm riet, fußte einfach nur auf einen Verdacht, auch wenn er der
bisherigen Erfahrung widerspricht.
Mit "wir" meinte ich nicht euch, sondern "ihn und mich"....
Warum so aggressiv?
Konstruktive Gedanken helfen eher.
PP

sooo ich hab mal was probiert..

zu hause wähl ich mich über ein breitbandnetzwerk ins internet quasi wähle ich mich jedesmal manuell ein.der anbieter ist arcor.

das problem mit dem generic Host Process besteht weiterhin aber viren lassen sich auf teufel komm raus nicht finden :)

nun sitz ich mit meinem rechner bei einem freund der einen router hat und siehe da es funktioniert tadellos !!! (??) ohne fehlermeldung.vielleicht hilft euch diese information ja mir bei meinem problem zu helfen denn langsam verzweifel ich wirklich daran.

danke und gruß

zapek