![]() |
svchost.exe 5x als laufender prozess? Kann mir jemand sagen ob es normal ist, dass die svchost.exe einmal auf dem system existiert, jedoch 5x als laufender prozess auftaucht? 3x ist die pfadangabe in windows/system und 2x ist keine pfandangabe verfügbar. |
Das dieser Prozess mehrere male läuft ist eigentlich normal, da sich aber auch Malware dahinter verbergen kann, solltest du mal einen Hijackthis-Log erstellen und hier posten. |
danke..werds mal versuchen:-) muss mir erst mal das prog runterladen. kann es eigentlich sein, dass wenn mein telefon ein Eigenleben führt:-) dies mit dem Pc zusammen hängt? (trojaner o.ä.). Die Telecom riet mir den PC zu überprüfen,das könne nur damit zusammen hängen. Kennst du dich mit sowas zufällig aus? |
Was heißt den "Eigenleben"? Gehst du über DSL ins Netz? |
Naja, zb: klingelt bei meiner Freundin das Telefon mit meiner nr im Display, wenn sie ran geht ist die Leitung weg, dabei habe ich nicht angerufen, noch nicht mal das Telefon in der Hand gehabt. Ich versteh dann natürlich nur "Bahnhof" wenn sie mich fragt warum ich angerufen hätte. |
hier die logfile von HiJackThis |
Dazu kann ich dir leider erstmal nichts sagen. Schauen wir uns zunächst mal das Hijackthis.Logfile an. Du hast aber meine Frage noch nicht beantwortet, gehst du über DSL ins Netz? |
Ups sorry:-) nee über isdn...hoffe das mit der logfile war jetzt so richtig....habe von dem ganzen hier nämlich null ahnung :o |
Logfile of HijackThis v1.99.1 Scan saved at 07:18:47, on 04.01.2002 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\alg.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe O1 - Hosts: 64.91.255.87 www.dcsresearch.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HorngTech4D] C:\PROGRA~1\MOUSES~1\bally4d.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: ISDNWatch Filter.lnk = C:\Programme\FRITZ!\Iwfilter.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe O4 - Global Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{BB09E594-FA05-4ED8-AB92-D2E324225ACA}: NameServer = 192.168.120.252,192.168.120.253 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe |
Zitat:
Mit HJT Fixen: Zitat:
Gruß :daumenhoc Yopie |
Deswegen das System mal mit Escan überprüfn und uns die Ergebnisse mitteilen. |
bekomme escan leider nicht runtergeladen....habe 4 Download links versucht aber es passiert leider nichts. Mein PC ist seit dem gestern ad-aware durchgelaufen ist und paar sachen entfernt hat aber auch mega langsam geworden.... |
|
Hi cronos...neues problem:-)) bekomme die logfile nicht hochgeladen...die ist viel zu groß. und die kleine wo ich nur die gefundenen sachen angezeigt bekomme kriege ich nicht kopiert oder gespeichert |
Hallo Zitat:
|
danke :o hoffe habe hier jetzt das richtige raus gesucht:-))...habe nämlich null ahnung davon:-) |
in der file davor fehlte ein bischen was :o der worm guard lässt mich das teilweise nicht kopieren...müsste aber jetzt alles vom escan sein |
poste mal noch die Auswertung, steht ganz unten im Logfile Zitat:
Fri Jan 04 09:41:40 2002 => File C:\Dokumente und Einstellungen\x\Desktop\aawsepersonal106.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Fri Jan 04 09:42:31 2002 => ***** Scanning Registry and File system for Adware/Spyware ***** Fri Jan 04 09:43:39 2002 => System found infected with CWS.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken. Fri Jan 04 09:43:39 2002 => Object "CWS.therealsearch Spyware/Adware" found in File System! Action Taken: No Action Taken Fri Jan 04 09:43:40 2002 => ***** Scanning Registry for errors created because of Adware/Spyware ***** Fri Jan 04 09:43:40 2002 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\IELoader.dll". Action Taken: No Action Taken. Fri Jan 04 09:43:42 2002 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\IELoader.dll". Action Taken: No Action Taken. Fri Jan 04 09:43:52 2002 => Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken. Fri Jan 04 09:43:53 2002 => Entry "HKCR\CLSID\{99180163-DA16-101A-935C-444553540000}" refers to invalid object "recncl.dll". Action Taken: No Action Taken. Fri Jan 04 09:43:57 2002 => Entry "HKCR\CLSID\{da27efe0-f138-11d4-8a37-00c04f8fd53b}" refers to invalid object "C:\Programme\McAfee\McAfee Shared Components\Guardian\mcsched.dll". Action Taken: No Action Taken. Fri Jan 04 09:44:03 2002 => Entry "HKCR\ActMsg.Session" refers to invalid object "{3FA7DEB3-6438-101B-ACC1-00AA00423326}". Action Taken: No Action Taken. Fri Jan 04 09:44:10 2002 => Entry "HKCR\MailFileAtt" refers to invalid object "{00020D05-0000-0000-C000-000000000046}". Action Taken: No Action Taken. Fri Jan 04 09:44:10 2002 => Entry "HKCR\mapifvbx.object" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken. Fri Jan 04 09:44:10 2002 => Entry "HKCR\mapifvbx.object.1" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC} Fri Jan 04 09:44:52 2002 => File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken. |
ok... here it is...... |
füge deine Logfiles einfach mit Copy&Paste ins Forum ein und nicht als Anhänge!! Zitat:
Also lese die Anleitung richtig und führe eScan nochmal aus. Lösche das Logfile von eScan und poste das Ergebnis mittels Find.bat oder alternativ |
ich komme nicht in den abgesicherten Modus. lt. Meldung fehlt die ntoskernl.exe Ich kann nur in den abgesicherten Modus mit Netzwerktreibern. dort kann ich mich dann als administrator oder benutzer anmelden. Egal als was ich mich anmelde?? und die mwavscan.com lässt sich nicht ausführen (abges. Modus mit Netzwerktreibern)bzw meldet irgendein Modul nicht gefunden. |
Zitat:
Zitat:
Zitat:
|
Die mwacscan.com hatte Modul 0x7 nicht gefunden. Abgesicherte Modus klappte nun. Ich habe escan noch mal neu installiert und dann klappte auch alles. Hoffe "abgesicherter Modus" war richtig und ich musste nicht in "Abgesicherter Modus mit Netzwektreibern". Hier nun das Ergebnis: (beinhaltet nur die Funde,nicht die "refers to invalid objects") Bin mir nicht sicher ob ihr die zur Auswertung auch braucht? ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Fri Jan 04 17:12:51 2002 => System found infected with CWS.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken. Fri Jan 04 17:28:00 2002 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Fri Jan 04 17:50:51 2002 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Fri Jan 04 17:14:27 2002 => File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken. Fri Jan 04 17:18:04 2002 => File C:\Dokumente und Einstellungen\x\Desktop\aawsepersonal106.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Fri Jan 04 17:19:04 2002 => File C:\Dokumente und Einstellungen\x\Desktop\zlsSetup_51_039_004.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Fri Jan 04 17:29:29 2002 => File C:\Programme\Lavasoft\Ad-Aware SE Personal\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Fri Jan 04 17:36:14 2002 => File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Fri Jan 04 17:50:51 2002 => Total Virus(es) Found: 6 Fri Jan 04 17:50:51 2002 => Total Errors: 13 Fri Jan 04 17:50:51 2002 => Time Elapsed: 00:38:44 Fri Jan 04 17:50:51 2002 => Total Objects Scanned: 30518 Fri Jan 04 17:11:18 2002 => Virus Database Date: 2005/06/24 Fri Jan 04 17:50:51 2002 => Virus Database Date: 2005/06/24 Fri Jan 04 18:31:50 2002 => Virus Database Date: 2005/06/24 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ |
Zitat:
Hast du wirklich alle Haken so gesetzt, wie ich es bildlich beschrieben habe? In der Virus Log Information selbst, sehe ich keine Auffälligkeiten, die auf Malware zurückzuführen wären. |
ja, Haken waren gesetzt wie in der Beschreibung. Lt. LogFile hat er cleaner.exe, Ad-Aware SE default.ask und cleaner4.cdb nicht gescant (scan failed possibly password protected) Aber was ist mit der Meldung "6 Viren gefunden" ? und welche Bedeutung hat "is not tagged as a virus"? und die Angaben von " Scanning Regestry for errors created because of spyware" die Treffer davon muss ich die alle auf dem System löschen? |
Alle Zeitangaben in WEZ +1. Es ist jetzt 22:05 Uhr. |
Copyright ©2000-2025, Trojaner-Board