Trojaner-Board - general host for win32 prozesses wird immer beendet...

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - general host for win32 prozesses wird immer beendet... (https://www.trojaner-board.de/34165-general-host-for-win32-prozesses-immer-beendet.html)

general host for win32 prozesses wird immer beendet...

Grüß gott zusammen.
Immer wenn ich, aus welchen gründen auch immer, kurz mein ZoneAlarm ausschalte, wird nach wenigen Minuten der general host for win32 prozesses beendet. Dies geschieht auch bei aktivierter Windows Firewall. Ich habe Win-XP mit installiertem service pack 2. Es ändert sich der Schriftgrad in Fenstern für wenige Sekunden, auch die Startleiste schaut "älter" aus, etwa wie bei Win98. Mein Winamp hängt sich auf, und ein neues Programm zu startet dauert mehrere Minuten. Ich habe bereits mit ZoneAlarm nach Spyware gesucht, mit Antivir nach Viren und mit Hijackthis einen
(für mich) ergebnislosen Suchlauf hinter mir. In unzähligen Suchen bei google habe ich mehrere Beiträge bei Foren gelesen und mich so schon ziemlich informiert. Ich bin mir darüber im klaren, dass dieser Prozess Teil von svchost.exe ist, und dringend erforderlich ist. Also schildere ich hier nur Symptome, die eigentliche Grundlage dieses Problems bleibt mir unergründlich. Dieses Problem existiert nun schon seit ein paar Wochen, ich kann mir nicht mehr helfen, und bitte nun um die geschätzte Hilfe der Leser.
Mit freundlichen Grüßen und Dank im Vorraus,
Johannes

Poste doch mal das Hijackthis-Logfile, vllt. sieht man da was.

Hier, wie verlangt, ein Log von Hijackthis.

Code:

Logfile of HijackThis v1.99.1

Scan saved at 20:23:17, on 07.12.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

D:\D_ALT\Programme\HeyJoe\HeyJoe.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\ATITool\ATITool.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Programme\ICQLite\ICQLite.exe

D:\D_ALT\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Winamp\winamp.exe

C:\Hijackthis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKCU\..\Run: [Hey, Joe!] D:\D_ALT\Programme\HeyJoe\HeyJoe.exe

O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot

O4 - Startup: Verknüpfung mit ATITool.lnk = C:\Programme\ATITool\ATITool.exe

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Danke im Vorraus,
Johannes

Scanne mal "D:\D_ALT\Programme\HeyJoe\HeyJoe.exe" auf http://www.virustotal.com/ und poste das Logfile.

MfG

Bei dem gewünschten File handelt es sich um einen Offline-Messenger, über ein lokales Netzwerk. Hier das entsprechende Logfile:

Code:

AntiVir        7.2.0.49        12.07.2006        no virus found

Authentium        4.93.8        12.07.2006        no virus found

Avast        4.7.892.0        12.07.2006        no virus found

AVG        386        12.07.2006        no virus found

BitDefender        7.2        12.07.2006        no virus found

CAT-QuickHeal        8.00        12.07.2006        no virus found

ClamAV        devel-20060426        12.07.2006        no virus found

DrWeb        4.33        12.07.2006        no virus found

eSafe        7.0.14.0        12.07.2006        no virus found

eTrust-InoculateIT        23.73.79        12.07.2006        no virus found

eTrust-Vet        30.3.3236        12.07.2006        no virus found

Ewido        4.0        12.07.2006        no virus found

Fortinet        2.82.0.0        12.07.2006        suspicious

F-Prot        3.16f        12.07.2006        no virus found

F-Prot4        4.2.1.29        12.07.2006        no virus found

Ikarus        T3.1.0.26        12.07.2006        no virus found

Kaspersky        4.0.2.24        12.07.2006        no virus found

McAfee        4913        12.07.2006        no virus found

Microsoft        1.1804        12.07.2006        no virus found

NOD32v2        1908        12.07.2006        no virus found

Norman        5.80.02        12.07.2006        no virus found

Panda        9.0.0.4        12.07.2006        no virus found

Prevx1        V2        12.07.2006        no virus found

Sophos        4.12.0        12.06.2006        no virus found

Sunbelt        2.2.907.0        11.30.2006        VIPRE.Suspicious

TheHacker        6.0.3.130        12.06.2006        no virus found

UNA        1.83        12.07.2006        no virus found

VBA32        3.11.1        12.07.2006        no virus found

VirusBuster        4.3.15:9        12.07.2006        no virus found

Additional Infos:

File size: 566784 bytes

MD5: 06ee6decb97d2515520b87b1048fa1d1

SHA1: ee2ba1a63ea34587f8c99fd9dc91fe21c408d7a4

Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Vielen dank, Johannes

Da es inzwischen Malware gibt die sich vor HijackThis.exe versteckt benenne die .exe mal in HJT1991.exe um und poste ein neues Logfile.

MfG

Mach auch mal gleich einen Check mit Blacklight und eScan (siehe Sig) - poste die Logs. Anleitung von eScan bitte genau beachten. Poste aber hier rein mach keinen neuen Thread auf (auch wenns in der Anleitung drinsteht :rolleyes: ).

Vielen Dank erstmal für die Vorschläge. Zuerst mein blabla-Loglife (=Hijackthis)

Code:

Logfile of HijackThis v1.99.1

Scan saved at 14:53:23, on 09.12.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

D:\D_ALT\Programme\HeyJoe\HeyJoe.exe

C:\Programme\ATITool\ATITool.exe

C:\Programme\ICQLite\ICQLite.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Winamp\winamp.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Programme\Microsoft Visual Studio\Common\MSDev98\Bin\MSDEV.EXE

D:\D_ALT\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\cmd.exe

C:\Hijackthis\blabla.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://w*w.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ***.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ***.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKCU\..\Run: [Hey, Joe!] D:\D_ALT\Programme\HeyJoe\HeyJoe.exe

O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot

O4 - Startup: Verknüpfung mit ATITool.lnk = C:\Programme\ATITool\ATITool.exe

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

blacklight hat keinerlei versteckten Prozesse gefunden, die Gefundenen unterschieden sich nicht von denen von Hijackthis. Zu meinem Bedauern konnte ich die mir dadurch gegebenen Informationen nicht als Textfile speichern.
Der e-scan-log folgt in wenigen Minuten, nachdem ich aus dem abgesichertem Modus wieder zurückgekehrt bin.
P.S. Ich habe jetzt erst die direct-links entfernt... Ich bitte um Entschuldigung

Hi

Ja dann warten wir mal auf die Log von eScan :)

MfG

Da werden wir wohl noch etwas länger warten müssen. Ich habe zwei Probleme mit diesem Programm: Laut Anleitung (danke btw) muss ich zuerst logischerweise ein Update machen, was aber laut logfile immer fehlschlägt:

HTML-Code:

Automatic HTTP Downloader Ver 1.0.

-------------------------------------------------------------------------------

09.12.2006 15:08:03 Starte manuelle HTTP Sitzung mit Host ***.microworldsystems.com/pub/update

Verbinde mit HTTP Host <Direkte Verbindung>

Angeforderte Dateinamen und -größen Information...

Fehler aufgetreten :  can't connect: Connection refused (Error #10061)

Kann keine Dateigrößeninfo vom entfernten Host bekommen!!!

----------------------------------------------------------------------

09.12.2006 15:08:04 beende HTTP Sitzung

Ich habe eine direkte Internetverbindung, keinen Proxy-server oder Vergleichbares. Und der zweite Punkt: Das Programm beendet sich im abgesichertem Modus mit einer Zugriffsverletzung kurz nach dem Start.
Vielen Dank,
Johannes

Auch auf die Gefahr eines Doppelposts hin: Es ist ein neues Problem zu meiner sowieso schon langen Liste an Beschwerden hinzugekommen, nämlich spielt winamp nach einiger Zeit die Musik rund ein Drittel tiefer und somit langsamer ab.
Das Auftreten dieses Phänomens folgt keinen mir bekanntem Zyklus, mal tritt es nach 10 min auf, dann ist wieder ein ungestörtes Arbeiten für mehrere Stunden möglich. Ich bitte um Hilfe.
Mit vielem Dank im Vorraus,
Johannes
(offtopic P.S. F@H läuft nun schon auf 6 rechnern;)