Home » Spyware & Browser Hijacker Support Forum » system\svchost.exe - Trojan-Proxy.Horst,Win32/Boxed!generic » Themenansicht

system\svchost.exe - Trojan-Proxy.Horst,Win32/Boxed!generic

Thema ist geschlossen!
Thema ist geschlossen!
#0
03.06.2004, 14:39
eyz
...neu hier

Beiträge: 5
#1 hiho ich hab ein problem mit svchost

und zwar kommt die fehlermeldung: svchost hat einen fehler verursacht und wird beendet ..blabla

danach: copy/paste funktioniert(teilweise?!?) nicht mehr, gerätemanager lässt sich nach dem öffnen nicht mehr schließen (zuerst alle geräteeigenschaften schließen um zu beenden.. obwohl keine eigenschaften offen sind), außerdem funktionieren popuplinks im www nicht mehr

ich benutze PandaTitanumAntivirus2004/3.00, der mir auch des öfteren mitteilt, dass ein virus (nachib, ..etc) gefunden, aber auch gleich disinfiziert wurde (bzw gelöscht)

außerdem wächst der cpu-verbrauch von svchost.exe nach nicht allzu langer zeit auf 99% an (wenn panda läuft nur auf 40.. die restlichen 60% benötigt panda!!?)

bis jetzt hab ich nur das sasserfix von der panda seite probiert... mit keinem erfolg (nichts gefunden)

hier ein hijackthis-log (nach der svchost-fehlermeldung):

Logfile of HijackThis v1.97.7
Scan saved at 14:34:23, on 03.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Titanium Antivirus 2004\Pavsrv50.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\system32\desktop.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINNT\system32\windowstm.exe
C:\Programme\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\system32\windowstm.exe
C:\PROGRA~1\Aveo\Attune\Updater1\Attunel.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\WINNT\system32\wuauclt.exe
D:\ICQ\ICQ.exe
E:\games\Half-Life\cstrike\steam\Steam.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\eyzn\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [desktop] C:\WINNT\system32\desktop.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [Windows Clock Configuration] windowstm.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\RunServices: [Windows Clock Configuration] windowstm.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Windows Clock Configuration] windowstm.exe
O4 - HKCU\..\Run: [Attune Download] C:\PROGRA~1\Aveo\Attune\Updater1\Attunel.exe
O4 - HKCU\..\RunOnce: [ICQ] D:\ICQ\ICQ.exe -trayboot
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 - Unknown file in Winsock LSP: c:\programme\panda software\panda titanium antivirus 2004\pavlsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\panda software\panda titanium antivirus 2004\pavlsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\panda software\panda titanium antivirus 2004\pavlsp.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DAF4D598-5D53-469B-88A8-28C5395D3715}: NameServer = 195.96.0.4 195.70.224.45


-------------------
vielleicht weiß einer rat.. wäre echt nett wenn mir wer helfen könnte -.-
Seitenanfang Seitenende
03.06.2004, 15:02
paff
Member

Beiträge: 1095
#2 Hi eyz

Fixe bitte dies in HiJackThis

O4 - HKLM\..\Run: [desktop] C:\WINNT\system32\desktop.exe
O4 - HKLM\..\Run: [Windows Clock Configuration] windowstm.exe
O4 - HKLM\..\RunServices: [Windows Clock Configuration] windowstm.exe
O4 - HKCU\..\Run: [Windows Clock Configuration] windowstm.exe
O4 - HKCU\..\Run: [Attune Download] C:\PROGRA~1\Aveo\Attune\Updater1\Attunel.exe

Danach bitte das durchführen
http://www.rokop-security.de/main/article.php?sid=703

Danach Neustart machen und nochmal Logfiel posten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
04.06.2004, 16:23
eyz
...neu hier

Themenstarter

Beiträge: 5
#3 ok hab alles ausgeführt was auf rokop aufgelistet ist

..das system scheint schneller zu laufen, explorer etc. öffnen schneller (oder bilde ich mir das jetzt nur ein?!)

hier der log:

Logfile of HijackThis v1.97.7
Scan saved at 16:24:51, on 04.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Titanium Antivirus 2004\Pavsrv50.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
C:\WINNT\system32\wuauclt.exe
D:\ICQ\ICQ.exe
E:\sys_tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\RunOnce: [ICQ] D:\ICQ\ICQ.exe -trayboot
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O10 - Unknown file in Winsock LSP: c:\programme\panda software\panda titanium antivirus 2004\pavlsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\panda software\panda titanium antivirus 2004\pavlsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\panda software\panda titanium antivirus 2004\pavlsp.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DAF4D598-5D53-469B-88A8-28C5395D3715}: NameServer = 195.96.0.4 195.70.224.45

----------------
ich schätze mal die sache hat sich erledigt.. !!DANKE!! vielmals
Seitenanfang Seitenende
04.06.2004, 17:48
paff
Member

Beiträge: 1095
#4 @eyz

Das schaut gut aus jetzt ;)

Es ist nur zu empfehlen den Internet Explorer auf Version 6 + ServicePAck upzudaten.

Zitat

O4 - HKLM\..\Run: [desktop] C:\WINNT\system32\desktop.exe
O4 - HKLM\..\Run: [Windows Clock Configuration] windowstm.exe
O4 - HKLM\..\RunServices: [Windows Clock Configuration] windowstm.exe
O4 - HKCU\..\Run: [Windows Clock Configuration] windowstm.exe
O4 - HKCU\..\Run: [Attune Download] C:\PROGRA~1\Aveo\Attune\Updater1\Attunel.exe
Bitte diese Dateien noch suchen und löschen.

Dann Papierkorb und temporäre Internetfiles löschen

Dann Virenscanner updaten und ganze Platte scannen.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
09.01.2007, 13:09
Thoughless
...neu hier

Beiträge: 4
#5 Hallo Gemeinde,

ich hab heute mal Hijackthis laufen lassen und mir ist eine svchost.exe in dem Ordner D:\WINDOWS\system\svchost.exe. Ist dies möglich bzw. normal, den ich habe diese Datei schon im system32 Ordner und bin nun leicht verwirrt? Wäre schön wenn mich jemand aufklären würde. Vielen Dank schonmal.

Hier mal mein Log

Logfile of HijackThis v1.99.0
Scan saved at 12:21:23, on 09.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\WINDOWS\htpatch.exe
D:\WINDOWS\system32\RunDll32.exe
D:\Programme\Winamp\winampa.exe
D:\Programme\Java\jre1.5.0_10\bin\jusched.exe
D:\Programme\PowerDVD\PDVDServ.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system\svchost.exe
D:\Programme\TGTSoft\StyleXP\StyleXP.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
D:\WINDOWS\TEMP\explorer.exe
D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Programme\Cyberlink\Shared files\RichVideo.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\Unreal3.2\wircd.exe
D:\WINDOWS\System32\svchost.exe
K:\Mirc\[G]Scriptv4.5\mircG4.5.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
C:\CreedNetz\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - D:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HTpatch] D:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] D:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [RemoteControl] D:\Programme\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] D:\Programme\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvEventCenter] D:\WINDOWS\system\svchost.exe /w
O4 - HKCU\..\Run: [STYLEXP] D:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = D:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {61A21E01-D8E5-4E42-8F1E-3E8B21D191E0} - D:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {61A21E01-D8E5-4E42-8F1E-3E8B21D191E0} - D:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .pdf: D:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by116w.bay116.mail.live.com/mail/resources/MsnPUpld.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697515} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp5_mp3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F10369D-7659-482A-911D-CDC24D2BA5A0}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{3F10369D-7659-482A-911D-CDC24D2BA5A0}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{3F10369D-7659-482A-911D-CDC24D2BA5A0}: NameServer = 192.168.0.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Unknown - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown - D:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: DirectX Service - Unknown - D:\WINDOWS\TEMP\explorer.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) - Unknown - D:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - D:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: StyleXPService - Unknown - D:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - D:\Programme\TuneUp WinStyler\WinStylerThemeSvc.exe
O23 - Service: UnrealIRCd - none - D:\Programme\Unreal3.2\wircd.exe
Seitenanfang Seitenende
09.01.2007, 15:07
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Thoughless

das ist definitiv ein Virus ;)

1.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

D:\WINDOWS\system\svchost.exe

poste den report hier

-------------------------------------------------------------------------------------------
2.
Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein

dir /s /a "d:\svchost*.*" > d:\find.txt & start notepad d:\find.txt

und poste alles, was im Texteditor erscheint
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.01.2007, 12:20
Thoughless
...neu hier

Beiträge: 4
#7 Hallo sabina,

Vielen dank für die Antwort und die leichte beschreibung.

So hier erstmal die meldung von VirusTotal.

Antivirus Version Update Result
AntiVir 7.3.0.21 01.09.2007 no virus found
Authentium 4.93.8 01.09.2007 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.09.2007 no virus found
BitDefender 7.2 01.10.2007 no virus found
CAT-QuickHeal 9.00 01.09.2007 no virus found
ClamAV devel-20060426 01.09.2007 no virus found
DrWeb 4.33 01.10.2007 no virus found
eSafe 7.0.14.0 01.09.2007 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.109 01.09.2007 no virus found
eTrust-Vet 30.3.3313 01.09.2007 Win32/Boxed!generic
Ewido 4.0 01.09.2007 no virus found
Fortinet 2.82.0.0 01.10.2007 suspicious
F-Prot 3.16f 01.09.2007 no virus found
F-Prot4 4.2.1.29 01.09.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.10.2007 no virus found
McAfee 4935 01.09.2007 no virus found
Microsoft 1.1904 01.10.2007 no virus found
NOD32v2 1969 01.10.2007 no virus found
Norman 5.80.02 01.10.2007 no virus found
Panda 9.0.0.4 01.09.2007 Suspicious file
Prevx1 V2 01.10.2007 no virus found
Sophos 4.13.0 01.05.2007 no virus found
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.146 01.08.2007 no virus found
UNA 1.83 01.10.2007 no virus found
VBA32 3.11.2 01.09.2007 MalwareScope.Trojan-Proxy.Horst.1
VirusBuster 4.3.19:9 01.09.2007 no virus found

und nun die Meldung von von der find.txt

Datentr„ger in Laufwerk D: ist Daten
Volumeseriennummer: 7854-649F

Verzeichnis von d:\Dokumente und Einstellungen\Creed\Lokale Einstellungen\Temp

27.12.2006 17:59 48.640 svchost.exe
1 Datei(en) 48.640 Bytes

Verzeichnis von d:\WINDOWS\Prefetch

09.01.2007 14:55 12.362 SVCHOST.EXE-13D45DD3.pf
10.01.2007 12:08 73.828 SVCHOST.EXE-2D5FBD18.pf
2 Datei(en) 86.190 Bytes

Verzeichnis von d:\WINDOWS\system

27.12.2006 17:59 48.640 svchost.exe
1 Datei(en) 48.640 Bytes

Verzeichnis von d:\WINDOWS\system32

03.08.2004 23:58 14.336 svchost.exe
1 Datei(en) 14.336 Bytes

Verzeichnis von d:\WINDOWS\system32\dllcache

03.08.2004 23:58 14.336 svchost.exe
1 Datei(en) 14.336 Bytes

Anzahl der angezeigten Dateien:
6 Datei(en) 212.142 Bytes
0 Verzeichnis(se), 18.591.031.296 Bytes frei
Seitenanfang Seitenende
10.01.2007, 12:29
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Thoughless

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein: (ohne "Zitat" )

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\run|NvEventCenter

Files to delete:
d:\Dokumente und Einstellungen\Creed\Lokale Einstellungen\Temp\svchost.exe
d:\WINDOWS\Prefetch\SVCHOST.EXE-13D45DD3.pf
d:\WINDOWS\Prefetch\SVCHOST.EXE-2D5FBD18.pf
d:\WINDOWS\system\svchost.exe
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
poste hier das log vom avenger, was nach neustart erscheinen wird

»»
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.01.2007, 14:32
Thoughless
...neu hier

Beiträge: 4
#9 So Sabina

ich habe mir nun avenger geladen und alles schritt für schritt gemacht. Pc hat gerebootet und log erschien mit folgender Meldung:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\tjnoblei

*******************

Script file located at: \??\D:\WINDOWS\tysocavn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at D:\Avenger

*******************

Beginning to process script file:

File d:\Dokumente und Einstellungen\Creed\Lokale Einstellungen\Temp\svchost.exe deleted successfully.
File d:\WINDOWS\Prefetch\SVCHOST.EXE-13D45DD3.pf deleted successfully.
File d:\WINDOWS\Prefetch\SVCHOST.EXE-2D5FBD18.pf deleted successfully.
File d:\WINDOWS\system\svchost.exe deleted successfully.


Could not delete registry value HKLM\software\microsoft\windows\currentversion\run|NvEventCenter
Deletion of registry value HKLM\software\microsoft\windows\currentversion\run|NvEventCenter failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Hier der Padenda Scan. beim ersten mal gings nicht..darum die edit ;)

Incident Status Location

Spyware:spyware/new.net Not disinfected Windows Registry
Adware:Adware/VideoActiveXObject Not disinfected C:\Style.XP.v2.04.WinXP2003.Incl.Keygen-ECLiPSE\run.exe
Adware:Adware/VideoActiveXObject Not disinfected C:\Style.XP.v2.04.WinXP2003.Incl.Keygen-ECLiPSE.ZIP[run.exe]
Spyware:Cookie/Yadro Not disinfected D:\Dokumente und Einstellungen\Creed\Anwendungsdaten\Mozilla\Firefox\Profiles\kzxivsxe.default\cookies.txt[.yadro.ru/]
Spyware:Cookie/Weborama Not disinfected D:\Dokumente und Einstellungen\Creed\Cookies\creed@searchportal.information[2].txt
Spyware:Cookie/WebtrendsLive Not disinfected D:\Dokumente und Einstellungen\Creed\Cookies\creed@statse.webtrendslive[1].txt
Spyware:Cookie/Yadro Not disinfected D:\Dokumente und Einstellungen\Creed\Cookies\creed@yadro[2].txt
Adware:Adware/Pics-Factory Not disinfected I:\Images\Anno1701\Anno 1701 Nocd Crack Keygen\Anno 1701\NoCD Crack.exe
Adware:Adware/SearchBar Not disinfected I:\Images\Bettelfield\Battlefield 2142 NOCD CRACK + SERIAL KEYGEN.zip.rar[battlefield2142_crack.exe]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Eggdrop\Eggdrop-tcl.rar[Eggdrop-tcl\Allgemein\platinum1.0.7.rar][platinum\moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\4ever\4ever\stats.final\moo.dll
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\4ever\4ever.exe[4ever\stats.final\moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\4ever\4ever.rar[4ever\stats.final\moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\4ever\4ever.zip[4ever/stats.final/moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\4ever.rar[4ever\Addon\moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\4ever2\4ever\Addon\moo.dll
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\CoBrasriPt.rar[CoBrasriPt\moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\CoBrasriPt.rar[CoBrasriPt\scripte\Stats.3.4\moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\Drachenscript\Drachenscript\moo.dll
Virus:mIRC/Gen Disinfected K:\Mirc\Drachenscript\Drachenscript\Scripts\script2.ini
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\Drachenscript\Drachenscript\Scripts\Stats.3.4\moo.dll
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\Drachenscript.rar[Drachenscript\moo.dll]
Virus:mIRC/Gen Not disinfected K:\Mirc\Drachenscript.rar[Drachenscript\Scripts\script2.ini]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\Drachenscript.rar[Drachenscript\Scripts\Stats.3.4\moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\G-Script.rar[G-Script\G-Scriptv3.3.exe][G-Scriptv3.3\Moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\G-Script.rar[G-Script\T-Script\v1.5-r4sys\moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\G-Script.rar[G-Script\T-Scriptv1.0\v1.5-r4sys\moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\G-Script.rar[G-Script\T-Scriptv1.0.rar][T-Scriptv1.0\v1.5-r4sys\moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\G-Scriptv4.2\gscriptdownload\HDD.rar[Eggdrop-tcl.rar][Eggdrop-tcl\Allgemein\platinum1.0.7.rar][platinum\moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\G-Scriptv4.2\gscriptdownload\HDD.rar[G-Script.rar][G-Script\G-Scriptv3.3.exe][G-Scriptv3.3\Moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\G-Scriptv4.2\gscriptdownload\HDD.rar[G-Script.rar][G-Script\T-Script\v1.5-r4sys\moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\G-Scriptv4.2\gscriptdownload\HDD.rar[G-Script.rar][G-Script\T-Scriptv1.0\v1.5-r4sys\moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\G-Scriptv4.2\gscriptdownload\HDD.rar[G-Script.rar][G-Script\T-Scriptv1.0.rar][T-Scriptv1.0\v1.5-r4sys\moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\G-Scriptv4.2\Moo.dll
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\G-Scriptv4.2.exe[G-Scriptv4.2\Moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\G-Scriptv4.3\scriptz\stats.final.rar[stats.final\moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\G-Scriptv4.3\stats.final\stats.final\moo.dll
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\G-Scriptv4.3..rar[G-Scriptv4.3\scriptz\stats.final.rar][stats.final\moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\G-Scriptv4.3..rar[G-Scriptv4.3\stats.final\stats.final\moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\G-Scriptv4.3orgi\G-Scriptv4.3\scriptz\stats.final.rar[stats.final\moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\G-Scriptv4.3orgi\G-Scriptv4.3\stats.final\stats.final\moo.dll
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\G-Scriptv4.4\stats.final\moo.dll
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\G-Scriptv4.4.rar[G-Scriptv4.3\scriptz\stats.final.rar][stats.final\moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\G-Scriptv4.4.rar[G-Scriptv4.3\stats.final\stats.final\moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\HeRki-ScRiPt v1.1 auf mirc 6.17\moo.dll
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\Ladysclub_script_ver_2.0\Ladysclub script ver 2.0\download\HeRki-ScRiPt_v1.1_auf_mirc_6.17.rar[HeRki-ScRiPt v1.1 auf mirc 6.17\moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\Ladysclub_script_ver_2.0\Ladysclub script ver 2.0\Moo.dll
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\smartircscript\moo.dll
Virus:mIRC/Gen Disinfected K:\Mirc\smartircscript\mrc\floodp.ini
Virus:mIRC/Gen Not disinfected K:\Mirc\smartircscript.rar[mrc\floodp.ini]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\smartircscript.rar[moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\stats.final\moo.dll
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\stats.final.rar[stats.final\moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\T-Scriptv1.5beta\T-Scriptv1.5beta\v1.5-r4sys\moo.dll
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\T-Scriptv1.5beta.rar[T-Scriptv1.5beta\v1.5-r4sys\moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\T-Scriptv4.0.rar[G-Scriptv4.0\Moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\Testen\4ever\stats.final\moo.dll
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\[G]Scriptv4.5\gscriptdownload\Drachenscript.rar[Drachenscript\moo.dll]
Virus:mIRC/Gen Not disinfected K:\Mirc\[G]Scriptv4.5\gscriptdownload\Drachenscript.rar[Drachenscript\Scripts\script2.ini]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\[G]Scriptv4.5\gscriptdownload\Drachenscript.rar[Drachenscript\Scripts\Stats.3.4\moo.dll]
Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected K:\Mirc\[G]Scriptv4.5\stats.final\moo.dll
Possible Virus. Not disinfected K:\Programme\SmartMuli\Incoming\Winamp 5.24 PRO KeyGen Patch ITA FRA GER SPA POR RUS... Plug-ins Controller Programmi.rar[Winamp 5.24 PRO KeyGen Patch ITA FRA GER SPA POR RUS... Plug-ins Controller Programmi\Plug-ins\DSP-Effect-VirtualSound-1.0\dsp_so3d.dll]
Possible Virus. Not disinfected K:\Programme\Winamp 5.24 PRO KeyGen Patch ITA FRA GER SPA POR RUS... Plug-ins Controller Programmi\Plug-ins\DSP-Effect-VirtualSound-1.0\dsp_so3d.dll
Dieser Beitrag wurde am 10.01.2007 um 15:15 Uhr von Thoughless editiert.
Seitenanfang Seitenende
10.01.2007, 15:21
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Thoughless

kein Wunder, dass ein Trojaner /Wurm auf deinem Rechner gelandet ist ... Cracks sind immer ein Risiko..du weisst nie, was alles drin ist ;)

wenn du einen sauberen Rechner wuenscht:
loesche manuell:

C:\Style.XP.v2.04.WinXP2003.Incl.Keygen-ECLiPSE

C:\Style.XP.v2.04.WinXP2003.Incl.Keygen-ECLiPSE.ZIP

I:\Images\Anno1701\Anno 1701 Nocd Crack Keygen

I:\Images\Bettelfield\Battlefield 2142 NOCD CRACK + SERIAL KEYGEN.zip.rar

K:\Programme\Winamp 5.24 PRO KeyGen

K:\Programme\SmartMuli\Incoming\Winamp 5.24 PRO KeyGen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.01.2007, 15:27
Thoughless
...neu hier

Beiträge: 4
#11 naja thx das erklärt auch die probleme und zeitlich würde das super hinkommen...naja so lernt mann dazu. VIELEN DANK

Keygen sind runter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1