Home » Spyware & Browser Hijacker Support Forum » O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS » Themenansicht
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS |
||
|---|---|---|
| #0
| ||
|
10.04.2005, 14:12
...neu hier
Beiträge: 4 |
||
 
|
|
|
|
10.04.2005, 15:03
Ehrenmitglied
 Beiträge: 29434 |
#2
Hallo@bujaz
Start<Ausfuehren<regedit # Navigate and delete the following keys: <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = Explorer.exe-> loeschen:--> C:\WINDOWS\Nail.exe HKEY_CLASSES_ROOT\winb2s.dbi.1 HKEY_CLASSES_ROOT\winb2s.dbi HKEY_CLASSES_ROOT\winb2s.iiittt.1 HKEY_CLASSES_ROOT\winb2s.iiittt HKEY_CLASSES_ROOT\winb2s.momo.1 HKEY_CLASSES_ROOT\winb2s.momo HKEY_CLASSES_ROOT\winb2s.ohb.1 HKEY_CLASSES_ROOT\winb2s.ohb HKEY_CLASSES_ROOT\winb2s.amo.1 HKEY_CLASSES_ROOT\winb2s.amo HKEY_CLASSES_ROOT\CLSID\{52FE5233-367C-4EFB-BDD7-0BE4D212C107} HKEY_CLASSES_ROOT\CLSID\{07E9CDF4-20D2-46B1-B681-663968F527CE} HKEY_CLASSES_ROOT\CLSID\{7C5E5671-7A1D-4AE8-91F0-496ADF2825F7} HKEY_CLASSES_ROOT\CLSID\{4D568F0F-8AC9-40AB-88B7-415134C78777} HKEY_CLASSES_ROOT\CLSID\{09C14745-90FD-42D1-9276-4924D7DBC274} HKEY_CLASSES_ROOT\TypeLib\{081DE2F6-927B-4AA9-88C1-F531C9387383} HKEY_CLASSES_ROOT\Interface\{A797A41D-F9F0-4A32-B9B5-AF927CB5AE54} HKEY_CLASSES_ROOT\Interface\{B12508AD-CA55-4238-8DB3-55808BA6915A} HKEY_CLASSES_ROOT\Interface\{F912C325-5B26-4AD6-BF39-84370833E972} HKEY_CLASSES_ROOT\Interface\{BF7CB2C3-55B6-44C1-9615-920D004C27F7} HKEY_CLASSES_ROOT\Interface\{6FE4AADF-EDAC-4037-9164-0B60179A4F12} HKEY_CLASSES_ROOT\Interface\{17973BD7-959C-4D8A-8B2F-AB200E20A75E} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dsktrf.amo HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dsktrf.amo.1 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dsktrf.iiittt HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dsktrf.iiittt.1 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dsktrf.momo HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dsktrf.momo.1 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dsktrf.ohb HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dsktrf.ohb.1 HKEY_ALL_USERS\Software\_dsktptr HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6024FCD5-91FC-4DC7-8481-63EABD5051D8} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E4776F3A-6936-4A9C-B2DA-E57C239FD2F8} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FF81672F-13FF-401F-8662-6E895C564CC4} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4D568F0F-8AC9-40AB-88B7-415134C78777} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22B720C7-5FA6-40A8-9F8F-8584BF669690} HKEY_CURRENT_USER\SOFTWARE\aaa_soft HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22B720C7-5FA6-40A8-9F8F-8584BF669690} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{486145B0-37D1-428B-B3E1-26D26F690C79} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{62631E26-B5A1-4AC4-A3AE-1CB72C6819C5} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{82F55658-CA6D-4754-B313-5DCAAFA0BB42} HKEY_CLASSES_ROOT\Interface\{02B577D5-2212-42F3-AD51-2F6A9AE43233} HKEY_CLASSES_ROOT\Interface\{35AE618D-45F7-4AA7-A373-300DCB98858A} HKEY_CLASSES_ROOT\Interface\{71C456DD-F55B-46CE-ADCF-53D5899B8F79} HKEY_CLASSES_ROOT\Interface\{806FCA2B-146F-4DC3-9CE7-3C576FEA15C3} HKEY_CLASSES_ROOT\Interface\{CB08E48A-FE7E-4F13-8593-B7AE6EC81D83} HKEY_CLASSES_ROOT\Interface\{EF90EB04-44C3-4AE5-9D01-C8DEF134D82A} HKEY_CLASSES_ROOT\TypeLib\{45782901-BA9F-422D-B231-BCB6487FAC4B} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\trgen.amo HKEY_LOCAL_MACHINE\SOFTWARE\Classes\trgen.amo.1 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\trgen.iiittt HKEY_LOCAL_MACHINE\SOFTWARE\Classes\trgen.iiittt.1 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\trgen.momo HKEY_LOCAL_MACHINE\SOFTWARE\Classes\trgen.momo.1 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\trgen.ohb HKEY_LOCAL_MACHINE\SOFTWARE\Classes\trgen.ohb.1 HKEY_ALL_USERS\Software\_trgen HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0962DA67-DB64-465C-8CD7-CBB357CAF825} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{356B2BD0-D206-4E21-8C85-C6F49409C6A9} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{52ADD86D-9561-4C40-B561-4204DBC139D1} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{999A06FF-10EF-4A29-8640-69E99882C26B} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{018C5406-AEE6-4A68-980F-2CEB1E9416FB} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{0A7FC040-F84A-4AD7-9439-798B6C0F861E} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{32A9D21F-F510-44DC-9EA6-0456EDA04668} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{4562B6F3-DAF8-464E-87B7-5464575F0D6A} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C93CC79D-02D5-45B0-BE39-7F5B0E5DDA31} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA4B919F-B757-4E32-8D79-DEC5C2704C4B} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{DA15C9A2-C30A-4761-922A-5DFE7C9A1F67} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{999A06FF-10EF-4A29-8640-69E99882C26B} HKEY_ALL_USERS\Software\_rtneg2 # Delete the following value: "{52FE5233-367C-4EFB-BDD7-0BE4D212C107}" = "[no value]" from the registry key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar # Exit the Registry Editor. Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen http://virusscan.jotti.org/ Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten einzelne "exe" ueberpruefen http://www.virustotal.com/flash/index_en.html C:\WINDOWS\svcproc.exe c:\windows\system32\fegynap.exe C:\WINDOWS\Nail.exe Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "System Startup Service (SvcProc) " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "System Startup Service (SvcProc) " beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "System Startup Service (SvcProc) " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: SvcProc Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: ohb - {22B720C7-5FA6-40A8-9F8F-8584BF669690} - C:\WINDOWS\system32\trgen.dll O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - C:\WINDOWS\Bolger.dll O4 - HKLM\..\Run: [yxkhndz] c:\windows\system32\fegynap.exe O15 - Trusted Zone: http://*.windowsupdate.microsoft.com Kennen Sie die IP oder die Domäne '195.185.185.195,62.26.26.62' nicht, fixen. O17 - HKLM\System\CCS\Services\Tcpip\..\{A4AA5A3F-88B2-40C3-9B68-3419F1C7E7A0}: NameServer = 195.185.185.195,62.26.26.62 O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\reg6523.exe C:\WINDOWS\system32\winb2s32.dll C:\WINDOWS\system32\winbbb.dat C:\WINDOWS\system32\dsktrf.dll C:\WINDOWS\system32\cache32_trgen C:\WINDOWS\system32\b2s_cache C:\WINDOWS\system32\cache32_dsktptr C:\Windows\Downloaded Program Files\winb2s32.inf C:\WINDOWS\system32\prvdi.exe C:\WINDOWS\system32\dload.exe c:\127021.exe C:\WINDOWS\Nail.exe C:\WINDOWS\system32\trgen.dll C:\WINDOWS\Bolger.dll c:\windows\system32\fegynap.exe C:\WINDOWS\svcproc.exe PC neustarten suchen/loeschen:number steht fuer eine beliebige Nummer c:\windows\trgen<number>.dll c:\windows\system32\rtneg<number>.dll # Download Free Music.url # Spyware Remover.url # Download Free Movies.url # Download Free Movies.url # Download MP3s.url # Gambling Board.url # Hot Sexy Mamma.url # Rate Me.url # Kill Spyware.url # Kill Viruses.url # Popup Killer.url # Virus Hunter.url # Free IBM Laptop.url # Gamblingboard.url # Kill All Spyware.url # Rate My Body.url # YAHOOOOO!.url # Record Music.url ----------------------------------------------------------------------------------------------------- •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
10.04.2005, 15:09
...neu hier
Themenstarter Beiträge: 4 |
#3
so, na dann werd ichs gleich mal mit Jotti prüfen lassen:
Datei: svcproc.exe Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: PE_PATCH, UPX AntiVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden mks_vir Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden VBA32 Keine Viren gefunden c:\windows\system32\fegynap.exe ->Diese Datei habe ich nicht in meinem System Datei: Nail.exe Status: VIELLEICHT INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) (Anmerkung: Diese Datei wurde lediglich durch die heuristische Detektion als Malware angezeigt. Die Ergebnisse des Scans werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: PE_PATCH, UPX AntiVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden mks_vir Win32.4 gefunden (mögliche Variante) NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden VBA32 Keine Viren gefunden Virustotal hat keine Viren gefunden Das Ergebnis des Regitry Search Tools: REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "SvcProc" 10.04.2005 15:11:33 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC\0000] "Service"="SvcProc" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC\0000\Control] "ActiveService"="SvcProc" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SvcProc] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SvcProc\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SvcProc\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SvcProc\Enum] "0"="Root\\LEGACY_SVCPROC\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SVCPROC] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SVCPROC\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SVCPROC\0000] "Service"="SvcProc" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\SvcProc] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\SvcProc\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000] "Service"="SvcProc" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000\Control] "ActiveService"="SvcProc" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc\Enum] "0"="Root\\LEGACY_SVCPROC\\0000" [HKEY_USERS\S-1-5-21-527237240-920026266-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*] "a"="C:\\WINDOWS\\svcproc.exe" [HKEY_USERS\S-1-5-21-527237240-920026266-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe] "a"="C:\\WINDOWS\\svcproc.exe" zu HiJackThis: F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe lässt sich nicht fixen!! O17 - HKLM\System\CCS\Services\Tcpip\..\{A4AA5A3F-88B2-40C3-9B68-3419F1C7E7A0}: NameServer = 195.185.185.195,62.26.26.62 Das sind die DNS-Server von Tiscali Dieser Beitrag wurde am 10.04.2005 um 15:21 Uhr von bujaz editiert.
|
|
|
|
|
|
|
10.04.2005, 15:21
Ehrenmitglied
Beiträge: 29434 |
#4
ZUSATZ
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. ------------------ REGEDIT4 [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SvcProc] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SVCPROC] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\SvcProc] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc] ------------------- Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken. Start<Ausfuehren<regedit ueberpruefe, ob obriges aus der Registry geloescht ist und loesche noch: [HKEY_USERS\S-1-5-21-527237240-920026266-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*] "a"="C:\\WINDOWS\\svcproc.exe" [HKEY_USERS\S-1-5-21-527237240-920026266-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe] "a"="C:\\WINDOWS\\svcproc.exe" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
10.04.2005, 15:37
Ehrenmitglied
Beiträge: 29434 |
#5
ZUSATZ
Start<Ausfuehren<regedit <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = Explorer.exe-> loeschen:--> C:\WINDOWS\Nail.exe PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\reg6523.exe C:\WINDOWS\system32\winb2s32.dll C:\WINDOWS\system32\winbbb.dat C:\WINDOWS\system32\dsktrf.dll C:\WINDOWS\system32\cache32_trgen C:\WINDOWS\system32\b2s_cache C:\WINDOWS\system32\cache32_dsktptr C:\Windows\Downloaded Program Files\winb2s32.inf C:\WINDOWS\system32\prvdi.exe C:\WINDOWS\system32\dload.exe c:\127021.exe C:\WINDOWS\Nail.exe C:\WINDOWS\system32\trgen.dll C:\WINDOWS\Bolger.dll c:\windows\system32\fegynap.exe C:\WINDOWS\svcproc.exe PC neustarten Loeschen temporaere Dateien --> loesche die Dateien in den Ordnern, nicht die ordner selbst C:\WINDOWS\Temp\ C:\Temp\ C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\ C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 [loesche nicht die index.dat) •Stinger http://vil.nai.com/vil/stinger/ How can I try F-Secure BlackLight Rootkit Elimination Technology? A free beta version of F-Secure BlackLight is available for download. The beta is fully featured and works until April 30th 2005. http://www.f-secure.com/blacklight/cure.shtml Graphical user interface version: (Recommended for most users) lade: fsbl.exe •RAV ANTIVIRUS SCAN ONLINE http://www.ravantivirus.com/scan/index.php •Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm •Trend-Micro (Online) http://de.trendmicro-europe.com/consumer/products/housecall_launch.php http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php berichte von alles Scann (Log-Report) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
10.04.2005, 16:30
...neu hier
Themenstarter Beiträge: 4 |
#6
keiner der genannten Einträge wurde gelöscht.
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SvcProc] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SVCPROC] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\SvcProc] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc] Ich habs danach nochmal Manuell versucht -> Fehlanzeige ... nichts zu machen Diese beiden Einträge waren gar nicht vorhanden: [HKEY_USERS\S-1-5-21-527237240-920026266-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*] "a"="C:\\WINDOWS\\svcproc.exe" [HKEY_USERS\S-1-5-21-527237240-920026266-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe] "a"="C:\\WINDOWS\\svcproc.exe" <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = Explorer.exe-> loeschen:--> C:\WINDOWS\Nail.exe wurde gelöscht Die genannten Dateien wurden gelöscht, soweit vorhanden. Temporäre Dateien aus den angebenen Ordnern wurden gelöscht. |
|
|
|
|
|
|
10.04.2005, 21:29
Ehrenmitglied
Beiträge: 29434 |
#7
dann loesche manuell die Eintraege:
Sollte man Probleme haben, die Einträge zu löschen, Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen. dann  C neustarten [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC\0000] "Service"="SvcProc" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC\0000\Control] "ActiveService"="SvcProc" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SvcProc] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SvcProc\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SvcProc\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SvcProc\Enum] "0"="Root\\LEGACY_SVCPROC\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SVCPROC] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SVCPROC\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SVCPROC\0000] "Service"="SvcProc" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\SvcProc] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\SvcProc\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000] "Service"="SvcProc" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000\Control] "ActiveService"="SvcProc" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc\Enum] "0"="Root\\LEGACY_SVCPROC\\0000" [HKEY_USERS\S-1-5-21-527237240-920026266-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*] "a"="C:\\WINDOWS\\svcproc.exe" [HKEY_USERS\S-1-5-21-527237240-920026266-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe] "a"="C:\\WINDOWS\\svcproc.exe" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
12.04.2005, 18:09
...neu hier
Themenstarter Beiträge: 4 |
#8
Vielen Dank für die Hilfe @Sabina.
Ich hab mein System geplättet und neu aufgesetzt. War eh schon längst überfällig. -> Somit hat sich das Problem erledigt. N paar Tipps, wie man sich das für die Zukunft ersparen kann, wären klasse. Danke nochmals Bujaz |
|
|
|
|
|
|
13.04.2005, 17:01
Ehrenmitglied
Beiträge: 29434 |
#9
Hallo@bujaz
http://virus-protect.org/ Der zweite link (von oben) gibt einige Tipps  __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Wenn ich den IE öffne wird sofort versucht eine Verbindung zu irgendwelchen wüsten URLs aufzubauen: download.abetterinter.com; toolbar. ...
Der IE wird jedoch nicht nur 1x sondern gleich 60 oder ... mal geöffnet.
Meist hängt sich der Rechner dabei auf, bzw. die Fenster lassen sich nicht mehr schliessen
Ich habe bisher folgende Programme über mein System laufen lassen:
SpyBot - Search & Destroy
Lavasoft Ad-aware 6
Substract
CwShredder (in Subtract enthalten)
McAfee VirusScan Enterprise 8
HiJackThis
Es wurde zwar immer wieder etwas gefunden und entfernt, aber das eben beschrieben Problem wurde bisher nicht gelöst ...
hier ist das Logfile von HiJackThis:
Logfile of HijackThis v1.99.1
Scan saved at 13:45:03, on 10.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internetprogs\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Sysprogs\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Sysprogs\Logitech\MOUSEW~1\SYSTEM\EM_E XEC.EXE
C:\Programme\Sysprogs\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
c:\windows\system32\fegynap.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 4.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Internetprogs\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Internetprogs\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\Programme\Sysprogs\Acronis\TrueImage\TrueImageM onitor.exe
C:\Programme\Sysprogs\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Medienbearbeitung\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internetprogs\TVgenial\TVgenial.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Internetprogs\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Internetprogs\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Internetprogs\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Webserver\apachefriends\xampp\mysql\b in\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sysprogs\OO Software\Clever Cache Pro\OOCCSVC.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\bujaz\Desktop\hijackthis\HijackThis. exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ohb - {22B720C7-5FA6-40A8-9F8F-8584BF669690} - C:\WINDOWS\system32\trgen.dll
O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - C:\WINDOWS\Bolger.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\INTERN~2\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Internetprogs\WS_FTPpro9\wsbho2k0.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\INTERN~2\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\INTERN~2\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Sysprogs\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Sysprogs\Logitech\MOUSEW~1\SYSTEM\EM_E XEC.EXE
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Sysprogs\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 4.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Internetprogs\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Internetprogs\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Sysprogs\Acronis\TrueImage\TrueImageM onitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\INTERN~2\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Programme\Medienbearbeitung\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [yxkhndz] c:\windows\system32\fegynap.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TVgenial] C:\Programme\Internetprogs\TVgenial\TVgenial.exe -d
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\Internetprogs\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\Internetprogs\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: @C:\Programme\Internetprogs\Messenger2\im2_ie_plug in.dll,-4 - {410C30C7-098A-4090-928E-F1D356D34C7F} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Store link with e-Stalker - {410C30C7-098A-4090-928E-F1D356D34C7F} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\INTERN~2\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\INTERN~2\FlashGet\flashget.exe
O15 - Trusted Zone: http://*.windowsupdate.microsoft.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4AA5A3F-88B2-40C3-9B68-3419F1C7E7A0}: NameServer = 195.185.185.195,62.26.26.62
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Internetprogs\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Internetprogs\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Internetprogs\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: mysql - Unknown owner - C:\Programme\Webserver\apachefriends\xampp\mysql\b in\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O CleverCache Pro (OOCleverCache) - O&O Software GmbH - C:\Programme\Sysprogs\OO Software\Clever Cache Pro\OOCCSVC.exe
O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Internetprogs\Sygate\SPF\smc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
Ich hoffe, ihr könnt damit etwas anfangen.
Danke schonmal im Voraus