[Windows Update System Shell] svhostcs32.exe |
||
---|---|---|
#0
| ||
21.05.2005, 21:47
...neu hier
Beiträge: 2 |
||
|
||
22.05.2005, 13:12
Moderator
Beiträge: 7805 |
#2
Arbeite bitte in diesem Artikel die Loesungsansaetze 1-5 durch und poste dann ein neues Log(incl. das letzte Escanlog)
http://board.protecus.de/t9373.htm Ich denke KAV hat dich schon von diverser Malware befreit? Da scheinen einige "O4" Leichen uebrig geblieben zu sein. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.05.2005, 14:40
Ehrenmitglied
Beiträge: 29434 |
#3
Hallo@syshadow
Starten eines FTP-Servers Starten eines Webservers Teilnehmen an Distributed-Denial-of-Service (DDoS)-Attacken Speichern von Tastenfolgen Erstellen von Bildschirm- und Webcam-Aufnahmen Packetsniffing Portscanning Stehlen von CD-Schlüsseln Herunterladen/Ausführen beliebiger Dateien Starten einer Remoteshell (RLOGIN) #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {E29B01C7-ED9B-27DC-D907-01F2621B9A98} - C:\WINDOWS\ipvy.dll (file missing) O4 - HKLM\..\Run: [Windows Compliant] nnjrjp.exe O4 - HKLM\..\Run: [vwd] C:\WINDOWS\vwd.exe O4 - HKLM\..\RunServices: [Windows Update System Shell] svhostcs32.exe O4 - HKLM\..\RunServices: [Windows Compliant] nnjrjp.exe O4 - HKCU\..\Run: [Windows Update System Shell] svhostcs32.exe O4 - HKCU\..\Run: [Windows Compliant] nnjrjp.exe neustarten Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt um zu finden:FTP-Server Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der 15 letzten Tage raus einzeln reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit --------------------- •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\System32\svhostcs32.exe C:\WINDOWS\ipvy.dll C:\nnjrjp.exe C:\WINDOWS\vwd.exe mache einen Onlinescan mit panda+ berichte, was gefunden wurde. http://virus-protect.org/onlinescan.html ------------------ Die folgenden Patches für die Betriebssystemschwachstellen, die von W32/Rbot-AAZ ausgenutzt werden, stehen auf der Microsoft Website zur Verfügung: MS04-011. MS04-012. MS03-007. MS01-059. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.05.2005, 22:43
...neu hier
Themenstarter Beiträge: 2 |
#4
Hallo Sabia,
danke für die Info! Habe folgende Meldung erhalten: C:\Dokumente und Einstellungen\Torsten\Eigene Dateien\rkfiles PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Files Found in system Folder............ ------------------------ C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 Files Found in all users startup Folder............ ------------------------ Files Found in all users windows Folder............ ------------------------ Finished bye Das Weitere kapiere ich ehrlich geagt nicht. (Kann ich mir das auch "sparen" ?) Falls ich die Sachen trotzdem ausführen sollte, lass es mich bitte wissen. Die Patches für die Betriebssystemschwachstellen werde ich mir besorgen. Nochmals 1000 Dank für Deine Mühen! Gruß syshadow |
|
|
||
23.05.2005, 00:23
Ehrenmitglied
Beiträge: 29434 |
#5
Start--> Ausfuehren--> reinschreiben:
cmd kopiere nur die Eintraege der 15 letzten Tage raus einzeln reinkopieren:...das heisst: mit der rechten Maustaste-->kopieren--> in das schwarze Konsolenfenster-->Einfuegen druecken (auch mit der rechten Maustaste) cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit nun oeffnet sich der Editor, es ist ganz leicht Das postest du hier in Forum cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit nun oeffnet sich der Editor, es ist ganz leicht Das postest du hier in Forum cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit nun oeffnet sich der Editor, es ist ganz leicht Das postest du hier in Forum cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit nun oeffnet sich der Editor, es ist ganz leicht Das postest du hier in Forum --------------------- __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ich befürchte, ich habe mir etwas eingefangen - hier mein hijack:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Reality Fusion\Reality Fusion GameCam SE\Program\RFTRay.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
D:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Torsten\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lwww.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {E29B01C7-ED9B-27DC-D907-01F2621B9A98} - C:\WINDOWS\ipvy.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Windows Compliant] nnjrjp.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [vwd] C:\WINDOWS\vwd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [KASP] "d:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\OESpamTest.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [BROWSER.EXE] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Programme\Internet Explorer\IEXPLORE.EXE
O4 - HKLM\..\Run: [KAVPersonal50] "d:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "d:\Programme\Corel\Graphics10\Register\NAVBrowser.exe" /r /i "d:\Programme\Corel\Graphics10\Register\NavLoad.ini"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\RunServices: [Windows Update System Shell] svhostcs32.exe
O4 - HKLM\..\RunServices: [Windows Compliant] nnjrjp.exe
O4 - HKCU\..\Run: [Windows Update System Shell] svhostcs32.exe
O4 - HKCU\..\Run: [Windows Compliant] nnjrjp.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = D:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Reality Fusion GameCam SE.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112764314715
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C1D0115-8398-4E58-BC45-78B0536BC9F0}: NameServer = 217.237.150.97 217.237.149.161
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: kavsvc - Kaspersky Lab - d:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - D:\Programme\Kerio\Personal Firewall\persfw.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe