Generic Host Process for Win32 Services beendet Internetconnection

#91 wahwah

dieser rechner sollte schnellstens formatiert werden, ist verseucht mit einem Wurm/Backdoor

O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#92 Vielen Dank!

Hatte ich sowieso mal vor - hat sich einiges an "Müll" angeheuft.

#93 nur mal so ne rand bemerkung! Ihr sucht nach einem Phantom Wurm ..es ist nicht der berüchtigte Blaster32 ..sondern das problem liegt vielmehr an eurer svchost.exe! Und lösen lässt sich das Problem bis jetzt nur durch eine komplette neu installation von windwos.. zu dem solltet ihr den windows firewall auf "inaktiv" stellen, der blockiert nämlich euren (hoffentlich vorhandenen) anderen FW ..


aber da ich das problem troz allem nicht los werden kann liegt meine letzte hoffnung an sabina und ihren fähigkeiten .. hier mein log file:
Logfile of HijackThis v1.99.1
Scan saved at 22:11:02, on 30.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Razer\razerhid.exe
C:\Tools\winamp\winamp\winampa.exe
C:\Tools\D-Tools\DAEMON Tools\daemon tools 4.00\daemon.exe
C:\PROGRA~1\Softwin\BITDEF~2\bdmcon.exe
C:\Programme\Softwin\BitDefender9\bdoesrv.exe
C:\PROGRA~1\Softwin\BITDEF~2\bdnagent.exe
C:\PROGRA~1\Softwin\BITDEF~2\bdswitch.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ComCenter\IWatch.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
C:\Programme\Razer\razerofa.exe
C:\Tools\winamp\winamp\winamp.exe
C:\Programme\Cherry\CDI\cdi.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Tools\ICQLite\ICQLite.exe
C:\Tools\Firefox\firefox.exe
C:\DOKUME~1\KNOXVI~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.freeze.com/start.shtml
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Tools\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Tools\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [razertra] C:\Tools\Razer\razertra.exe
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Tools\winamp\winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Tools\D-Tools\DAEMON Tools\daemon tools 4.00\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~2\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\Softwin\BITDEF~2\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\PROGRA~1\Softwin\BITDEF~2\bdswitch.exe"
O4 - HKLM\..\Run: [CherryKeyMan] "C:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Tools\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\ComCenter\IWatch.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Tools\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Tools\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\KeyMan\IEMenuExtKeyman.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Tools\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Tools\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{F46B2D2E-D17F-42DB-9946-D69AEC2DA228}: NameServer = 217.237.150.188 217.237.150.115
O17 - HKLM\System\CS2\Services\Tcpip\..\{414FFA1E-F433-404D-BBCE-2D1C9DA284B1}: NameServer = 192.168.121.252,192.168.121.253
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - C:\Programme\Cherry\CDI\cdi.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Tools\TuneUp\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

#94 don baum

die Loesung ist (hoffentlich) einfach:

1.Windows Worms Doors Cleaner anwenden - alles auf gruen stellen
http://virus-protect.org/windsdoorcleaner.html

2. hilft das nicht: das anwenden
http://www.dingens.org

dann berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#95 hallo,
ich glaub ich hab das problem (dank Sabina) los ..
Aber nun bin ich bei nem Freund und der hat zufälligerweiße das gleiche problem.
Ich hab auch hier alle ports mithilfe von dem windowsdoorcleaner da geschlossen!
Aber mir ist hier aufgefallen das der pc hier gar kein Firewall oder Virenschutz drauf hat.. Nun will ich fragen was ist denn der beste virenschutz+firewall ..oder ich frag einfach sabina was hast denn du für einen ?

danke im vorraus

#96 Hallo,

ich habe das gleiche Problem und durch Mitlesen bzw. Anwenden eine Lösung erhofft. Leider hat bei mir das Schließen der Ports keine Abhilfe gebracht. Vielleicht findet jemand in den Logs die Fehlerursache und kann mir weiterhelfen.

Aufgefallen ist mir, dass WWDC beim 3. Punkt NetBios die Meldung anzeigt: "Netbios will disabled after the next reboot". Ich habe seit Ausführen von WWDC den Rechner bereits 2 Mal neugestartet und gerade eben zur Sicherheit noch einmal.

Vorher noch in Kurzform die unternommenen Schritte seit Auftreten des Problems, ich habe hoffentlich nichts vergessen - es lag ein Urlaub dazwischen.

1. Installation + Update Antivir PE Classic
2. Ad-Aware ausgeführt
3. Windows-Update WindowsXP-KB894391-x86-DEU, welches zum GenericHost-Problem von MS veröffentlicht wurde
4. Deinstallieren alter Softwareprogramme + IPX-Protokoll
5. Versuch über Systemwiederherstellungspunkt das System mit Stand Ende Juli herzustellen -> gescheitert
6. Lesen dieses Beitrages -> Ausführen des Windows Worms Doors Cleaner + CleanUp


Leider alles ohne Erfolg.
Zeitdauer der Meldung nach Aufbau der Internetverbidung: variabel, ca. 2-10 min

--------------------------------------------------------------

HiJackThis


Logfile of HijackThis v1.99.1
Scan saved at 18:45:58, on 04.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
F:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://ddclan.s01.user-portal.com/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE

C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [VirtualDrive] C:\Progs\Virtual Drive\vdtask.exe /AutoRestore /Silence
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -

res://F:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Progs\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} -

C:\Progs\ICQ\ICQ.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -

C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE8D3766-C35C-42C6-82A9-FC7F83EFE5CB}: NameServer =

62.104.191.241 62.104.196.134
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} -

f:\Bibliothek\HRInstmon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH -

C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH -

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -

C:\WINDOWS\system32\nvsvc32.exe

--------------------------------------------------------------

ComboFix


LekSer - 06-09-04 18:50:00,82
ComboFix 06.09.04BT - Running from: C:\Downloads\Antiviren

Microsoft Windows XP [Version 5.1.2600]

((((((((((((((((((((((((((((((( Files Created from 2006-08-04 to 2006-09-04

))))))))))))))))))))))))))))))))))


2006-09-03 19:46 2,082,544 --a------ C:\WindowsXP-KB894391-x86-DEU.exe
2006-09-01 19:20 57,384 --a------ C:\WINDOWS\system32\avsda.dll
2006-08-06 17:39 967 --a------ C:\WINDOWS\SCUnin.pif
2006-08-06 17:39 70,656 --a------ C:\WINDOWS\SCUnin.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report

)))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-01 17:57 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points

))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"SiSUSBRG"="C:\\WINDOWS\\SiSUSBrg.exe"
"SoundMan"="SOUNDMAN.EXE"
"SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_01\\bin\\jusched.exe"
"VirtualDrive"="C:\\Progs\\Virtual Drive\\vdtask.exe /AutoRestore /Silence"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveAutoRun"=dword:00200018

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:000000b1

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,12,03,00,00,23,00,00,00,dc,00,00,00,d2,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\DAEMON Tools-1033]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"F:\\DaemonTools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\RealTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RealPlay"
"hkey"="HKLM"
"command"="C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER"
"inimapping"="0"



Completion time: 04.09.2006 18:50:13.84
ComboFix.txt

--------------------------------------------------------------

system32.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 130C-10DF

Verzeichnis von C:\WINDOWS\system32

19.09.2063 06:50 5.501 rtclmg32.dll
04.09.2006 18:16 4.452 nvapps.xml
03.09.2006 19:05 49.028 prfc0407.dat
03.09.2006 19:05 318.106 prfh0407.dat
03.09.2006 19:05 312.946 perfh009.dat
03.09.2006 19:05 40.664 perfc009.dat
03.09.2006 13:13 1.158 wpa.dbl
01.09.2006 17:57 43.520 CmdLineExt03.dll
02.06.2006 11:04 57.384 avsda.dll
18.05.2006 23:08 21.840 SIntfNT.dll
18.05.2006 23:08 17.212 SIntf32.dll
18.05.2006 23:08 12.067 SIntf16.dll



--------------------------------------------------------------


Temp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 130C-10DF

Verzeichnis von C:\DOKUME~1\LekSer\LOKALE~1\Temp


--------------------------------------------------------------

Windwos


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 130C-10DF

Verzeichnis von C:\WINDOWS

04.09.2006 18:22 403.514 WindowsUpdate.log
04.09.2006 18:16 0 0.log
04.09.2006 18:16 159 wiadebug.log
04.09.2006 18:16 2.048 bootstat.dat
04.09.2006 18:15 50 wiaservc.log
04.09.2006 18:15 32.618 SchedLgU.Txt
03.09.2006 19:47 17.423 KB894391.log
03.09.2006 19:33 877.468 setupapi.log
03.09.2006 19:27 656 win.ini
03.09.2006 19:27 227 system.ini
03.09.2006 19:18 618 oleco.ini
01.09.2006 20:03 34.329 tsoc.log
01.09.2006 20:03 3.694 ocmsn.log
01.09.2006 20:03 10.171 iis6.log
01.09.2006 20:03 34.026 comsetup.log
01.09.2006 20:03 19.895 ntdtcsetup.log
01.09.2006 20:03 1.355 imsins.log
01.09.2006 20:02 87.694 FaxSetup.log
01.09.2006 20:02 3.900 msgsocm.log
01.09.2006 20:02 51.006 ocgen.log
01.09.2006 20:02 1.085 updspapi.log
31.08.2006 10:31 23 popcinfo.dat
12.08.2006 20:54 116 NeroDigital.ini
06.08.2006 17:39 25.930 scunin.dat
06.08.2006 17:39 70.656 SCUnin.exe
06.08.2006 17:39 967 SCUnin.pif
03.08.2006 20:44 195.997 wmsetup.log
24.07.2006 18:50 3.211 ULEAD32.INI
26.06.2006 21:19 17 Missing.ini
26.06.2006 21:19 1.409 QTFont.for
26.06.2006 21:19 54.156 QTFont.qfn
18.05.2006 23:10 14.700 DIIUnin.dat
18.05.2006 22:58 2.829 DIIUnin.pif
18.05.2006 22:58 102.400 DIIUnin.exe



--------------------------------------------------------------

c:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 130C-10DF

Verzeichnis von C:\

04.09.2006 18:27 0 sys.txt
04.09.2006 18:26 7.760 system.txt
04.09.2006 18:25 132 systemtemp.txt
04.09.2006 18:24 101.699 system32.txt
04.09.2006 18:16 805.306.368 pagefile.sys
04.09.2006 18:16 536.399.872 hiberfil.sys
03.09.2006 19:27 211 boot.ini
01.09.2006 19:56 2.082.544 WindowsXP-KB894391-x86-DEU.exe




Vielen Dank schon einmal.

#97 don baum

das beste ist immer ein Router + intergrierter Firewall

http://virus-protect.org/firewalls.html
als Desktop-Firewall .Sygate (free)
Sygate
http://www.sygate.de/

Test : Ports:
http://virus-protect.org/portauthority.html
__________
MfG Sabina

rund um die PC-Sicherheit

#98 LekSer

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\rtclmg32.dll

poste den report

------------------------------------------------------------

1.
wenn du in keinem netzwerk bist, wende das an:
Windows-Dienste abschalten!
http://www.dingens.org

2.
Start - Einstellungen - Systemsteuerung - Verwaltung - Computerverwaltung - und dann den Eintrag Dienste auswählen

TCP/IP-NetBIOS-Hilfsprogramm
Startarten: Manuell, automatisch, deaktiviert
Ermöglicht die Unterstützung vom NetBIOS-über-TCP/IP-Dienst (NetBT) und die NetBIOS-Namensauflösung.

Hinweis: Für die meisten Netzwerkverbindungen nicht erforderlich, und zugleich ein potentielles Sicherheitsproblem. Sollten nach dieser Einstellung Netzwerkprobleme auftauchen, Einstellung zurücksetzen
__________
MfG Sabina

rund um die PC-Sicherheit

#99 Hallo,

heute hat das mit dem Schließen der Ports geklappt. Vielleicht hängt es mit einer der Änderungen zusammen, die ich gestern Abend noch gemacht habe:

1. Deaktivieren Datei/Druckerfreigabe
2. Deinstallieren und Installieren NetBisos-Protokoll

Habe heute auf der Microsoft-Seite noch eine Updates entdeckt, die sich wohl mit der Problematik beschäftigen. Allerdings sollen die laut einigen Foren wohl ein paar Wechselwirkungen haben.

Lohnt es sich von IE auf Firefox zu wechsel?
Ist der aktuelle Fehler ein Wurm, der sich immer noch auf meinem Rechner befindet oder eine ständige Attacke von außerhalb, die nun unterbunden ist?

Auf jeden Fall konnte ich heute 1 Stunde surfen. Hier zur Vollständigkeit noch einmal das Protokoll von virustotal:

STATUS: FINISHEDComplete scanning result of "rtclmg32.dll", received in VirusTotal at 09.05.2006, 23:33:50 (CET).

Antivirus Version Update Result
AntiVir 7.1.1.11 09.05.2006 no virus found
Authentium 4.93.8 09.05.2006 Not scanned (unknown file format)
Avast 4.7.844.0 09.04.2006 no virus found
AVG 386 09.05.2006 no virus found
BitDefender 7.2 09.05.2006 no virus found
CAT-QuickHeal 8.00 09.05.2006 no virus found
ClamAV devel-20060426 09.05.2006 no virus found
DrWeb 4.33 09.05.2006 no virus found
eTrust-InoculateIT 23.72.115 09.04.2006 no virus found
eTrust-Vet 30.3.3063 09.05.2006 no virus found
Ewido 4.0 09.05.2006 no virus found
Fortinet 2.77.0.0 09.04.2006 no virus found
F-Prot 3.16f 09.05.2006 no virus found
F-Prot4 4.2.1.29 09.05.2006 no virus found
Ikarus 0.2.65.0 09.05.2006 no virus found
Kaspersky 4.0.2.24 09.05.2006 no virus found
McAfee 4845 09.05.2006 no virus found
Microsoft 1.1560 09.05.2006 no virus found
NOD32v2 1.1740 09.05.2006 no virus found
Norman 5.90.23 09.05.2006 no virus found
Panda 9.0.0.4 09.05.2006 no virus found
Sophos 4.09.0 09.05.2006 no virus found
Symantec 8.0 09.05.2006 no virus found
TheHacker 5.9.8.204 09.04.2006 no virus found
UNA 1.83 09.05.2006 no virus found
VBA32 3.11.1 09.05.2006 no virus found
VirusBuster 4.3.7:9 09.05.2006 no virus found


Aditional Information
File size: 5501 bytes
MD5: 27ff940b5793bdbdf1ae0cef4b139c5b
SHA1: 53945941ab8b623719eee621313fc10585adf885

Vielen Dank für die Hilfe.

#100 LekSer

der Firefox ist immer zu empfehlen, der IE bleibt fuer die Windowsupdates.
http://virus-protect.org/firefox.html
Der Exploit kommt ueber geoeffnete Ports ins System, hat nichts mit dem Browser zu tun
__________
MfG Sabina

rund um die PC-Sicherheit

#101 Liebe Sicherheitsexperten,

mein Rechner zeigt die gleichen eigenartigen Symptome wie im thread http://board.protecus.de/t24781.htm beschrieben: Generic Host Services Fehlermeldung; Internet-Verbindung wird nach 5-10 min ohne eigens Zutun getrennt, aber in Task-Leiste noch aktiv angezeigt, dabei veraändert sich kurz die Farbe der Taskleiste und des Browsers (Mozilla Firefox). Dies siet ca. 4 Wochen, ca. seit dem 20.08.2006.

Nach intensivem Lesen des Threads in Eurem Forum habe ich wie empfohlen den "Windows Worms Doors Cleaner" installiert und die Ports abgedreht.
Eine anschließende ca. 30-minütige Internet-Einwahl zeigte keine Probleme mehr! Sollte dies schon die Lösung meines Problems gewesen sein?

Noch eine Bemerkung zum "Windows Worms Doors Cleaner" Prozedere:
Meldung danach: "Your system is already well protected!" ABER: NetBIOS scheint noch aktiv, da auch nach mehrmaligem Rechner-Neustart NetBIOS mit gelbem Dreieck, Button "Enable NetBIOS" und "NetBIOS will be DISABLED after the next REBOOT" erscheint. Danach habe ich den Dienst "TCP/IP-NetBIOS-Hilfsprogramm" eigenhändig in der Dienste-Verwaltng von default "automatisch" auf "deaktiviert" abgedreht. Nach Rechner-Neustart wird dieser auch als "daktiviert" unter "Dienste" angezeigt, allerdings erscheint im "Windows Worms Doors Cleaner" immer noch dieselbe Meldung "NetBIOS will be DISABLED after the next REBOOT".


Da ich trotzt der o.a. Maßnahmen von der Sicherheit meines Systems nicht überzeugt bin, poste ich mein hijackthis log-file mit der Bitte an Euch, einen prüfenden Blick drauf zu werfen.
1000-Dank dafür schon jetzt im voraus. Und ebenfalls für Euren hervorragenden Service hier!!

Logfile of HijackThis v1.99.1
Scan saved at 15:20:17, on 18.9.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\tppaldr.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe
C:\Programme\Workshop\Spooler.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,F:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\..\Run: [PowerBar] "C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: Druckerspooler für Windows.lnk = C:\Programme\Workshop\Spooler.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4FD9624-1908-4CB3-8B66-B49BFDFC0AA9}: NameServer = 192.168.120.252,192.168.120.253
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NetMeeting-Remotedesktop-Freigabe (mnmsrvc) - Unknown owner - F:\WINDOWS\System32\mnmsrvc.exe (file missing)
O23 - Service: Sitzungs-Manager für Remotedesktophilfe (RDSessMgr) - Unknown owner - F:\WINDOWS\system32\sessmgr.exe (file missing)

#102 ebm4ever

du zwei aktive Festplatten, c und f - du musst es auf beiden anwenden

1. Deaktivieren Datei/Druckerfreigabe
2. Deinstallieren und Installieren NetBisos-Protokoll

-------------------------------------------------------------------

entpacke das Proggie auf c:\ und auf f:\

ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip
- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#103 sabina

f:\ ist ein dvd-brenner (LG GSA-4188B) ??

Ändert das was an deinen Anweisungen?

Danke schon mal.

#104 deshalb will ich f:\ sehen

Zitat

O23 - Service: NetMeeting-Remotedesktop-Freigabe (mnmsrvc) - Unknown owner - F:\WINDOWS\System32\mnmsrvc.exe (file missing)
O23 - Service: Sitzungs-Manager für Remotedesktophilfe (RDSessMgr) - Unknown owner - F:\WINDOWS\system32\sessmgr.exe (file missing)

__________
MfG Sabina

rund um die PC-Sicherheit

#105 sabina

ServiceFilter auf F:\ nicht zu koperen, da leeres DVD-RW-Laufwerk

ServiceFilter log-file (auf C:\ entpackt und ausgeführt):
--> POST_THIS.TXT:

The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600 Service Pack 2
Sep 18, 2006 18:07:30


===> Begin Service Listing <===

Unknown Service #1
Service Name: aswUpdSv
Display Name: avast! iAVS4 Control Service
Start Mode: Auto
Start Name: LocalSystem
Description: Bietet das automatische Update für avast! ...
Service Type: Own Process
Path: "c:\programme\alwil software\avast4\aswupdsv.exe"
State: Running
Process ID: 1368
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #2
Service Name: avast! Antivirus
Display Name: avast! Antivirus
Start Mode: Auto
Start Name: LocalSystem
Description: Verwaltet und implementiert avast! Antivirus Dienste für diesen Computer. Dies beinhaltet den ...
Service Type: Own Process
Path: "c:\programme\alwil software\avast4\ashserv.exe"
State: Running
Process ID: 1380
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 3
Service Name: avast! Mail Scanner
Display Name: avast! Mail Scanner
Start Mode: Manual
Start Name: LocalSystem
Description: Implementiert Mailüberprüfung durch avast! ...
Service Type: Own Process
Path: "c:\programme\alwil software\avast4\ashmaisv.exe" /service
State: Running
Process ID: 708
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 4
Service Name: avast! Web Scanner
Display Name: avast! Web Scanner
Start Mode: Manual
Start Name: LocalSystem
Description: Implementiert Internetüberprüfung (HTTP) durch avast! ...
Service Type: Own Process
Path: "c:\programme\alwil software\avast4\ashwebsv.exe" /service
State: Running
Process ID: 1780
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 5
Service Name: BlueSoleil Hid Service
Display Name: BlueSoleil Hid Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\ivt corporation\bluesoleil\btntservice.exe
State: Running
Process ID: 1404
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 6
Service Name: CCALib8
Display Name: Canon Camera Access Library 8
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\canon\cal\calmain.exe
State: Running
Process ID: 256
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 7
Service Name: de_serv
Display Name: AVM FRITZ!web Routing Service
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\gemeinsame dateien\avm\de_serv.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #8
Service Name: InCDsrv
Display Name: InCD Helper
Start Mode: Auto
Start Name: LocalSystem
Description: Helper service for the InCD filesystem ...
Service Type: Own Process
Path: c:\programme\ahead\incd\incdsrv.exe
State: Running
Process ID: 940
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 9
Service Name: LightScribeService
Display Name: LightScribeService Direct Disc Labeling Service
Start Mode: Auto
Start Name: LocalSystem
Description: Used by the LightScribe software components to support 3rd party disc labeling applications using ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\lightscribe\lssrvc.exe"
State: Running
Process ID: 1500
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #10
Service Name: mnmsrvc
Display Name: NetMeeting-Remotedesktop-Freigabe
Start Mode: Manual
Start Name: LocalSystem
Description: Ermöglicht einem autorisierten Benutzer an einem anderen Computer auf diesen Computer mit ...
Service Type: Own Process
Path: f:\windows\system32\mnmsrvc.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #11
Service Name: RDSessMgr
Display Name: Sitzungs-Manager für Remotedesktophilfe
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet und überwacht die Remoteunterstützung. Die Remoteunterstützung wird beim Beenden dieses ...
Service Type: Own Process
Path: f:\windows\system32\sessmgr.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #12
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{57743d36-9ad9-4c86-9ccc-ca0d3d9c3ae5}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 88 Win32 services on this machine.
12 were unrecognized.

Script Execution Time: 1,140625 seconds.

Zusatzinfo:

Habe mit WWDC das NetBios nochmal aktiviert und dann deaktiviert ohne default (mit NEIN bestätigt). Jetzt zeigt der WWDC alles auf GRUEN.

Aber jetzt funktioniert mein LAN nicht mehr.
Habe einen 2. Rechner (mit Windows98) vernetzt. NetBios wird für die Datenfreigabe wohl benötigt und die brauche ich auch.

Also mit WWDC NetBios wieder enabled und mit WWDC-Standard-Einstellung disabled, jetzt habe ich bei NetBios wieder den alten Zustand (gelbes Dreieck), mein LAN funktioniert aber wieder.

Soll ich deine Anweisungen noch ausführen.

Zitat

1. Deaktivieren Datei/Druckerfreigabe
2. Deinstallieren und Installieren NetBisos-Protokoll

Wenn ja, wie deinstalliere und installiere ich NetBios und was mach ich mit meinem LAN?