svchost.exe läft nicht im System32 Ordner? |
||
---|---|---|
#0
| ||
09.12.2008, 19:42
Member
Beiträge: 17 |
||
|
||
09.12.2008, 23:09
Moderator
Beiträge: 5694 |
#2
>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log: (Vor der Anwendung Update nicht vergessen) http://virus-protect.org/artikel/tools/malwarebytes.html >> Wende Combofix an und poste das Log: http://www.virus-protect.org/artikel/tools/combofix.html Gruss Swiss |
|
|
||
10.12.2008, 22:14
Member
Themenstarter Beiträge: 17 |
#3
Hallo Tonstudio,
Vielen Dank erstmal, für deine schnelle Hilfe ! So. Ich habe nun deine Anweisungen befolgt. Hier die Logs: Malwarebytes-Log: Zitat Malwarebytes' Anti-Malware 1.31Combofix Zitat ComboFix 08-12-09.03 - Reptile 2008-12-10 21:56:50.1 - NTFSx86LG, Reptile_05 |
|
|
||
11.12.2008, 16:23
Moderator
Beiträge: 5694 |
#4
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei Zitat O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\..\svchost.exe (file missing)klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst >> Start-->Ausführen kopiere rein: sc stop "Microsoft security update service" Klicke OK Nochmal dasselbe kopiere rein: Start-->Ausführen kopiere rein: sc delete "Microsoft security update service" Klicke OK >> http://www.virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) msupdate in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn >> Poste ein neus HJackthis Log. Gruss Swiss Dieser Beitrag wurde am 11.12.2008 um 16:28 Uhr von Tonstudio editiert.
|
|
|
||
12.12.2008, 17:08
Member
Themenstarter Beiträge: 17 |
#5
Hallo Tonstudio,
Der Eintrag Zitat O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\..\svchost.exe (file missing)befindet sich nicht mehr in der Liste von Hijackthis. Bei der Auswertung ist er auch nicht mehr zu finden. LG, Reptile_05 |
|
|
||
12.12.2008, 17:45
Moderator
Beiträge: 5694 |
||
|
||
13.12.2008, 02:20
Member
Themenstarter Beiträge: 17 |
#7
Ok.
Hier ist das Regsearch-Log: Zitat REGEDIT4Und hier das neue Hijackthis-Log: Zitat Logfile of Trend Micro HijackThis v2.0.2LG, Reptile_05 |
|
|
||
13.12.2008, 02:56
Moderator
Beiträge: 5694 |
#8
>>
Wende Smitrem an und poste das Logfile: http://virus-protect.org/artikel/tools/smitrem.html >> scanne mit smitfraudfix (option 1 und 2) - poste beide scanreporte http://virus-protect.org/artikel/tools/smitfrautfix.html >> Gehe in die Registry Start - Ausführen - regedit (reinschreiben) die Registry wird sich öffnen Geh auf Bearbeiten --> suchen schreib rein: msupdate Lösche die Einträge welche msupdate oder msupsater enthalten. dann klicken: weitersuchen, bis alle msupdate und msupdater Einträge gelöscht sind. Gruss Swiss Dieser Beitrag wurde am 13.12.2008 um 03:13 Uhr von Tonstudio editiert.
|
|
|
||
14.12.2008, 23:21
Member
Themenstarter Beiträge: 17 |
#9
Hi Tonstudio,
Hier sind die ganzen Logs: Smitrem-Logfile: Zitat smitRem © log fileIch hoffe, dies ist das richtige Ergebnis. Es hatte sich nämlich keine txt-Datei von selbst geöffnet. Ich habe sie dann bei Laufwerk C gefunden. SmitFraudFix-Logfile (Option 1) Zitat SmitFraudFix v2.385SmitFraudFix-Logfile (Option 2) Zitat SmitFraudFix v2.385Den letzten Schritt: Zitat Tonstudio postetehabe ich noch nicht durchgeführt, da ich mir nicht sicher war, ob du all diese Registry-Einträge meintest, die in den beiden Ordnern enthalten sind? Bild: http://img391.imageshack.us/my.php?image=26957582mf4.jpg Liebe Grüsse, Reptile_05 Dieser Beitrag wurde am 14.12.2008 um 23:31 Uhr von Reptile_05 editiert.
|
|
|
||
14.12.2008, 23:39
Moderator
Beiträge: 5694 |
#10
>>
Scanne mit Superantispyware Download SUPERAntiSpyware Klicke “yes” wenn nach Updates gesucht werden muss Gib deine E-mail addresse ein wenn danach gefragt wird Waehle “yes“ ob du gewarnt werden moechtest wenn die Startseite sich aendert Klicke "scan your computer" Selektiere die Partionen die gescannt werden sollen Hake auf der rechte Seite Perform complete scan an und klicke next Der Rechner wird jetzt gescannt Wenn "harmfull items" gefunden werden, alle anhaaken und klicke OK um weiter zugehen Wenn der scan beendet ist klicke OK um die gefundene infektionen via Quarantäne zu entfernen Klicke scanningpreferences/control centre um zurückzukehren zum Startmenu Klicke reiter statistics/logs und dann view log. Kopiere dessen Inhalt hier im Thread Klick „next“ und „ja“ um dein Rechner neu zu starten Gruss Swiss Dieser Beitrag wurde am 15.12.2008 um 01:00 Uhr von Tonstudio editiert.
|
|
|
||
15.12.2008, 19:01
Member
Themenstarter Beiträge: 17 |
#11
Hallo Tonstudio,
Als ich eben meinen PC angeschaltet hatte, kamem folgende Meldungen von meinem avast!-Virenscanner: Meldung 1: Meldung 2: Beim Neustart, scannte mein Virenscanner im blauen Bootfenster alle Dateien durch. Dabei wurde folgende Datei als infiziert erkannt: A0035773.exe Die gefundene Datei habe ich dann in die Quarantäne verschoben. Hier das Log von avast!: Zitat 12/15/2008 15:11Und bei "SUPERAntiSpyware" wurde rein nichts gefunden. In der Log-Datei steht demnach nicht wirklich etwas Brauchbares. LG, Reptile_05 Dieser Beitrag wurde am 15.12.2008 um 19:06 Uhr von Reptile_05 editiert.
|
|
|
||
15.12.2008, 19:22
Moderator
Beiträge: 5694 |
#12
>>
Bezüglich der ersten Meldung siehe hier: http://board.protecus.de/t35629.htm Edit: Also es ist tatsächlich eine Falschmeldung und gehört zu netmeeting: http://www.techimo.com/forum/security-privacy-issues/220858-avast-ils-dll.html Bezüglich der zweiten meldung mach folgendes: >> Systemwiederherstellung deaktivieren (XP): Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. dann das Häkchen wieder rausnehmen. (also wieder aktivieren) >> Dann dürfte alles wieder sauber sein. Tretten noch probleme auf? Gruss Swiss Dieser Beitrag wurde am 15.12.2008 um 20:02 Uhr von Tonstudio editiert.
|
|
|
||
15.12.2008, 21:24
Member
Themenstarter Beiträge: 17 |
#13
So fertig. Sonst treten keine Problem auf. Ich freue mich sehr, dass nun
alles wieder sauber zu sein scheint. Ich lasse die Datei in der Quarantäne. Wenn es Probleme geben sollte, kann ich sie zur Not ja noch wiederherstellen. Ich muss mich herzlich bei dir bedanken ! Ich danke dir sehr für deine Hilfsbereitschaft und das du dir Zeit und Arbeit, genommen hast. LG, Reptile_05 |
|
|
||
16.12.2008, 15:06
Moderator
Beiträge: 5694 |
||
|
||
Wie immer führe ich ab und an, einen Hijackthis-Scan durch.
Dieses Mal wurde jedoch etwas gefunden. Mein svchost.exe-Prozess
wurde von der Auswertung als schädlich eingestuft. Als Grund wird beschrieben, dass der angebliche Systemprozess nicht im System32 Ordner läuft.
Einen Virenscan auf die svchost.exe-Datei zu machen ist wie ich es mir gedacht habe, nicht wirklich nötig, da der Prozess ja nicht als Virus/Trojaner eingestuft wurde, sondern als schädlich weil er einfach im falschen Ordner läuft.
Den Scan habe ich trotzdem bei http://virusscan.Jotti.org durchführen lassen.
(kein Fund). Die Recherche nach dem Dateinamen habe ich mir erspart, da dies ja ein gewöhnliche Name für einen Systemprozess ist. Mein Avast-Scanner hat bisher auch nichts gefunden. Hier ist mal die Logauswertung von Hijackthis:
Zitat
Ich weiß nun leider nicht mehr weiter. Vielleicht wisst ihr ja mehr, wie man da nun rann gehen kann.LG,
Reptile_05