Problem svchostc lässt sich nicht beenden (w98)

#1 Hallo , habe seit heut das Problem das sich beim PC mit W98 beim hochfahren Links auf dem Desktop einnisten sowie die Startadresse sich nicht merh ändern lässt. Auffällig sind die zeitgleich unter Windows erstellten Programme reg 32 und svchost, lassen sich beide nicht löschen, PC lässt sich nicht mehr runterfahren (Fehlermeldung sychostc muss vor windows beendet werden), was kann ich tun?

Interceptor

#2 Obwohl ich immer schnell mit Hijackthis "drohe", versuche es ersteinmal mit einem Onlinescanner(RAV oder Trend micro):
http://www.bul-online.de/av/onlinescan.html
__________
MfG Ralf
SEO-Spam Hunter

#3 Danke für den Tip, leider kann ich mit dem Rechner nicht mehr online gehen, habe gestern bereits diverse Daten überspielt und win neu installiert. Mir fehlen jetzt leider die Zugangsdaten :-((
Interceptor

#4 Wenn du Analog oder mit ISDN unterwegs bist, kannst du dir ja mal den Smartsurfer herunterladen! http://smartsurfer.web.de/
__________
MfG Ralf
SEO-Spam Hunter

#5 sorry, ich bin parallel mit dem Laptop im Netz, der SMartsurfer ist leider für ne Diskette zu groß, hab ihn zwar auf dem Laptop aber nicht auf dem infizierten Rechner

#6 Du kannst es ja via einem Zip Programm aufsplitten Winzip/Winrar koennen das oder auf eine CD-RW brennen.
Hijackthis passt auf eine Disk und das erezeugte Log auch!
http://www.helpers.de/forum/message.php?forum_id=5&mess_id=200081&act=on
__________
MfG Ralf
SEO-Spam Hunter

#7 OK, danke, Hier der scan:

Logfile of HijackThis v1.97.7
Scan saved at 17:49:18, on 07.12.03
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\SAITEK\SAITEK GAMING EXTENSIONS\SAICNFIG.EXE
C:\WINDOWS\WINUPDATE.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\WINDOWS\SVCHOST.EXE
C:\WINDOWS\REG32.EXE
C:\WINDOWS\SYSTEM\SVCHOSTS.EXE
C:\WINDOWS\SYSTEM\SVCHOSTC.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\INTERVIDEO\COMMON\BIN\WINCINEMAMGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://itseasy.us/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://itseasy.us/browser/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://security-warning.com/secure2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://security-warning.com/secure2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://209.61.165.65/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://itseasy.us/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchxp.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://security-warning.com/secure2.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://security-warning.com/secure2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchxp.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://xwebsearch.biz/
O2 - BHO: (no name) - {f760cb9e-c60f-4a89-890e-fae8b849493e} - C:\WINDOWS\MADISE.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATIGART] c:\ati\gart\atigart.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaaa.exe
O4 - HKLM\..\Run: [SAITEKAUTOCONFIGURE] C:\Programme\Saitek\Saitek Gaming Extensions\saicnfig.exe /autorun
O4 - HKLM\..\Run: [WindowsMGM] C:\T-ONLINE\EMAIL2\1WLPB65J.TMP\ANLTMP\UNTITLED.PIF
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\WINUPDATE.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [Reg32] C:\WINDOWS\reg32.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - User Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - User Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - User Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .avi: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .bmp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de
O15 - Trusted Zone: *.waitsex.com
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} (IRDIXAObj Class) -

#8 Da ist eine Menge zu machen. Lies dir erstmal das durch und den Cleaner benutzen: http://www.merijn.org/cwschronicles.html

und loesche das:

O15 - Trusted Zone: *.waitsex.com
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} (IRDIXAObj Class) -

Danach bitte ein neues Log posten und schauen, was schon alles weg ist.
__________
MfG Ralf
SEO-Spam Hunter

#9 OK, hier das Log:
Logfile of HijackThis v1.97.7
Scan saved at 18:10:31, on 07.12.03
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\SAITEK\SAITEK GAMING EXTENSIONS\SAICNFIG.EXE
C:\WINDOWS\WINUPDATE.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\WINDOWS\SVCHOST.EXE
C:\WINDOWS\REG32.EXE
C:\WINDOWS\SYSTEM\SVCHOSTS.EXE
C:\WINDOWS\SYSTEM\SVCHOSTC.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\INTERVIDEO\COMMON\BIN\WINCINEMAMGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://itseasy.us/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://itseasy.us/browser/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://security-warning.com/secure2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://security-warning.com/secure2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://209.61.165.65/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://itseasy.us/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchxp.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://security-warning.com/secure2.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://security-warning.com/secure2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchxp.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://xwebsearch.biz/
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATIGART] c:\ati\gart\atigart.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaaa.exe
O4 - HKLM\..\Run: [SAITEKAUTOCONFIGURE] C:\Programme\Saitek\Saitek Gaming Extensions\saicnfig.exe /autorun
O4 - HKLM\..\Run: [WindowsMGM] C:\T-ONLINE\EMAIL2\1WLPB65J.TMP\ANLTMP\UNTITLED.PIF
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\WINUPDATE.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [Reg32] C:\WINDOWS\reg32.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - User Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - User Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - User Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .avi: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .bmp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de

#10 Mehr hat http://www.spywareinfo.com/~merijn/junk/CWShredder.exe nicht gefunden?
Egal, bitte das Fixen:

Alles was unter R0 R1 steht
O4 - HKLM\..\Run: [WindowsMGM] C:\T-ONLINE\EMAIL2\1WLPB65J.TMP\ANLTMP\UNTITLED.PIF
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\WINUPDATE.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [Reg32] C:\WINDOWS\reg32.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - User Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - User Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - User Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe

Danach bitte mal ein aktuelles AV-Programm, oder einen Onlinescanner(RAV oder Trend micro) Die infizierten Dateien loeschen lassen.
http://www.bul-online.de/av/onlinescan.html

Auch solltest du dir mal ueberlegen auf den IE 6.0 SP1 umzusteigen. Das sollte dir via www.windowsupdate.com angeboten werden oder nimm eine PC-Zeitschriften CD da sollte es auch dabei sein, und dann die Updateseite besuchen. Dann ist der Download nicht so gross.
__________
MfG Ralf
SEO-Spam Hunter

#11 Vielen Dank, Problem ist weg. Werde mal updaten. Das einzige was jetzt noch ist, ich kann die Farben und die Auflösung nicht mehr ändern, bedeutet ändern schon aber der PC übernimmt die Einstellung nach dem Hochfahren nicht mehr, habe ich vielleicht was zuviel gelöscht?

Interceptor

#12 Du kannst ja mal unter http://www.ati.com/support/driver.html einen neuen Grafikkartentreiber installieren.
__________
MfG Ralf
SEO-Spam Hunter

#13 Hallo Raman,

hab Dank, es ist alles wieder OK.

Interceptor