Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.09.2007, 12:47   #1
ErrOR^
 
Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services) - Standard

Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services)



Hi,

ich habe seit einiger Zeit das Problem,dass nach jedem Systemstart ich folgende Fehlermeldung bekomme:

Datenausführungsverhinderung - Microsoft Windows
Dieses Programm wurde aus Sicherheitsgründen geschlossen

Name: Generic Host Process for Win32 Services
Herausgeber: Microsoft Corporation

Anschließend klicke ich auf 'Meldung schließen', woraufhin sich folgende Fehlermeldung öffnet:

aaa hat ein Problem festgestellt und muss beendet werden

Problemsignatur:

EventType: BEX P1: svchost.exe P2: 5.1.2600.2180 P3: 41107ed6
P4: unknown P5: 0.0.0.0 P6: 00000000 P7: 000c7600
P8: c0000005 P9: 00000008

Diese Fehlermeldung bezieht sich soweit ich weiß auf diese Datei:

services.exe
Dateiversion : 1.00
Firma : aaa
Interner Name : aaa
Originaldateiname : aaa.exe
Produktname : aaa
Produktversion : 1.00
Sprache : Englisch(USA)

und befindet sich in C:\WINDOWS

Info: Diese beiden Fehlermeldungen tauchten zu erst auf,nachdem ich die,mit dem TuneUp Styler 2 von TuneUp Utilities 2007 veränderten, Boot-und Loginscreens wieder auf die Standardscreens zurücksetzte (auch mit TuneUp Styler 2).

Frage: Ist diese services.exe ein Virus oder gehört sie zum Sytem? Oder hab ich mit TuneUp Styler einfach nur meine svchost.exe geschrottet? Wenn ja,wisst ihr,wie ich den Fehler beheben kann? Habe Sophos Antivirus mehrmals komplettes Sytem scannen lassen,ebenfalls mit Spybot S&D,Norton,Blacklight und catchme.
Es wurde nichts gefunden. In meinem HJT-Logfile finde ich auch nichts auffälliges.

Mein Sytem:

Windows XP Professional (5.1.2600) mit SP 2
IE Version: 7.0.5730.11


Vielen Dank im vorraus!

MFG

ErrOr^

Geändert von ErrOR^ (13.09.2007 um 13:21 Uhr)

Alt 13.09.2007, 16:17   #2
KarlKarl
/// Helfer-Team
 
Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services) - Standard

Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services)



Hi,

also mit Tuneup an einem System herumzupfuschen empfehle ich nicht. Wegen den paar Sekunden, die man mal den Bootscreen sieht, haben sich schon eine Reihe Leute ihr System platt gemacht.

Allerdings finde ich die ergänzenden Angaben zur services.exe sehr merkwürdig, ebenso, dass sie sich in C:\Windows befindet. Die Windowsdatei services.exe ist in system32. Sehr verdächtig!

Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
  • Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
  • Geschützte Systemdateien ausblenden -> Haken weg
  • Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
  • Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

Fertige ein HijackThis Log deines Systems an. Dazu diese Datei runterladen und in einen eigenen Ordner entpacken, nicht aus dem Zip-Ordner starten. Alle anderen Programme schließen, Hijackthis.exe starten, auf "Scan" klicken und das Log hier posten.

Lass die C:\Windows\services.exe mal bei VirusTotal scannen und kopiere die Ergebnisse hierher inklusive der ergänzenden Angaben wie Name und Größe, MD5 und SHA1. Gleiches für die svchost.exe. Die soll sich übrigens auch in system32 befinden.

Gruß, Karl
__________________


Alt 13.09.2007, 17:15   #3
ErrOR^
 
Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services) - Standard

Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services)



Hi Karl,

danke für deine Hilfe!

aha! hab die services.exe bei VirusTotal scannen lassen,hab es doch geahnt das es so ein W32-Worm ist! Übrigens hab ich auch in C:\WINDOWS\system32 eine services.exe

hier das ergebnis für die services.exe aus C:\WINDOWS:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.13.0 2007.09.12 -
AntiVir 7.6.0.10 2007.09.13 HEUR/Crypted
Authentium 4.93.8 2007.09.12 -
Avast 4.7.1043.0 2007.09.13 -
AVG 7.5.0.485 2007.09.13 -
BitDefender 7.2 2007.09.13 -
CAT-QuickHeal 9.00 2007.09.13 -
ClamAV 0.91.2 2007.09.13 -
DrWeb 4.33 2007.09.13 -
eSafe 7.0.15.0 2007.09.13 suspiciousTrojan/Worm
eTrust-Vet 31.1.5134 2007.09.13 -
Ewido 4.0 2007.09.13 -
FileAdvisor 1 2007.09.13 -
Fortinet 3.11.0.0 2007.09.13 -
F-Prot 4.3.2.48 2007.09.12 -
F-Secure 6.70.13030.0 2007.09.13 -
Ikarus T3.1.1.12 2007.09.13 -
Kaspersky 4.0.2.24 2007.09.13 -
McAfee 5118 2007.09.12 -
Microsoft 1.2803 2007.09.13 -
NOD32v2 2528 2007.09.13 -
Norman 5.80.02 2007.09.13 -
Panda 9.0.0.4 2007.09.13 Suspicious file
Prevx1 V2 2007.09.13 W32.Redplut
Rising 19.40.32.00 2007.09.13 -
Sophos 4.21.0 2007.09.13 Mal/HckPk-A
Sunbelt 2.2.907.0 2007.09.13 -
Symantec 10 2007.09.13 -
TheHacker 6.1.10.186 2007.09.13 -
VBA32 3.12.2.4 2007.09.13 -
VirusBuster 4.3.26:9 2007.09.13 -
Webwasher-Gateway 6.0.1 2007.09.13 Heuristic.Crypted

weitere Informationen:

File size: 102857 bytes
MD5: 93159995523af1dde2ce32bc9bce391c
SHA1: 0b391beef2b146077d6a480528a6d3366d494c1e
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=1D1A99F0C916BC0291F001C54328D3006D2DD161


hier das Ergebnis für die svchost.exe (befindet sich in C:\WINDOWS\system32):

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.13.0 2007.09.12 -
AntiVir 7.6.0.10 2007.09.13 -
Authentium 4.93.8 2007.09.12 -
Avast 4.7.1043.0 2007.09.13 -
AVG 7.5.0.485 2007.09.13 -
BitDefender 7.2 2007.09.13 -
CAT-QuickHeal 9.00 2007.09.13 -
ClamAV 0.91.2 2007.09.13 -
DrWeb 4.33 2007.09.13 -
eSafe 7.0.15.0 2007.09.13 -
eTrust-Vet 31.1.5134 2007.09.13 -
Ewido 4.0 2007.09.13 -
FileAdvisor 1 2007.09.13 -
Fortinet 3.11.0.0 2007.09.13 -
F-Prot 4.3.2.48 2007.09.12 -
F-Secure 6.70.13030.0 2007.09.13 -
Ikarus T3.1.1.12 2007.09.13 -
Kaspersky 4.0.2.24 2007.09.13 -
McAfee 5118 2007.09.12 -
Microsoft 1.2803 2007.09.13 -
NOD32v2 2528 2007.09.13 -
Norman 5.80.02 2007.09.13 -
Panda 9.0.0.4 2007.09.13 -
Prevx1 V2 2007.09.13 -
Rising 19.40.32.00 2007.09.13 -
Sophos 4.21.0 2007.09.13 -
Sunbelt 2.2.907.0 2007.09.13 -
Symantec 10 2007.09.13 -
TheHacker 6.1.10.186 2007.09.13 -
VBA32 3.12.2.4 2007.09.13 -
VirusBuster 4.3.26:9 2007.09.13 -
Webwasher-Gateway 6.0.1 2007.09.13 -

weitere Informationen:

File size: 14336 bytes
MD5: 65a819b121eb6fdab4400ea42bdffe64
SHA1: 0dfdee2871427e9c40ec82541156884ff9b4bfa3

Zusatzinfos:

svchost.exe
Dateiversion : 5.1.2600.2180(xpsp_sp2_rtm.040803-2158)
Firma : Microsoft Corporation
Interner Name : svchost.exe
Originaldateiname : svchost.exe
Produktname : Microsoft® Windows® Operating System
Produktversion : 5.1.2600.2180
Sprache : Englisch(USA)

services.exe (aus C:\WINDOWS\system32)
Dateiversion : 5.1.2600.2180(xpsp_sp2_rtm.040803-2158)
Firma : Microsoft Corporation
Interner Name : services.exe
Originaldateiname : services.exe
Produktname : Betriebssystem Microsoft® Windows®
Produktversion : 5.1.2600.2180


zu guter letzt noch mein HJT-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:56:20, on 05.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\NetLimiter 2 Pro\nlsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\CursorXP\CursorXP.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\<Benutzername>\Desktop\Hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA95F517-D185-4365-BAA0-3F671F57E5C1}: NameServer = <ip>
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Programme\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe


Vielen Dank nochmal!

MFG

ErrOR^
__________________

Alt 13.09.2007, 23:19   #4
KarlKarl
/// Helfer-Team
 
Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services) - Standard

Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services)



Das Hiujackthis zeigt Virenscanner von Norton und von Sophos, nicht gute, mehrere zu haben. Außerdem einveraltetes Java.

svchost.exe und services.exe in system32 sehen danach aus, dass sie in Ordnung ist.

Die services.exe in Windows wohl eher nicht. Bei Sophos habe ich diese Beschreibung gefunden. Bezieht sich also mehr auf die Verpackung als den Inhalt der Datei. Ansonsten sind die Erkennungen sehr wenige, unklar (heuristisch) und stammen größtenteils von Scannern, die nicht gerade erste Klasse sind.

Die Datei sollte man mal ansehen. Geh zu The Spykiller - Index und eröffne dort einen neuen Thread, Du musst dich nicht registrieren. Schreib "Mal/HckPk-A" drüber. Kopiere die Scanresultate und lade hoch:
  • C:\Windows\services.exe
Danach klicke auf "Post". Die hochgeladene Datei wirst Du dort nachher nicht sehen können. Poste bitte einen Link auf deinen Thread bei Spykiller hier.

Wir wollen uns mal den Inhalt einiger kritischer Verzeichnisse auf deinem System ansehen. Dazu arbeite bitte diese Anleitung ab.

Mach mal einen Onlinecan. Wegen ActiveX brauchst Du dafür den Internet Explorer und musst die ActiveX Controls zulassen. Wenn es nicht funktioniert die jeweilige Seite zu den sicheren hinzufügen. Log speichern und später posten.

Kaspersky

Ist Tuneup nicht mehr auf dem System? Gibt es die Fehlermeldungen noch?

Alt 14.09.2007, 09:47   #5
ErrOR^
 
Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services) - Standard

Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services)



Soo,hier erstmal der Log von der filelist.bat:

Code:
ATTFilter
----- Root ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 9821-2A96

 Verzeichnis von C:\

14.09.2007  10:31     1.610.612.736 pagefile.sys
09.09.2007  14:45               225 boot.ini
31.07.2007  10:49               451 os466477.bin
12.05.2007  18:48             2.786 LGSInst.Log
26.11.2006  12:28            47.564 NTDETECT.COM
26.11.2006  12:28           251.184 ntldr
26.11.2006  12:20                 0 MSDOS.SYS
26.11.2006  12:20                 0 CONFIG.SYS
26.11.2006  12:20                 0 AUTOEXEC.BAT
26.11.2006  12:20                 0 IO.SYS
01.09.2000  10:39             4.952 bootfont.bin
              11 Datei(en)  1.610.919.898 Bytes
               0 Verzeichnis(se),  8.461.791.232 Bytes frei
 
----- System32 ------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 9821-2A96

 Verzeichnis von C:\WINDOWS\system32

14.09.2007  10:31            88.566 nvapps.xml
14.09.2007  10:31           149.283 OODBS.lor
13.09.2007  21:49           103.736 PnkBstrB.exe
13.09.2007  10:21             2.228 wpa.dbl
06.09.2007  04:50        17.474.680 MRT.exe
03.09.2007  16:00           249.768 TZLog.log
23.08.2007  22:08            48.128 lpr.exe
04.08.2007  19:28         2.324.224 TUKernel.exe
02.08.2007  14:35           189.792 FNTCACHE.DAT
31.07.2007  14:11             3.176 gafilter.sti
31.07.2007  10:49               562 ws344069.ocx
31.07.2007  10:45             4.808 gaeffect.sti
30.07.2007  19:20            30.040 wuaucpl.cpl.mui
30.07.2007  19:20            30.040 wuapi.dll.mui
30.07.2007  19:19         1.712.984 wuaueng.dll
30.07.2007  19:19           549.720 wuapi.dll
30.07.2007  19:19           325.976 wucltui.dll
30.07.2007  19:19           203.096 wuweb.dll
30.07.2007  19:19           216.408 wuaucpl.cpl
30.07.2007  19:19            92.504 cdm.dll
30.07.2007  19:19            53.080 wuauclt.exe
30.07.2007  19:19            43.352 wups2.dll
30.07.2007  19:18            34.136 wucltui.dll.mui
30.07.2007  19:18            33.624 wups.dll
30.07.2007  19:18            20.824 wuaueng.dll.mui
26.07.2007  15:46            66.872 PnkBstrA.exe
19.07.2007  08:56         3.583.488 mshtml.dll
18.07.2007  14:42            60.416 tzchange.exe
06.07.2007  12:20            98.304 CmdLineExt.dll
04.07.2007  09:27           320.442 perfh007.dat
04.07.2007  09:27            49.294 perfc007.dat
04.07.2007  09:27            40.952 perfc009.dat
04.07.2007  09:27           314.816 perfh009.dat
04.07.2007  09:27             1.786 PerfStringBackup.TMP
27.06.2007  16:05           823.808 wininet.dll
27.06.2007  16:05           232.960 webcheck.dll
27.06.2007  16:05         1.152.000 urlmon.dll
27.06.2007  16:05           671.232 mstime.dll
27.06.2007  16:05           105.984 url.dll
27.06.2007  16:05           102.400 occache.dll
27.06.2007  16:05           193.024 msrating.dll
27.06.2007  16:05           477.696 mshtmled.dll
27.06.2007  16:05           459.264 msfeeds.dll
27.06.2007  16:05            52.224 msfeedsbs.dll
27.06.2007  16:05            27.648 jsproxy.dll
27.06.2007  16:05         1.824.256 inetcpl.cpl
27.06.2007  16:04           267.776 iertutil.dll
27.06.2007  16:04         6.058.496 ieframe.dll
27.06.2007  16:04            44.544 iernonce.dll
27.06.2007  16:04           384.512 iedkcs32.dll
27.06.2007  16:04           383.488 ieapfltr.dll
27.06.2007  16:04           230.400 ieaksie.dll
27.06.2007  16:04           124.928 advpack.dll
27.06.2007  16:04           132.608 extmgr.dll
27.06.2007  16:04           153.088 ieakeng.dll
27.06.2007  10:27            13.824 ieudinit.exe
27.06.2007  10:27            63.488 ie4uinit.exe
27.06.2007  09:00           161.792 ieakui.dll
26.06.2007  08:08         1.104.896 msxml3.dll
19.06.2007  15:31           282.112 gdi32.dll
19.06.2007  08:59            70.400 PhysXLoader.dll
17.05.2007  13:28           549.376 oleaut32.dll
16.05.2007  17:11           683.520 inetcomm.dll
08.05.2007  15:03         1.275.392 msxml4.dll
30.04.2007  02:22         4.734.976 wmp.dll
25.04.2007  16:22           144.896 schannel.dll
20.04.2007  07:57            53.248 AgCPanelTraditionalChinese.dll
20.04.2007  07:57           489.000 PhysX.cpl
20.04.2007  07:57            53.248 AgCPanelSpanish.dll
20.04.2007  07:57            53.248 AgCPanelKorean.dll
20.04.2007  07:57            53.248 AgCPanelJapanese.dll
20.04.2007  07:57            53.248 AgCPanelSwedish.dll
20.04.2007  07:57            53.248 AgCPanelFrench.dll
20.04.2007  07:57            53.248 AgCPanelPortugese.dll
20.04.2007  07:57            53.248 AgCPanelSimplifiedChinese.dll
20.04.2007  07:57            53.248 AgCPanelGerman.dll
18.04.2007  18:13         2.854.400 msi.dll
17.04.2007  11:32         2.455.488 ieapfltr.dat
16.04.2007  18:09         1.059.840 kernel32.dll
14.04.2007  19:46            43.520 CmdLineExt03.dll
11.04.2007  20:07           729.988 PerfStringBackup.INI
30.03.2007  15:44           261.480 xactengine2_7.dll
30.03.2007  15:43            81.768 xinput1_3.dll
28.03.2007  19:42            29.704 uxtuneup.dll
28.03.2007  18:41           517.848 SymNeti.dll
28.03.2007  18:41           132.824 SymRedir.dll
17.03.2007  15:44           293.376 winsrv.dll
15.03.2007  16:57           443.752 d3dx10_33.dll
14.03.2007  09:18            21.840 SIntfNT.dll
14.03.2007  09:18            17.212 SIntf32.dll
14.03.2007  09:18            12.067 SIntf16.dll
12.03.2007  20:14             8.775 jupdate-1.5.0_09-b03.log
12.03.2007  16:42         3.495.784 d3dx9_33.dll
12.03.2007  16:42         1.123.696 D3DCompiler_33.dll
09.03.2007  13:51           270.336 xpsp3res.dll
08.03.2007  17:36           579.072 user32.dll
08.03.2007  17:36            40.960 mf3216.dll
08.03.2007  17:32         1.843.712 win32k.sys
08.03.2007  01:51            64.760 pxcpya64.exe
08.03.2007  01:51           510.712 pxdrv.dll
08.03.2007  01:51            72.440 pxhpinst.exe
08.03.2007  01:51           129.784 pxafs.dll
08.03.2007  01:51         1.628.920 pxsfs.dll
08.03.2007  01:51            39.672 vxblock.dll
08.03.2007  01:51            64.760 pxinsa64.exe
08.03.2007  01:51           547.576 px.dll
08.03.2007  01:51           187.128 pxmas.dll
08.03.2007  01:51           379.640 pxwave.dll
06.03.2007  03:14            15.584 spmsg.dll
05.03.2007  12:42            15.128 x3daudio1_1.dll

            2180 Datei(en)    525.780.727 Bytes
               0 Verzeichnis(se),  8.461.651.968 Bytes frei
 
----- Prefetch ------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 9821-2A96

 Verzeichnis von C:\WINDOWS\Prefetch

14.09.2007  10:33            11.316 FIND.EXE-0EC32F1E.pf
14.09.2007  10:33            11.116 CMD.EXE-087B4001.pf
14.09.2007  10:33            55.658 WMIPRVSE.EXE-28F301A9.pf
14.09.2007  10:33            22.138 WUAUCLT.EXE-399A8E72.pf
14.09.2007  10:32            86.478 FIREFOX.EXE-1D57670A.pf
14.09.2007  10:32            48.052 SVCHOST.EXE-3530F672.pf
14.09.2007  10:32            24.214 DRWTSN32.EXE-2B4B52AC.pf
14.09.2007  10:32            19.994 MSMSGS.EXE-32066BA5.pf
14.09.2007  10:32            15.500 ALG.EXE-0F138680.pf
14.09.2007  10:32            28.406 DWWIN.EXE-30875ADC.pf
14.09.2007  10:32            54.944 LUCOMS~1.EXE-02DB5950.pf
14.09.2007  10:32            26.400 RUNDLL32.EXE-464547A6.pf
14.09.2007  10:32            17.030 IMAPI.EXE-0BF740A4.pf
14.09.2007  10:32            23.538 RUNDLL32.EXE-35A483DA.pf
14.09.2007  10:32            13.682 SYMLCSVC.EXE-04DC2DC5.pf
14.09.2007  10:32         1.059.810 NTOSBOOT-B00DFAAD.pf
14.09.2007  10:32            64.978 DUMPREP.EXE-1B46F901.pf
14.09.2007  10:30            40.078 LOGONUI.EXE-0AF22957.pf
14.09.2007  10:29            70.704 WINRAR.EXE-3588DFE8.pf
14.09.2007  10:25            91.284 IEXPLORE.EXE-2CA9778D.pf
14.09.2007  10:22            17.950 NOTEPAD.EXE-336351A9.pf
14.09.2007  09:24            95.946 NAVW32.EXE-20C61389.pf
14.09.2007  09:13            89.836 LUCALLBACKPROXY.EXE-0B5F632D.pf
14.09.2007  09:13            66.904 AUPDATE.EXE-089630E1.pf
13.09.2007  21:58            92.492 REGISTRYCLEANER.EXE-17B6D63B.pf
13.09.2007  21:58            78.086 SYSTEMOPTIMIZER.EXE-2D3174F1.pf
13.09.2007  21:57            48.408 ONECLICKMAINTENANCE.EXE-05D14B98.pf
13.09.2007  21:55            22.208 CLEARPROG.EXE-1934C98F.pf
13.09.2007  21:55            43.272 RUNDLL32.EXE-40A79BC1.pf
13.09.2007  21:53            21.614 RUNDLL32.EXE-2E5AF1D7.pf
13.09.2007  21:49            12.276 PNKBSTRB.EXE-21412697.pf
13.09.2007  21:48            45.632 XFIRE.EXE-021C4593.pf
13.09.2007  21:47            72.570 COD2MP_S.EXE-2E228D27.pf
13.09.2007  21:17           123.366 WINWORD.EXE-3395695A.pf
13.09.2007  21:17            33.284 EXCEL.EXE-0DC93B7A.pf
13.09.2007  21:12            18.086 VERCLSID.EXE-3667BD89.pf
13.09.2007  20:30           464.610 Layout.ini
13.09.2007  19:46            15.834 HIJACKTHIS.EXE-1A5C47B8.pf
13.09.2007  18:59           140.988 HELPSVC.EXE-2878DDA2.pf
13.09.2007  18:22            86.462 ICQ.EXE-3425F561.pf
13.09.2007  17:25            34.102 GMER.EXE-2A96EB70.pf
13.09.2007  17:12            66.524 INTEGRATOR.EXE-3967D297.pf
13.09.2007  17:12            75.946 WINSTYLER.EXE-23240E61.pf
13.09.2007  17:02            22.496 RUNDLL32.EXE-2A94BB85.pf
13.09.2007  16:21            80.742 IL2FB.EXE-13F3BD90.pf
13.09.2007  15:53            20.486 RUNDLL32.EXE-232C337F.pf
13.09.2007  15:50            23.162 RUNDLL32.EXE-2576181F.pf
13.09.2007  15:50            19.466 TASKMGR.EXE-20256C55.pf
13.09.2007  15:28            73.176 WINAMP.EXE-08C38ED9.pf
13.09.2007  14:14            19.792 FSBL.EXE-29CB9910.pf
13.09.2007  13:40            65.126 SYSTEMINFORMATION.EXE-36C3168F.pf
13.09.2007  13:22            51.990 OIS.EXE-33076924.pf
13.09.2007  13:17            26.954 RUNDLL32.EXE-20BE1A16.pf
13.09.2007  13:17            27.464 RUNDLL32.EXE-3BD4BE8B.pf
13.09.2007  13:02            26.370 MSPAINT.EXE-11CBB631.pf
13.09.2007  10:22            45.774 RUNDLL32.EXE-2E7B9EF2.pf
13.09.2007  10:22            22.860 NWIZ.EXE-2D0F9FBC.pf
12.09.2007  19:48            71.534 UNDELETE.EXE-2D4481FE.pf
12.09.2007  12:36            21.202 WINDOWS-KB890830-V1.33-DELTA.-263BCBC4.pf
12.09.2007  12:35            53.662 MRT.EXE-1B4A8D49.pf
12.09.2007  12:35            51.040 MRTSTUB.EXE-027458CA.pf
12.09.2007  11:28            36.178 DFRGNTFS.EXE-269967DF.pf
12.09.2007  11:28            15.270 DEFRAG.EXE-273F131E.pf
11.09.2007  20:47            26.302 AUTORUN.EXE-348A3A74.pf
11.09.2007  20:47            51.868 WINRAR-PAKET 3.70.EXE-21018A08.pf
11.09.2007  19:57            21.248 RUNDLL32.EXE-36C37943.pf
11.09.2007  19:54            63.466 NLCLIENT.EXE-2D20CC93.pf
11.09.2007  18:17            77.458 GOOGLEEARTH.EXE-0978F2AD.pf
11.09.2007  17:57            41.302 REGSEEKER.EXE-396B17D9.pf
11.09.2007  17:54            47.754 RUNDLL32.EXE-13404D23.pf
11.09.2007  17:53            14.944 _IU14D2N.TMP-0F56AC49.pf
11.09.2007  17:53            12.170 UNINS000.EXE-319CCA78.pf
11.09.2007  17:53            62.762 MSIEXEC.EXE-2F8A8CAE.pf
11.09.2007  17:53            69.330 UNINSTALLMANAGER.EXE-2714C224.pf
11.09.2007  17:20            41.382 RUNDLL32.EXE-1198D8AF.pf
11.09.2007  17:20             6.484 CNMSE85.EXE-0C030348.pf
11.09.2007  17:20            12.126 RUNDLL32.EXE-451FC2C0.pf
11.09.2007  16:37            27.592 SPYBOTSD.EXE-1D495A65.pf
11.09.2007  15:31             3.874 XPICLEANUP.EXE-3306B804.pf
11.09.2007  15:22            13.914 XPINSTALL.EXE-0C299A74.pf
11.09.2007  15:03            39.022 MPNSCAN.EXE-0D97832C.pf
11.09.2007  15:01            54.432 MPN30.EXE-399681E3.pf
11.09.2007  15:01            21.790 WIAACMGR.EXE-212ED878.pf
10.09.2007  22:03            26.996 SAMPLEPARTICLEFLUID.EXE-0E69E3BB.pf
10.09.2007  22:01            30.654 SAMPLECLOTH.EXE-01C610CD.pf
10.09.2007  22:01            27.928 AGEIAPHYSXBOXES.EXE-260373E6.pf
10.09.2007  21:59            16.254 RUNDLL32.EXE-430C0B3E.pf
10.09.2007  21:57            27.882 RUNDLL32.EXE-44A0B4BC.pf
10.09.2007  19:46            65.852 UPDATEWIZARD.EXE-13F4E8AB.pf
10.09.2007  16:57            74.856 ACRORD32.EXE-0EC716D9.pf
10.09.2007  16:06            24.444 ALUPDATE.EXE-07285CF1.pf
28.08.2007  19:08                 0 SYSTEM32
              93 Datei(en)      5.416.952 Bytes
               0 Verzeichnis(se),  8.461.668.352 Bytes frei
 
----- Windows -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 9821-2A96

 Verzeichnis von C:\WINDOWS

14.09.2007  10:32                 0 0.log
14.09.2007  10:32         1.170.538 WindowsUpdate.log
14.09.2007  10:32               159 wiadebug.log
14.09.2007  10:32                50 wiaservc.log
14.09.2007  10:32           649.745 win.dll
14.09.2007  10:31            34.816 fwbmz.dll
14.09.2007  10:31             2.048 bootstat.dat
14.09.2007  10:30            32.536 SchedLgU.Txt
14.09.2007  09:24           182.095 setupapi.log
13.09.2007  17:25               250 gmer.ini
11.09.2007  15:22             3.741 mozver.dat
10.09.2007  17:28           107.134 UninstallFirefox.exe
09.09.2007  14:45               227 system.ini
09.09.2007  14:45               666 win.ini
06.09.2007  10:33                80 gmer_uninstall.cmd
06.09.2007  10:33           585.791 gmer.dll
03.09.2007  16:00         1.090.699 iis6.log
03.09.2007  16:00           188.948 ntdtcsetup.log
03.09.2007  16:00           310.041 comsetup.log
03.09.2007  16:00            50.232 ocmsn.log
03.09.2007  16:00            24.529 KB933360.log
03.09.2007  16:00             1.355 imsins.log
03.09.2007  16:00           418.384 tsoc.log
03.09.2007  16:00            43.668 tabletoc.log
03.09.2007  16:00           154.084 netfxocm.log
03.09.2007  16:00           452.499 ocgen.log
03.09.2007  16:00            63.516 medctroc.Log
03.09.2007  16:00            45.475 msgsocm.log
03.09.2007  16:00           885.510 FaxSetup.log
03.09.2007  16:00           298.208 msmqinst.log
02.09.2007  11:27           367.332 DirectX.log
02.09.2007  11:26             1.567 DIFx.log
31.08.2007  12:45               572 wininit.ini
28.08.2007  23:27            60.416 ALCFDRTM.VER
28.08.2007  19:08                49 win.bat
28.08.2007  19:08           102.857 services.exe
28.08.2007  18:22               335 mozregistry.dat
27.08.2007  14:11               116 NeroDigital.ini
21.08.2007  17:05            16.783 wmsetup.log
17.08.2007  12:34               155 winamp.ini
15.08.2007  14:21            36.598 spupdsvc.log
15.08.2007  14:20             1.374 imsins.BAK
15.08.2007  14:20            19.875 KB936021.log
15.08.2007  14:20            57.064 updspapi.log
15.08.2007  14:20            22.138 KB938828.log
15.08.2007  14:19            12.490 KB936782.log
15.08.2007  14:19            18.656 KB921503.log
15.08.2007  14:19            18.459 KB938829.log
15.08.2007  14:18            23.535 KB937143-IE7.log
15.08.2007  14:18            13.429 KB938127-IE7.log
15.08.2007  14:18           282.846 msxml4-KB936181-enu.LOG
01.08.2007  19:42               474 DXError.log
01.08.2007  12:05               191 ULEAD32.INI
29.06.2007  09:38           581.632 gmer.exe
13.06.2007  15:10         1.036.288 explorer.exe
12.06.2007  21:19            20.039 KB929123.log
12.06.2007  21:19            19.336 KB935840.log
12.06.2007  21:18            21.824 KB935839.log
12.06.2007  21:18            24.229 KB933566-IE7.log
12.06.2007  08:51         1.389.231 setupapi.log.0.old
23.05.2007  16:06             8.225 KB927891.log
20.05.2007  12:42               342 nsw.log
19.05.2007  11:33                 0 pestpatrol5.INI
16.05.2007  14:08               269 game.ini
14.05.2007  10:15           169.568 setupact.log
10.05.2007  10:18            17.983 KB931768-IE7.log
10.05.2007  10:18            11.814 KB930916.log
11.04.2007  16:39            21.418 KB931784.log
11.04.2007  16:38            13.441 KB931261.log
11.04.2007  16:38            13.684 KB930178.log
11.04.2007  16:38            16.133 KB932168.log
04.04.2007  12:17            13.310 KB925902.log
31.03.2007  20:11               616 eReg.dat
15.03.2007  16:16             6.197 KB929399.log
15.03.2007  16:16            16.926 KB929338.log

             159 Datei(en)     18.087.115 Bytes
               0 Verzeichnis(se),  8.461.651.968 Bytes frei
 
----- Tasks ---------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 9821-2A96

 Verzeichnis von C:\WINDOWS\tasks

14.09.2007  10:31                 6 SA.DAT
01.09.2000  10:41                65 desktop.ini
               2 Datei(en)             71 Bytes
               0 Verzeichnis(se),  8.461.660.160 Bytes frei
 
----- Wintemp -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 9821-2A96

 Verzeichnis von C:\WINDOWS\temp

 
----- Temp ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 9821-2A96

 Verzeichnis von C:\DOKUME~1\<Benutzername>\LOKALE~1\Temp

14.09.2007  10:33           122.406 filelist.txt
14.09.2007  10:31            16.384 ~DFE0D.tmp
14.09.2007  09:08            16.384 ~DFA38.tmp
28.08.2007  19:08           102.857 ex.jpg
               4 Datei(en)        258.031 Bytes
               0 Verzeichnis(se),  8.461.660.160 Bytes frei
         

zu guter letzt noch den link zu meinem post in spykiller:

Mal/HckPk-A

Ich habe am System nichts verändert,Tuneup ist noch drauf und die Fehlermeldungen erscheinen immer nach dem Systemstart.

MFG

ErrOR^


Alt 14.09.2007, 09:56   #6
ErrOR^
 
Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services) - Standard

Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services)



und hier noch das Logfile vom Onlinescan mit Kaspersky:

Viren gefunden: 2
Infizierte Objekte gefunden: 2 / 0

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\settings.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\LiveUpdate\2007-09-14_Log.ALUSchedulerSvc.LiveUpdate Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\<Benutzername>\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\<Benutzername>\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\formhistory.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\<Benutzername>v\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\history.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\<Benutzername>\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\<Benutzername>\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\<Benutzername>\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\e7wcrw8x.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\<Benutzername>\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\<Benutzername>\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDALRT.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDCON.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDDBG.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDFW.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDIDS.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSYS.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPPolicy.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPStart.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPStop.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton AntiVirus\AVApp.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton AntiVirus\AVError.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton AntiVirus\AVVirus.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton AntiVirus\Quarantine\227D62BC.htm Infizierte Objekte: Trojan-Downloader.JS.Agent.hv übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{B67734EA-AAA9-403B-A9E1-B846457327B3}\RP397\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{8F9115E0-80D3-4FB5-80E4-DE640D01F5AC}.bin Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\NetLimit.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\dtscsi.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\lpr.exe Infizierte Objekte: Trojan.Win32.Inject.eg übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

Alt 14.09.2007, 17:33   #7
KarlKarl
/// Helfer-Team
 
Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services) - Standard

Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services)



C:\DOKUME~1\<Benutzername>\LOKALE~1\Temp\ex.jpg ist eine Kopie der C:\WINDOWS\services.exe, Inhalt sieht sehr nach einer Backdoor auss. C:\WINDOWS\fwbmz.dll und C:\WINDOWS\win.bat wurden von dieser Infektion auf dem System angelegt.

Lass die C:\WINDOWS\system32\lpr.exe ebenfalls mal bei Virustotal scannen. Sie fiel bereits in der Filelist durch eine ungewöhnliche Größe und ein recht aktuelles Datum auf, nun hat Kaspersky auch noch was gefunden. Normalerweise ist die lpr.exe ein Teil von Windows, bei dir wurde sie wohl ersetzt.

C:\WINDOWS\win.dll ist ebenfalls verdächtig, auch die scannen lassen.

Kannst auch noch mal mit GMER scannen.

Ich würde neu installieren. Ich werde es sogar bestimmt tun, denn beim verschieben der Datei ins Archiv hatte ich einen Unfall mit einer prellenden Maustaste

Alt 14.09.2007, 18:43   #8
ErrOR^
 
Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services) - Standard

Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services)



Sry dass dein system nun auch infiziert wurde

die win.dll erbrachte kein ergebnis beim virustotal-check.
allerdings erzielte der check der lpr.exe mehrere treffer.

naja,hab ja eh schon mit Neuaufsetzen gerechnet,was solls

trotzdem vielen dank Karl für die kompetente hilfe!

MFG

ErrOR^

Alt 14.09.2007, 20:20   #9
ErrOR^
 
Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services) - Standard

Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services)



Hey Karl!

ich hab die lpr.exe mit AVG reinigen lassen,ohne sie löschen zu müssen,scheint nun wieder absolut clean zu sein!!

services.exe (in C:\WINDOWS),ex.jpg,win.bat,win.dll und fwbmz.dll hab ich im abgesicherten modus manuell gelöscht und siehe da!

nach dem nächsten neustart kamen keine fehlermeldungen mehr!
weiterhin wurden die gelöschten dateien nicht wiederhergestellt!

scheint also wieder alles clean zu sein!

MFG

ErrOR^

Alt 15.09.2007, 06:34   #10
nochdigger
 
Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services) - Standard

Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services)



Moin

Zitat:
ich hab die lpr.exe mit AVG reinigen lassen,ohne sie löschen zu müssen,scheint nun wieder absolut clean zu sein!!
Ich weiß nicht so recht

Zitat:
scheint also wieder alles clean zu sein!
Warten wir es ab, aber Karl wird sein System nicht zum Spaß neu Aufsetzen.
Kein Mensch und schon gar keine Software wird dir sagen können, ob und was an deinem System verbogen wurde, mit Ausnahme der Schreiber des Schädlings, aber es ist deine Entscheidung.

Prost

Alt 19.09.2007, 22:01   #11
KarlKarl
/// Helfer-Team
 
Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services) - Standard

Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services)



So sieht jedenfalls eine korrekte lpr.exe aus, der md5-Wert aus der letzten Zeile wird auch bei VirusTotal mit angezeigt.
Code:
ATTFilter
C:\WINDOWS\system32>\bin\o\sigcheck.exe -q lpr.exe & \bin\md5sum.exe lpr.exe
C:\WINDOWS\system32\lpr.exe:
        Verified:       Signed
        Signing date:   10:54 04.08.2004
        Publisher:      Microsoft Corporation
        Description:    TCP/IP-Befehl LPR
        Product:        Betriebssystem Microsoft« Windows«
        Version:        5.1.2600.0
        File version:   5.1.2600.0 (xpclient.010817-1148)
c849ac5ab3bdcc85b09260bb1b6a111c *lpr.exe
         
Besondere Veränderungen habe ich auch nicht gefunden (siehe aber unten). Allerdings ist der Unfall auch nicht mit der Originaldatei passiert sondern mit einer bereits bearbeiteten Version und sie hat auf jeden Fall diverse Dateien in diversen Ordnern abgeworfen. Vielleicht habe ich beim entpacken einen Fehler gemacht und sie ist dann gescheitert. Da das System sowieso eine Menge Experimente über sich ergehen lassen muss und einige davon in den letzten Monaten schief gegangen sind, wird es jetzt einfach mal neu aufgesetzt. Ich mach das gerne

Ich gerne mal einen Bericht von GMER von deinem System sehen. Da habe ich nämlich ein paar seltsame Einträge entdeckt.

Antwort

Themen zu Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services)
antivirus, aus sicherheitsgründen, beendet, datei, datenausführungsverhinderung, englisch, fehlermeldung, fehlermeldungen, festgestellt, folge, generic, generic host, generic host process, klicke, microsoft, norton, problem, programm, scan, services, services.exe, sicherheitsgründe, sicherheitsgründen, sophos, spybot, svchost.exe, systemstart, tuneup utilities, virus, win, win32, öffnet



Ähnliche Themen: Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services)


  1. Generic Host Process for Win32 Services hat ein Problem festgestellt = W32/Generic.worm!p2p
    Log-Analyse und Auswertung - 06.09.2011 (25)
  2. Generic Host Process for Win32 Services hat ein Problem ......
    Plagegeister aller Art und deren Bekämpfung - 10.08.2011 (1)
  3. Generic Host Process for Win32 Services - Fehlermeldung
    Antiviren-, Firewall- und andere Schutzprogramme - 10.02.2011 (1)
  4. Generic Host process for win32 services windows xp sp3
    Log-Analyse und Auswertung - 31.10.2010 (1)
  5. Firefox öffnet automatisch Tabs / Generic Host Process for W32 Services Fehlermeldung
    Plagegeister aller Art und deren Bekämpfung - 02.10.2010 (19)
  6. "Generic Host Process for Win32 Services" Fehlermeldung - Win32.Blaster ?
    Plagegeister aller Art und deren Bekämpfung - 17.08.2010 (9)
  7. Generic Host process for win32 services windows xp sp3
    Log-Analyse und Auswertung - 24.06.2009 (15)
  8. Generic Host Process for Win32 Services
    Mülltonne - 02.10.2008 (0)
  9. Generic Host Process for Win32 Services
    Mülltonne - 29.09.2008 (0)
  10. Generic Host Process for Win32 Services Fehlermeldung
    Log-Analyse und Auswertung - 14.03.2008 (7)
  11. Generic Host Process for Win32 Services Error
    Log-Analyse und Auswertung - 13.02.2008 (0)
  12. Generic Host Process for Win32 Services
    Log-Analyse und Auswertung - 20.05.2007 (1)
  13. Generic Host Process for Win32 services???
    Plagegeister aller Art und deren Bekämpfung - 09.06.2006 (1)
  14. Generic Host Process for Win32 Services
    Plagegeister aller Art und deren Bekämpfung - 28.06.2005 (4)
  15. XP Generic Host Process for Win32 Services
    Plagegeister aller Art und deren Bekämpfung - 11.05.2005 (1)
  16. Generic host process for win32.services
    Alles rund um Windows - 20.02.2005 (3)
  17. Generic Host Process for Win32 Services
    Alles rund um Windows - 12.02.2005 (2)

Zum Thema Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services) - Hi, ich habe seit einiger Zeit das Problem,dass nach jedem Systemstart ich folgende Fehlermeldung bekomme: Datenausführungsverhinderung - Microsoft Windows Dieses Programm wurde aus Sicherheitsgründen geschlossen Name: Generic Host Process for - Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services)...
Archiv
Du betrachtest: Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.