Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Generic Host Process for Win32-Problem

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.11.2007, 13:27   #1
Viruskiller11
 
Generic Host Process for Win32-Problem - Standard

Generic Host Process for Win32-Problem



Hallo an alle!

Habe seit längerem ein Problem, dass unbedingt bereingt werden muss. Habe demenstrechend auch viel gegoogelt und dabei gesehen, dass dieses Problem viele Leute haben, aber die Lösungen sind seeeehr rar! Aber ich bin mir sicher, dass es eine Lösung gibt OHNE den PC neu aufzusetzen!

Problem: Bei Einstieg ins Internet (z.B. Mozilla Firefox) kommt FM:" svchost.exe. Die Anwendung in ...". Kurz danach folgt FM:" Generic Host Process for Win32 Services...". Schiebt man beide Fenster zur Seite, kann man weiterarbeiten. Bestätigt man sie oder bricht sie ab, wird PC innerhalb 60sek heruntergefahren.

Bitte um Hilfe und Lösung des Problems! Was ist die Ursache dieses Problems?


Mein System:
Microsoft Windows XP Professional Version 2002, Service Pack 2

Hier mein LogFile: (sieht man hier etwas? ich kenn mich leider nicht aus!)
Logfile of HijackThis v1.99.1
Scan saved at 14:17:11, on 02.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ad-Aware Lavasoft 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sceneo\AbsolutTV\Services\PVR\PVRService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Shared\hpqWmiEx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\HP\QuickPlay\QPService.exe
C:\Programme\Sceneo\AbsolutTV\SERVICES\ODSBC\ODSBCApp.exe
C:\Programme\Lexmark 5200 series\lxbtbmgr.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Lexmark 5200 series\lxbtbmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\PROGRA~1\HEWLET~1\Shared\HPQTOA~1.EXE
C:\WINDOWS\system32\lxbtcoms.exe
C:\Programme\Meine Traffic 2.0\MT.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\dwwin.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Winrar\WinRAR.exe
C:\Programme\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=64&bd=pavilion&pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.tele2.at/redirect/startpage/adsl/deu
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.25.200:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [QPService] "C:\Programme\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [TVBroadcast] C:\Programme\Sceneo\AbsolutTV\SERVICES\ODSBC\ODSBCApp.exe
O4 - HKLM\..\Run: [Lexmark 5200 series] "C:\Programme\Lexmark 5200 series\lxbtbmgr.exe"
O4 - HKLM\..\Run: [LXBTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office2000\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BC512FC-ECF6-4B83-BE18-DB5D7BB83C4D}: NameServer = 192.92.138.35,193.81.83.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{654E2AFC-C2E2-44E6-ADEE-3B1EBCBF4326}: NameServer = 192.92.138.35,193.81.83.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{2BC512FC-ECF6-4B83-BE18-DB5D7BB83C4D}: NameServer = 192.92.138.35,193.81.83.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{2BC512FC-ECF6-4B83-BE18-DB5D7BB83C4D}: NameServer = 192.92.138.35,193.81.83.2
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: eventcls32 - C:\WINDOWS\SYSTEM32\eventcls32.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Ad-Aware Lavasoft 2007\aawservice.exe
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqWmiEx.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbtcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\AbsolutTV\Services\PVR\PVRService.exe

Vielen vielen Dank für die Hilfe!
lg,
Gerd

Alt 02.11.2007, 18:22   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Generic Host Process for Win32-Problem - Standard

Generic Host Process for Win32-Problem



Hallo.

Werte mal diese Datei

=> C:\WINDOWS\SYSTEM32\eventcls32.dll

online bei Virustotal aus und poste die Ergebnisse.
__________________

__________________

Alt 03.11.2007, 16:57   #3
Viruskiller11
 
Generic Host Process for Win32-Problem - Standard

Generic Host Process for Win32-Problem



Hallo!
Danke für die Hilfe!
Also, auf Virustotal habe ich mit dem Kapersky Antivirus online die Datei gescannt.
Das Ergebnis: Zu überprüfende Datei: eventcls.dll
Statistiken:
Bekannte Viren: 450886 Updated: 03-11-2007
Größe der Datei (Kb): 33 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0

Ist bei meinem Logfile ansonsten alles in Ordnung??? Woran kann das Problem dann liegen?

Danke und liebe Grüße,
Gerd
__________________

Alt 04.11.2007, 21:46   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Generic Host Process for Win32-Problem - Standard

Generic Host Process for Win32-Problem



Zitat:
Also, auf Virustotal habe ich mit dem Kapersky Antivirus online die Datei gescannt.
Wie hast du denn das gemacht?
Ich meinte eigentlich du gehst auf die Seite VirusTotal und lädst die Datei dort zur Auswertung hoch. Dort wird die Datei nämlich von ca. 30 Virenscannern gecheckt.

Am Hijackthis-Logfile alleine erkennt man aber nicht allzuviel - führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:
- eScan
- Silentrunners
- combofix
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 05.11.2007, 19:30   #5
Viruskiller11
 
Generic Host Process for Win32-Problem - Icon17

Generic Host Process for Win32-Problem



Hallo!

Habe anscheinend eine falsche Virustotal-Seite geöffnet.
Ok....hier die Auswertung mit Virustotal:

Datei eventcls32.dll empfangen 2007.11.05 20:20:35 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.6.0 2007.11.05 -
AntiVir 7.6.0.30 2007.11.05 -
Authentium 4.93.8 2007.11.03 -
Avast 4.7.1074.0 2007.11.05 -
AVG 7.5.0.503 2007.11.05 -
BitDefender 7.2 2007.11.05 -
CAT-QuickHeal 9.00 2007.11.05 -
ClamAV 0.91.2 2007.11.05 -
DrWeb 4.44.0.09170 2007.11.05 -
eSafe 7.0.15.0 2007.10.28 -
eTrust-Vet 31.2.5264 2007.11.02 -
Ewido 4.0 2007.11.05 -
FileAdvisor 1 2007.11.05 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.05 -
F-Secure 6.70.13030.0 2007.11.05 -
Ikarus T3.1.1.12 2007.11.05 -
Kaspersky 7.0.0.125 2007.11.05 -
McAfee 5156 2007.11.05 -
Microsoft 1.2908 2007.11.05 VirTool:Win32/Obfuscator.L
NOD32v2 2639 2007.11.05 -
Norman 5.80.02 2007.11.05 -
Panda 9.0.0.4 2007.11.05 -
Prevx1 V2 2007.11.05 -
Rising 20.17.01.00 2007.11.05 -
Sophos 4.23.0 2007.11.05 -
Sunbelt 2.2.907.0 2007.11.02 -
Symantec 10 2007.11.05 -
TheHacker 6.2.9.116 2007.11.05 -
VBA32 3.12.2.4 2007.11.05 -
VirusBuster 4.3.26:9 2007.11.05 -
Webwasher-Gateway 6.0.1 2007.11.05 Win32.UPXpacked.gen (suspicious)
weitere Informationen
File size: 8192 bytes
MD5: 589d6669b4ea8993c10b528c9e70a72c
SHA1: d11c85a369197bfa28956aa71bec7f0e94ed03b7
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX


Hier die Auswertung mit SilentRunners:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"WMPNSCFG" = "C:\Programme\Windows Media Player\WMPNSCFG.exe" [MS]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"hpWirelessAssistant" = "C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe"
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"QlbCtrl" = "C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start"
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"nwiz" = "nwiz.exe /installquiet /nodetect" ["NVIDIA Corporation"]
"High Definition Audio Property Page Shortcut" = "CHDAudPropShortcut.exe" ["Windows (R) Server 2003 DDK provider"]
"kav" = ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"" ["Kaspersky Lab"]
"(Default)" = "(empty string)" [file not found]
"QPService" = ""C:\Programme\HP\QuickPlay\QPService.exe"" ["CyberLink Corp."]
"TVBroadcast" = "C:\Programme\Sceneo\AbsolutTV\SERVICES\ODSBC\ODSBCApp.exe" ["ODSoft multimedia"]
"Lexmark 5200 series" = ""C:\Programme\Lexmark 5200 series\lxbtbmgr.exe"" ["Lexmark International, Inc."]
"LXBTCATS" = "rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll,_RunDLLEntry@16" [MS]
"ISUSPM Startup" = "C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup" ["InstallShield Software Corporation"]
"ISUSScheduler" = ""C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start" ["InstallShield Software Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Sign-in Helper"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{6af09ec9-b429-11d4-a1fb-0090960218cb}" = "My Bluetooth Places"
-> {HKLM...CLSID} = "Bluetooth-Umgebung"
\InProcServer32\(Default) = "C:\WINDOWS\system32\btneighborhood.dll" ["Broadcom Corporation."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{85E0B171-04FA-11D1-B7DA-00A0C90348D6}" = "Web-Anti-Virus"
-> {HKLM...CLSID} = "Web-Anti-Virus"
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll" ["Kaspersky Lab"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{59AF8E81-BE3C-11d5-BE40-00A0244C457F}" = "SafeGuard® PrivateCrypto extension"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\SafeGuardPrivateCrypto\SafeGuard PrivateCrypto\pcshell.dll" ["Utimaco Safeware AG"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\Winrar\rarext.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> eventcls32\DLLName = "eventcls32.dll" [MS]
<<!>> klogon\DLLName = "C:\WINDOWS\system32\klogon.dll" ["Kaspersky Lab"]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\shellex.dll" ["Kaspersky Lab"]
SGPCMenu\(Default) = "{59AF8E81-BE3C-11d5-BE40-00A0244C457F}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\SafeGuardPrivateCrypto\SafeGuard PrivateCrypto\pcshell.dll" ["Utimaco Safeware AG"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\Winrar\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\Winrar\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\shellex.dll" ["Kaspersky Lab"]
SGPCMenu\(Default) = "{59AF8E81-BE3C-11d5-BE40-00A0244C457F}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\SafeGuardPrivateCrypto\SafeGuard PrivateCrypto\pcshell.dll" ["Utimaco Safeware AG"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\Winrar\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Bgan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = (value not set)


DESKTOP.INI DLL launch in local fixed drive directories:
--------------------------------------------------------

C:\Programme\WIDCOMM\Bluetooth Software\Bluetooth-Umgebung\DESKTOP.INI
[.ShellClassInfo]
CLSID={6af09ec9-b429-11d4-a1fb-0090960218cb}
-> {HKLM...CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\btneighborhood.dll" ["Broadcom Corporation."]


Startup items in "BGAN" & "All Users" startup folders:
-----------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"BTTray" -> shortcut to: "C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe" ["Broadcom Corporation."]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office2000\Office\OSA9.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D6}\(Default) = "Web-Anti-Virus"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll" ["Kaspersky Lab"]

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll" ["Sun Microsystems, Inc."]

{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\
"ButtonText" = "Web-Anti-Virus"

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{CCA281CA-C863-46EF-9331-5C8D4460577F}\
"ButtonText" = "@btrez.dll,-4015"
"MenuText" = "@btrez.dll,-4017"
"Script" = "C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm" [null data]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ad-Aware 2007 Service, aawservice, ""C:\Programme\Ad-Aware Lavasoft 2007\aawservice.exe"" ["Lavasoft AB"]
Bluetooth Service, btwdins, "C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe" ["Broadcom Corporation."]
hpqwmiex, hpqwmiex, "C:\Programme\Hewlett-Packard\Shared\hpqWmiEx.exe" ["Hewlett-Packard Development Company, L.P."]
Kaspersky Anti-Virus 6.0, AVP, ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r" ["Kaspersky Lab"]
LightScribeService Direct Disc Labeling Service, LightScribeService, ""C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe"" ["Hewlett-Packard Company"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
Sceneo PVR Service, srvcPVR, "C:\Programme\Sceneo\AbsolutTV\Services\PVR\PVRService.exe" ["Buhl Data Service GmbH"]
Windows Media Player-Netzwerkfreigabedienst, WMPNetworkSvc, ""C:\Programme\Windows Media Player\WMPNetwk.exe"" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
5200 Series Port\Driver = "lxbtlmpm.DLL" ["Lexmark International, Inc."]
Bluetooth-Druckeranschluss\Driver = "bthcrp.dll" ["Broadcom Corporation."]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
PDFCreator\Driver = "pdfcmnnt.dll" [null data]


---------- (launch time: 2007-11-05 20:16:32)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 77 seconds.
---------- (total run time: 131 seconds)


Habe etwas Angst Combofix auszuführen wegen der Datenbereinigung. Habe vor Jahren mal auf einem anderen PC eine registry-Bereinigung ausgeführt, danach haben einige Programme nicht mehr funktioniert!

escan schaffe ich leider nicht...

Erkennst du trotzdem schon irgendwas???

danke, lg,
gerd


Alt 05.11.2007, 19:45   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Generic Host Process for Win32-Problem - Standard

Generic Host Process for Win32-Problem



Warum bekommste kein escan hin?
Kannst du das nicht mal genauer beschreiben?

Die eine Datei kannst du jedenfalls schonmal löschen:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Code:
ATTFilter
files to delete:
C:\WINDOWS\SYSTEM32\eventcls32.dll
         
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Den combofix kannst du ohne Probleme ausführen. Der löscht nur Dateien, die auch wirklich einen "bösen Hintergrund" haben und legt aber für den Fall der Fälle noch Backups an, macht eigentlich jedes Tool (avenger, killbox, hijackthis etc. pp.). Beim combofix gehts aber auch um die wichtigen Infos über dein System, welches das Programm protokolliert.
__________________
--> Generic Host Process for Win32-Problem

Alt 05.11.2007, 20:20   #7
Viruskiller11
 
Generic Host Process for Win32-Problem - Standard

Generic Host Process for Win32-Problem



Hallo!

Hier der Log von ComboFix:

ComboFix 07-11-01.1** - Bgan 2007-11-05 21:05:04.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.630 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Bgan\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2007-10-05 bis 2007-11-05 ))))))))))))))))))))))))))))))
.

2007-11-05 21:03 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-05 20:15 153,600 --a------ C:\WINDOWS\R.COM
2007-11-05 20:15 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-11-03 17:56 <DIR> d-------- C:\Dokumente und Einstellungen\Bgan\.housecall6.6
2007-10-31 01:49 27,924 --a------ C:\WINDOWS\system32\drivers\MxlW2k.sys
2007-10-31 01:48 <DIR> d-------- C:\Programme\MUSICMATCH

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-05 20:07 7,211,040 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-11-05 20:07 622,624 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2007-11-05 20:00 96,716 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-11-05 20:00 60,248 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-11-02 11:17 --------- d-----w C:\Programme\Lx_cats
2007-10-31 00:30 --------- d-----w C:\Programme\MUSICMATCH Update
2007-10-30 23:03 --------- d-----w C:\Dokumente und Einstellungen\Bgan\Anwendungsdaten\aMule
2007-10-26 15:01 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-26 14:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-09-29 10:54 --------- d-----w C:\Programme\Ad-Aware Lavasoft 2007
2007-09-29 10:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2007-09-29 10:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-09-29 10:39 --------- d-----w C:\Programme\BGAN-Anwendungen
2007-09-12 20:28 --------- d-----w C:\Programme\ProgDVB
2007-09-11 22:19 --------- d-----w C:\Programme\Spanisch
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-16 22:35 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE
2007-08-16 22:35 319,488 ------w C:\WINDOWS\Setup1.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpWirelessAssistant"="C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-01-10 14:13]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2007-01-12 13:36]
"QlbCtrl"="C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-11-06 09:58]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-20 19:58]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-07-20 19:58]
"nwiz"="nwiz.exe" [2006-07-20 19:58 C:\WINDOWS\system32\nwiz.exe]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-07-27 13:44 C:\WINDOWS\system32\CHDAudPropShortcut.exe]
"kav"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2006-03-24 18:09]
"QPService"="C:\Programme\HP\QuickPlay\QPService.exe" [2006-07-11 20:55]
"TVBroadcast"="C:\Programme\Sceneo\AbsolutTV\SERVICES\ODSBC\ODSBCApp.exe" [2007-02-23 13:44]
"Lexmark 5200 series"="C:\Programme\Lexmark 5200 series\lxbtbmgr.exe" [2004-02-24 18:12]
"LXBTCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll" [2004-02-23 14:47]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 15:50]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 15:50]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 08:56]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 00:04]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26]
BTTray.lnk - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe [2006-05-12 12:33:22]
Microsoft Office.lnk - C:\Programme\Microsoft Office2000\Office\OSA9.EXE [1999-02-17 23:05:56]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\eventcls32]
eventcls32.dll

R2 srvcPVR;Sceneo PVR Service;C:\Programme\Sceneo\AbsolutTV\Services\PVR\PVRService.exe
R3 nvsmu;nvsmu;C:\WINDOWS\system32\DRIVERS\nvsmu.sys
S3 MODBDA2;DiBcom MOD3000 TV receiver;C:\WINDOWS\system32\Drivers\modbda2.sys
S3 vga;vga;C:\WINDOWS\system32\DRIVERS\vgapnp.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e9cb439e-48f3-11dc-8317-806d6172696f}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-05 21:07:27
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXBTCATS = rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????? ????????????????????????????????????????????????????????????????????????????????????????????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-05 21:08:07
.
--- E O F ---


Hier der Log von Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\btbrfpbd

*******************

Script file located at: \??\C:\aoxirhnq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\SYSTEM32\eventcls32.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Escan habe ich deswegen nicht ausgeführt,da ich 19mb downloaden müßte. Und..äh..leider hab ich nur noch wenig downloadvolumen. Und es ist auch etwas kompliziert beschrieben.

Aber wie schaut die momentane Situation aus bzw. konntest du alle meine logs auswerten? Gibt es probleme bzw. konnte ich bereits Probleme löschen?

danke,
lg,
gerd

Alt 05.11.2007, 21:24   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Generic Host Process for Win32-Problem - Standard

Generic Host Process for Win32-Problem



Code:
ATTFilter
C:\WINDOWS\system32\drivers\fidbox.dat
C:\WINDOWS\system32\drivers\fidbox2.dat
C:\WINDOWS\system32\drivers\fidbox.idx
C:\WINDOWS\system32\drivers\fidbox2.idx
         
Werte diese Dateien mal bei Virustotal aus und poste die Ergebnisse.

Code:
ATTFilter
LXBTCATS = rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtim e.dll,_RunDLLEntry@16????????????????????????????? ?????????????????????????????????????????????????? ?????????????????????????????????????????????????? ??????????????????????????????????????????????????
         

Was haut der combofix denn da Tausende von Fragezeichen ins Log rein? Die Datei LXBTtime.dll stammt jedenfalls wohl von Lexmark...

Zitat:
Und..äh..leider hab ich nur noch wenig downloadvolumen.
Das ist leider sehr sehr suboptimal...
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 05.11.2007, 21:37   #9
Viruskiller11
 
Generic Host Process for Win32-Problem - Standard

Generic Host Process for Win32-Problem



Hi.

Ist das mit den 1000 fragezeichen ein problem??

Eigenartig, die 4 Datein (fidbox) sind versteckte datein, und wenn ich sie scannen möchte, kommt gleich die Meldung: 0 bytes size received / Se ha recibido un archivo vacio

und das bei allen vier datein.

was meinst du?

Und nochwas: das generic host problem ist gar nicht mehr aufgetreten (zum 1. mal seit langer zeit)!!!!

lg,
gerd

Alt 06.11.2007, 19:23   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Generic Host Process for Win32-Problem - Standard

Generic Host Process for Win32-Problem



Hallo.

Bei den fidbox-Dateien kann ich wohl Entwarnung geben, die scheinen zum KAV6 zu gehören, das du ja auch installiert hast. Mehr dazu => hier <=

Der Eintrag mit den Einträgen ist imho kein Problem, sieht nur sehr merkwürdig aus. Vllt. ein Bug vom combofix. Denn die erwähnte Datei gehört zu Lexmark.

Zitat:
Und nochwas: das generic host problem ist gar nicht mehr aufgetreten (zum 1. mal seit langer zeit)!!!!
Vllt. war die Datei dran schuld, die wir mit dem avenger gelöscht haben
Beobachte dein System aber in nächster Zeit und melde dich wieder bei Problemen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Generic Host Process for Win32-Problem
ad-aware, adobe, bho, bitte um hilfe, dll, drivers, excel, explorer, firefox, generic, generic host, generic host process, hijack, hijackthis, internet, internet explorer, kaspersky, launch, logfile, mozilla, mozilla firefox, nvidia, outlook express, problem, programme, rundll, shortcut, software, system, vielen dank, windows, windows xp, wmp



Ähnliche Themen: Generic Host Process for Win32-Problem


  1. Generic Host Process for Win32 Services hat ein Problem festgestellt = W32/Generic.worm!p2p
    Log-Analyse und Auswertung - 06.09.2011 (25)
  2. Generic Host Process for Win32 Services hat ein Problem ......
    Plagegeister aller Art und deren Bekämpfung - 10.08.2011 (1)
  3. "Generic Host Process for Win32 Services" Problem (Service Pack 2)
    Plagegeister aller Art und deren Bekämpfung - 05.08.2010 (1)
  4. Generic Host Process for win32 :(
    Log-Analyse und Auswertung - 03.08.2010 (4)
  5. Generic Host Process for Win32 Services
    Mülltonne - 02.10.2008 (0)
  6. "Generic Host Process for Win32 Services hat ein Problem festgestellt ..."
    Log-Analyse und Auswertung - 01.10.2008 (0)
  7. Generic Host Process for Win32 Services
    Mülltonne - 29.09.2008 (0)
  8. Problem: generic host process
    Plagegeister aller Art und deren Bekämpfung - 30.08.2008 (1)
  9. Generic Host Process for Win32 Services Error
    Log-Analyse und Auswertung - 13.02.2008 (0)
  10. Generic Host Process for Win32 Services
    Log-Analyse und Auswertung - 20.05.2007 (1)
  11. Generic Host Process for Win32 Services hat ein Problem festgestellt
    Plagegeister aller Art und deren Bekämpfung - 14.04.2007 (1)
  12. Generic Host Process for Win 32 hat ein Problem
    Plagegeister aller Art und deren Bekämpfung - 18.01.2007 (2)
  13. Generic Host Process for Win32 services???
    Plagegeister aller Art und deren Bekämpfung - 09.06.2006 (1)
  14. Generic Host Process for Win32 Services
    Plagegeister aller Art und deren Bekämpfung - 28.06.2005 (4)
  15. XP Generic Host Process for Win32 Services
    Plagegeister aller Art und deren Bekämpfung - 11.05.2005 (1)
  16. Generic host process for win32.services
    Alles rund um Windows - 20.02.2005 (3)
  17. Generic Host Process for Win32 Services
    Alles rund um Windows - 12.02.2005 (2)

Zum Thema Generic Host Process for Win32-Problem - Hallo an alle! Habe seit längerem ein Problem, dass unbedingt bereingt werden muss. Habe demenstrechend auch viel gegoogelt und dabei gesehen, dass dieses Problem viele Leute haben, aber die Lösungen - Generic Host Process for Win32-Problem...
Archiv
Du betrachtest: Generic Host Process for Win32-Problem auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.