Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Generic Host process for win32 services windows xp sp3

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 18.06.2009, 13:52   #1
Papierkorb
 
Generic Host process for win32 services windows xp sp3 - Standard

Generic Host process for win32 services windows xp sp3



Ich habe schon gestern den ganzen Tag nach Lösungen für dieses Probem gesucht,aber ich finde nur Lösungswege für Windows XP SP2,nich Sp3,das ich besitze,deshalb hoffe ich das mir jemand helfen kann.
Erstmal wie es dau gekommen ist: Ich habe ganz normal morgens den PC angeschaltet und dann erschien plötzlich die Fehlermeldung,die danach dann auch jede 5 Minuten nochmal kam.Außerdem kann ich nicht ins Internet (schreibe von meinem Laptop aus).Später habe ich bemerkt das die Fehlermeldung nicht mehr kommt;wenn ich die Internetverbindung ausgeschaltet habe.
Dann meine Hijack This Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:07:49, on 18.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\websrvx\websrvx.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\windows\ld09.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hama\Common\RaUI.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
E:\stuff\test.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {8cc1be3e-a44b-447a-87e0-9659dfcd8c5c} - C:\WINDOWS\system32\mesavifu.dll (file missing)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EKIJ5000StatusMonitor] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EKIJ5000MUI.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [dajefizihe] Rundll32.exe "C:\WINDOWS\system32\gereviba.dll",s
O4 - HKLM\..\Run: [XboxStat] "C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [] G:\\csrss.exe
O4 - HKLM\..\Run: [sysldtray] C:\windows\ld09.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: rncsys32.exe
O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\nejozege.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ablagemappe ClipSrvNetDDEdsdm (ClipSrvNetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\acctresc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: websrvx - Unknown owner - C:\Programme\websrvx\websrvx.exe

--
End of file - 6164 bytes

Und bevor ich es vergesse.Bei mir taucht auch noch eine Fehlermeludung auf (schon seit einigen Monaten,aber ich habe mir nichts dabei gedacht,weil nichts auffälliges passiert ist).Nämlich das eine Rundll32 Datei fehlt (C:\Windows\system32\gereviba.dll) Habe herausgefunden das ich Trojaner auf meinem PC habe,aber ich weiß nicht wie ich die entfernen kann.

Alt 18.06.2009, 15:54   #2
Chris4You
 
Generic Host process for win32 services windows xp sp3 - Standard

Generic Host process for win32 services windows xp sp3



Hi,

was wurde den wo gefunden?

Bitte folgende Files prüfen (dazu auch Laufwerk G: anschließen)

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\Programme\websrvx\websrvx.exe
C:\windows\ld09.exe
C:\WINDOWS\system32\gereviba.dll
G:\csrss.exe
C:\WINDOWS\system32\rncsys32.exe
C:\WINDOWS\system32\nejozege.dll
C:\WINDOWS\system32\acctresc.exe
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also wenn die Files: ld09.exe, gereviba.dll, csrss.exe erkannt wurden, dann (sonst die nicht erkannten unten rauslöschen bei Files to delete!):
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
Registry values to replace with dummy: 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs 

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|sysldtray
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|dajefizihe
 
Files to delete:
C:\windows\ld09.exe
C:\WINDOWS\system32\gereviba.dll
G:\csrss.exe
         
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.
Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp

Danach noch ein neues HJ-Log&Rsit..

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris
__________________

__________________

Geändert von Chris4You (18.06.2009 um 16:06 Uhr)

Alt 18.06.2009, 21:03   #3
Papierkorb
 
Generic Host process for win32 services windows xp sp3 - Standard

Generic Host process for win32 services windows xp sp3



Erstmal Danke Chris! Ich habe auf verschiedenen Seiten (die ich jetzt nicht alle aufzählen will) über die Patches etc gelesen,aber wie gesagt waren alle Lösungswege nur für das Windows XP SP2,nicht für das in meinem Besitz Windows XP SP3.
Dann konnte ich deinen Schritt "Dateien Online überprüfen lassen " nicht ausführen,weil ich,wie gesagt auf dem PC mit der Generic... nicht in das Internet kann.
Dann jetzt als nächstes die ganzen Logfiles:

Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File "C:\windows\ld09.exe" deleted successfully.

Error: file "C:\WINDOWS\system32\gereviba.dll" not found!
Deletion of file "C:\WINDOWS\system32\gereviba.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not open file "G:\csrss.exe"
Deletion of file "G:\csrss.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Registry value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|sysldtray" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|dajefizihe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Malwarebytes`Anti-Malware:

Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2182
Windows 5.1.2600 Service Pack 3

18.06.2009 20:30:07
mbam-log-2009-06-18 (20-30-07).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|G:\|)
Durchsuchte Objekte: 215005
Laufzeit: 45 minute(s), 59 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 96
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 1

Infizierte Speicherprozesse:
C:\Programme\websrvx\websrvx.exe (Trojan.Downloader) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8cc1be3e-a44b-447a-87e0-9659dfcd8c5c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{8cc1be3e-a44b-447a-87e0-9659dfcd8c5c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\websrvx (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\websrvx (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\websrvx (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVCONSOL.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVP32.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapw32.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVNT.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navw32.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVWNT.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SCAN32.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ZONEALARM.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\filemon.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\outpost.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regmon.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zapro.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASTask.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32X.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPF.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OllyDBG.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regtool.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\niu.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A2SERVICE.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVGNT.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVGUARD.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVSCAN.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdagent.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CASECURITYCENTER.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EKRN.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FAMEH32.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FPAVSERVER.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FPWIN.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FSAV32.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FSGK32ST.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FSMA32.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsserv.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drwadins.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drwebupw.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GFRing3.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ArcaCheck.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\arcavir.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashDisp.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashEnhcd.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashServ.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashUpd.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\aswUpdSv.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avadmin.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avcenter.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avcls.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avconfig.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz4.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz_se.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdinit.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\caav.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\caavguiscan.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccupdate.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cfp.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cfpupdat.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmdagent.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DRWEB32.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\fpscan.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\guardgui.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\guardxservice.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\guardxup.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVSTUB.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nvcc.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\preupd.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pskdr.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SfFnUp.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Vba32arkit.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vba32ldr.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Zanda.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Zlh.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zoneband.dll (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:

RSIT: Wie minimieren? Meinst du ich soll einen Teil weglassen?

Ergebnis: Die Rundll32 Fehlermeldung kommt nachdem ich Avenger einsetzte nicht mehr,aber die Generic...Fehlermeldung taucht immer noch alle 5 Minuten auf.Außerdem hat AntiVir Trojaner entdeckt nachdem ich Malwarebytes' benutzte und den PC neu startete.
__________________

Alt 19.06.2009, 07:25   #4
Chris4You
 
Generic Host process for win32 services windows xp sp3 - Standard

Generic Host process for win32 services windows xp sp3



Hi,

Da läuft wahrscheinlich dann noch ein Rootkit (neben dem (vom) Wurm)...
Falls RSIT-Log zu groß ist:
Fileuplod:
http://www.file-upload.net/, hochladen und den Link (mit Löschlink) als "PrivateMail" an mich...

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 19.06.2009, 15:22   #5
Chris4You
 
Generic Host process for win32 services windows xp sp3 - Standard

Generic Host process for win32 services windows xp sp3



Hi,

da haben wir noch was...
Bitte vor CombFix-Lauf prüfen:

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS\system32\nejozege.dll -> wird im Falle des Falles interessant zu entfernen sein
C:\Programme\podmena\podmena.sys -> http://htlogs.com/podmenasys-is-a-trojandownloader/
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Dann Combofix starten und laufen lassen, falls er die Sachen
nicht bereinigt, wie folgt vorgehen:

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
Drivers to delete:
podmenadrv
podmena

Files to delete:
C:\Programme\podmena\podmena.sys
         
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Code:
ATTFilter
O2 - BHO: (no name) - {060BB0AB-4B09-4C51-9ECB-9580A6D08D7F} - C:\WINDOWS\system32\xxyyxWmj.dll
         
Der Serviceeintrag "R2 podmena;podmena; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]" mss ggf.
dann manuel entfernt werden...

Chris mit Kopfschmerzen...(meine Konzentration lässt nach)..

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Geändert von Chris4You (19.06.2009 um 15:30 Uhr)

Alt 20.06.2009, 16:43   #6
Papierkorb
 
Generic Host process for win32 services windows xp sp3 - Standard

Generic Host process for win32 services windows xp sp3



So,erst mal: ComboFix konnte ich zwar öffnen,aber dort wurde nur das Fenster mit dem blauen Hintergrund gezeigt,auch nach 10 hat sich nichts getan,also bin ich zum Avenger Schritt gegangen.Und nachdem ich Avenger benutzte und mein PC sich neu gestartet hat,tauchte die Generic... Fehlermeldung bis jetzt nicht mehr auf!
Also soll ich immer noch HijackThis benutzen,obwohl es jetzt anscheinend funktioniert?

Die Avnger Logfile poste ich dann dch nochmal,da ich sie eh habe:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "podmenadrv" deleted successfully.
Driver "podmena" deleted successfully.
File "C:\Programme\podmena\podmena.sys" deleted successfully.

Alt 20.06.2009, 21:51   #7
Chris4You
 
Generic Host process for win32 services windows xp sp3 - Standard

Generic Host process for win32 services windows xp sp3



Hi,

probiere unbeding noch mal ComboFix, deinstalliere dazu die alte Version und lade ihn neu runter...
Deinstallation: Start->Ausführencombofix /u

Falls das nicht geht Gmer:

http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 20.06.2009, 22:14   #8
Papierkorb
 
Generic Host process for win32 services windows xp sp3 - Standard

Generic Host process for win32 services windows xp sp3



Habe deinstalliert und nochmal gedownloadet und diesmal hat es geklappt.

Also hier dann die Logfile:

ComboFix 09-06-20.02 - User 20.06.2009 22:03.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2046.1616 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\driver
c:\programme\podmena
c:\windows\system32\acctresc.exe
c:\dokumente und einstellungen\User\Anwendungsdaten\wiaserva.log
c:\programme\driver\driver.dll
c:\programme\driver\driver.sys
c:\programme\podmena\podmena.dll
c:\windows\zaponce52689.dat
c:\windows\zaponce53652.dat
c:\windows\zaponce54043.dat
E:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CLIPSRVNETDDEDSDM
-------\Legacy_DRIVER
-------\Legacy_DRIVERDRV
-------\Legacy_PODMENA
-------\Legacy_PODMENADRV
-------\Service_ClipSrvNetDDEdsdm
-------\Service_driver
-------\Service_driverdrv


((((((((((((((((((((((( Dateien erstellt von 2009-05-20 bis 2009-06-20 ))))))))))))))))))))))))))))))
.

2009-06-20 17:53 . 2009-06-20 17:53 -------- d-----w- c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Fallout3
2009-06-20 17:30 . 2009-06-20 17:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Fallout3
2009-06-20 17:30 . 2008-09-18 19:10 121064 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Fallout3\setup.exe
2009-06-18 18:34 . 2009-06-18 18:35 -------- d-----w- C:\rsit
2009-06-18 17:40 . 2009-06-18 17:40 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Malwarebytes
2009-06-18 17:40 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-18 17:40 . 2009-06-18 17:40 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-06-18 17:40 . 2009-06-18 17:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-18 17:40 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-17 18:45 . 2009-06-17 18:45 -------- d-----w- c:\programme\Trend Micro
2009-06-17 18:28 . 2009-06-17 18:28 -------- d-----w- c:\programme\Enigma Software Group
2009-06-17 16:33 . 2009-06-17 17:21 -------- d-----w- c:\programme\a-squared Free
2009-06-16 20:15 . 2009-06-16 20:15 -------- d-----w- c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\CAPCOM
2009-06-02 21:21 . 2009-06-03 09:20 32 --s-a-w- c:\windows\system32\4229450681.dat
2009-06-02 20:40 . 2009-06-02 22:10 -------- d-----w- c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Oblivion

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-20 20:06 . 2009-01-16 13:52 -------- d-----w- c:\programme\Steam
2009-06-20 20:02 . 2009-01-19 12:56 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\uTorrent
2009-06-20 18:27 . 2009-03-06 13:31 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\U3
2009-06-20 17:31 . 2009-01-14 08:43 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-06-02 20:41 . 2009-01-14 08:41 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2009-06-02 20:39 . 2009-04-18 20:56 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Bioshock
2009-05-12 14:14 . 2008-04-14 12:00 80290 ----a-w- c:\windows\system32\perfc007.dat
2009-05-12 14:14 . 2008-04-14 12:00 448726 ----a-w- c:\windows\system32\perfh007.dat
2009-05-09 17:44 . 2009-05-09 17:44 -------- d-----w- c:\programme\OpenAL
2009-05-09 17:44 . 2009-05-09 17:44 413696 ----a-w- c:\windows\system32\wrap_oal.dll
2009-05-09 17:44 . 2009-05-09 17:44 110592 ----a-w- c:\windows\system32\OpenAL32.dll
2009-05-07 15:32 . 2008-04-14 12:00 348160 ----a-w- c:\windows\system32\localspl.dll
2009-05-01 07:27 . 2009-05-01 07:27 -------- d-----w- c:\programme\Avira
2009-05-01 07:27 . 2009-05-01 07:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-04-29 04:42 . 2008-04-14 12:00 827392 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:41 . 2008-04-14 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-04-19 19:46 . 2008-04-14 12:00 1847296 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 14:51 . 2008-04-14 12:00 585216 ----a-w- c:\windows\system32\rpcrt4.dll
2009-04-05 08:35 . 2009-04-05 08:35 1594545 ----a-w- c:\windows\WANEUninstaller.exe
2009-04-01 11:44 . 2009-04-01 11:44 152576 ----a-w- c:\dokumente und einstellungen\User\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
2009-03-31 16:35 . 2009-03-31 16:35 0 ----a-w- c:\windows\DXT5F.tmp
2009-03-31 16:35 . 2009-03-31 16:35 0 ----a-w- c:\windows\DXT5E.tmp
2009-03-31 16:35 . 2009-03-31 16:35 0 ----a-w- c:\windows\DXT5D.tmp
2009-03-31 16:35 . 2009-03-31 16:35 0 ----a-w- c:\windows\DXT5C.tmp
2009-03-31 16:35 . 2009-03-31 16:35 0 ----a-w- c:\windows\DXT5B.tmp
2009-03-31 16:35 . 2009-03-31 16:35 0 ----a-w- c:\windows\DXT5A.tmp
2009-03-30 08:33 . 2009-05-01 07:28 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-03-24 14:08 . 2009-05-01 07:28 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Steam"="c:\programme\steam\steam.exe" [2009-06-11 1217784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HDAudDeck"="c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe" [2008-05-14 29831168]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-08-02 13570048]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-08-02 86016]
"EKIJ5000StatusMonitor"="c:\windows\System32\spool\DRIVERS\W32X86\3\EKIJ5000MUI.exe" [2008-08-21 1306624]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-14 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-14 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168]
"XboxStat"="c:\programme\Microsoft Xbox 360 Accessories\XboxStat.exe" [2007-09-27 734264]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-08-02 1657376]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Hama Wireless LAN Utility.lnk - c:\programme\Hama\Common\RaUI.exe [2009-1-15 1122304]
InterVideo WinCinema Manager.lnk - c:\programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2009-1-15 303104]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Steam\\steamapps\\lpfreaklp\\counter-strike\\hl.exe"=
"c:\\Programme\\Steam\\steamapps\\lpfreaklp\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"=
"c:\\Programme\\Steam\\steamapps\\lpfreaklp\\half-life 2 deathmatch\\hl2.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\TmNationsForever\\TmForever.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8085:TCP"= 8085:TCP:driver
"53:TCP"= 53:TCP:websrvx

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [01.05.2009 09:28 108289]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [14.01.2009 10:41 238080]
S3 SaiHF51A;SaiHF51A;c:\windows\system32\drivers\SaiHF51A.sys [11.03.2009 13:12 135048]
S3 SaiUF51A;SaiUF51A;c:\windows\system32\drivers\SaiUF51A.sys [11.03.2009 13:12 28544]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
FF - ProfilePath - c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\sy55hpor.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\Veoh Networks\VeohWebPlayer\NPVeohTVPlugin.dll
FF - plugin: c:\programme\Veoh Networks\VeohWebPlayer\npWebPlayerVideoPluginATL.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-20 22:06
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HDAudDeck = c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-73586283-2111687655-682003330-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:1a,88,9a,c8,b9,e4,b2,1d,fd,ad,20,ff,95,74,d7,56,0b,05,f4,f5,03,83,98,
58,e6,5c,b8,16,0b,65,b7,c8,54,14,7b,95,a6,1f,6d,67,4f,13,ef,87,1e,e2,11,6c,\
"??"=hex:41,e0,42,8c,cf,55,c7,95,2b,14,4d,f8,66,7b,0c,1b

[HKEY_USERS\S-1-5-21-73586283-2111687655-682003330-1004\Software\SecuROM\License information*]
"datasecu"=hex:76,d1,a2,a6,3e,9a,30,c7,61,f0,bc,ff,ee,6a,3d,b0,42,1f,25,25,08,
49,3b,01,5c,8a,27,19,e6,69,ec,0a,b5,5b,66,df,2c,62,2d,3f,e0,6e,6f,5b,80,38,\
"rkeysecu"=hex:8d,32,41,ca,02,13,22,e2,c4,ea,87,36,84,b2,50,b0
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2136)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-06-20 22:08 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-06-20 20:08

Vor Suchlauf: 9 Verzeichnis(se), 76.413.648.896 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 77.509.705.728 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

193 --- E O F --- 2009-06-10 11:38

Alt 20.06.2009, 22:30   #9
Chris4You
 
Generic Host process for win32 services windows xp sp3 - Standard

Generic Host process for win32 services windows xp sp3



Hi,

ganz schön zäh die viecher... kaum von avenger gelöscht, schon wieder da...
(na nicht ganz, die Treiber waren weg, das hat wahrscheinlich den Start von Combofix ermöglicht...)

Kontrolliere unbedingt die Firewall, die netten kleinen haben sich zwei Ports freigeschaltet:
Code:
ATTFilter
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"8085:TCP"= 8085:TCP:driver
"53:TCP"= 53:TCP:websrvx
         
Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 21.06.2009, 14:17   #10
Papierkorb
 
Generic Host process for win32 services windows xp sp3 - Standard

Generic Host process for win32 services windows xp sp3



Meinst du ich soll den Code wieder in Avenger reinkopieren?

Und Prevx hat nichts gefunden.

Alt 21.06.2009, 19:03   #11
Chris4You
 
Generic Host process for win32 services windows xp sp3 - Standard

Generic Host process for win32 services windows xp sp3



Hi,

nein ist kein Avengerscript, sondern muss in den Einstellungen für die Windowsfirewall geändert werden. Kann da aber erst morgen nachschauen, da ich hier vista auf dem Laptop habe...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 21.06.2009, 21:19   #12
Papierkorb
 
Generic Host process for win32 services windows xp sp3 - Standard

Generic Host process for win32 services windows xp sp3



Wenn ich auf die Windows-Firewall Einstellungen gehe gibt es dort (unter "Erweitert") verschiedene Einstellungen zum Ändern.Also welche muss ich ändern bzw. was hat das mit dem Code zu tun,weil wenn ich auf die clicke dann sehe ich dort nichts was Ähnlickeit mit dem Code hat?

Alt 22.06.2009, 13:22   #13
Chris4You
 
Generic Host process for win32 services windows xp sp3 - Standard

Generic Host process for win32 services windows xp sp3



Hi,

Start->Systemsteuerung->WindowsFirewall, Reiter Ausnahmen.
Dort den Eintrag driver löschen und den Eintrag websrvx

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 22.06.2009, 19:26   #14
Papierkorb
 
Generic Host process for win32 services windows xp sp3 - Standard

Generic Host process for win32 services windows xp sp3



Okay,habe ich gemacht.Soll ich jetzt noch irgendwas wie einen Scan oder ähnliches machen?

Alt 23.06.2009, 08:20   #15
Chris4You
 
Generic Host process for win32 services windows xp sp3 - Standard

Generic Host process for win32 services windows xp sp3



Hi,

falls Prevx & GMER nichts gefunden haben, wären wir erstmal durch...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu Generic Host process for win32 services windows xp sp3
5 minuten, adobe, antivir, antivir guard, avg, avgnt, avgnt.exe, avira, bho, desktop, dll, entfernen, explorer, fehlermeldung, generic, generic host, generic host process, hijack, hijack this, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, nvidia, rundll, software, system, trojaner, windows, windows xp, wireless lan



Ähnliche Themen: Generic Host process for win32 services windows xp sp3


  1. Generic Host Process for Win32 Services hat ein Problem festgestellt = W32/Generic.worm!p2p
    Log-Analyse und Auswertung - 06.09.2011 (25)
  2. Generic Host Process for Win32 Services hat ein Problem ......
    Plagegeister aller Art und deren Bekämpfung - 10.08.2011 (1)
  3. Generic Host Process for Win32 Services - Fehlermeldung
    Antiviren-, Firewall- und andere Schutzprogramme - 10.02.2011 (1)
  4. Generic Host Process for Win32 Services entgültig beenden
    Alles rund um Windows - 03.11.2010 (3)
  5. Generic Host process for win32 services windows xp sp3
    Log-Analyse und Auswertung - 31.10.2010 (1)
  6. Generic Host Process for Win32 Services
    Mülltonne - 02.10.2008 (0)
  7. Generic Host Process for Win32 Services
    Mülltonne - 29.09.2008 (0)
  8. Generic Host Process for Win32 Services Fehlermeldung
    Log-Analyse und Auswertung - 14.03.2008 (7)
  9. Generic Host Process for Win32 Services Error
    Log-Analyse und Auswertung - 13.02.2008 (0)
  10. Fehlermeldung: Datenausführungsverhinderung (Generic Host Process for Win32 services)
    Plagegeister aller Art und deren Bekämpfung - 19.09.2007 (10)
  11. Generic Host Process for Win32 Services
    Log-Analyse und Auswertung - 20.05.2007 (1)
  12. Generic Host Process for Win32 Services - Fehler
    Alles rund um Windows - 14.10.2006 (5)
  13. Generic Host Process for Win32 services???
    Plagegeister aller Art und deren Bekämpfung - 09.06.2006 (1)
  14. Generic Host Process for Win32 Services
    Plagegeister aller Art und deren Bekämpfung - 28.06.2005 (4)
  15. XP Generic Host Process for Win32 Services
    Plagegeister aller Art und deren Bekämpfung - 11.05.2005 (1)
  16. Generic host process for win32.services
    Alles rund um Windows - 20.02.2005 (3)
  17. Generic Host Process for Win32 Services
    Alles rund um Windows - 12.02.2005 (2)

Zum Thema Generic Host process for win32 services windows xp sp3 - Ich habe schon gestern den ganzen Tag nach Lösungen für dieses Probem gesucht,aber ich finde nur Lösungswege für Windows XP SP2,nich Sp3,das ich besitze,deshalb hoffe ich das mir jemand helfen - Generic Host process for win32 services windows xp sp3...
Archiv
Du betrachtest: Generic Host process for win32 services windows xp sp3 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.