|
svchost.exe beenden -->ABSTURZ (erinnert voll an blaster) aaalso.... ich habn problem mit svchost.exe. wenn ich das teil als prozess beende, eines von den vielen svchost prozessen, öffnet sich ein hübsches kleines fenster mit countdown zähler. na? an was erinnert das? jetzt hab ich schon so allerhand ausprobiert, virenscanner= nix... hijackthis log= nix, soweit ich das erkennen kann, wird auch gleich noch geposted http://virusscan.jotti.org/de= hat nix ergeben... ach ja, dann hab ich nochn QZTEMP ordner in windowes\temp der sich nach dem löschen immer wieder herstellt und zwei andere dateien die sich nicht löschen lassen, weil sie von irgendwas grade verwendet werden. ich weis aber nicht von was! die dateien sind: 1. Perflib_Perfdata_d40.dat 2.ZLT022f0.TMP hier der log: Logfile of HijackThis v1.98.2 Scan saved at 12:59:21, on 28.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\gtwatch.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\ATI Technologies\HydraVision\HydraDM.exe C:\Programme\Messenger Plus! 3\MsgPlus.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Eset\nod32kui.exe C:\Programme\TGTSoft\StyleXP\StyleXP.exe C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Eset\nod32krn.exe C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\svchost.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\BitTorrent\btdownloadgui.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\gülay\Desktop\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\HydraVision\HydraDM.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{8C9175BC-1198-4DBE-91D3-8DE424AEBFB4}: NameServer = 217.237.149.161 217.237.151.225 wär cool, wenn ihr mir da helfen könntet! EDIT: ach ja und hab versucht die beiden dateien mit http://virusscan.jotti.org/de zu scannen. funzt aber nicht, weil angeblich die dateien kleiner als 0 byte sind oder so und meine firewall das verhindert. irgendwie sowas...klappt jedenfalls nicht |
Hallo, du versuchst einen Systemprozess zu beenden und wunderst dich anschliessend, dass sich dein System runterfahren will! :crazy: Viel mehr wundert es mich, dass dein System ohne jegliche Patches durch das I-net geistert! Zitat:
Zitat:
|
@ DoubleG also warum Du einen Systemprozess beenden willst, entzieht sich meiner Kenntnis ;-) Du solltest Systemprozesse (svchost.exe) nicht einfach so beenden, das mag der Rechner nicht .. ;) Platform: Windows XP (WinNT 5.01.2600)/MSIE: Internet Explorer v6.00 (6.00.2600.0000) - lade Dir bitte das aktuelle Service Pack runter und update Deinen IE: www.windowsupdate.com bitte überprüfe mit virusscan.jotti.dhs.org, falls noch nicht gemacht: C:\WINDOWS\gtwatch.exe teile uns das Ergebnis der Überprüfung aller von Dir überprüften Dateien mit Pfadangabe und Dateinamen mit. Lade das ClearProg runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf. Hast Du Deinen Rechner bereits mit dem eScan überprüft? Na, ich warte erstmal Deine Antwort und das Ergebnis der Online-Scan-Überprüfung ab. http://www.trojaner-board.de/images/smilies/party.gif @ Cidre, sah Dich erst nach dem posten. SD |
quickzip! daran hab ich ja gar nicht gedacht! das könnte sein, aber was ist mit der anderen datei? also ZLT022f0.TMP ??? ach ja und gtwatch isn prozess von meinem mustekscanner... weis nicht genau wozu der gut sein soll... habs trotzdem mal durch den scanner gejagt-->is sauber also is eigentlich alles oke mit svchost??? auch normal mit PENG---> COUNTDOWN!!! ???? jetzt wo ihr so fragt, frag ich mich auch warum ich den prozess eigentlich unbedingt beendet haben wollte... :balla: :P also service pack, kommt sofort drauf. und escan... hatte ich eigentlich schon...mach ich aber nochmal. habs nämlich mittendrin abgebrochen danke erstma... und jez erledige ich ma den rest der noch zu tun ist ;) |
Zitat:
|
so, also... escan hab ich jez auch gemacht... is scho knapp vor eins, morgen schule, alles wunderbar. hatte paar viren, hab entsprechende dateien alle gelöscht. alles sauber jetzt. aber hab auch ziemlich oft ERROR gehabt... und zufälligerweise auch bei ZLT022f0.TMP!!! und bei perflib auch... aber die soll ja in ordnung sein die datei... ich krieg die krise... egal... ich geh jetzt pennen. und morgen nochmal ein komplettes escan und ein nod32 und warum nicht gleich auch ein norton check ;) danke schonmal |
Bitte poste noch was von eScan gefunden wurde! Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) |
So, das escan ergebnis: Mon Nov 29 08:45:04 2004 => C:\Dokumente und Einstellungen\gülay\Recent\kumarli.jpg.lnk possibly infected and removed by background antivirus package! Mon Nov 29 08:45:08 2004 => C:\Dokumente und Einstellungen\gülay\Recent\kumarli.jpg.lnk possibly infected and removed by background antivirus package! Mon Nov 29 08:45:08 2004 => File C:\Dokumente und Einstellungen\gülay\Recent\kumarli.jpg.lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. Mon Nov 29 08:48:12 2004 => C:\Dokumente und Einstellungen\gülay\Desktop\kumarli.jpg possibly infected and removed by background antivirus package! Mon Nov 29 08:48:12 2004 => File C:\Dokumente und Einstellungen\gülay\Desktop\kumarli.jpg infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. Mon Nov 29 08:49:44 2004 => File C:\System Volume Information\_restore{DDD51E55-AD36-46E8-9E00-237947D9EC13}\RP2\A0000189.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed. Mon Nov 29 08:49:45 2004 => File C:\System Volume Information\_restore{DDD51E55-AD36-46E8-9E00-237947D9EC13}\RP2\A0000190.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: File Deleted. Mon Nov 29 08:49:45 2004 => File C:\System Volume Information\_restore{DDD51E55-AD36-46E8-9E00-237947D9EC13}\RP2\A0000191.dll infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: File Deleted. Mon Nov 29 08:49:46 2004 => File C:\System Volume Information\_restore{DDD51E55-AD36-46E8-9E00-237947D9EC13}\RP2\A0000192.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: File Deleted. Mon Nov 29 08:49:46 2004 => File C:\System Volume Information\_restore{DDD51E55-AD36-46E8-9E00-237947D9EC13}\RP2\A0000193.exe infected by "TrojanDownloader.Win32.Swizzor.cb" Virus. Action Taken: File Deleted. Mon Nov 29 08:49:47 2004 => File C:\System Volume Information\_restore{DDD51E55-AD36-46E8-9E00-237947D9EC13}\RP2\A0000194.exe infected by "Trojan-Downloader.Win32.Swizzor.cc" Virus. Action Taken: File Deleted. Mon Nov 29 08:49:47 2004 => File C:\System Volume Information\_restore{DDD51E55-AD36-46E8-9E00-237947D9EC13}\RP2\A0000195.exe infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: File Deleted. Mon Nov 29 15:00:09 2004 => C:\Dokumente und Einstellungen\gülay\Recent\kumarli.jpg.lnk possibly infected and removed by background antivirus package! Mon Nov 29 15:00:12 2004 => C:\Dokumente und Einstellungen\gülay\Recent\kumarli.jpg.lnk possibly infected and removed by background antivirus package! Mon Nov 29 15:00:12 2004 => File C:\Dokumente und Einstellungen\gülay\Recent\kumarli.jpg.lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. Mon Nov 29 15:00:12 2004 => C:\Dokumente und Einstellungen\gülay\Recent\narins bulmaca kagidi.jpg.lnk possibly infected and removed by background antivirus package! Mon Nov 29 15:00:12 2004 => C:\Dokumente und Einstellungen\gülay\Recent\narins bulmaca kagidi.jpg.lnk possibly infected and removed by background antivirus package! Mon Nov 29 15:00:12 2004 => File C:\Dokumente und Einstellungen\gülay\Recent\narins bulmaca kagidi.jpg.lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. Mon Nov 29 15:03:19 2004 => C:\Dokumente und Einstellungen\gülay\Desktop\kumarli.jpg possibly infected and removed by background antivirus package! Mon Nov 29 15:03:19 2004 => File C:\Dokumente und Einstellungen\gülay\Desktop\kumarli.jpg infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. Mon Nov 29 15:04:12 2004 => C:\Dokumente und Einstellungen\gülay\Eigene Dateien\Meine empfangenen Dateien\narins bulmaca kagidi.jpg possibly infected and removed by background antivirus package! Mon Nov 29 15:04:12 2004 => C:\Dokumente und Einstellungen\gülay\Eigene Dateien\Meine empfangenen Dateien\narins bulmaca kagidi.jpg possibly infected and removed by background antivirus package! Mon Nov 29 15:04:12 2004 => File C:\Dokumente und Einstellungen\gülay\Eigene Dateien\Meine empfangenen Dateien\narins bulmaca kagidi.jpg infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. so... und dann hab ich einfach noch die virus log information kopiert... vielleicht nützt das ja... File C:\Dokumente und Einstellungen\gülay\Recent\kumarli.jpg.lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. File C:\Dokumente und Einstellungen\gülay\Recent\narins bulmaca kagidi.jpg.lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. File C:\Dokumente und Einstellungen\gülay\Desktop\kumarli.jpg infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. File C:\Dokumente und Einstellungen\gülay\Eigene Dateien\Meine empfangenen Dateien\narins bulmaca kagidi.jpg infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{DDD51E55-AD36-46E8-9E00-237947D9EC13}\RP2\A0000763.exe tagged as not-a-virus:RiskWare.Tool.PrcView.3725. No Action Taken. File C:\Recycled\Dc55.exe tagged as not-a-virus:AdWare.Lop.e. No Action Taken. File C:\Recycled\Dc59.exe tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken. File C:\Recycled\Dc60.exe tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken. File C:\Recycled\Dc61.exe tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken. File D:\Recycled\Dd1.exe tagged as not-a-virus:RiskWare.Tool.PrcView.3725. No Action Taken. File D:\SIERRA\Half-Life\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken. File D:\Eigene Dateien\~-gülay-~\Schule\Informatik\JAVA BlueJ\Java Literatur aktuell\javawerk\javawerk\java\demo\BarChart\Chart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken. File D:\Eigene Dateien\~-gülay-~\Schule\Informatik\JAVA BlueJ\Java Literatur aktuell\javawerk\javawerk\java\demo\Blink\Blink.class tagged as not-a-virus:JavaClass.Blink. No Action Taken. da ist was was ich nicht so ganz check... wieso erkennt escan viren die nod32 nicht erkennt? ich denk das teil ist zu 100% sicher?! hab ich erst letztens noch in der zeitung gelesen! ...son scheiß ey... |
Das Log-File sieht zwar augenscheinlich sauber aus, aber für mich wäre dein/dieses System nicht mehr vertrauenswürdig, da z.B. der Backdoor Rbot.gen aktiv war. Zitat:
http://www.trojaner-board.de/showpos...28&postcount=2 Solltest du dennoch diesen Zustand beibehalten wollen, dann ändere zumindest alle vergebenen Passwörter. |
sch****!!! :headbang: :headbang: :headbang: :headbang: :headbang: neues system muss her... oke das werd ich mal tun... is glaub ich besser als alle passwörter zu ändern... son dreck ... :( naja, auf jeden fall vielen dank für eure hilfe... ihr habts voll drauf man, ;) nochmal danke! peace |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:41 Uhr. |
Copyright ©2000-2024, Trojaner-Board