Trojaner-Board - Svchost.exe

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Svchost.exe (https://www.trojaner-board.de/43652-svchost-exe.html)

Hallo,

auch ich habe ständig die Fehlermeldung svchost.exe Fehler in der Anwendung
Die ausnahme "unbekannter softwarefehler" (0xc0000409) ist in der anwendung an der stelle 0x597da3c0 aufgetreten.

Hier mein Log File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:34:04, on 19.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\RAPTOR-GAMING\RAPTOR-ADJUST M2 V1\Panel.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system\CmSNXeye.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Phillipp\Desktop\drweb-cureit.exe
C:\DOKUME~1\Phillipp\LOKALE~1\Temp\RarSFX1\_start.exe
C:\DOKUME~1\Phillipp\LOKALE~1\Temp\RarSFX1\setup.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Phillipp\Desktop\HiJackThis202.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [RAPTOR-ADJUST] "C:\Programme\RAPTOR-GAMING\RAPTOR-ADJUST M2 V1\Panel.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Office 2003\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{31097967-01A5-4499-AF7E-F9888479BBDD}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{890BFA5C-B8A3-4DB9-9511-CF336689D114}: NameServer = 192.168.249.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{31097967-01A5-4499-AF7E-F9888479BBDD}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{31097967-01A5-4499-AF7E-F9888479BBDD}: NameServer = 192.168.1.1
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe

--
End of file - 5591 bytes

Vielen Dank im Voraus für Eure Mühen und die Hilfe.
Gruß,
Phil

Hallo. :)

1.) Seit wann tritt das Problem auf?

2.) Wann tritt das Problem auf, z.B. beim starten von Programmen, beim Hochfahren des Systems?

3.) hast du vor kurzem neue Software oder Hardware in Verbindung mit Software installiert?

4.) Dein Hijacklog ist aus meiner Sicht sauber.

Alles in allem, erkläre bitte noch etwas genauer dein Problem welches du hast, sonst kann man dir nicht weiterhelfen. ;)

Gruß
Sunny

Hallo,

eine Zusatzfrage: Weißt du, woher die beiden folgenden Einträge kommen?

Zitat:

Zitat von Pille1978 (Beitrag 294424)

C:\DOKUME~1\Phillipp\LOKALE~1\Temp\RarSFX1\_start.exe
C:\DOKUME~1\Phillipp\LOKALE~1\Temp\RarSFX1\setup.exe

Wenn nicht, scanne beide Dateien bei Virustotal und poste das komplette Ergebnis inkl. der HASH-Werte, auch wenn nichts gefunden wurde.

Hallihallo,

1.) Seit wann tritt das Problem auf?
Seit ca. 2 Wochen

2.) Wann tritt das Problem auf, z.B. beim starten von Programmen, beim Hochfahren des Systems?
Unregelmässig. Auch wenn ich einfach auf dem Desktop bin, erscheint plötzlich das Fenster. Kann das keinem Programmstart o.ä. zuordnen

3.) hast du vor kurzem neue Software oder Hardware in Verbindung mit Software installiert?
Ja, n USB Headset mit entsprechendem Treiber, aber das erst vorgestern. Davor hab ich mal meine NVidia Chipsatztreiber fürs Board aktualisiert ..sonst nix.

4.) Dein Hijacklog ist aus meiner Sicht sauber.
Mhh...gut zu hören, aber komisch ist der Fehler schon oder?

@Franz 1968:
Ich bin dem Pfad gefolgt, aber der Ordner ist nicht mehr zu finden. Auch wenn ich versteckte Dateien einblende. Als einzigen Ordner finde ich :

C:\Dokumente und Einstellungen\Phillipp\Lokale Einstellungen\Temp\RarSFX0

und der ist leer...?!
Kann das mit nem Virenscan zu tun haben den ich wärend des HiJackthis scnas laufen lassen hab?!..Glaub das war ein dr.web cureit-scan.
Vielen Dank und Gruß,
Phil

Hier noch ein Kaspersky online scan:

PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Sonntag, 23. September 2007 21:04:33
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.84.1
Letztes Update der Antiviren-Datenbanken: 23/09/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 422625
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
F:\
G:\
H:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 50679
Viren gefunden: 0
Infizierte Objekte gefunden: 0 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:52:26

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Phillipp\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Phillipp\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Phillipp\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Phillipp\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Phillipp\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Phillipp\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Phillipp\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{D3503726-B38D-48C0-920D-ABB940AB82D6}\RP269\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
F:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
G:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Zitat:

1.) Seit wann tritt das Problem auf?
Seit ca. 2 Wochen

Hast Du in dieser Zeit ein neues Spiel installiert?

Hast Du in dieser Zeit ein neues Spiel installiert?

Nein, eindeutig nicht.

Gut, hätte an dem StarForce Kopierschutz liegen können.
Hast Du den MS Visio 2002 installiert? Oder anders gefragt: Sind Deine Microsoft Produkte ( Windows, Office, etc) auf dem aktuellen Stand?.

Office ist 2003, hab da aber auch in letzter Zeit nix geändert oder so.
Etwas fällt mir noch auf: Meine Windows Firewall lässt sich nicht mehr aktivieren. Hab schon netsh firewall restet gemacht...dann gings wieder...dann hab ich sie mal wieder deaktiviert und nun schon wieder nicht zu starten.
Auch nicht normal oder?

Zitat:

Sind Deine Microsoft Produkte ( Windows, Office, etc) auf dem aktuellen Stand?.

Ist das so? :)

Oh..:-)..also windows is xp sp 2 mit updates,ja
office is 2003 ohne updates

Zitat:

Zitat von Pille1978 (Beitrag 295862)

office is 2003 ohne updates

Bitte ändern, Updates gibt es hier(Button rechts). Nur mit dem IE möglich.

Dannach berichten. :)