|
escan logfile, bitte um auswerung hallo, escan meldet 5 viren, sind das jetzt wirkluch 5 viren oder sind die dateien unproblematisch? hier das logfile: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.4.6 Sprache: German Virus-Datenbank Datum: 10/11/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "titanshield antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\Programme\DAEMON Tools\SetupDTSB.exe markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\unrar.dll ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Dokumente und Einstellungen\fdc\Anwendungsdaten\sopcast\adv ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\magnet !!! Offending Key found: HKCR\magnet !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Dokumente und Einstellungen\fdc\Anwendungsdaten\ppStream\2.0.3.4000\psnetwork.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 89441 Gefundene Viren: 5 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 48 Dauer des Scans bisher: 00:30:22 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 0:28:32,89 Batchende: 0:28:41,50 ---------------- danke im voraus mfg sascha |
Hallo, bis jetzt sieht es nach Fehlalarmen aus, aber du hast den Scan abgebrochen. Zitat:
mfg Cleriker |
also da steht wieder "dauer des scans bisher", im programm stand aber : "scan vollständig" . die uhr blieb auch stehen. denke also der scan sollte abgeschlossen sein. wäre nett wenn nochmal jemand drüberschauen könnte. danke im voraus mfg sascha --------------------------------- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.4.6 Sprache: German Virus-Datenbank Datum: 10/11/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "titanshield antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\Programme\DAEMON Tools\SetupDTSB.exe markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\unrar.dll ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Dokumente und Einstellungen\fdc\Anwendungsdaten\sopcast\adv ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\magnet !!! Offending Key found: HKCR\magnet !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Dokumente und Einstellungen\fdc\Anwendungsdaten\ppStream\2.0.3.4000\psnetwork.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 92523 Gefundene Viren: 5 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 56 Dauer des Scans bisher: 01:00:11 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 19:56:24,34 Batchende: 19:57:00,42 ------------------------ also da steht wieder "dauer des scans bisher", im programm stand aber : "scan vollständig" . die uhr blieb auch stehen. denke also der scan sollte abgeschlossen sein. wäre nett wenn nochmal jemand drüberschauen könnte. danke im voraus mfg sascha |
könnte bitte nochmal jemand drüber schauen? |
Dann erlös ich dich mal . . . Alle von escan erkannten Dateien sind Fehlalarme. Das Log zeigt keine Vorkommnisse. Hast du denn irgendwelche Probleme? mfg Cleriker |
also erstmal herzlichen dank, naja mein rechner brauch geschätzte 4 min zum hochfahren, also ich sehe den desktop zwar schon, sobald ich aber etwas anklicke, schießt die prozesserauslastung auf 100 % und alles dauert noch etwas länger, nach ca 4 minuten nach dem einschalten kann ich dann arbeiten :) muss alerdings dazusagen, dass ich im laufe der zeit auch sehr viele programme installiert habe, wird sicher damit zusammenhängen, ahbe gestern mal alles mögliche aus der msconfig geschmissen, hat aber nicht wirklich was gebracht. hast du noch ne idee was ich noch machen kann, also außer neuinstallieren :) ? danke im voraus mfg sascha |
schau mal welcher Prozess am Anfang so viel Auslastung mit sich bringt oder besser gesagt welche Prozesskombination? -> im Taskmanager Vielleicht regelt sich die Suche dann von alleine... mfg Cleriker |
hi, nochmal danke für deine schnellen und kompetetnten antworten,also es ist die svchost.exe. meiner meinung nach kann man die nicht beenden oder? |
hi nochmal, nein, die svchost.exe nicht, aber diese ist wiederrum immer für andere Prozesse verantwortlich. Folglich muss ein Prozess einer Software Probleme beim Starten mit sich bringen. Und dieser Prozess lässt sich meißt in einem Starteintrag wieder finden, welcher wiederrum mit hijackthis geloggt werden kann. Lange Rede kurzer Sinn -> erstell ein hijackthislogfile nach Anleitung hier im Forum und poste es. Anschließend wissen wir bestimmt mehr. mfg Cleriker |
hier der hijack log: ------------------------------------------ Logfile of HijackThis v1.99.1 Scan saved at 17:49:38, on 17.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\System32\svchost.exe C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\fdc\Desktop\programme\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://h**p://a1540.g.akamai.net/7/1...eInstaller.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://www.update.microsoft.c...?1192635061406 O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe ---------------------------------------- habe mal beim start genau den taskamanger verfolgt, also zuerst schießt die teatimer.exe auf 100 %, danach dann die svchost.exe, habe mich im inet belesen und erfahren dass die svchost.exe nur im system32 ordner sein darf, habe jetzt mit der windows suche gesucht und sie an 3 unterschiedlichen orten gefunden die da wären: C:\WINDOWS\ServicePackFiles\i386 C:\WINDOWS\system32 SVCHOST.EXE-3530F672.pf ist da ectl was faul? wenn ja hätte escan das dann nicht finden müssen? |
hallo zusammen, ich weiß ich bin ungeduldig, wäre nett wenn nochmal jemand nen blick über mein hijack logfile werfen könnte. (bzw auf meinen nachtrag mit den 3 svchost.exe) danke im voraus mfg sascha |
kannn mir denn niemand helfen? |
Code: O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://h**p://a1540.g.akamai.net/7/1...eInstaller.exe |
eher nicht, habe zu dem zeitpunkt def. kein quicktime installiert. ist das was schädliches? kannst du mir auch was zum thema mit den 3 svchost.exe sagen? zitat : habe mal beim start genau den taskamanger verfolgt, also zuerst schießt die teatimer.exe auf 100 %, danach dann die svchost.exe, habe mich im inet belesen und erfahren dass die svchost.exe nur im system32 ordner sein darf, habe jetzt mit der windows suche gesucht und sie an 3 unterschiedlichen orten gefunden die da wären: C:\WINDOWS\ServicePackFiles\i386 C:\WINDOWS\system32 SVCHOST.EXE-3530F672.pf zitat ende danke im voraus mfg sascha |
Hi, das ist schon ok. Die laufenden svchost.exe dürfen sich nur in system32 befinden. In C:\WINDOWS\ServicePackFiles\i386 befindet sich eine Kopie, die bei der Installation des Servicepacks angefertigt wurde. SVCHOST.EXE-3530F672.pf ist keine svchost.exe sondern eine SVCHOST.EXE-3530F672.pf. Dadrin bewahrt Windows Informationen auf, die ihm helfen, eine svchost.exe schneller starten zu können, soll ja wie ein schnelles Betriebssystem aussehen. Der O16-Eintrag ist ein Quicktimeinstaller. Wer den bei dir benutzt hat, kannst höchstens Du wissen. Gruß, Karl |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:57 Uhr. |
Copyright ©2000-2024, Trojaner-Board