|
Merkwürdige Einträge Hallo! Habe mehrere Fragen: 1. Ich hab 5x svchost. Bis dahin ja nichts Ungwöhnliches. Aber 4x ist der Ordner System32 großgeschriben und bei einer svchost klein? Kann es sein das sich dahinter ein Trojaner verbirgt, oder ist es nur Einbildung? 2. Es soll nach "Hijackthis automatische Auswärtung" ein Prozess laufen, der im Taskmanager und ähnlichen Programmen nicht aufgeführt ist. Nämlich: UserInit = D:\WINDOWS\system32\userinit.exe, Kann es sein das das Böse ist? 3. Shell=Explorer.exe soll ein unbekannter Prozess sein. Ist es doch nicht, oder? 4. Was ist eine mshta.exe? eine ie4unit.exe Logs: http://www.hijackthis.de/logfiles/36...91dffa1d9.html http://www.hijackthis.de/logfiles/d3...11a8eaf9d.html Der Anlass weshalb ich ein 2. Mal Poste ist, dass ich vor kurzem mit Bildbearbeitung angefangen habe und dass dabei eine Maus die sich von selbst bewegt und Programme schließt sehr sehr sehr sehr sehr sehr sehr sehr sehr sehr sehr sehr sehr hinderlich ist :mad: :schrei: . |
Hallo Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
|
Hijackthis Normaler Log: Logfile of HijackThis v1.98.2 Scan saved at 17:25:57, on 15.08.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\Explorer.EXE D:\Programme\iTunes\iTunesHelper.exe D:\Programme\D-Tools\daemon.exe D:\Programme\PestPatrol\PPMemCheck.exe D:\Programme\PestPatrol\PPControl.exe D:\Programme\PestPatrol\CookiePatrol.exe D:\WINDOWS\System32\RunDLL32.exe D:\Programme\Ares\Ares.exe D:\Programme\GetRight\getright.exe D:\Programme\GetRight\getright.exe C:\PROGRA~2\ICQ\ICQ.exe D:\WINDOWS\System32\nvsvc32.exe D:\WINDOWS\System32\SLEE503.exe D:\Programme\iPod\bin\iPodService.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\ntvdm.exe D:\T-ONLINE\BSW4\ToDuCAlC.EXE d:\progra~1\intern~1\iexplore.exe C:\loeschenpresent\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [PPMemCheck] D:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [PestPatrol Control Center] D:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [CookiePatrol] D:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~2\ICQ\ICQNet.exe O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [ares] "D:\Programme\Ares\Ares.exe" -h O4 - Global Startup: GetRight - Tray Icon.lnk = D:\Programme\GetRight\getright.exe O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~2\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~2\ICQ\ICQ.exe O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{89443DE5-38C0-4DC0-82BC-3503B947BB37}: NameServer = 217.237.149.161 194.25.2.129 Dann dieser Stareinträge Log StartupList report, 15.08.2004, 17:29:47 StartupList version: 1.52.2 Started from : C:\loeschenpresent\hijackthis\HijackThis.EXE Detected: Windows XP (WinNT 5.01.2600) Detected: Internet Explorer v6.00 (6.00.2600.0000) * Using default options ================================================== Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\Explorer.EXE D:\Programme\iTunes\iTunesHelper.exe D:\Programme\D-Tools\daemon.exe D:\Programme\PestPatrol\PPMemCheck.exe D:\Programme\PestPatrol\PPControl.exe D:\Programme\PestPatrol\CookiePatrol.exe D:\WINDOWS\System32\RunDLL32.exe D:\Programme\Ares\Ares.exe D:\Programme\GetRight\getright.exe D:\Programme\GetRight\getright.exe C:\PROGRA~2\ICQ\ICQ.exe D:\WINDOWS\System32\nvsvc32.exe D:\WINDOWS\System32\SLEE503.exe D:\Programme\iPod\bin\iPodService.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\ntvdm.exe D:\T-ONLINE\BSW4\ToDuCAlC.EXE d:\progra~1\intern~1\iexplore.exe C:\loeschenpresent\hijackthis\HijackThis.exe D:\WINDOWS\system32\NOTEPAD.EXE -------------------------------------------------- Listing of startup folders: Shell folders Common Startup: [D:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart] GetRight - Tray Icon.lnk = D:\Programme\GetRight\getright.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = D:\WINDOWS\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run iTunesHelper = D:\Programme\iTunes\iTunesHelper.exe DAEMON Tools-1033 = "D:\Programme\D-Tools\daemon.exe" -lang 1033 NvCplDaemon = RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup PPMemCheck = D:\Programme\PestPatrol\PPMemCheck.exe PestPatrol Control Center = D:\Programme\PestPatrol\PPControl.exe CookiePatrol = D:\Programme\PestPatrol\CookiePatrol.exe Mirabilis ICQ = C:\PROGRA~2\ICQ\ICQNet.exe NvMediaCenter = RunDLL32.exe NvMCTray.dll,NvTaskbarInit -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run ares = "D:\Programme\Ares\Ares.exe" -h -------------------------------------------------- Shell & screensaver key from D:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=D:\WINDOWS\System32\logon.scr drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Enumerating Download Program Files: [Shockwave ActiveX Control] InProcServer32 = D:\WINDOWS\system32\Macromed\Director\SwDir.dll CODEBASE = http://download.macromedia.com/pub/s...irector/sw.cab [Symantec AntiVirus scanner] InProcServer32 = D:\WINDOWS\Downloaded Program Files\avsniff.dll CODEBASE = http://security.symantec.com/sscv6/S...in/AvSniff.cab [Symantec RuFSI Utility Class] InProcServer32 = D:\WINDOWS\Downloaded Program Files\rufsi.dll CODEBASE = http://security.symantec.com/sscv6/S.../bin/cabsa.cab [Shockwave Flash Object] InProcServer32 = D:\WINDOWS\System32\Macromed\Flash\FLASH.OCX CODEBASE = http://download.macromedia.com/pub/s...sh/swflash.cab -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: D:\WINDOWS\system32\SHELL32.dll CDBurn: D:\WINDOWS\system32\SHELL32.dll WebCheck: D:\WINDOWS\System32\webcheck.dll SysTray: D:\WINDOWS\System32\stobject.dll -------------------------------------------------- End of report, 4.763 bytes Report generated in 0,040 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only Noch eine Frage zu diesem Shell Eintrag, soll ich explorer.exe löschen? |
Ach ja, hab zig Antiviren und Scan Programe benutzt und nichts wurde gefunden! Warte, mir ist gerade etwas eingefallen, immer wenn ich mit Pest Patrol meinen Pc nach ein Paar Tagen auf spyware prüfe, dann ist immer wieder dieses Bearshare drauf. Wenn ich es also lösche kommt es nach ein paar Tagen wieder, das müsste heißen, dass das eigentliche Programm, welches diese Spyware installiert, noch da sein müsst. Ist vielleicht ne Hilfe. |
Zitat:
Zitat:
Mit http://www.kaspersky.com/de/remoteviruschk.html prüfen. |
Erstens: Wenn ich mir beide Servicepacks draufpacke heißt es doch noch lange nicht, dass ich den Trojaner los bin, oder? Zweitens: Ich hab mir schonmal das Servicepack 1 heruntergeladen, jedoch konnte ich es nicht installieren. Genauso wie mit den Sicherheitspatches, die ich manuell runtergeladen hab (mit updatemanager hats jedoch gefunzt). Man kann doch bestimmt irgendiwe diesen Trojaner auch ohne Servipacks entfernen. |
Ah, und slee505 oder so ist von Steganos, also nichts böses. |
Zitat:
Zitat:
|
Okay, dann installiere Ich die Servicepacks. Wenn ich es getan hab meld ich mich wieder. Aber trotzdem verstehe ich nicht, wieso das so schlimm ist, dass ich sie nicht drauf hatte. Ich meine, okay, ich könnte mich theoretisch wieder infizieren, aber ich kann doch den Trojaner auch entfernen bevor ich die Servicepacks installiere. |
Zitat:
Zitat:
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:46 Uhr. |
Copyright ©2000-2025, Trojaner-Board