|
server.exe - svchost.exe - Autostart vieler Programe... Ratlos Hallo, schlage mich den Ganzen Tag mit diversen Problemchen herum, angefangen von diversen Firefox Problemmeldungen. bis hin zu 10x (in Worten Zehn) svchost.exe die mir im Taskmanager angezeigt werden, auch andere Komische teile die http://www.processlibrary.com/de/ nicht erklären kann... Im TEMPordner hab ich dubiose Dateien die ich nicht löschen kann (UuU.UuU + XxX.XxX) auch kein öffnen oder knacken... auch http://virusscan.jotti.org/de/ sagt mir nix Und der im msconfig zeigt er mir unter Systemstart 4x was von server.exe an, auch nicht ausschaltbar... und auch nicht findbar, der Ordner der gezeigt wird ist weder mit der CMD zu finden noch zu löschen... Probierte Programme: Stinger v10 Spybot hous.call (trentmicro) Avira läuft da auch irgendwo BitDefender hat die Schadhafte Datei sogar gedownloadet, aber nicht gemeckert?! komisch alle nix gefunden!!! ich hab mal einen Informatikkurs gahabt aber darüber hinaus... als quält mich, sollte jemand antworten, bitte nicht mit Kanaanäisch hier mal der Hijack-log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:06:44, on 20.02.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16981) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\PSIService.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Kalenderchen\Kalenderchen.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Autorun Eater\oldmcdonald.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Autorun Eater\billy.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe F:\ANTI\stinger1001546.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\msiexec.exe F:\ANTI\tool\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.medion.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://suisse.aldi.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.medion.com O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - (no file) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [DMS-Kalenderchen] C:\Programme\Kalenderchen\Kalenderchen.exe /autorun O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Autorun Eater] C:\Programme\Autorun Eater\oldmcdonald.exe O4 - HKLM\..\Run: [HKLM] C:\WINDOWS\system32\spynet\server.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [HKCU] C:\WINDOWS\system32\spynet\server.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [UniblueRegistryBooster] "C:\Programme\Uniblue\RegistryBooster\launcher.exe" delay 20000 O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\spynet\server.exe O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\spynet\server.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing) O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing) (HKCU) O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing) (HKCU) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211625236765 O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - (no file) O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: FABS - Helping agent for MAGIX media database (Fabs) - MAGIX AG - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: Micro Star SCM - Unknown owner - C:\Programme\System Control Manager\MSIService.exe (file missing) O23 - Service: NMSAccess - Unknown owner - C:\Programme\Blaze Media Pro\NMSAccess32.exe (file missing) O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- End of file - 7841 bytes erklärt mir einer was da ober das Themenpräfix ist? |
hi bin auch auf der suche nach den svchost.exe, hab auch ne gute hand voll:uglyhammer: woher die kommen, keinen plan http://www3.pic-upload.de/20.02.10/ux88dq525w6a.jpg |
Hab noch einen Nachtrag... hier wird ja in den RulZ noch ein Programm vorgeschlagen und ich muss sagen! Malwarebytes hat 17Bedrohungen gefunden und über den Jordan geschickt... :(:snyper: die Server.exe sind weg genau wie die anderen Dateien die so komisch sind... inkl. zugehöriger Regs... cool! aber!!! die svchost.exe sind immer noch zu 10.:confused: das stehen doch irgendwie im Zusammenhang mit Liveupdates von div. Programmen... komisch nur, mal sind sie (wie bei Kollege St1rb da unten) unter verschiedenen Benutzernamen |
@Natur.freak: Poste bitte das Malwarebytes Logfile. Erstell auch welche mit RSIT und poste sie. Zitat:
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten. |
Hi... ja zum Glück hab ich ja wieder alles hinbekommen bis auf die Großen ? (Fragezeichen) hinter den svchost.exe... den Log hab ich leider heute morgen gelöscht aber ich hab einen danach... der bringt jetzt aber auch keine Weisheiten mit sich!!! alles auf NULL! keine fehlerhaften Regs! das andere tool teste ich gleich mal! :daumenhoc ... ne, alles wieder sauber... hätte den Tipp mit dem Hochladen gern früher gehabt! Um für die Nachwelt eine antwort zu hinterlassen... naja nächstes mal *nichthoff* |
Du hast meine Anwiesungen aber nicht ausgeführt :rolleyes: |
Wie unten steht... ich hatte die Probleme gelöst bevor du geschrieben hast! und die svchost.exe lassen immernoch Fragen offen... kann mir da keiner helfen?! und bitte auch lesen was ich schreibe!:rolleyes: erklärt mir einer was da ober das Themenpräfix ist? und bedeutet |
Zitat:
Ich hab Deine Postings schon gelesen, bei Befall sind hier Logs von Malwarebytes und RSIT die Standardprozedur! |
Aber ich hab sie doch nicht mehr, da... wie unten steht... gleich fündig und gelöscht! tut mir doch auch Leid dass die Programme so gut funktionieren! der LOG ist wirklich weg... sorry! |
Was hast Du gelöscht, die Logfiles oder die gefundenen Dateien? RSIT war vorher garnicht erwähnt, also glaub ich kaum, dass Du das Tool ausgeführt hast um gleich danach die Logs wieder zu löschen :balla: Malwarebytes erzeugt eine Log-Historie. Öffne das Programm und schau im Reiter "Scan-Berichte" nach, da bitte Logs anzeigen lassen und hier posten. |
ach Mensch, diesesn aneinander vorbei gerede... voll weg vom Thema... ja... Malwarebytes war das Programm welches den Erfolg brachte Dann hast du mit RSIT vorgeschlagen (da war aber schon alles wieder Chic! die LOgdatei ist weg, ich hab nur die von danach, da ich, weil ich es ja vorhatte die LOG zu Posten mir auf den Desktop gelegt hab... da hab ich sie kurz bevor die sie sehen wolltest (ich das hier gelesen habe) schon gelöscht! wenn sie sooo wichtig ist, sag mir ein gutes recovertool und ich such sie für dich zusammen, ich seh aber vorher nochmal im Temp nach (mach dir aber keine Hoffnungen! also... bleib immernoch die Frage woher das Familientreffen der svchost.exe und stimm meine unten angegebene Behauptung (Ahnung) schönen TAg muss los!:D |
Zitat:
|
also nu reichts gleich! Die Dateien sind weg (bin wieder glücklich sauber!) die Logs sind auch weg, Von MAL und allen ganz unten aufgeführten Programmen! und deine Anfrage die Logs zu sehen war einfach einen Moment zu spät! |
Da stehts! Zitat:
|
Deswegen hab ich extra nachgefragt, ob die Logs noch im Reiter "Scan-Berichte" ersichtlich sind. Du bist da aber nicht reichtig drauf eingegangen, deswegen hake ich da immer hartnäckig nach. Wenn Du keine RSIT Logfile (mehr) hast, dann bitte neu erstellen und posten. So ohne Kontrolle der Logfiles von einem sauberen System auszugehen ist fahrlässig. Wegen der vielen svchost-Instanzen sei Dir das gesagt, aber mehr kann ich erst sagen, wenn Du RSIT Logfiles postest :rolleyes: Mehrere laufende svchost.exe sind normal. Diese Legende, dass mehrere laufende svchost.exe "unnormal" bis "schädlich" seien, hält sich einfach hartnäckig, ich versteh das nicht :( Dabei ist die svchost.exe bloß nur ein "Hüllenprozess", eine Art Hilfsdienst, damit andere Dienste und Programme ordentlich funktionieren. Zitat: Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:48 Uhr. |
Copyright ©2000-2025, Trojaner-Board