services.exe, svchost.exe und iexplore.exe laufen mehrmals (laut Windows Task-M)

 

das mit dem screenshot geht irgendwie nicht :/

naja, hier der link: http://www.mypage.tv/users//Stromberkel/$pics/hilfe.JPG

Hallo,
auch der Link, die Homepage ist ein Schuß in den Ofen...
Zumindest solange sie noch nicht aktiviert ist....

Erstelle ein Log mittels Hijackthis von hier >www.hijackthis.de
Lasse die automatische Auswertung in Ruhe und poste das komplette Log.
Sir Reklov

Hallo Carsten88,
überprüfe deinen PC zur Kontrolle mal mit dem Freeware Online-Scanner von F-Secure.
Für eine schnelle und kostenlose Überprüfung des kompletten Systems bietet dieser
Online-Scanner gute Dienste und liefert eine zweite Meinung. Übrigens, er läuft nur unter dem Microsoft Internet Explorer mit ActiveX und besitzen eine Reinigungsfunktion.

Beachte bitte dabei die folgende Anleitung genau und arbeite sie unbedingt in der Reihenfolge und vollständig ab!

Deaktiviere zuerst die Systemwiederherstellung von Windows, nur bei XP und ME.
Eine Anleitung dazu findet man unter: http://www.bsi.de/av/texte/wiederher.htm

Lösche bitte deinen Browser-Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
und führe den Befehl Cleaner aus.

F-Secure Online Scanner
http://support.f-secure.com/enu/home/ols.shtml
(Einige wenige Teile der Software sind in Englisch)
Wähle die Option “Vollständiger Systemscan“

Poste bitte auf jeden Fall den ausführlichen Bericht des Scanners hier !
Boote jetzt den PC neu und aktiviere die Systemwiederherstellung wieder.

Zum Schluss erstelle wie bereits erwähnt ein HijackThis-Log und poste den Logfile hier.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Hier der Link zu dem Tool
http://www.hijackthis.de/
und folge den Anweisungen.
Downloadlink zum Tool
http://www.mmdirect.de/downloads/hijackthis_199.zip

Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493

 

ich weiß nicht, was mit meinem Internet oder mit meinem Internet Explorer los ist, aber es gelingt mir nicht, das Pop-Up Fenster bei "start scanning" zu öffnen, es schließt sich sofort wieder beim internet explorer, bei maxthon komme ich zwar zu den lizenzbestimmungen aber ich kann nicht weiter auswählen, schlaltflächen etc. werden fehlerhaft angezeigt

activex ist definitiv aktiviert...


was noch relativ seltsam ist, aber dieses problem habe ich erst seit heute (das im post beschriebene schon länger):

mein Ad-Watch Programm zeigt mehrmals pro !Sekunde! einen Registry-Eintrag als fehlerhaft an (Registry Modification Detected), und zwar folgenden:

Root: HKEY_LOCAL_MACHINE
Key: SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
Value: Userinit
Data: C:\Windows\system32\userinit.exe
New Data: C:\Windows\system32\userinit.exe, C:\Windows\system32\ntos.exe


???????

 

 

Hi,
diese Datei "C:\Windows\system32\ntos.exe" schreit ja fast schon nach Malware!
Teste die Datei einfach hiermit mit auf Malware.
http://www.virustotal.com/flash/index_en.html
oder
http://virusscan.jotti.org/de/

Beide kostenlose Dienste verbinden bei einen Scan verschiedene Programme der Antivirushersteller. Wird dabei Malware gefunden, dann poste das Ergebnis hier.

Wo ist das Logfile of HijackThis ?
Bitte posten!

Alternativer OnlineScanner
Setze über Firefox den HouseCall von Trend ein und poste den Bericht:
http://de.trendmicro-europe.com/consumer/housecall/housecall_launch.php


 

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file




der housecall geht auch nicht, Firefox beendet sich einfach jedes mal selbst...





hier der hijack-logfile:

Logfile of HijackThis v1.99.1
Scan saved at 00:10:16, on 06.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Antivirus\AVPersonal\AVGUARD.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Media\Logitech\iTouch\iTouch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Antivirus\AVPersonal\AVGNT.EXE
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\services.exe
C:\Programme\Nero\Nero 7\Nero StartSmart\NeroStartSmart.exe
C:\Programme\Nero\Nero 7\Core\nero.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\C-Webb\Eigene Dateien\Downloads\Compressed\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jpivi.dll/sp.html#53142%
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jpivi.dll/sp.html#53142%
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Internet\Internet Download Manager\IDMIECC.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\Xi\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Media\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Antivirus\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [IDMan] C:\Internet\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Alles mit NetXfer herunterladen - C:\Programme\Xi\NetXfer\NXAddList.html
O8 - Extra context menu item: Download All Links with IDM - C:\Internet\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Internet\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Herunterladen mit NetXfer - C:\Programme\Xi\NetXfer\NXAddLink.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.astonmartin.com/configurator/vanquish_load.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134222786796
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1134222776343
O20 - Winlogon Notify: 1_32bean32_1reg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\1_32bean32_1.dll
O20 - Winlogon Notify: partnershipreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\partnership.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)
O21 - SSODL: hirtellous - {fa19bd7e-50bc-4203-80ac-c4edc81ca9a3} - (no file)
O21 - SSODL: DCOM Server 3339 - {2C1CD3D7-86AC-4068-93BC-A02304BB3339} - C:\WINDOWS\system32\ipqcpw.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Antivirus\AVPersonal\AVGUARD.EXE
O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\system32\aspi36872.exe (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Antivirus\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ieupdater (Microsoft IE Updater) - Unknown owner - C:\Internet\~tmp0374.exe (file missing)
O23 - Service: msupdatefss (Microsoft Updater FileSystems) - Unknown owner - C:\WINDOWS\system32\update00822631.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

 

Der Log gefällt mir nicht, da sind ein paar zweifelhafte Einträge!
Das kann ich mir erst morgen genauer anschauen.
In der zwischen Zeit gehe bitte dieses durch:

Checke deinen PC mit dem kostenlosen Tool BlackLight von F-Secure auf Rootkot:
https://europe.f-secure.com/exclude/blacklight/index.shtml
Gefundene Objekte sollte über den Button “Renamed“ neutralisiert werden.

Für eine schnelle und kostenlose “Offline“ Überprüfung des kompletten Systems sind die folgenden Freeware Malware-Scanner gut. Übrigens, alle samt mit einer Reinigungsfunktion.

1. AV Cleaner “Damage Cleanup“ von Trend Micro.
(Spezielles Entfernungstool für fast alle bekannten Viren - In englischer Sprache)
Die Dateien sysclean.com und lpt$vpn.xxx müssen im selben Ordner abgelegt sein, keine Installation notwendig!
a. Sysclean Package, ca. 3,4 MB
http://de.trendmicro-europe.com/enterprise/support/tsc.php
b. Pattern, ca. 14 MB Zipdatei
http://de.trendmicro-europe.com/enterprise/support/pattern.php

2. Lade dir die Software von AVG Anti-Spyware, ehemals Ewido, herunter.
Ca. 7,6 MB, Entwickelt für Windows 2000 und XP
http://downloads.grisoft.cz/softw/70/filedir/inst/avgas-setup-7.5.0.50.exe
Bei der Installation bitte nicht den Hintergrundwächter aktivieren.
Nach der Installation der Software ist unbedingt noch das Update einzuspielen, gehe dazu auf
http://download.ewido.net/avgas-signatures-full-current.exe
(Eventuellen Meldungen von AVG Anti-Spyware unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar.)

Um eine optimale Überprüfung mit den Tools zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren

Poste bitte die ausführlichen Scanergebnisse hier.


Gute Nacht !

 

Hallo,
du hast mindestens ein,ich vermute sogar zwei, Backdoortrojaner auf der Platte.
Einer davon gibt deine Tastaturanschläge weiter...
Wie hast du dir diese angeblichen Update`s geholt ?

 

O23 - Service: msupdatefss (Microsoft Updater FileSystems) - Unknown owner - C:\WINDOWS\system32\update00822631.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe

Garantiert nicht von MS !!

 

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

 

So lautet die Meldung von Virustotal wenn der Prozess am Arbeiten ist.Der läßt sich dann nicht abschalten.
Meine einung dazu : Alarmstufe dunkelrot !!
Sofortiges Neuaufsetzen ist erforderlich und alle Passwörter sind zu ändern.Die müssen als bekannt angesehen werden.Tausche sie aber nicht untereinander aus,mache für alle komplett neue Passwörter !!
Machst du online-Banking oder bist du bei Ebay angemeldet ?
Kontrolliere unbedingt beides auf Merkwürdigkeiten !!
Sir Reklov

ich sitz grad noch in der schule, zuhause wartet des logfile von avg und dem trend micro dingens



also meine updates habe ich sicher nicht von microsoft, habe über xp-antispy alle microsoft updates deaktiviert...

kann sie mir nicht erklären :/





also ebay und online banking benutze ich nicht...

wie weit ist denn ein virus im normalfall verbreitet?

habe gestern angefangen, meine dateien zu sichern damit ich die tage mal formatieren kann falls des ganze virusentfern-getue nicht richtig funzt, mein pc hat ja schon genug seltsame probleme gemacht :/
bsp: musik? wenn ich diese jetzt z.b. auf cd brenne um sie zu sichern, ist es dann möglich, dass irgendetwas mitgebrannt wird was dann meinen pc wieder infiziert wenn ich die dateien auf den formatierten pc wieder draufmache??



danke schon mal für all eure hilfe, werde von zuhause dann die ausstehenden logs posten

Hallo,
 

zuhause wartet des logfile von avg und dem trend micro dingens

Danke,für mich nicht mehr nötig....

 

also meine updates habe ich sicher nicht von microsoft

Jaja.. die bösen bösen MS-Verbrecher....

 

habe über xp-antispy alle microsoft updates deaktiviert...

Sehr gut... das hast du nun davon....
sich von den Sicherheitsupdates aussperren ist ganz großes Kino...

 

wie weit ist denn ein virus im normalfall verbreitet?
 

Du sprichst von was völlig anderem...
Es macht einen Riesenunterschied aus,was ein Virus macht und kann-und was ein Trojaner mit Backdoorfunktionalität macht und kann.....

 

habe gestern angefangen, meine dateien zu sichern damit ich die tage mal formatieren kann

Das solltest du dringend beschleunigen...

Zu sichern wären : mp3 Files,Dokumente/Tabellen wenn sie von dir selbst erstellt wurden,Bilder wenn sie von dir selbst stammen.
Alles was eine ausführbare Datei ist/hat,muß in`s Datennirwana.....
Vor dem Zurückspielen der Dateien,Scanner updaten und drüberlassen,erst dann überspielen.
Subba-dubba Tools wie Optimizer ,XP Antispy und Konsorten weglassen.Erfahrungsgemäß machen die,siehe bei dir,mehr kaputt als das sie nützen...
Eine gute Konfiguration plus aller MS Updates ist schon mal ein verläßlicher Schutz.Dann bleibt noch das größte Problem.... der vor der Kiste sitzende User mit nervösem Klickfinger...
Sir Reklov