#1 29. Januar 2006 Hi Ich hab mal hijack this mein System scannen lassen. Dabei war mir auffällig das der Prozess svchost.exe 4mal offen war. Ist das normal. svchost führt ja dll dateien aus. Hier der Prozess Report, hoffentlich kann mir jemand helfen: Logfile of HijackThis v1.99.1 Scan saved at 14:57:54, on 29.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe I:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\explorer.exe I:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe I:\Musik\Winamp\winamp.exe I:\Programme\Mozilla Firefox\firefox.exe I:\Programme\ICQLite\ICQLite.exe C:\Dokumente und Einstellungen\Riaebae\Desktop\hijackthis\HijackThis.exe
#2 29. Januar 2006 das ist bei windows leider ganz normal http://www.ntsvcfg.de lies dir das mal durch, lade dir das script von der seite, führe es aus, und mach dann nochmal ein logfile normalerweise wird es dann schon zweimal weniger sein. Windows Sysinternals: Documentation, downloads and additional resources dort lade dir den process explorer mit dem kannst du dir anschauen, was alles mit den svchost dateien geladen wird. diese kannst du dann bei virusscan jotti zum testen hochladen und zeig doch auch mal den rest des logfile von hjt mit dem, was ich da sehen kann, kann man leider nur sehr wenig anfangen. mfg spotting
#3 29. Januar 2006 Logfile of HijackThis v1.99.1 Scan saved at 14:57:54, on 29.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe I:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\explorer.exe I:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe I:\Musik\Winamp\winamp.exe I:\Programme\Mozilla Firefox\firefox.exe I:\Programme\ICQLite\ICQLite.exe C:\Dokumente und Einstellungen\Riaebae\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Google R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: (no name) - {43C28D1D-B9C6-137A-C9CE-A7F81F9FE2D7} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file) O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - I:\Programme\FlashFXP\IEFlash.dll O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [DAEMON Tools] "I:\Programme\D-Tools\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Zone Labs Client] I:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KAVPersonal50] "I:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] I:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: AOL Communicator.lnk = I:\Programme\AOL Communicator\ac_launch.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://I:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: &NeoTrace It! - I:\PROGRA~1\NEOTRA~1\NTXcontext.htm O8 - Extra context menu item: Download with NetPumper - I:\Programme\NetPumper\AddUrl.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://I:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - I:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - I:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - I:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU) O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/238751eaf5f65694dd16/netzip/RdxIE601.cab O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab O20 - Winlogon Notify: tcpwrk - tcpwrk.dll (file missing) O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: kavsvc - Kaspersky Lab - I:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - I:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
#4 29. Januar 2006 nun, vlt solltest du dir mal überlegen, dein system gründlich nach viren und spyware zu scannen.
#5 29. Januar 2006 Genau diese Dateien hab ich schon gelöscht, hab gerade gemerkt das ich die alte LOG reingestellt hab. Trotzdem Danke. Ich hab das script offen, was soll ich jetzt reinschreiben.
#6 29. Januar 2006 1 oder 2 oder 3 oder 4 wenn du die seite gelesen hättest, wüsstest du es je nach deiner konfiguration ich empfehle immer die zahl, die zu alles gehört. wenn dann etwas nicht funktioniert, kann man durch erneutes starten des scriptes die einstellungen wieder zurücksetzen und die nächstniedrigere konfiguration wählen. mfg spotting
#8 29. Januar 2006 oh man, hast du diese seite jemals besucht? weißt du überhaupt wovon ich da rede? ich denke nicht. deshalb hier mal ne kleine anleitung dazu, wie das script eingestellt ist. mein tip, erst mit drei funktionieren, geht das dann nicht mehr alles mit 2 und geht das auch nicht alles dann mit 1. sollte dann immer noch etwas nicht funktionieren sollte man sich fragen, was nicht funktioniert, und ob man es dann wirklich braucht. mfg
#9 1. Februar 2006 dieses Script hab ich wohl gelesen, nur hab ich gedacht, du meinst ein anderes, da dieses Script mehr mit offenen Ports als mit offenen Prozessen zu tun hat. Das hat ich schon drauf, mit LAN Configuration. Ich dachte duch meinst ein anderes.
#10 1. Februar 2006 zweite möglichkeit www.sysinternals.com dort den process explorer laden, und schauen, welche dateien durch diese svchost geladen werden. diese dateien bei onlinscan jotti testen, falls man sie nicht kennt, und ggf löschen. mit dem programm autoruns bist du dann in der lage, den autostart davon zu deaktivieren. das findest du auch auf der seite.