[-little_Smoke]

Hallo leute,

Seit heute öffnet sich bei mir immer der explorer. Das wirft mich immer aus den spielen raus und nervt ziemlich. Anti Vir habe ich schon durchlaufen lassen und hat nichts gefunden.

Jetzt habe ich mal eine Hijack list erstellt:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 02:40:18, on 01.01.2002
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
H:\Steam\Steam.exe
C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\SysWOW64\explorer.exe
C:\Windows\SysWOW64\explorer.exe
C:\program files (x86)\avira\antivir desktop\avcenter.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jucheck.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Users\Niklas\Desktop\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [HKLM] C:\Windows\system32\install\svchosts.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Steam] "h:\steam\steam.exe" -silent
O4 - HKCU\..\Run: [HKCU] C:\Windows\SysWOW64\install\svchosts.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Windows\system32\install\svchosts.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Windows\system32\install\svchosts.exe
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 6086 bytes

Ich hoffe ihr könnt mir schnell helfen.

Danke im vorraus!

MfG,
-little_Smoke

[menschenwesen]

O4 - HKLM\..\Run: [HKLM] C:\Windows\system32\install\svchosts.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Windows\system32\install\svchosts.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Windows\system32\install\svchosts.exe

Das sind die Übeltäter...

Ich gehe mal davon aus, dass wenn du versuchst sie mit HijackThis zu fixen, du keinen Erfolg hast, oder?

/edit: Wäre schön, wenn du den ersten Teil des Scanberichtes nicht abschneiden würdest!
Läuft bei dir eine Black Edition???

Und bitte Logs immer in Spoiler packen

[-little_Smoke]

Danke für die schnelle und hilfreiche antwort

wie du vorraus gesagt hast, geht es nicht die datein mit hijack this zu fixen... woher wusstest du das?

habe jetzt den bericht vervollständigt und alles in einen spoiler gepackt.

achja, ist jetzt vielleicht eine blöde frage, aber was meinst du mit einer Black edition?


Trozdem vielen danke erstmal.

MfG,
-little_Smoke

[menschenwesen]

Erst mal zur Black Edition [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Ich bin zwar kein Prophet, aber bei dem Infekt, den du dir eingefangen hast, war fast klar, das HijackThis keinen Erfolg haben wird.

Du könntest mal schauen, ob Malwarebytes den Kram findet - was ich ehrlich gesagt auch nicht glaube...

Wahrscheinlich braucht es da härtere Geschütze!

Alternative, wie immer... neu aufsetzen, dann biste auf der ganz sicheren Seite!!!

[haze303]

Zitat:

Zitat von -little_Smoke

wie du vorraus gesagt hast, geht es nicht die datein mit hijack this zu fixen... woher wusstest du das?
...
achja, ist jetzt vielleicht eine blöde frage, aber was meinst du mit einer Black edition?

Die SVCHOST.EXE liegt in SYSTEM32 und nicht in INSTALL und die Datei heisst nicht SVCHOSTS.EXE.
Die Black Edition von Windows 7 ist eine offiziell als kompromittierte Windows Version bekannt und es wird selbst von Microsoft direkt vor dem Einsatz einer solchen "Back Edition" Szene Version gewarnt.

Falls du wirklich eine Black Edition haben solltest, würde ich dir empfehlen das Ding so schnell wie nur möglich platt zu machen und ein original MSDN-Image zu ziehen/installieren.

Viele Grüße,
haze303

[-little_Smoke]

Nein ich habe keine Black Edition. Habe das orginal Windows 7 mit orginalem key und allem drum und dran.

Aber warum fragt ihr das? Wirke ich so kriminell?

Ich habe hier eine svchost.exe, aber die liegt weder im System32 noch im install ordner, sondern :

C:\Windows\winsxs\x86_microsoft-windows-services-svchost_(langes zahlen und buchstaben gewusel)

manuell löschen kann ich sie jedoch nicht, denn ich brauche angeblich eine Berechtigung dafür, obwohl ich der Admin meines rechners bin und es auch kein anderes konto auf dem rechner gibt.

Ich würde jetzt einfach mal auf Spybot tippen, meint ihr das hilft?

Ja, neumachen wäre die aller aller letzte möglichkeit, aber nachdem ich meinen rechner dieses Jahr schon vier mal neu gemacht hab, habe ich da nicht so viel lust zu. (bin zu faul )

[haze303]

Das ist meine Meinung zu einem verseuchten System:

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Du kannst den gesamten Thread [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] noch einmal nachlesen, in dem wir teilweise über die Grundsätze Diskutierten haben.

Mein Motto: Sicher ist sicher!

Viele Grüße,
haze303

[menschenwesen]

Also mir ist derzeit nur wichtig, dass da eine svchosts.exe in einem Ordner liegt, wo sie nun wahrlich nichts zu suchen hat.

btw... wenn du dieses Jahr schon viermal neu aufgesetzt hast, kommt es auf ein Mal mehr auch nicht an, oder?

Meinst du mit Spybot etwa Spybot Search & Destroy? Das wird dir nicht helfen!

Zitat:

C:\Windows\winsxs\x86_microsoft-windows-services-svchost_(langes zahlen und buchstaben gewusel)

Da hat die übrigens auch nichts zu suchen.

Wenn du nach svchost.exe suchst, wirst du feststellen, dass sie sehr wohl im SYSTEM32 zu finden ist.

Neu aufsetzen, alles andere ist in diesem Fall unsinnig... IMHO

[-little_Smoke]

Na da bleibt mir wohl nichts anderes übrig als mich dem zu beugen...mal wieder.

Ich bin euch unendlich dankbar für eure hilfe und geduld.

MfG,
-little_Smoke

[menschenwesen]

Und zukünftig dann bitte [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] auch installieren