#1 29. Juni 2009 Zuletzt von einem Moderator bearbeitet: 14. April 2017 Hallo hab seit 3-4 Tagen ein dickes Prob. Unzwar meldet kaspersky (8.0.0.454) immer irgendwelche mögl. Trojaner die aus zahlen bestehen z.b. 816.exe oder 432.exe . Immer unterschiedliche Zahlen . Ich weiß net was des ist , die exe is immer im /User/XXX/Lokale Einstellung/Temp ordner drin und auch eine verdächtige datei names vhost32.exe Hab mal zwei meldungen von kaspersky geuppt, aber wie gesagt sind immer unterscheidliche Zahlen. Hijack this: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:51:50, on 29.06.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16850) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE D:\Tools\Kaspersky 2009\avp.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\UAService7.exe D:\Tools\AlienGUIse\wbload.exe C:\WINDOWS\Explorer.EXE D:\Tools\Kaspersky 2009\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\DOKUME~1\Andi\LOKALE~1\Temp\vhost32.exe D:\Tools\QIP\qip.exe D:\Tools\Xfire\Xfire.exe D:\Tools\teamspeak2_RC2\InvisibleSpeak.exe D:\Games\Valve Games\Steam.exe C:\Dokumente und Einstellungen\Andi\Desktop\Alltägliche Tools\gapa.exe D:\Tools\Mozilla1.7.2\FIREFOX\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer! R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer! F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, C:\DOKUME~1\Andi\LOKALE~1\Temp\vhost32.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\Tools\GetRight\xx2gr.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Tools\Kaspersky 2009\ievkbd.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - D:\Tools\Veoh\Plugins\reg\VeohToolbar.dll O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - D:\Tools\TERRAT~1\THCDES~1.DLL O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVP] "D:\Tools\Kaspersky 2009\avp.exe" O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Download with GetRight - D:\Tools\GetRight\GRdownload.htm O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - D:\Tools\GetRight\GRbrowse.htm O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Tools\Kaspersky 2009\SCIEPlgn.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Games\PartyPoker\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Games\PartyPoker\PartyPoker\RunApp.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Tools\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Tools\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O20 - AppInit_DLLs: wbsys.dll,D:\Tools\KASPER~1\mzvkbd.dll,D:\Tools\KASPER~1\mzvkbd3.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - D:\Tools\Kaspersky 2009\avp.exe O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe -- End of file - 6981 bytes + Multi-Zitat Zitieren
#2 29. Juni 2009 AW: Fettes Problem mit Wurm ? Diese vhost läuft anscheinend auch als Prozess... kannst du die mit dem Taskmanager killen? + Multi-Zitat Zitieren
#3 29. Juni 2009 AW: Fettes Problem mit Wurm ? ja killen geht. lösche auch die exe ausm temp ordner aber wenn ich pc reboote , dann kommt wiedr irgend Zahl.exe und der vhost32.exe is wieder im temp und startet. + Multi-Zitat Zitieren
#4 29. Juni 2009 AW: Fettes Problem mit Wurm ? kannst ja mal mit gmer checken -> GMER - Rootkit Detector and Remover das findet einige rootkits und du kannst auch mal services, autostart etc. überprüfen + Multi-Zitat Zitieren
#5 30. Juni 2009 AW: Fettes Problem mit Wurm ? ok habs mal geladen. aber weiß net genau nach was ich gucken soll. in services ist der vhost net aufgelistet. + Multi-Zitat Zitieren
#6 30. Juni 2009 AW: Wurm / Trojaner ? lade dir mal spybot und destory von chip.de z.b. runter. und scanne damit. ansonsten sieht es mir nach nem fun virus aus der immer mehr datein erzeugt ich hatte mal so nen generator war zum killen der festplatte weil die platte total überflutet wird. + Multi-Zitat Zitieren
#7 30. Juni 2009 AW: Wurm / Trojaner ? also danke für eure beiträge , bw is raus . spybot hat 148 sachen gefunden (meißt aber irgendwelches cookie zeug) und hab auch sonst noch irgend ein anti malware programm gestern benutzt und paar sachen gefunden . also des problem scheint jetzt behoben zu sein. denke das es an dem vhost32.exe lag , der immer wieder irgendwelche programme zahl.exe erstellt hat im temp ordner. was dieser vhost32.exe ist weiß ich zwar immer noch nicht aber damit ist der thread eig geschlossen. + Multi-Zitat Zitieren
#8 30. Juni 2009 AW: Wurm / Trojaner ? Für mehr Informationen druideandi [not used] - svhost32.exe - Program Information Hoffe konnte helfen MfG SynT@x + Multi-Zitat Zitieren