Generetic Host Process for Win32 hat ein Problem festgest...

[Hilfesuchender]

Hi Leute!

Erstmal wünsche ich Euch allen ein frohes Weihnachtsfest und viele Geschenke!

Dann benötige ich mal Eure Hilfe: Immer, wenn ich online bin, kommt nach einer gewissen Zeit (Abstände sehr unregelmäßig) eine Fehlermeldung, die ungefähr so aussieht "Generetic Host Process for Win32 hat ein Problem festgestellt und muss beendet werden!"

Wenn ich die dann beende, trennt er die Internetverbindung.

Die Datei, die das verursacht liegt im Verzeichnis "C:\WINDOWS\System32\svchost.exe"

Gestern hatte ich das Problem z.B. gar nicht, das kommt, wann es kommt.. mal nach 10 Sekunden, wenn ich online bin, mal nach drei Stunden und mal gar nicht!

Jetzt meine Frage: Was kann ich dagegen machen?

Ich brauche den PC nämlich über die Feiertage und hoffe auf Eure schnelle Hilfe!!

Habe leider keine passenden Themen dazu gefunden, deshalb habe ich ein Thread aufgemacht!

Mittlerweile habe ich auch schon 3 mal den Virenscanner AntiVir drüber laufen lassen, der allerdings nichts entdeckte. Nun versuche ich's mal mit TuneUp und hoffe, dass das was bringt.

Bitte postet schnell!

mfG
Hilfesuchender

P.S.: Wenn's das nächste Mal kommt, werde ich ein Screenshot machen und ihn hier hinein posten - vielleicht hilft das ja! ;o)

[Hilfesuchender]

Vielen Dank auch für 'ne Antwort!

[Nikita]

HijackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip
1.Log
Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor -->
nun das
KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

[Hilfesuchender]

Logfile of HijackThis v1.99.0
Scan saved at 15:21:57, on 26.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Teledat\IWatch.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTSvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Oleco\_oleco.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Winamp\Winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\jannis\Desktop\hijackthis199_beta\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {FD3A6AB4-5527-4B52-90AF-F90CD3270861} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Handle with &Hot Keyboard - C:\Programme\Hot Keyboard\IEScript.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... d5a5648475
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F24281B-9D94-4B2D-B826-F2FCCC618D95}: NameServer = 213.20.148.139 193.189.244.205
O17 - HKLM\System\CCS\Services\Tcpip\..\{A903AB7E-3A2F-488B-8C41-41FA0574069B}: NameServer = 192.168.121.252,192.168.121.253
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - (no file)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ColdFusion MX Application Server - Macromedia Inc. - C:\CFusionMX\runtime\bin\jrunsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\PROGRAMME\TELEDAT\de_serv.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Kerio Personal Firewall - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)
O23 - Service: Srv32 - Unknown - C:\WINDOWS\system32\srv32.exe (file missing)

[Nikita]

Hallo@Hilfesuchender

http://www.sophos.de/virusinfo/analyses ... odork.html
Troj/Padodor-K

Das ist nur eine Annahme von mir, denn der Pfad stimmt nicht mit der exe auf deinem PC ueberein.
Du kannst das Removaltool dennoch laden.
http://www.rz.uni-karlsruhe.de/rz/sec/v ... servJ.html
W32-Massen-E-Mail-Wurm, -> W32/Opaserv-Fam.
_____________________________________________________________________________

Start -> Ausführen--shutdown -a eingeben! (deaktiviert das Herunterfahren)

Lade:
http://bilder.informationsarchiv.net/Nikitas_Tools/
#Killbox.exe

#mwav.exe
lege diesen ordner c:\bases an
mache ein update, indem du die datei kavupd.exe startest (DOS-Modus)
noch nicht scannen.

#AboutBuster--->entpacken und updaten
Download here)
www.malwarebytes.biz/AboutBuster.zip

Lade das Removaltool fuer den Opera-Wurm
W32-Massen-E-Mail-Wurm, -> W32/Opaserv-Fam.
http://securityresponse.symantec.com/av ... .worm.html
http://www.rz.uni-karlsruhe.de/rz/sec/removaltools.html
Scanne dann mit dem Tool im abgesicherten Modus


Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924

Gehe in die Registry
Start<Ausfuehren <regedit

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
BrowseNewProcess\BrowseNewProcess = "yes" -- >aendere in "no"

HKCR\CLSID\
loesche: (vorher ueberpruefe aber , wie die dll heisst, die dort steht (und poste es mir)
(79FEACFF-FFCE-815E-A900-316290B5B738)\InProcServer32\
@ = "C:\\WINDOWS\\System32\\"

HKCR\CLSID\
loesche:
(79FEACFF-FFCE-815E-A900-316290B5B738)\InProcServer32\
ThreadingModel = "Apartment"

HKCR\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
loesche:
Web Event Logger = "(79FEACFF-FFCE-815E-A900-316290B5B738)"

schliesse die Registry

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

So wird der Dienst deaktiviert:
Start-> Einstellungen-> Systemsteuerung-> Verwaltung-> Computerverwaltung und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Srv32 " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"Srv32 " beim nächsten Systemstart erneut ausgeführt.

Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. DerSrv32 läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

Start<Ausfuehren schreibe rein: cmd

kopiere in das DOS-Fenster:

del C:\WINDOWS\system32\srv32.exe
klicke "enter"

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - (no file)
O2 - BHO: (no name) - {FD3A6AB4-5527-4B52-90AF-F90CD3270861} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... a1985beb0a
097aa1e4291e83e466eca7517a27142c1ec0fbdd095bd01f825cf424
385b4ce859d29c47
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - (no file)
O23 - Service: Srv32 - Unknown - C:\WINDOWS\system32\srv32.exe (file missing)

PC neustarten
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

Oeffne die Killbox.:
geh auf
<Delete File on Reboot
und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
kopiere den genauen Pfad und Namen der dll ein, die du dir oben in der Registry notieren solltest.

C:\Windows\System32\................. ?????

neustarten und wieder in den abgesicherten Modus gehen

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#scanne mit AboutBuster

#und den Scanner (eScan) mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

Gehe wieder in den Normalmodus

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein

jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

und poste das Log vom eScan und das neue Log vom HijackThis

[Hilfesuchender]

Bitte????? Das alles soll ich machen?????

Weißt du, wie lange das dauert?

Dann kann ich auch gleich formatieren! ;o)

Außerdem: Ich hab' mit AntiVir schon alle Viren entfernt - er findet keine mehr!

[Nikita]

du musst selbst wissen, was du fuer richtig haelst.

[hInstance]

Ich kann Dir nur nahelegen einfach mal zu tun was nikita vorschlägt auch wenns lange dauert, denn:

1. Du lernst recht viel über dein Windows-System wenn du so arbeitest. (durch formatieren lernste nix)
2. Nächstes mal bist du damit viel schneller.
3. Virenprogramme übersehen immer mal wieder einen Virus
(geiles Beispiel ist ein Rbot-Derivat von November was von Symantec Corporate Edition immernoch nicht erkannt wird)

Ich selbst benutze inzwischen keinen Virenscanner mehr, denn ein menschliches Auge sieht in der Registrierung viel mehr als jeder Scanner. Und HijackThis formatiert dir diese Ausgabe noch recht schön.

Gruss,
hInstance

[Hilfesuchender]

Jo, mag sein, aber ich selbst kenne bzw. erkenne kaum Viren selbst, bin froh, wenn der Scanner das tut.

Naja, schau'n 'mer mal, vielleicht mach' ich das doch!

[Nikita]

Hallo@Hilfesuchender

http://www.sophos.de/virusinfo/analyses ... odork.html
Troj/Padodor-K

alles, was du mit dem HijackThis fixen sollst...ist Malware und Startseitentrojaner.

[Hilfesuchender]

Hallo,

nikita? Ich hab mir mal so paar Sachen in der Regedit auch angeschaut, und diese Dateien, die du da schreibst, existieren gar nicht! Hab genau überprüft nach Nummer und Zahl, also 100%ig existieren die nicht!!!

Hier mal die Fehlermeldung, die immer kommt.. von jetzt vor 2 Minuten:



Hoffe, du kannst mir weiterhelfen!!!

[Nikita]

Bitte????? Das alles soll ich machen?????

Weißt du, wie lange das dauert?

Dann kann ich auch gleich formatieren! ;o)

Außerdem: Ich hab' mit AntiVir schon alle Viren entfernt - er findet keine mehr!

Du weisst, was du zu tun hast.....
Der Virus meldet sich der PC gehoert schon nicht mehr dir, er wird durch DOS-Attacken von Backdoors zum Absturz gebracht.
Formatiere neu.

[Hilfesuchender]

Ja, aber wie gesagt.. so paar Sachen, die ich machen soll z.B. diese CLSID's entfernen etc. DIE EXISTIEREN GAR NICHT!!!!!!!!!!

[Nikita]

Gott, der Startseitentrojaner ist doch das mindeste, inzwischen hat der schon andere Backdoors nachgeladen. und deinSystem ist nicht mehr zu retten.

Wenn du damals gleich gescannt haettest, wie ich angewiesen hatte...nun ist es zu spaet

[Hilfesuchender]

Und was soll ich deiner Meinung nach nun machen?? Ich hatte gescannt, hatte aber nicht mehr als die anderen auch gefunden!!!!!