Hilfe
Neues Thema
Antworten
Hallo,
auf dem PC meiner Chefin hat sich irgendetwas eingeschlichen, und ich bekomme es nicht weg. Folgendes: Beim Start kommt eine Fehlermeldung, dass Generic Host ein Problem hat. Auf die Windows Firewall kann nicht zugegriffen werden. Der Zugriff wird verweigert, und die Firewall ist inaktiv, obwohl sie eigenlich aktiv sein sollte. Der PC ist megalangsam.
Das Ganze hatten wir letzte Woche schon einmal, da hat ein Suchlauf mit Spybot folgendes gefunden: Microsoft.Windows SecurityCenter. AntiVirusOverride der Registryeintrag wurde geändert. Nachdem wir hier dann auf Problem beheben gegangen sind, war das Problem nicht mehr vorhanden. Als ich nun heute den Rechner startete, war der Fehler wieder da.
Die Ereignisanzeige sagt folgendes:
Anwendung:
Application Error kennung 1000: Fehlgeschlagene Anwendung svchost.exe, Fehlgeschlagenes Modul rastapi.dll
System:
Service Contol Manager Kennung 7023: Windows Firewall/Gemeinsame Nutzung der Internetverbindung Zugriff verweigert.
Im Netzwerk wird der PC auch nicht mehr angezeigt.
Es ist Win XP SP 2 incl. Updates aufgespielt. Das Vierenprogramm ist von eTrust.
Da meine Chefin sich ím Urlaub befindet, kann ich nicht soviel an dem PC machen, also neu aufsetzen geht nicht.
Für schnelle Hilfe bin ich dankbar.
Tine
Seite 1 von 1
Virus O.ä. Wird Nicht Gefunden
#1
tine2905 
geschrieben 12. Februar 2007 - 13:41
Nach oben
#2
ShadowHunter
geschrieben 12. Februar 2007 - 13:42
Kannst ja mal noch ein Hijackthis log anlegen und hier posten.
Ansonsten wenn der Rechner wirklich kompromittiert ist bleibt dir nix übrig als das Backup einzuspielen.
Ansonsten wenn der Rechner wirklich kompromittiert ist bleibt dir nix übrig als das Backup einzuspielen.
"Wir können Regierungen nicht trauen, wir müssen sie kontrollieren"
(Marco Gercke)
(Marco Gercke)
#3
tine2905
geschrieben 12. Februar 2007 - 13:54
Hallo,
danke für die Schnelle Antwort. Mit Hijackthis muss ich mal sehen, ob der PC ins Internet kommt, um das zu machen. Mit Backup kann ich nichts machen bis meine Chefin aus dem Urlaub wieder da ist also nächste Woche Dienstag. Problem ist nur, das ich von diesem PC nicht Drucken kann, weil der Drucker an dem Problem-PC angeschlossen ist, und ich übers Netzwerk drucke.
Deshalb wäre es mir wichtig, das der PC ohne Backup oder neuaufsetzen wieder geht. Es befinden sich schließlich wichtige daten darauf, da gehe ich nicht ran.
Tine
Hallo,
so hier ist das Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 13:52:10, on 12.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\PROGRA~1\GEMEIN~1\Lexware\INTERN~1\LxTrans.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\PowerISDNMonitor\pisdnmon.exe
C:\Programme\Interwise\Participant\pull.exe
C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\GEMEIN~1\Lexware\INTERN~1\TRInetSv.exe
C:\DOKUME~1\KLAUDI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [TransferManager] C:\PROGRA~1\GEMEIN~1\Lexware\INTERN~1\LxTrans.exe /Embedding
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: klickTel OEM 2005 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE
O4 - Global Startup: PowerISDNMonitor (Autostart).lnk = C:\Programme\PowerISDNMonitor\pisdnmon.exe
O4 - Global Startup: Push-Client.LNK = C:\Programme\Interwise\Participant\pull.exe
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
danke für die Schnelle Antwort. Mit Hijackthis muss ich mal sehen, ob der PC ins Internet kommt, um das zu machen. Mit Backup kann ich nichts machen bis meine Chefin aus dem Urlaub wieder da ist also nächste Woche Dienstag. Problem ist nur, das ich von diesem PC nicht Drucken kann, weil der Drucker an dem Problem-PC angeschlossen ist, und ich übers Netzwerk drucke.
Deshalb wäre es mir wichtig, das der PC ohne Backup oder neuaufsetzen wieder geht. Es befinden sich schließlich wichtige daten darauf, da gehe ich nicht ran.
Tine
Hallo,
so hier ist das Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 13:52:10, on 12.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\PROGRA~1\GEMEIN~1\Lexware\INTERN~1\LxTrans.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\PowerISDNMonitor\pisdnmon.exe
C:\Programme\Interwise\Participant\pull.exe
C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\GEMEIN~1\Lexware\INTERN~1\TRInetSv.exe
C:\DOKUME~1\KLAUDI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [TransferManager] C:\PROGRA~1\GEMEIN~1\Lexware\INTERN~1\LxTrans.exe /Embedding
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: klickTel OEM 2005 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE
O4 - Global Startup: PowerISDNMonitor (Autostart).lnk = C:\Programme\PowerISDNMonitor\pisdnmon.exe
O4 - Global Startup: Push-Client.LNK = C:\Programme\Interwise\Participant\pull.exe
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
#4
!§§/
geschrieben 12. Februar 2007 - 21:21
Scheint nichts ernsthaftes dabei zu sein.
Ansonsten sollte man das System mit den Tools von Sysinternals untersuchen (ausgehender Traffic, aktive Prozesse, Autostarts, etc.) und einen Virenscan mit dem MWAV Toolkit durchführen, dort aber auf "Nur scannen" stellen, ansonsten werden alle Dateien die als Viren betrachtet werden sofort, ohne Nachfrage gelöscht.
Am Sichersten wäre aber immer noch eine Formatierung...
Ansonsten sollte man das System mit den Tools von Sysinternals untersuchen (ausgehender Traffic, aktive Prozesse, Autostarts, etc.) und einen Virenscan mit dem MWAV Toolkit durchführen, dort aber auf "Nur scannen" stellen, ansonsten werden alle Dateien die als Viren betrachtet werden sofort, ohne Nachfrage gelöscht.
Am Sichersten wäre aber immer noch eine Formatierung...
#5
tine2905
geschrieben 12. Februar 2007 - 22:13
Hallo,
die Untersuchungen werde ich dann Morgen machen. Das neuformatiert werden sollte ist mir klar. Ich kann aber nicht einfach während der Abwesenheit meiner Chefin ihren PC neu machen. Da muss ich warten, bis sie wieder da ist.
Mir geht es erstmal nur darum, dass ich aufs Netzwerk zugreifen und Drucken kann.
Nachdem ich heute Nachmittag überigens nochmal einen Neustart des PC gemacht hatte, ist der Fehler nicht aufgetreten. Sieht also aus, als wäre da mit der Startroutine was nicht in Ordnung. Aber nicht bei jedem Start.
Mal sehen wie es morgen ist.
Tine
die Untersuchungen werde ich dann Morgen machen. Das neuformatiert werden sollte ist mir klar. Ich kann aber nicht einfach während der Abwesenheit meiner Chefin ihren PC neu machen. Da muss ich warten, bis sie wieder da ist.
Mir geht es erstmal nur darum, dass ich aufs Netzwerk zugreifen und Drucken kann.
Nachdem ich heute Nachmittag überigens nochmal einen Neustart des PC gemacht hatte, ist der Fehler nicht aufgetreten. Sieht also aus, als wäre da mit der Startroutine was nicht in Ordnung. Aber nicht bei jedem Start.
Mal sehen wie es morgen ist.
Tine
#6 _Hinterwäldler_
geschrieben 15. Februar 2007 - 20:50
Wäre es machbar, das du mal das ganze Gerassel von eTrust und S, S&D abschaltest oder gleich deinstallierst? Ich vermute ganz einfach, das sich dieses Zeugs selbständig macht und Entscheidungen gegen deinen Willen trifft. Das wäre nicht das erste mal.
Vertrauenswürdige künstliche Intelligenzen gibt es vermutlich erst im nächsten Jahrhundert.
Vertrauenswürdige künstliche Intelligenzen gibt es vermutlich erst im nächsten Jahrhundert.
Dieser Beitrag wurde von Hinterwäldler bearbeitet: 15. Februar 2007 - 20:52
#7
tine2905
geschrieben 15. Februar 2007 - 21:32
Hallo,
seitdem ich am Montagnachmittag den Rechner neu gestartet hatte, sind die Probleme nicht mehr aufgetreten.
Wie ich heute gehört habe, soll über eine eigentlich sichere und vertauenswürdige Internetseite, welche wir letzte Woche besucht hatten ein Trojaner verbreitet worden sein.
Es kann also gut sein, dass meine Chefin sich da etwas geholt hat.
Da dieser Fehler nun nicht mehr aufgetreten ist, nehme ich mal an, das sich die Sache erstmal erledigt hat.
Trotzdem besten Dank für die Hilfe und die Tipps, die ich natürlich, wenn die Probleme doch noch einmal auftreten, gerne alle noch ausprobieren werde.
Tine2905
seitdem ich am Montagnachmittag den Rechner neu gestartet hatte, sind die Probleme nicht mehr aufgetreten.
Wie ich heute gehört habe, soll über eine eigentlich sichere und vertauenswürdige Internetseite, welche wir letzte Woche besucht hatten ein Trojaner verbreitet worden sein.
Es kann also gut sein, dass meine Chefin sich da etwas geholt hat.
Da dieser Fehler nun nicht mehr aufgetreten ist, nehme ich mal an, das sich die Sache erstmal erledigt hat.
Trotzdem besten Dank für die Hilfe und die Tipps, die ich natürlich, wenn die Probleme doch noch einmal auftreten, gerne alle noch ausprobieren werde.
Tine2905
Thema verteilen:
Seite 1 von 1