Hijackthis Eintrag

  • geschlossen
  • Frage

  • eXistenZ*
  • 1890 Aufrufe 8 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Hijackthis Eintrag

    Seas,
    ich hab bei Hijackthis folgenden Eintrag:

    Quellcode

    1. O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\C:\WINDOWS\system32\svchost.exe (file missing)


    Worauf Hijackthis folgendes sagt:
    Fuzzy Algorithmusprüfung (2.77 / 5.00), Schädlich

    Und dieser Eintrag lässt sich auch nicht löschen, ist der jetzt gefährlich für mich:ööm: ? Und kann dieser Eintrag auch was mit einer Datei mit dem Namen passwort.txt zu tun haben welche ich gestern auf C: gefunden habe? Diese Datei enthielt alle Passwörter die ich bei Firefox + ICQ gepeichert hatte.

    Mfg
    eXZ

  • mit dem hjlog kann ich nix anfangen dafür kenn ich mich zu wenig aus, ich kann dir nur prinzipiell sagen das svchost gern als prozess name genommen wird und ins win32 ordner gepacked wird, da s dann ziemlich schwer wird den richtigen zu finden (wenn man etwas unerfahren ist)

    dann die sache mit den password.txt das ist eigentlich auch keine normale sache, denn firefox wird die pw´s sicher verschlüsselt speichern (zumindest mein opera macht das) auch das spricht für einen trojaner (der einfach die pws loggt und abspeichert, allerdings find ichs irgendwie amateurhaft das in so ne textdatei zu packen, naja was solls.

    das "file missing" ist auch komisch hmm,


    sagmal bitte wie oft bei dir im taskmanager "svchost.exe" läuft, wenn4x dann ok wenn 5 oder mehr dann nicht ok (das ist meine meinung, die andren meinen das stimmt nich aber isso)

    wenn du vista hast, und svchost laufen sollte kannst dich direkt drauf einstellen nen trojaner zu haben *g*

    so, was für ne internet security benutzt du ?

  • eXistenZ* schrieb:

    O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\C:\WINDOWS\system32\svchost.exe (file missing)

    Das C:\WINDOWS\C:\WINDOWS ist sehr seltsam! Offenbar hast du unter C:\WINDOWS\ einen weiteren Ordner namens C: mit einem Unterordner names WINDOWS worin sich eine svchost.exe befindet/befand!

    Und kann dieser Eintrag auch was mit einer Datei mit dem Namen passwort.txt zu tun haben welche ich gestern auf C: gefunden habe? Diese Datei enthielt alle Passwörter die ich bei Firefox + ICQ gepeichert hatte.

    Mit Sicherheit! Evt. war es ein PWS (Passwordstealer). Falls ja, würde ich Windows neuaufsetzen! Wer weiss, was da sonst noch läuft!
    Du kannst zur Grobanalyse ja mal dein komplettes HJT-Log posten und einen Kaspersky online Scan machen!


    das "file missing" ist auch komisch hmm,

    Warum? Das heisst, dass die Datei an diesem Ort nicht mehr vorhanden ist oder versteckt wurde (Rootkit).
    sagmal bitte wie oft bei dir im taskmanager "svchost.exe" läuft, wenn4x dann ok wenn 5 oder mehr dann nicht ok (das ist meine meinung, die andren meinen das stimmt nich aber isso)

    Stimmt nicht! Sogar 6x kann noch normal sein! Wichtig ist von wo aus die svchost gestartet wurde!
    6x svchost im Taskmanager bedeutet nicht, dass auf der Festplatte sechs vorhanden sind (nur 1 im system32 Ordner und evt. noch 1 im Prefetch)

    wenn du vista hast, und svchost laufen sollte kannst dich direkt drauf einstellen nen trojaner zu haben *g*

    Bitte denken, bevor du solchen Müll schreibst!
    Die svchost gibt es genauso unter Vista wie unter XP:
    What is svchost.exe?

    Applies to all editions of Windows Vista.
    Which edition of Windows Vista am I using?

    Svchost.exe is a process on your computer that hosts, or contains, other individual services that Windows uses to perform various functions. For example, Windows Defender uses a service that is hosted by a svchost.exe process.

    There can be multiple instances of svchost.exe running on your computer, with each instance containing different services. One instance of svchost.exe might host a single service for a program, and another instance might host several services related to Windows. You can use Task Manager to view which services are running under each instance of svchost.exe.

    Quelle:Windows Vista Help: What is svchost.exe?

    Mfg

  • Ein C:\Windows\C:\Windows-Ordner ist definitiv einem Virus, Trojaner etc. zuzuschreiben. Wenn die Datei jetzt weg ist und du auch ein PW.txt gefunden hast hoffe ich für dich dass du keine wichtigen Accs im FF gesichert hattest ;)

    Am Besten wäre es wahrscheinlich
    1.) Komplett-Diagnose
    2.) neu Aufsetzen (am sichersten)

    damit dir das nicht nochmal passiert merken:
    Zum normalen Arbeiten, surfen etc. nur einen Standard-Account nutzen! Hättest du den kannste 95% aller Viren vergessen, da diese Adminrechte brauche (z.b. geht das Schreiben ins Win-Verzeichnis nur mit Adminrechten). Wenn du etwas systemwichtiges machen willst (wie neue SW installieren etc.) machst du das als Admin.
    [SIZE="1"]User helfen Usern: Die FSB-Tutoren

    Sag nein zu Filehostern - [color="blue"]AOKHA[/color]

    Ups: Horst Evers MovieMix How High Generals + 2x Xvid Viele Klassiker-Games[/SIZE]

  • Aurelius schrieb:

    Wenn du etwas systemwichtiges machen willst (wie neue SW installieren etc.) machst du das als Admin.


    Oder noch sicherer: Per "runas", das geht so: (vom eingeschränkten Profil aus)
    Start-->Ausführen
    dann folgendes eintippen
    RUNAS /user:deinBenutzername "Programm"

    Als Beispiel:
    runas /user:Admin "cmd"
    oder
    runas /user:Max "C:\Programme\Nero\nero.exe"

    Mfg

  • hmmm ....

    sorry wegen meiner falschen auskunft, habe nur darauf geschlossen denn als ich testweise vista installiert hatte lief dort keine svchost.exe

    und ich sagmal bei so gut wie jedem trojaner bei dem sich der taskname selber erstellen lässt wird svchost.exe gewählt.

  • hate2k schrieb:

    sorry wegen meiner falschen auskunft, habe nur darauf geschlossen denn als ich testweise vista installiert hatte lief dort keine svchost.exe

    Nichts für ungut:)

    und ich sagmal bei so gut wie jedem trojaner bei dem sich der taskname selber erstellen lässt wird svchost.exe gewählt.

    Jein, weil bei solchen Construction Kits wird die erstellte Datei meistens automatisch im system32 Ordner abgelegt. Würde die Datei nun svchost.exe heissen, würde die normale svchost.exe überschrieben, was dem Dateischutz von Windows und dem User sofort auffallen würde!
    Alternativ:
    scvhost.exe
    svvhost.exe
    svhosts.exe
    svchosts.exe
    svch0st.exe
    :D
    Mfg