Hallo!

ich habe schon seit längeren einen prozess namen JUNKFIRST + 2x IEPLORER obwohl ich garkeinen iexplorer offen hab (hab firefox). im internet hab ich über junkfirst nichts gefunden. komisch ist wenn ich die prozesse beende kommen sie sofort wieder. es werden auch ein paar bytes im sekunden takt gesendet. ich habe win XP. Der prozess junkfirst heißt auch manchmal junk~1 und manchmal siht man ihn garnicht. wenn man ihn nicht sieht beende ich beide prozese schnell und dann startet sich junkfirst mit iexplorer. manchmal ist der prozess auch so da.

ich hoffe ihr könnt mir helfen!!

achja, adware se hat nichts gefunden +neuste updates und antivir + neuste updates hat auch nichts gefunden

schau mal was i nrun verzeichnis in der registry steht, ich denke mir da wir beim aufstarten irgend was geladen.

Nebst dem Tip von HAMSTER würde ich das Tool "Hijackthis" einsetzen und damit eine Testlauf starten und die Auswertung überprüfen...
Bin gespannt auf das Ergebniss !

Greetings

Rob

P.S Sicher hilfreich währe zusätzlich nach dem Hijackthis den Stinger laufenzulassen...

aja, ganz vergessen
ich habe bei msconfig eh diese junkfirst deaktiviert startet sich aber trotzdem.


Logfile of HijackThis v1.99.1
Scan saved at 14:30:40, on 03.01.1999
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\Explorer.EXE
C:\Windows\svchost.exe
I:\Programme\Java\jre1.5.0_03\bin\jusched.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Programme\Skype\Phone\Skype.exe
C:\Windows\slserv32.exe
I:\WINDOWS\system32\wscntfy.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\Programme\Internet Explorer\iexplore.exe
i:\progra~1\intern~1\iexplore.exe
I:\Programme\AntiVir PersonalEdition Classic\avguard.exe
I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
I:\Programme\AntiVir PersonalEdition Classic\sched.exe
I:\Programme\Azureus\Azureus.exe
I:\PROGRA~1\MOZILL~1\FIREFOX.EXE
I:\Programme\WinRAR\WinRAR.exe
I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX14.623\Hi jackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - I:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - I:\Programme\FreshDevices\FreshDownload\fdcatch.dl l
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - I:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - I:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - I:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [ctfmon] C:\Windows\svchost.exe
O4 - HKLM\..\Run: [slserv32] slserv32.exe
O4 - HKLM\..\Run: [ICQ Lite] "I:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] I:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [MSConfig] I:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "I:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "I:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &ICQ Toolbar Search - res://I:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - I:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - I:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - I:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - I:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - I:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - I:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{2738829D-BACA-4DB9-A0DE-DBFD449C6DAB}: NameServer = 213.33.99.70
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C5D356C-462C-4529-B29D-10556BC8256F}: NameServer = 213.33.99.70
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD1E108C-DB85-4114-8DD9-F699B3B1ECB1}: NameServer = 213.33.99.70
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - I:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - I:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - I:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - I:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - I:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

komisch, der inet explorer wird tatsächlich mitgestartet. aber wenn ich den internet explorer von microsoft aufmache, funktioniert er nicht

@ der neue

Du hättest im Prinzip selber das Logfile direkt Online bei www.hijackthis.de auswerten können....

Habe dies mal übernommen und die Einträge die Hijackthis erkannt oder unsicher (unbekannt) sind hier eingetragen die du fixen solltest:

C:\Windows\svchost.exe
C:\Windows\slserv32.exe
O4 - HKLM\..\Run: [ctfmon] C:\Windows\svchost.exe
O4 - HKLM\..\Run: [slserv32] slserv32.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2738829D-BACA-4DB9-A0DE-DBFD449C6DAB}: NameServer = 213.33.99.70
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C5D356C-462C-4529-B29D-10556BC8256F}: NameServer = 213.33.99.70
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD1E108C-DB85-4114-8DD9-F699B3B1ECB1}: NameServer = 213.33.99.70

Und wie schon eben erwähnt würde ich sicher mal das System im abgesicherten Modus mit dem Stinger prüfen und auch zusätzlich mit dem Tool im normalen Betrieb
prüfen:

http://www.norman.com/Virus/Virus_removal_tools/24789/

Best Greetings

Rob

sicher dass ich slserv32 und svchost fixen sollt?

213.33.99.70 is mein proxy

Ich kann dir vielleicht nur mögliche Tips oder Hinweise geben ! Entscheidungen musst du selber treffen !

Greetings

Rob

svchost.exe im Windowsordner kenne ich nicht. Alle svchost.exe Dateien die ich kenne (Windows XP) liegen im Ordner System32. Diese Datei gehört ja zum Windowssystem. Vielleicht gibts hier jemanden der weiss, welches Programm diese Datei in c:\Windows installiert.

Gruss
Gandalf

ja, normalerweiße ist auch svchcost im sys32 ordener, soweit ich dass weiß. ich werd mal gucken am anderen pc

Schon etwas verdächtig. Könnte ev. ein Trojaner sein.

MS Windows Defender enthält einen etwas besseren Taskmanager (Software Explorer) mit welchem man mehr Infos über laufende Tasks erhält. Unter anderem kann man alle Tasks die aufs Netz zugreifen filtern und die Remote IP anzeigen.

Grs Jürg

Danke sidi, das sehe ich mir mal an.

Gruss
Gandalf