Generic Host Process / Norton

Du hast einen Browser Hijacker

Fixe diese Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://aifind.inf/?id=54

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://aifind.inf/?id=54

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://aifind.inf/?id=54

Nachtrag:

svchost.exe = System Generic Host Process for Win32 Services ist gefährdet von MSBlaster, Lovesan, NACHI/Welchia Info

 

Here is the Hijacklist of Günnis system:

Logfile of HijackThis v1.97.7
Scan saved at 23:47:12, on 15.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton Antivirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\WINNT\Explorer.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\privat\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aifind.inf/?id=54
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aifind.inf/?id=54
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://aifind.inf/?id=54
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\Jccatch.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Antivirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINNT\System\SmWizard.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Preispiraten (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: axscanner - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: axscannerruntime - http://www.pestscan.com/scanner/axscannerruntime.cab
O16 - DPF: mscomctl - http://www.pestscan.com/scanner/mscomctl.cab
O16 - DPF: msvcp71 - http://download.pestpatrol.com/Downloads/Components/msvcp71.cab
O16 - DPF: msvcr71 - http://download.pestpatrol.com/Downloads/Components/msvcr71.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (pixaco IE Drop-Upload) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {38135E75-34A9-49EC-B83D-9F9A31877CA0} (DLITools.Uploader) - http://it.xpresslab.de/DLIUploaderV2.CAB
O16 - DPF: {638AF6A2-81A1-4655-9FFA-9FC09CDE22CF} (CScanner Object) - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {BE95EB50-BF4C-11D2-AD93-0060087E046C} (debitel KundenService) - https://kundenservice.debitel.com/sccicci173.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://asp02.photoprintit.de/2363/activex/XUpload.ocx
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4360/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D61DA421-9A4C-4FB3-88F9-3D35CD5EAA34}: NameServer = 217.237.150.97 194.25.2.129


Danke für die Mühe

 

Na dann erkläre deiner übermütigen FW, dass sie die Störungen unterlassen soll...

 

Hallo günni12,

installiere HiJackThis und poste hier die Log-Datei rein.

 

Tach,

Thema hat sich für mich erledigt.
Seit heute habe ich Kaspersky installiert.

Danke für die zahlreichen Tipps (die es dann leider doch alle nicht waren).

Gruß

Günni

 

@ günni12

Das bei dir die NetBIOS-Einstellungen nicht im von mir bezeichneten Fenster anzeigt werden, liegt vermutlich daran, daß du Windows 2000 benutzt.

Gruß
Nevok

 

So sieht mein Fenster auch aus. Da drunter steht was mit LMHOSTS-Abfrage aktivieren und da drunter die NetBIOS-Einstellungen.

Und da kann ich dann auf NetBIOS über TCP/IP deaktivieren klicken.

Wenn du mir mal deine E-Mail-Adresse per PN schickst, dann kann ich dir mal ein Bild schicken, wie das Fenster bei mir aussieht.

Gruß
Nevok

 

Wie..? Keine Einträge zum Deaktivieren...?

Steht da nichts mit NetBIOS-Einstellungen?

Gruß
Nevok

 

Mich auch!

Das müsste er doch mit TCPView oder CurrPorts herausfinden...

 

Du hast NetBIOS aktiviert...?

Wenn du das nicht brauchst, z. B. wenn du einen Einzelplatzrechner hast, dann würde ich das schleunigst deaktivieren, da sich über NetBIOS Würmer auf deinem System einnisten können.

NetBIOS deaktivierst du folgendermaßen:

Klick auf <<Start>> - <<Einstellungen>> und dann auf Netzwerkverbindungen. Klick dann auf die Netzwerkverbindung mit der rechten Maustaste und dann auf Eigenschaften. Jetzt klickst du auf den Reiter Netzwerk dann auf Internetprotokoll (TCP/IP), dann auf Eigenschaften, dann auf Erweitert. Jetzt klickst du auf den Reiter die WINS und klickst dort auf NetBIOS über TCP/IP deaktivieren. Das Ganze dann mit OK bestätigen. So machst du das mit den anderen Netzwerkverbindungen auch, solltest du mehr als eine haben.

Als Letztes startest du den Gerätemanager, klickst auf Ansicht und dort auf Ausgeblendete Geräte anzeigen. Suche den Eintrag Nicht-PnP-Treiber und klick auf das nebenstehende Pluszeichen. Dann klickst du mit der rechten Maustaste auf NetBIOS über TCP/IP und dann auf Eigenschaften. Klick dann auf den Reiter Treiber und bei Starten, Typ auf Deaktiviert. Das Ganze dann wieder mit OK bestätigen.

Das war's...

Alternativ kannst du in der Registry den Eintrag SMBDeviceEnabled=0 setzen, was auch die Schließung von Port 445 bewirkt und dennoch die NetBIOS-Funktionalität sichert.

Gruß
Nevok

 

Hab auch mal netstat -an eingegeben, aber ich hab nicht so viele Verbindungen wie günni12

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1025 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1026 0.0.0.0:0 ABHÖREN
TCP 127.0.0.1:3001 0.0.0.0:0 ABHÖREN
TCP 127.0.0.1:3001 127.0.0.1:3595 WARTEND
TCP 127.0.0.1:3002 0.0.0.0:0 ABHÖREN
TCP 127.0.0.1:3003 0.0.0.0:0 ABHÖREN
TCP 127.0.0.1:3004 0.0.0.0:0 ABHÖREN
TCP 127.0.0.1:3005 0.0.0.0:0 ABHÖREN
TCP 127.0.0.1:3579 127.0.0.1:3001 WARTEND
TCP 127.0.0.1:3581 127.0.0.1:3001 WARTEND
TCP 213.168.220.69:3582 80.228.23.217:80 WARTEND
TCP 213.168.220.69:3583 80.228.23.217:80 WARTEND
UDP 127.0.0.1:3006 *:*

Gruß
Nevok

 

Ach es ging um die eingehenden Zugriffe...?

Dann ist das natürlich in Ordnung.

Aber den Zugriff des "Generic Host Process for Win32 Services" aufs Internet, den muß man erlauben.

Gruß
Nevok

 

@ gert12349

Den "Generic Host Process für WIN32 Services" muß günni12 zulassen, sonst kommt er gar nicht ins Internet. Wo hast du denn bitte die Info her, daß man den Zugriff verweigern soll?

Gruß
Nevok

 

Hallo,

Gaobot ist es nicht.

Heute gab es ein Update, es hat keinerlei Besserung gebracht.
Ich bin immer mehr der Meinung das es an der Software liegt.

Einfach mal schauen was passiert.

Bis bald, halte Euch auf dem laufenden.

Günni

 

Hallo,

lade Dir doch einmal von der Symantec-Seite das FixTool:

http://securityresponse.symantec.com/avcenter/FxGaobot.exe

gegen den Gaobot.gen herunter und laß ihn durchlaufen.

Unter http://vil.nai.com/vil/stinger/ finden Sie einen kostenlosen Virenscanner, dieser heißt Stinger. Der ist auch ganz gut zum Scannen und Entfernen von Viren/Würmern...

MfG Marcus

 

Hallo
Seit dem Update von Symantec am 14.5.04 haben mehrere Probleme mit der NPF 2002 und der NIS 2003.
Hauptsächlich betroffene Systeme sind win98 und ME.
Ich verwende win98 und NPF 2002 und habe ständig Attacken.
Am ersten Tag ging das Surfen mit der Firewall überhaupt nicht. Jetzt geht es langsam.
Angeblich gibt es schon ein Update (siehe: http://board.protecus.de/showtopic.php?threadid=10048 http://www.paules-pc-forum.de/phpBB2/ltopic,7050,0,asc,45.html), aber ich hab noch nichts gemerkt davon.
Woran es wirklich liegt, weiß ich nicht. Aber, du bist nicht allein.