Hab nach einem Kaltstart folgendes Problem:


USERENV(dc.e0) 20:39:08:500 MyRegUnLoadKey: Failed to unmount hive 00000005
USERENV(dc.e0) 20:39:08:500 DumpOpenRegistryHandle: 4 user registry Handles leaked from \Registry\User\S-1-5-21-725345543-1645522239-2147019285-500
USERENV(dc.e0) 20:39:08:500 UnloadUserProfileP: Didn't unload user profile <err = 5>
USERENV(dc.e0) 20:39:08:593 MyRegUnLoadKey: Failed to unmount hive 00000005
USERENV(dc.e0) 20:39:08:593 UnLoadClassHive: failed to unload classes key with 5
USERENV(dc.e0) 20:39:08:593 DumpOpenRegistryHandle: 2 user registry Handles leaked from \Registry\User\S-1-5-21-725345543-1645522239-2147019285-500_Classes
USERENV(dc.e0) 20:39:08:593 ReportError: Impersonating user.
USERENV(1dc.1e0) 20:39:38:718 CUserProfile::CleanupUserProfile: Ref Count is not 0
USERENV(1dc.1e0) 20:39:38:734 CUserProfile::CleanupUserProfile: Ref Count is not 0
USERENV(1dc.1e0) 20:39:38:734 CUserProfile::CleanupUserProfile: Ref Count is not 0
USERENV(1dc.1e0) 20:39:38:734 CUserProfile::CleanupUserProfile: Ref Count is not 0


Das äussert sich dann so, dass ich keine Netzwerkverbindung herstellen kann, ein Warmstart behebt das Problem und es läuft wieder alles relativ normal.

Desweiteren meldet Sygate mir (wenn alles wieder läuft) sobald ich ins I.Net einlogge, dass svchost aufs Internet zugreifen will, aufgrund von Remote Funktionen, dazu ist noch "teadis.net" angegeben, wozu ich unter google nichts Brauchbares gefunden habe.

Spybot Search & Destroy
Ad-Aware

alle mal scannen lassen, denn teadis.net erscheint nicht sonderlich serös
kto zdes' ?
- [ Diese Seite übersetzen ]
Diese Website kann Ihren Computer beschädigen.
kto zdes' ?
teadis.net/ - Ähnliche Seiten

Habe mit Spybot Search & Destroy, SUPERAntiSpyware gescannt, nichts gefunden. AntiVir findet ebenfalls nichts, habe mit SmitfraudFix im Save Mode alles untersucht und gecleart, hat nichts gebracht.

teadis.net versucht ca. alle 10 Minuten auf das Internet zuzugreifen und zwar mittels der svchost.exe, was ja eigentlich ein Microsoft Dienst ist. Meine bisherige Lösung dafür ist einfach, dass ich es von Sygate blocken lasse.
Es wird mir noch diese IP dazu angezeigt: 216.255.176.108

mmm...

Wo ist das HijackThis-Log?
Scheint ein neuer Schädling zu sein, wenn er nicht erkannt wird.

Logfile of HijackThis v1.99.1
Scan saved at 12:19:16, on 28.04.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\TEMP\ProcessExplorerNt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.3dcenter.org/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O12 - Plugin for .tga: C:\Programme\Internet Explorer\PLUGINS\npqtplugin7.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{40E154D6-B2FA-4715-88E8-C1EE125AFEEB}: NameServer = 85.255.116.110 85.255.112.113
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe



Es ist nirgends etwas Auffälliges zu finden, egal mit welchen Programm ich scanne, Silent Runners findet ebenfalls nichts, trotzdem versucht svchost weiterhin aufs I.Net zuzugreifen.
Hab auch schon die Registry manuell durchsucht, nach teadis.net, nichts zu finden. Nach allen Antiviren, Antispyware Programmen, ist das System clean.

Das Kaltstartproblem besteht weiterhin, nach einem kurzen Reboot funktioniert dann aber alles wieder. Ich denke nicht, dass die beiden "Probleme" in Zusammenhang stehen, dass svchost.com aufs I.Net zugreifen will hab ich schon ne Weile, nur war das alle 2 bis 3 Tage mal, jetzt alle 10 Minuten. Startprobleme treten erst seit vorgestern auf.

mmm...

Wegen dem komischen Seitenaufruf, das sind wieder diese verdrehten Aufrufe. Ein anderes, normales Programm ruft den "Schädling" auf.

Laut dem einen Link auf der Webseite ist es eventuell auf Java basierend.
(ganz unten) http://209.85.135.104/search?q=cache:9DZL1M49sFMJ:www.askdamagex.com/showthread.php%3Fp%3D64206+teadis.net&hl=de&ct=clnk&cd=6&gl=de&client=firefox-a
Es gab von Sysinternals mal ein Tool, womit man die Dateizugriffe sehen kann. Filemon heißt, es glaube ich. Vielleicht kannst du damit was finden.
http://www.microsoft.com/technet/sysinternals/FileAndDisk/Filemon.mspx

Mit Filemon lässt sich nichts feststellen, was irgendwie auf eine Art damit in Verbindung gebracht werden könnte.

Spybot Search & Destroy
Ad-Aware

alle mal scannen lassen, denn teadis.net erscheint nicht sonderlich serös
Noch ne Idee Ronny, was man machen könnte?

Bisher gecheckt mit folgenden Programmen (alles up to date), im Normal als auch Save Mode:

Ad-Aware
Spybot S&D
SUPERAntiSpyware
SmitfraudFix
Silent Runners
HijackThis
AV AntiVir

dazu mit Filemon geschaut und die Registry manuell durchsucht, hat bisher kein Ergebnis gebracht, bzw. die Zugriffe von teadis.net gestoppt, mal abgesehen davon, dass ich den Zugriff per Sygate blocke.
Laut den obigen Programmen ist mein System clean.

TCPView (http://www.microsoft.com/technet/sysinternals/Networking/TcpView.mspx) könnte da noch helfen ... weil von irgendeinem Prozeß aus muß die Verbindung/Anfrage ja ausgehen/kommen

svchost.exe:760 TCP p4:1030 216.255.176.108-custblock.intercage.com:http SYN_SENT


mit WHOIS bekomme ich eine Fehlermeldung und zwar, dass zwar alles in der Datenbank vorhanden ist unter dem Namen svchost, aber der Inhalt auf keine Übereinstimmung kommt.

Nun noch was Interessantes, wenn ich dann genau den Prozeß beende, sind meine kompletten Loginscripte wieder weg, sprich alle Prozesse haben keine Zuordnung und es ist quasi so wie die Probleme nach einem Kaltstart, die ich im ersten Post beschrieben habe.

Wiederum merkwürdig, die Probleme beim Kaltstart treten seit gestern nicht mehr auf...

Hi Kakarot ;)

aha, also ein Dienst ...
Widerhol das ganze nochmal, merk dir die Prozess-ID und gib in der Eingabeaufforderung folgendes ein

Tasklist /SVC /FI "PID eq Prozess-ID"
erhalten solltest du dann sowas
Abbildname PID Dienste
========================= ===== =============================================
svchost.exe 1296 AudioSrv, Browser, CryptSvc, Dhcp, dmserver,
EventSystem, HidServ, lanmanserver,
lanmanworkstation, Netman, Nla, RasMan,
Schedule, seclogon, SENS, ShellHWDetection,
srservice, TapiSrv, Themes, TrkWks, winmgmt,
WZCSVC

Dann heißt es den verantwortlichen Dienst ausfindig machen ...
Mit dem Process Explorer kannst du dir dann auch die Handles und geladenen Dateien von dem Prozess anzeigen lassen, vielleicht sieht man da schon eine Datei die suspekt ist.

p.s.
Wegen der Registry die nicht entladen werden kann, probier mal UPHClean (User Profile Hive Cleanup Service) -> http://support.microsoft.com/kb/837115

C:\>tasklist /svc /fi "imagename eq svchost.exe"

Abbildname PID Dienste
========================= ===== =============================================
svchost.exe 716 RpcSs
svchost.exe 760 AudioSrv, BITS, CryptSvc, Dhcp, dmserver,
EventSystem, lanmanserver,
lanmanworkstation, Netman, Nla, RasMan,
SENS, ShellHWDetection, TapiSrv,
TermService, Themes, TrkWks, uploadmgr,
winmgmt
svchost.exe 904 Dnscache
svchost.exe 940 LmHosts

Denke die passende Prozess ID ist 760.
(svchost.exe:760 TCP p4:1030 216.255.176.108-custblock.intercage.com:http SYN_SENT -- aus dem TCPView Log)

File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat 0x43C 0x0012019F 0x852CB350
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat 0x458 0x0012019F 0x852C0820
Verdächtig

TR/Dldr.iBill.AF http://www.avira.com/de/threats/section/fulldetails/id_vir/3575/tr_dldr.ibill.af.html
TR/Dldr.iBill.V http://www.avira.com/en/threats/section/fulldetails/id_vir/3513/tr_dldr.ibill.v.html

Du könntest es nochmal mit der Test-Version von Kaspersky oder eScan (http://www.trojaner-board.de/24192-escan-antivirus-unterstuetzt-neuere-versionen-ab-7-x.html) probieren.
http://forum.kaspersky.com/lofiversion/index.php/t26679.html keine Ahnung was die da reden, aber es geht auch um svchost und custblock.intercage.com

Wie groß ist die svchost.exe und welche Version hat sie?
14.336 Byte
5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)


p.s.
Gar kein Service Pack 2?

Du könntest es nochmal mit der Test-Version von Kaspersky oder eScan (http://www.trojaner-board.de/24192-escan-antivirus-unterstuetzt-neuere-versionen-ab-7-x.html) probieren.
Hab ich getan, hat nichts gefunden, im abgesicherten Modus gescannt.


Wie groß ist die svchost.exe und welche Version hat sie?
14.336 Byte
5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
12.800 Bytes
5.1.2600.0 (xpclient.010817-1148)


Gar kein Service Pack 2?
Nein, hab ich irgendwie nie installiert.

Verdächtig
Hab die beiden Dateien im Save Mode gekillt und rebootet, wurden dann zwar wieder erstellt, also sind immernoch vorhanden, aber nun kleiner (vorher 5KB nun 4KB) und es versucht nichts mehr aufs I.Net zuzugreifen. Die svchost.exe hat nun auch nichtmehr die PID 760, sondern 764, was insofern relevant ist, da man ja vorher genau die 760er PID zuordnen konnte.

Das scheint das Problem gelöst zu haben, sämtliche Scanner finden nix und ich muss auch nichts mehr mit Sygate blocken.
Die Dateien (qmgr0.dat und qmgr1.dat) sind zwar immer noch da und werden wohl von BITS genutzt, aber anscheind nun befreit von Malware.

edit:
Ich habe nun BITS deaktiviert und die beiden Dateien gelöscht, die Frage ist nun, inwieweit BITS relevant für mich ist. Wozu dient dieser Dienst?

edit2:
Rechner scheint clean zu sein, die Deaktivierung von BITS merke ich im normalen Betrieb überhaupt nicht. Danke Ronny für Deinen Tipp bzgl. der beiden Dateien, bzw., dass genau da die Infektion lag, war die Lösung.