hallo,

nachdem meine suche nichts ergeben hat, starte ich diesen thread.

mein problem ist folgendes:

<System>=>C:\WINDOWS\svchost.exe (memory dump) Entdeckt: BehavesLike:Win32.ExplorerHijack
<System>=>C:\WINDOWS\svchost.exe (memory dump) Desinfizieren fehlgeschlagen
<System>=>C:\WINDOWS\svchost.exe (memory dump) Verschieben fehlgeschlagen
<System>=>C:\WINDOWS\svchost.exe (disk) Infiziert mit: Trojan.Downloader.Agent.VY
<System>=>C:\WINDOWS\svchost.exe (disk) Desinfizieren fehlgeschlagen
<System>=>C:\WINDOWS\svchost.exe (disk) Verschieben fehlgeschlagen
<System>=>C:\WINDOWS\svchost.exe (full dump) Infiziert mit: BehavesLike:Win32.ExplorerHijack
<System>=>C:\WINDOWS\svchost.exe (full dump) Desinfizieren fehlgeschlagen
<System>=>C:\WINDOWS\svchost.exe (full dump) Verschieben fehlgeschlagen


das ist ein auszug aus meinem bitdefender scanbericht.

wie kann ich dieser malware an den kragen?

für alle die was rauslesen können (wozu ich nicht gehöre) hier noch mein HijackThis log:


Logfile of HijackThis v1.99.1
Scan saved at 09:28:23, on 20.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Softwin\BitDefender9\vsserv.exe
C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender9\bdoesrv.exe
C:\PROGRA~1\softwin\BITDEF~1\bdnagent.exe
C:\PROGRA~1\softwin\BITDEF~1\bdswitch.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\NetCaptor\NetCaptor.exe
C:\WINDOWS\system32\cidaemon.exe
D:\programme\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\svchost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\softwin\BITDEF~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\PROGRA~1\softwin\BITDEF~1\bdswitch.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: www.1987324.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{552A82D0-E978-4FDC-87EE-F938AF878DE1}: NameServer = 192.168.187.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{5985AD19-E7C8-4F13-8D37-450A412C5B2C}: NameServer = 192.168.178.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

abschliessend möchte ich noch sagen, dass ich mir gestern e-scan installiert habe und er bei dem ersten scan 10 dinger gefunden hat, allerdings war nach dem verlangten neustart mein system so unglaublich langsam (über 15 min. allein zum booten), dass ich es wieder gelöscht habe. kennt wer dieses problem?

für alle die's bis hierher geschafft haben VIELEN DANK!

mfg,


mc_troja

Guten Morgen,

lasse bitte mal folgende Datei hier oder hier auswerten. Poste das Ergebnis!

C:\WINDOWS\svchost.exe

Ist Deine Startseite vom IE verändert?

Grund:

O15 - Trusted Zone: www.1987324.com


Oder sagt Dir das was? Hab mal gegoogelt aber nicht wirklich was gefunden!


Gruß Mellosun

Leider gibt es einige Schädlinge die in das Raster passen, u.a. auch Backdoor-Programme.

Sollte die Online-Überprüfung der svchost.exe aus dem Ordner C:\Windows so ausfallen, wirdst du wohl dein System neu machen müssen

Fixe also vorerst noch nichts in HijackThis sondern scanne erst die Dateien und halte dich an die Anweisungen.

mfg,
Markus

Zitat:

Zitat von Mellosun

Ist Deine Startseite vom IE verändert?

Grund:

O15 - Trusted Zone: www.1987324.com


Oder sagt Dir das was? Hab mal gegoogelt aber nicht wirklich was gefunden!


Gruß Mellosun

ja, sie ist verändert. wenn ich iexplorer öffne, kommt o.g. seite, mein virenprogramm bringt 3 oder 4 meldungen und auf der internetseite steht dann dieser "seite unbekannt text" auf italienisch. ich surfe von italien aus, allerdings besuche ich nie italienische seiten

wenn ich bei jotti (o.ä.) versuche die datei scannen zu lassen sagt er mir: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

ich habe aber definitiv meine firewall ausgeschaltet.

VirusTotal sagt:

Antivirus Version Update Result
AntiVir n - no virus found
Authentium n - no virus found
Avast n - no virus found
AVG n - no virus found
BitDefender n - no virus found
CAT-QuickHeal n - no virus found
ClamAV n - no virus found
DrWeb n - no virus found
eTrust-InoculateIT n - no virus found
eTrust-Vet n - no virus found
Ewido n - no virus found
Fortinet n - no virus found
F-Prot n - no virus found
Ikarus n - no virus found
Kaspersky n - no virus found
McAfee n - no virus found
Microsoft n - no virus found
NOD32v2 n - no virus found
Norman n - no virus found
Panda n - no virus found
Sophos n - no virus found
Symantec n - no virus found
TheHacker n - no virus found
UNA n - no virus found
VBA32 n - no virus found
VirusBuster n - no virus found


Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

warum wird mir die dateigrösse mit 0 bytes angezeit? da ist doch irgendwas ultra faul, oder?

äh.. HILFE!!

Kopiere die Datei in irgendein Verzeichnis auf dem Desktop und uplaode sie von dort aus. Wenns immer noch nicht geht, dann benenn sie um und versuche es erneut.

mfg,
Markus

solange ich windows normal starte kann ich mit der datei garnichts machen. weder kopieren, noch umbenennen, noch ausschneiden oder löschen.

im abgesicherten modus konnte ich sie kopieren. zum hochladen und prüfen lassen hab ich win wieder normal gebootet und jetzt kommts:

auch die datei in dem ordner auf dem desktop, die definitiv genau wie die im win verzeichnis 13kb hat, wird mir auf VirusTotal und bei jotti wieder mit 0 bytes angezeigt.

kann ich die datei denn löschen? oder ist das eine systemdatei die zwar noch funktioniert, aber auch malware enthält?

Hast du sie denn umbenannt wie ich es oben beschrieben hab?

Ordneroptionen -.> Dateierweiterungen bei bekannten Dateitypen ausblenden deaktivierne /haken entfernen)

und dann die datei nach "0" umbenennen und uploaden (prüfen lassen).

mfg,
Markus

ok, umbenennen ging. ich habs in "svchost.0," umbenannt, aber auch so wird auf jotti 0 byte angezeigt.

was ist überhaupt "Trojan.Downloader.Agent.VY" habe nichts gefunden


aargh!! gerade meldet meine firewall, dass sowohl die datei im WIN verzeichnis (also die mit der .0, endung) als auch die in dem ordner auf dem desktop aktiv ist


fällt dir nochwas ein? danke übringens für deine hilfe!

Uff, Packe die Datei mit Winrar oder Zip und schütze sie durch ein Passwort.
Uploade die Datei dann auf rapidshare.de und schick mir den Link + PW zu.

mfg,
Markus

Also meiner Ansicht handelt es sich dabei um einen Backdoor-Trojaner!
Mach bitte einen vollständigen eScan und poste das Ergebnis mit Hilfe der "find.bat". (steht alles ganz genau in der Anleitung! )

Gruß
Daniel

Klar, Daniel.
Nur brauche ich für die Empfehlung einer Neuinstallation auch "Beweise", so einfach muss man es sich ja nicht machen

Könnte durchaus auch zu bereinigen sein doch versprechen will/kann ich nix.

mfg,
markus

Zitat:

Zitat von Markus1234

o einfach muss man es sich ja nicht machen

daher auch der Tip mit dem eScan.
Bin genau der gleichen Meinung wie du, Symptome festellen sowie den Auslöser, dann Maßnahmen ergreifen :aplaus:

Gruß
Daniel

winrar sagt:

svchost.rar: Konnte C:\Dokumente und Einstellungen\...\Desktop\01\svchost.exe nicht öffnen

Ein an das System angeschlossenes Gerät funktioniert nicht.



zudem meldet bitdefender aktivität der datei, sobald ich den ordner aufmache...

man kommt halt echt nicht ran an den stricher.

ich schick dir pm ein link.

-EDIT- hat sich erübrigt mit pm. ich kann die datei weder packen noch via ftp hochladen..

lalala.. ich probier jetzt mal die escan geschichte nochmal. vorgestern hab ichs schonmal probiert, da war mein pc so hart gelähmt, dass allein das booten mehrere minuten gedauert hat (mach ich was falsch?).

danke solange!

jetzt nochmal, nachdem ja wirklich klar ist, dass die datei faul ist:

kann ich sie (mit killbox o.ä.) löschen, oder ist diese veränderte svchost.exe, die ja nun svchost.0, heisst noch wichtig für mein system?

Wenn es sich um einen Backdoor handelt, ist das Löschen sinnfrei.
Da löschst du besser Windows sammt der Infektion von der Platte.

Das ist

A) Extrem sicher
B) Viel schneller

Du kannst gerne auch einen eScan machen, dann wissen wir evtl. mehr.
Sieht aber bis dahin definitiv nicht gut aus.

mfg,
Markus