Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Versuch, svchost.exe zu modifizieren

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.10.2008, 09:23   #1
K2member
 
Versuch, svchost.exe zu modifizieren - Standard

Versuch, svchost.exe zu modifizieren



Erstmal:
Virenprogramm: Eset Smart Security (neuste Definitionen)
System: Windows Vista 32bit

Hallo.
Vor einer Woche hab ich wohl was nicht ganz so sauberes auf dem PC gehabt, ein Programm, dessen Installation am Ende aus dem Internet Trojaner nachladen wollte. Glücklicherweise hat mein Virenprogramm Eset Smart Security das erkannt und geblockt. Zweimal beim Starten von Firefox wollte mein PC dann nochmal den Mist nachladen, beides geblockt, danach war Ruhe. Ich dachte, das sei erledigt.
Zwei Tage später dann kam beim Starten von NOD32 die Meldung, es würde versucht, meine svchost.exe zu modifizieren -> geblockt. Ohne groß nachzuschauen hab ich dann gleich meinen PC neu aufgesetzt.
Seit dem hab ich mich vorsichtig verhalten und nur bekanntes installiert, es kamen auch keine Virenmeldungen und mein PC verhielt sich nicht auffällig.
Dann heute morgen der Schock: Wieder kam die Meldung, meine svchost.exe sollte modifiziert werden. Ich hab auf Blockieren geklickt und dann gleich geschaut, was in den NOD32-Logs als Aufrufer steht, aber da finde ich überhaupt keinen Eintrag zu dem Vorfall. Nun bin ich verwirrt, gibt es überhaupt einen Virus oder hängen die beiden Meldungen über die svchost.exe garnicht mit dem erkannten Virus zusammen?
Was soll ich tun
Eset findet auch nichts beim Scan und bei einem Neustart kam die Meldung nicht nochmal.
Edit: Blacklight findet auch nix.

Hier noch ein HJT-Report:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:20:48, on 13.10.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\AsGHost.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ATKOSD2\ATKOSD2.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANOTIF.EXE
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Logitech\Gaming Software\LWEMon.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Taskbar Shuffle\taskbarshuffle.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Synaptics\SynTP\SynAsus.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trillian\trillian.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: ASUS Security Protect Manager - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ItIEAddIn.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [ATKOSD2] "C:\Program Files\ATKOSD2\ATKOSD2.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [IaNvSrv] C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Program Files\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Taskbar Shuffle] C:\Program Files\Taskbar Shuffle\taskbarshuffle.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O13 - Gopher Prefix: 
O20 - AppInit_DLLs: APSHook.dll
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe

--
End of file - 5548 bytes
         

Geändert von K2member (13.10.2008 um 10:15 Uhr)

Alt 13.10.2008, 15:41   #2
undoreal
/// AVZ-Toolkit Guru
 
Versuch, svchost.exe zu modifizieren - Standard

Versuch, svchost.exe zu modifizieren



Halli hallo.

Eine Modifikation der Datei muss nicht unbedingt schädlicher Natur sein, ist es aber häufig.

Irgendwo muss sich der ESET Bericht finden lassen! Der wäre äußerst hilfreich.

Hast du deinen Rechner neuaufgsetzt indem du alle Platten formatiert hast und dann neuinstalliert? Also quasi nach folgender Anleitung:
Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!
Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Wenn ja dann ist dein Rechner definitiv sauber und die Meldung stammt wahrscheinlich von einem Windows-Update.
Dein HJT log ist sauber.
__________________

__________________

Alt 13.10.2008, 15:55   #3
K2member
 
Versuch, svchost.exe zu modifizieren - Standard

Versuch, svchost.exe zu modifizieren



Hallo,
ich habe es nicht exakt so gemacht, allein schon weil ich nen Laptop habe und die Recovery DVD dazu kaum Optionen bietet, da kann man nur auswählen "auf ganzer HD recovern mit 1/2 Partitionen", sonst nichts. Formatiert hat er dabei wohl, denn alle Daten auf dem PC waren natürlich weg.
Direkt nach Neuinstallation hab ich auch Panda ActiveScan laufen lassen.
Langsam bezweifle ich, dass der Virus sich überhaupt je erfolgreich breitgemacht hat, ich hatte ja anscheinend nur nen Loader drauf, der gescheitert ist und dann von mir gelöscht wurde. (*muteinred*)
Bis jetzt kam die Modifikationsmeldung auch noch kein zweites (bzw. drittes) Mal, ich hab mal den Support von Eset angeschrieben.

mfg
__________________

Geändert von K2member (13.10.2008 um 16:07 Uhr)

Alt 13.10.2008, 16:40   #4
undoreal
/// AVZ-Toolkit Guru
 
Versuch, svchost.exe zu modifizieren - Standard

Versuch, svchost.exe zu modifizieren



Mit Recovery CD sollte das auf's Selbe hinauslaufen... Ist also O.k. wenn du danach keine fraglichen Programme installiert hast dann kam die Modifikation wahrscheinlich von den eingespielten Windows-Updates..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 14.10.2008, 09:03   #5
K2member
 
Versuch, svchost.exe zu modifizieren - Standard

Versuch, svchost.exe zu modifizieren



Dann erstmal Danke.

Bleibt natürlich die Frage, wieso es im Log nicht aufgetaucht ist


Antwort

Themen zu Versuch, svchost.exe zu modifizieren
antivirus, askbar, bho, bonjour, computer, eset nod32, eset smart security, firefox, hijack, hijackthis, hängen, installation, internet, internet explorer, logfile, mozilla, programm, rundll, scan, security, server, smart security, software, starten, svchost.exe, trojaner, virus, vista, windows, windows defender, windows sidebar




Ähnliche Themen: Versuch, svchost.exe zu modifizieren


  1. Avira Antivir 2015 - Ausnahmeliste einsehen und modifizieren
    Antiviren-, Firewall- und andere Schutzprogramme - 18.04.2015 (0)
  2. Versuch, das Antivirus-Programm auszuschalten
    Plagegeister aller Art und deren Bekämpfung - 03.08.2013 (17)
  3. appround.net - Pop up nervt echt Versuch Nr.2
    Plagegeister aller Art und deren Bekämpfung - 20.04.2013 (11)
  4. Der Versuch eines viralen Hacks
    Nachrichten - 06.02.2012 (0)
  5. svchost Virus ! C:\Benutzer\Windows\Install\svchost.exe - WORM/Rebhip.A.318
    Plagegeister aller Art und deren Bekämpfung - 20.01.2011 (1)
  6. Tan Phishing Versuch beim Onlinebanking
    Plagegeister aller Art und deren Bekämpfung - 08.09.2010 (12)
  7. Phishing-Versuch bei Volksbank-Banking
    Plagegeister aller Art und deren Bekämpfung - 06.09.2010 (10)
  8. ständiger verbindungsherstellungs-versuch
    Log-Analyse und Auswertung - 01.11.2007 (1)
  9. 2. Versuch: Hilft mir jemand bitte?
    Log-Analyse und Auswertung - 11.06.2007 (3)
  10. Neuer Versuch: Bitte um Auswertung
    Mülltonne - 17.05.2007 (4)
  11. Perfider Versuch
    Plagegeister aller Art und deren Bekämpfung - 13.05.2007 (3)
  12. 2. versuch jetz laptop log file
    Log-Analyse und Auswertung - 05.04.2007 (8)
  13. Neuer Versuch
    Log-Analyse und Auswertung - 16.08.2006 (2)
  14. versuch gegen trojaner mit log-file
    Plagegeister aller Art und deren Bekämpfung - 19.01.2006 (1)
  15. IE-Startseite about:blank als hijack-versuch?
    Alles rund um Windows - 28.10.2004 (2)
  16. Lovesan/Blaster, zweiter Versuch...
    Plagegeister aller Art und deren Bekämpfung - 27.11.2003 (4)

Zum Thema Versuch, svchost.exe zu modifizieren - Erstmal: Virenprogramm: Eset Smart Security (neuste Definitionen) System: Windows Vista 32bit Hallo. Vor einer Woche hab ich wohl was nicht ganz so sauberes auf dem PC gehabt, ein Programm, dessen - Versuch, svchost.exe zu modifizieren...
Archiv
Du betrachtest: Versuch, svchost.exe zu modifizieren auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.