Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: ie problem? svchost.exe? trojaner?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.08.2011, 00:00   #1
Finest683
 
ie problem? svchost.exe? trojaner? - Standard

ie problem? svchost.exe? trojaner?



Hallo erstmal,

ich versuche euch das erstmal zu beschreiben.

vor 3 tagen spielte ich minecraft als plötzlich der bundeskriminalamt trojaner erscheinte.. habe nichts gemacht oder so. am nächsten tag hab ich erstmal über den abgesicherten modus ne systemwiederherstellung gemacht. danach ging erstmal alles wieder aber dann beim internet explorer wenn ich etwas google und dann drauf gehen will geht er nicht zu der seite sondern zu einer anderen und diese seite öffnet dann ein cmd fensterchen von windows und dann kommt der trojaner wieder?

Nun noch ein problem.. svchost.exe frisst sich immer weiter hoch mit der speicherauslastung bis dann mein pc 100% ausgelastet ist. dann hört man einen ton das hört sich an als würde jemand eine website öffnen und dann kam eine englische stimme und hat etwas über las vegas gefaselt...

hab schon avira full scan gemacht hat aber nichts genützt..

Windows XP , Service Pack 3

hilfe!!

gruß

Finest

Alt 08.08.2011, 13:49   #2
Swisstreasure
/// Malwareteam
 
ie problem? svchost.exe? trojaner? - Standard

ie problem? svchost.exe? trojaner?





Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 2

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:
  • Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
  • Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
  • Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (hat einen willkürlichen Programm-Namen).
  • Vista-User mit Rechtsklick und als Administrator starten.
  • Gmer startet automatisch einen ersten Scan.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    Code:
    ATTFilter
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system?
             
  • Unbedingt auf "No" klicken,
    in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.

    .
  • Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
  • Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
  • Wichtig: "Show all" darf nicht angehakt sein!
  • Starte den Scan durch Drücken des Buttons "Scan".
    Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
  • Wenn der Scan fertig ist, bleibt die Zeile leer.
    Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
    Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.
__________________


Alt 08.08.2011, 20:20   #3
Finest683
 
ie problem? svchost.exe? trojaner? - Standard

ie problem? svchost.exe? trojaner?



ich kann keine logs posten warum??

hoffe es geht hier die logs im anhang
__________________
Angehängte Dateien
Dateityp: txt OTL.Txt (81,0 KB, 186x aufgerufen)
Dateityp: txt Extras.Txt (81,0 KB, 175x aufgerufen)

Alt 08.08.2011, 20:38   #4
Finest683
 
ie problem? svchost.exe? trojaner? - Standard

ie problem? svchost.exe? trojaner?



ich habe ein problem mit GMER wenn ich es starte bekomme ich bluescreen (BAD_POOL_HEADER) oder sowas geht zu schnell weg sonst würde ich es fotografieren.

ich weiß auch nicht wie man das neustarten ausstellt

Alt 09.08.2011, 13:58   #5
Swisstreasure
/// Malwareteam
 
ie problem? svchost.exe? trojaner? - Standard

ie problem? svchost.exe? trojaner?



Schritt 1
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
:OTL
PRC - [2011.08.07 23:21:18 | 000,052,736 | ---- | M] () -- C:\WINDOWS\Temp\nmpdyx\setup.exe
SRV - [2011.08.07 23:21:18 | 000,052,736 | ---- | M] () [Auto | Stopped] -- C:\windows\TEMP\nmpdyx\setup.exe -- (AMService)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O4 - HKCU..\Run: [0A6VZJ5HUGZD4VWGWQATWRCSSSFC] C:\sdhifshdhfj\E449B406AEC.exe (Funky Chin Sacred Greta)
O33 - MountPoints2\{1a5a065e-d5c3-11dc-b761-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{1a5a065e-d5c3-11dc-b761-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{1a5a065e-d5c3-11dc-b761-806d6172696f}\Shell\AutoRun\command - "" = F:\Setup.exe
O33 - MountPoints2\{82c9860e-8a52-11dc-82a3-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{82c9860e-8a52-11dc-82a3-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{82c9860e-8a52-11dc-82a3-806d6172696f}\Shell\AutoRun\command - "" = E:\Bin\assetup.exe
:Commands
[purity]
[emptytemp]
         
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.


Alt 09.08.2011, 14:43   #6
Finest683
 
ie problem? svchost.exe? trojaner? - Standard

ie problem? svchost.exe? trojaner?



hier erstma das otl log

All processes killed
========== OTL ==========
No active process named setup.exe was found!
Service AMService stopped successfully!
Service AMService deleted successfully!
C:\WINDOWS\Temp\nmpdyx\setup.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\0A6VZJ5HUGZD4VWGWQATWRCSSSFC deleted successfully.
C:\sdhifshdhfj\E449B406AEC.exe moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1a5a065e-d5c3-11dc-b761-806d6172696f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a5a065e-d5c3-11dc-b761-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1a5a065e-d5c3-11dc-b761-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a5a065e-d5c3-11dc-b761-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1a5a065e-d5c3-11dc-b761-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a5a065e-d5c3-11dc-b761-806d6172696f}\ not found.
File F:\Setup.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{82c9860e-8a52-11dc-82a3-806d6172696f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{82c9860e-8a52-11dc-82a3-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{82c9860e-8a52-11dc-82a3-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{82c9860e-8a52-11dc-82a3-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{82c9860e-8a52-11dc-82a3-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{82c9860e-8a52-11dc-82a3-806d6172696f}\ not found.
File E:\Bin\assetup.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 205994 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 15899992 bytes
->Flash cache emptied: 434 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 20987951 bytes
->Flash cache emptied: 3159 bytes

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: XP
->Temp folder emptied: 541136240 bytes
->Temporary Internet Files folder emptied: 12633633 bytes
->Java cache emptied: 37365812 bytes
->FireFox cache emptied: 44681231 bytes
->Flash cache emptied: 9682 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 60328480 bytes
%systemroot%\System32 .tmp files removed: 1842055 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 9626839 bytes
RecycleBin emptied: 302592 bytes

Total Files Cleaned = 711,00 mb


OTL by OldTimer - Version 3.2.26.1 log created on 08092011_143802

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Alt 09.08.2011, 14:57   #7
Finest683
 
ie problem? svchost.exe? trojaner? - Standard

ie problem? svchost.exe? trojaner?



und der Malwarebytes log

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7416

Windows 5.1.2600 Service Pack 3, v.3264
Internet Explorer 7.0.5730.13

09.08.2011 14:51:57
mbam-log-2011-08-09 (14-51-57).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 179595
Laufzeit: 4 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\Recycle.Bin\799b87e93203c9e (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Alt 09.08.2011, 15:17   #8
Finest683
 
ie problem? svchost.exe? trojaner? - Standard

ie problem? svchost.exe? trojaner?



ich weiß nicht ob das hier hilfreich ist aber ich machs einfach mal ..

svchost.exe geht immernoch hoch und Malwarebytes gibt mir diese meldung die ganze zeit mit verschiedenen ips

Screenshot im anhang
Miniaturansicht angehängter Grafiken
ie problem? svchost.exe? trojaner?-bild.jpg  

Alt 09.08.2011, 16:45   #9
Swisstreasure
/// Malwareteam
 
ie problem? svchost.exe? trojaner? - Standard

ie problem? svchost.exe? trojaner?



Downloade Dir bitte RKUnhookerLE
und speichere die Datei auf deinem Desktop.
  • Entpacke die .rar Datei auf deinem Desktop. ( Rechtsklick --> hier entpacken )
    Solltes du keine Zip Software auf deinem Rechner haben downloade dir bitte 7zip und installiere es.
  • Öffne den neuen Ordner und starte die RKU3.8.388.590.exe.
  • Wähle als Sprache English und installiere RKU im vorgegebenen Pfad.
  • Trenne Dich vom Internet ( Wlan nicht vergessen ), deaktiviere alle Hintergrundwächter. Besonders den deiner Anti Virensoftware.
  • Start --> Alle Programme und im Ordner Rootkit Unhooker LE die Datei RKU starten.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Klicke auf den Report Tab und danach auf Scan
  • Setze ein Häckchen bei
    • Drivers
    • Stealth Code
    • Files
    • Code Hooks
    Entferne alle anderen Hacken
  • Wenn Du gefragt wirst welcher Bereich gescannt werden soll, gehe sicher das deine Systemplatte ( meistens C: ) angehackt ist.
  • Klicke OK
  • Wenn der Scan beendet wurde
    File --> Save Report
    klicken.
  • Speichere die Datei als RKU.txt auf dem Desktop.
  • Klicke Close
Hinweis: Solltest Du folgende Warnung bekommen
Zitat:
"Rootkit Unhooker has detected a parasite inside itself!
It is recommended to remove parasite, okay?"
Klicke auf OK

Alt 25.08.2011, 11:13   #10
Finest683
 
ie problem? svchost.exe? trojaner? - Standard

ie problem? svchost.exe? trojaner?



sorry das ich nicht mehr geantwortet habe aber ich habe mich dann doch für das Neuaufsetzen entschieden )

Danke aber trotzdem für deine Hilfe

Alt 25.08.2011, 18:02   #11
Swisstreasure
/// Malwareteam
 
ie problem? svchost.exe? trojaner? - Standard

ie problem? svchost.exe? trojaner?



Gern geschehen. Ist nie schlecht alles neu zu machen.

Antwort

Themen zu ie problem? svchost.exe? trojaner?
100%, abgesicherten, anderen, ausgelastet, avira, cmd, explorer, google, internet, internet explorer, modus, nichts, plötzlich, problem, scan, seite, spiel, svchost.exe, systemwiederherstellung, trojaner, trojaner?, website, windows, öffnen, öffnet



Ähnliche Themen: ie problem? svchost.exe? trojaner?


  1. svchost.exe Problem
    Log-Analyse und Auswertung - 08.11.2010 (3)
  2. svchost.exe Problem
    Log-Analyse und Auswertung - 23.05.2009 (2)
  3. Problem mit svchost.exe
    Log-Analyse und Auswertung - 20.05.2009 (44)
  4. svchost problem
    Log-Analyse und Auswertung - 09.04.2009 (2)
  5. Problem mit svchost.exe
    Log-Analyse und Auswertung - 01.04.2009 (18)
  6. Problem mit svchost.exe
    Log-Analyse und Auswertung - 03.07.2008 (0)
  7. SVCHOST Problem
    Plagegeister aller Art und deren Bekämpfung - 02.02.2008 (3)
  8. svchost.exe problem
    Log-Analyse und Auswertung - 20.09.2007 (1)
  9. Svchost.exe Problem
    Log-Analyse und Auswertung - 25.06.2007 (4)
  10. svchost problem...
    Plagegeister aller Art und deren Bekämpfung - 14.05.2007 (5)
  11. Svchost.exe problem
    Log-Analyse und Auswertung - 18.01.2007 (4)
  12. svchost-problem
    Log-Analyse und Auswertung - 28.12.2006 (4)
  13. Problem mit svchost.exe
    Log-Analyse und Auswertung - 18.09.2006 (2)
  14. svchost.exe Problem
    Log-Analyse und Auswertung - 20.08.2006 (1)
  15. Svchost Problem! NEED HELP!
    Mülltonne - 14.08.2006 (2)
  16. Problem mit Svchost.exe und diversen anderen Trojaner
    Plagegeister aller Art und deren Bekämpfung - 24.07.2005 (0)
  17. SVCHOST.exe Problem
    Log-Analyse und Auswertung - 03.07.2005 (1)

Zum Thema ie problem? svchost.exe? trojaner? - Hallo erstmal, ich versuche euch das erstmal zu beschreiben. vor 3 tagen spielte ich minecraft als plötzlich der bundeskriminalamt trojaner erscheinte.. habe nichts gemacht oder so. am nächsten tag hab - ie problem? svchost.exe? trojaner?...
Archiv
Du betrachtest: ie problem? svchost.exe? trojaner? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.