Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: swchost, *svchost & icq

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.12.2006, 15:28   #1
my_confession
 
swchost, *svchost & icq - Standard

swchost, *svchost & icq



hallo
als ich gestern bei icq online gegangen bin wurde automatsch ein link an alle mitglieder meiner kontaktliste geschickt. ich selbst habe verschiedene scans (antivir, stinger, vshield, avg, spybot, hijackthis, etc) laufen lassen und nichts gefunden. kann es sein, dass mein icq account gehackt wurde und dieser virus gar nicht auf meinem pc ist?
zudem habe ich eine datei im order C:\\windows\ die sich "swchost" nennt. soweit ich weiß, ist das ein wurm oder trojaner( W32.Sober@mm oder Gaobot Trojan ) , nur wie kommt es dass kein virenprogramm diese datei als solche erkennt? hinzukommt, dass bei mir prozesse wie *svchost laufen und ich nicht weiß ob diese standart sind oder ob ich mir was eingefangen habe.
was kann ich nun machen, bzw welche scans verwenden die diese anwendung erkennen & löschen und was stimmt bei meinem pc nicht?
vielen dank für eure anworten im vorraus

Geändert von my_confession (17.12.2006 um 15:47 Uhr)

Alt 17.12.2006, 18:30   #2
my_confession
 
swchost, *svchost & icq - Standard

swchost, *svchost & icq



hijackthis ergab folgendes:
Logfile of HijackThis v1.99.1
Scan saved at 19:23:40, on 17.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\internet explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\STEFFI~1.STE\LOKALE~1\Temp\Temporäres Verzeichnis 5 für hijackthis_199.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O5 "LPT1:" /M "Stylus C86"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\swchost.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\RunOnce: [*svchost] C:\WINDOWS\swchost.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\Msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [svchost] C:\WINDOWS\swchost.exe
O4 - HKCU\..\RunOnce: [*svchost] C:\WINDOWS\swchost.exe

O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: McShield - Unknown owner - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


wobei hier wieder swchost und *svchost auftauchen und ich mir eg sicher bin, dass das nichts gutes sein kann
__________________


Geändert von my_confession (17.12.2006 um 18:37 Uhr)

Alt 17.12.2006, 18:57   #3
nochdigger
 
swchost, *svchost & icq - Standard

swchost, *svchost & icq



mOIn auch

Zitat:
...und ich mir eg sicher bin, dass das nichts gutes sein kann
so denke ich auch, daher mach bitte alle Dateien und Ordner sichtbar :

Start --> Einstellungen --> Systemsteuerung --> Ordneroptionen --> Ansicht -->
häkchen raus bei - Geschützte Systemdateien ausblenden -
häkchen raus bei - Erweiterungen bei bekannten Dateitypen ausblenden -
anhaken - Inhalte von Systemordnern anzeigen -
bei Versteckte Dateien und Ordner - alle Dateien und Ordner anzeigen lassen -
--> Übernehmen

anschließend lade Datei C:\WINDOWS\swchost.exe hier
Virustotal
oder hier
Jotti
hoch und lass sie überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

MFG
__________________

Alt 17.12.2006, 20:16   #4
my_confession
 
swchost, *svchost & icq - Standard

swchost, *svchost & icq



hallo
danke für die schnelle antwort..hier die ergebnisse bei denen was gefunden wurde:
AntiVir 7.3.0.19 12.15.2006 HEUR/Crypted
Fortinet 2.82.0.0 12.17.2006 suspicious
Sunbelt 2.2.907.0 11.30.2006 VIPRE.Suspicious
VBA32 3.11.1 12.16.2006 suspected of Backdoor.Hupigon.7 (paranoid heuristics)
File size: 1014073 bytes
MD5: d807607af54cba37473a86553b33c828
SHA1: 0ee17ac505e48373f4d0f9e7e037e7cb1596319c
packers: Themida
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

spybot hat die datei swchost auch erkannt, das überthema lautet CoolWWWsearch.olehelp..ich kann sie löschen aber sie fügt sich wieder hinzu...was kann ich nun gegen diesen störenfried tun?
liebe grüße

Alt 17.12.2006, 20:23   #5
Yopie
Moderator, a.D.
 
swchost, *svchost & icq - Standard

swchost, *svchost & icq



Zitat:
Zitat von my_confession Beitrag anzeigen
was kann ich nun gegen diesen störenfried tun?
Formatieren und Neu aufsetzen gem Anleitung im Anleitungsforum und beim nächsten Mal nicht auf alles Klicken, was bei drei nicht auf den Bäumen ist.

Gruß
Yopie


Alt 17.12.2006, 20:34   #6
my_confession
 
swchost, *svchost & icq - Standard

swchost, *svchost & icq



nicht im ernst oder?
mein vater killt mich...wirklich keine andere möglichkeit? was macht das ding (trojaner?) eigentlich?

Alt 17.12.2006, 20:41   #7
Yopie
Moderator, a.D.
 
swchost, *svchost & icq - Standard

swchost, *svchost & icq



Zitat:
Zitat von my_confession Beitrag anzeigen
nicht im ernst oder?
Doch. Das ist immer die beste weil sicherste Möglichkeit, Schädlinge zu entfernen. Erst Recht, wenn Verdacht auf Backdoorbefall besteht.
Zitat:
mein vater killt mich...
Dazu hätte dein Vater keinen Grund, wenn er dich nicht mit Admin-Rechten an den Rechner lassen würde.

Tja, was das Ding macht: wenns wirklich ein Backdoor ist, dann macht es potentiell alles.

Gruß
Yopie

Alt 17.12.2006, 20:45   #8
my_confession
 
swchost, *svchost & icq - Standard

swchost, *svchost & icq



nja ist ja mein eigener pc...aber trotzdem danke...hast du noch irgendeinen tipp welches programm (abgesehen von spybot & antivir) ich auf den pc spielen sollte?

Alt 17.12.2006, 20:50   #9
Yopie
Moderator, a.D.
 
swchost, *svchost & icq - Standard

swchost, *svchost & icq



Zitat:
Zitat von my_confession Beitrag anzeigen
hast du noch irgendeinen tipp welches programm (abgesehen von spybot & antivir) ich auf den pc spielen sollte?
Möglichst wenige, und möglichst sichere. Spezielle Schutzsoftware halte ich für überflüssig, denn im Zweifel erkennen sie Schädlinge eh zu spät oder gar nicht.

Ansonsten: Openoffice anstatt MS Office, und einen vernünftigen Browser wie z.B. Seamonkey, Opera, Firefox.

Gruß
Yopie

Antwort

Themen zu swchost, *svchost & icq
account gehackt, antivir, anwendung, avg, datei, erkennen, gehackt, gen, hijack, hijackthis, icq, link, löschen, nichts, online, programm, prozesse, spybot, stinger, svchost, trojaner, verschiedene, virus, windows, wurm



Ähnliche Themen: swchost, *svchost & icq


  1. svchost.exe ( Svchost Prozess Analyser)
    Log-Analyse und Auswertung - 23.09.2011 (7)
  2. 10x svchost.exe
    Log-Analyse und Auswertung - 13.04.2011 (1)
  3. svchost Virus ! C:\Benutzer\Windows\Install\svchost.exe - WORM/Rebhip.A.318
    Plagegeister aller Art und deren Bekämpfung - 20.01.2011 (1)
  4. svchost.bat? Was ist das?
    Plagegeister aller Art und deren Bekämpfung - 19.01.2011 (43)
  5. svchost.exe
    Log-Analyse und Auswertung - 07.12.2010 (1)
  6. svchost.exe 100%
    Plagegeister aller Art und deren Bekämpfung - 15.09.2010 (13)
  7. Svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 30.06.2010 (2)
  8. TR/Crypt.ZPACK.Gen in C:\Temp\bcot.tmp\svchost.exe , C:\Temp\qmub.tmp\svchost.exe usw
    Plagegeister aller Art und deren Bekämpfung - 12.04.2010 (1)
  9. Svchost.exe
    Log-Analyse und Auswertung - 25.02.2009 (3)
  10. Svchost.exe ca 20 mal
    Alles rund um Windows - 05.01.2008 (2)
  11. svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 26.12.2007 (3)
  12. svchost
    Log-Analyse und Auswertung - 14.12.2007 (8)
  13. svchost.exe
    Mülltonne - 21.10.2007 (1)
  14. Svchost.exe
    Log-Analyse und Auswertung - 25.09.2007 (11)
  15. svchost.exe??
    Plagegeister aller Art und deren Bekämpfung - 22.12.2005 (3)
  16. 5 svchost.exe!?
    Log-Analyse und Auswertung - 03.04.2005 (5)
  17. svchost.exe
    Log-Analyse und Auswertung - 27.02.2005 (1)

Zum Thema swchost, *svchost & icq - hallo als ich gestern bei icq online gegangen bin wurde automatsch ein link an alle mitglieder meiner kontaktliste geschickt. ich selbst habe verschiedene scans (antivir, stinger, vshield, avg, spybot, hijackthis, - swchost, *svchost & icq...
Archiv
Du betrachtest: swchost, *svchost & icq auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.