Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: mein toller virus

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.11.2009, 21:05   #1
csupenner
 
mein toller virus - Icon21

mein toller virus



Hallo
ich hab ein kleines problem das ziemlich groß ist.
ich hab durch zufall entdeckt das ich einen virus habe.
Das problem ist das ich nicht weis was dieser virus bewirkt, auser das mein steam nicht mehr funktioniert, noch itunes.
Er heist svhost, also nachbildung von svchost, dem systemprozess.
er steckt in C:\Windows\system32\install
ich hab auch schon neu aufsetzen versucht, ohne erfolg.
kanns sein das er sich in mein bios gebissen hat? hab mich bisher noch nicht an ein reset getraut, da mein motherboard relativ neu ist.
Hier erstmal ein Hijackthis:

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:45:05, on 10.01.2099
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\cidaemon.exe
E:\SONSTI~1\icq\ICQ6.5\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\Sonstiges\Spyware Terminator\sp_rsser.exe
E:\spiele\steam\Steam.exe
E:\Sonstiges\Avira\AntiVir Desktop\avguard.exe
E:\Sonstiges\Avira\AntiVir Desktop\sched.exe
E:\Sonstiges\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\Sonstiges\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [HKLM] C:\WINDOWS\system32\install\svhost.exe
O4 - HKLM\..\Run: [avgnt] "E:\Sonstiges\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Steam] "E:\Spiele\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [ICQ] "E:\Sonstiges\icq\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [HKCU] C:\WINDOWS\system32\install\svhost.exe
O4 - HKCU\..\Run: [SpywareTerminatorUpdate] "E:\Sonstiges\Spyware Terminator\SpywareTerminatorUpdate.exe"
O4 - HKLM\..\Policies\Explorer\Run: [svhost] C:\WINDOWS\system32\install\svhost.exe
O4 - HKCU\..\Policies\Explorer\Run: [svhost] C:\WINDOWS\system32\install\svhost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Sonstiges\icq\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Sonstiges\icq\ICQ6.5\ICQ.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Sonstiges\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Sonstiges\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - E:\Sonstiges\Spyware Terminator\sp_rsser.exe

--
End of file - 3787 bytes
Wenn ich ihn lösche, reanimiert er sich einfach.
das passiert auch wenn ich ihn veränder. heist also in txt datei umänder oder in editor umänder.
registry eintrag wird auch selbstständig reanimiert.
er ist in verschiedenen registry abteilungen, wie ihr oben seht.
ich benutz windows xp mit sp2
hardware kann ich auf anforderung auch sagen

hoffe ihr könnt mir helfen, bin hier am verzweifeln

Alt 14.11.2009, 15:15   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
mein toller virus - Standard

mein toller virus



Hallo und

Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).
__________________

__________________

Alt 14.11.2009, 22:29   #3
csupenner
 
mein toller virus - Standard

mein toller virus



danke aber ich hab mein problem mitlerweile gelöst :P
das ging weg indem ich framework, treiber und windows upgedatet habe
danach konnte ich das einfach löschen, ohne das es sich reanimiert.
was mich aber wundert ist das mein steam problem nicht weg ist

bei steam ist leider nur der prozess da, aber keine anwendung.
er wird im task manager angezeigt, sowie im security task manager.
ich kann die steam.dll löschen, danach updatet es steam wieder.
dazu kommt die anwendung. danach verschwindet sie aber wieder.
irgendwer nen tipp?

bin grade bisschen in zeitdruck, werde aber diesen test machen, sobald ich zeit dazu hab.
__________________

Alt 15.11.2009, 11:46   #4
csupenner
 
mein toller virus - Standard

mein toller virus



das ist aber ein nettes tool^^
hier mal das ergebnis:

Zitat:
--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 6000+ )
BIOS : Default System BIOS
USER : Administrator ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:39 Go (Free:31 Go)
D:\ (CD or DVD) - CDFS - Total:4 Go (Free:0 Go)
E:\ (Local Disk) - NTFS - Total:333 Go (Free:212 Go)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 12.01.2099|12:39 )

--------------------\\ Ordner Verzeichnis unter ANWEND~1

[10.01.2099|19:53] C:\DOKUME~1\ADMINI~1\ANWEND~1\Adobe
[09.01.2099|17:19] C:\DOKUME~1\ADMINI~1\ANWEND~1\Apple Computer
[10.01.2099|23:59] C:\DOKUME~1\ADMINI~1\ANWEND~1\dvdcss
[11.01.2099|14:19] C:\DOKUME~1\ADMINI~1\ANWEND~1\Help
[09.01.2099|17:21] C:\DOKUME~1\ADMINI~1\ANWEND~1\ICQ
[09.01.2099|15:50] C:\DOKUME~1\ADMINI~1\ANWEND~1\Identities
[09.01.2099|16:27] C:\DOKUME~1\ADMINI~1\ANWEND~1\InstallShield
[09.01.2099|16:35] C:\DOKUME~1\ADMINI~1\ANWEND~1\Macromedia
[11.01.2099|19:50] C:\DOKUME~1\ADMINI~1\ANWEND~1\Microsoft
[10.01.2099|19:41] C:\DOKUME~1\ADMINI~1\ANWEND~1\Mozilla
[10.01.2099|19:53] C:\DOKUME~1\ADMINI~1\ANWEND~1\Sun
[10.01.2099|13:20] C:\DOKUME~1\ADMINI~1\ANWEND~1\TuneUp Software
[10.01.2099|20:28] C:\DOKUME~1\ADMINI~1\ANWEND~1\Uniblue
[11.01.2099|13:01] C:\DOKUME~1\ADMINI~1\ANWEND~1\vlc
[0|Datei(en)] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes
[16|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes frei

[09.01.2099|17:19] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[10.01.2099|21:16] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
[09.01.2099|17:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ICQ
[12.01.2099|12:36] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[10.01.2099|23:36] C:\DOKUME~1\ALLUSE~1\ANWEND~1\NVIDIA Corporation
[11.01.2099|14:29] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SecTaskMan
[10.01.2099|13:20] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[9|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

[09.01.2099|14:27] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

[09.01.2099|17:37] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

[09.01.2099|14:27] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks

[12.01.2099 12:28][--a------] C:\WINDOWS\tasks\Automatische Problemsuche.job
[12.01.2099 12:28][--ah-----] C:\WINDOWS\tasks\SA.DAT
[04.08.2004 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Ordner Verzeichnis unter C:\Programme

[10.01.2099|23:37] C:\Programme\AGEIA Technologies
[09.01.2099|16:27] C:\Programme\AMD
[09.01.2099|16:24] C:\Programme\ATI Technologies
[09.01.2099|14:24] C:\Programme\ComPlus Applications
[09.01.2099|17:17] C:\Programme\Gemeinsame Dateien
[10.01.2099|20:08] C:\Programme\ICQ6Toolbar
[10.01.2099|23:47] C:\Programme\InstallShield Installation Information
[09.01.2099|15:49] C:\Programme\Internet Explorer
[09.01.2099|14:30] C:\Programme\Java
[10.01.2099|19:41] C:\Programme\Messenger
[09.01.2099|14:32] C:\Programme\microsoft frontpage
[09.01.2099|14:25] C:\Programme\Movie Maker
[11.01.2099|13:33] C:\Programme\MSBuild
[09.01.2099|14:23] C:\Programme\MSN
[09.01.2099|14:23] C:\Programme\MSN Gaming Zone
[09.01.2099|14:25] C:\Programme\NetMeeting
[10.01.2099|23:36] C:\Programme\NVIDIA Corporation
[09.01.2099|14:24] C:\Programme\Online Services
[09.01.2099|14:26] C:\Programme\Online-Dienste
[09.01.2099|14:25] C:\Programme\Outlook Express
[10.01.2099|23:47] C:\Programme\Realtek
[11.01.2099|13:31] C:\Programme\Reference Assemblies
[09.01.2099|15:50] C:\Programme\Uninstall Information
[09.01.2099|14:27] C:\Programme\Windows Media Player
[09.01.2099|14:23] C:\Programme\Windows NT
[09.01.2099|14:26] C:\Programme\WindowsUpdate
[09.01.2099|14:32] C:\Programme\xerox
[0|Datei(en)] C:\Programme\Bytes
[29|Verzeichnis(se),] C:\Programme\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

[10.01.2099|19:53] C:\Programme\Gemeinsame Dateien\Apple
[09.01.2099|14:25] C:\Programme\Gemeinsame Dateien\Dienste
[09.01.2099|16:24] C:\Programme\Gemeinsame Dateien\InstallShield
[09.01.2099|14:30] C:\Programme\Gemeinsame Dateien\Java
[10.01.2099|21:14] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[09.01.2099|14:25] C:\Programme\Gemeinsame Dateien\MSSoap
[08.01.2099|20:34] C:\Programme\Gemeinsame Dateien\ODBC
[08.01.2099|20:34] C:\Programme\Gemeinsame Dateien\SpeechEngines
[09.01.2099|14:24] C:\Programme\Gemeinsame Dateien\System
[10.01.2099|23:37] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[12|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

--------------------\\ Process

( 25 Processes )

... OK !

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Status.mif

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei SAUBER


--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2099-01-12 12:39:31
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Suche nach anderen Infektionen


Kein anderen Infektionen gefunden !

[F:161][D:23]-> C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
[F:5][D:0]-> C:\DOKUME~1\ADMINI~1\Cookies
[F:1354][D:4]-> C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 12.01.2099|12:41 - Option : [1]

--------------------\\ Scan beendet um 12:41:02
seh jetzt nichts mehr ausergewöhnliches, auser die ganzen kack toolbars weg.
komisch ist aber, das hier gerade 2 registry einträge warn von dem virus.
ich konnt sie einfach löschen. gefunden hab ich sie über msconfig.
aber der eigentliche virus in C:\Windows\system32\install\svhost.exe ist weg
weis wer wie der immernoch da sein konnte nachdem ich den pc neu aufgesetzt habe? wüsste jetzt nicht wie eine datei die ins bios eingedrungen ist, auf die festplatte zugreifen könnte. ist es möglich das es einen bestimmten "Bereich" giebt, der nicht neu aufgesetzt wird? es bleibt ja immer 8mb frei bei neu aufsetzen. das er sich vl dadrin versteckt hat.
danke für jeden tipp

Alt 16.11.2009, 11:19   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
mein toller virus - Standard

mein toller virus



Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.11.2009, 17:39   #6
csupenner
 
mein toller virus - Standard

mein toller virus



File-Upload.net - logs.rar

das sind mal die logs.
der CCleaner hat die fehler leider gelöscht, ohne vorher einen log anzuzeigen.

Edit:
das hier hat maleware rausgelassen.

Zitat:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3178
Windows 5.1.2600 Service Pack 2

13.01.2099 18:52:50
mbam-log-2099-01-13 (18-52-50).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 2
Laufzeit: 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hkcu (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\svhost (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hklm (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\svhost (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\install\svhost.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
ich habs gelöscht, da genau das der virus war.
ich hoff er ist weg =(

Geändert von csupenner (16.11.2009 um 18:00 Uhr)

Alt 16.11.2009, 20:12   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
mein toller virus - Ausrufezeichen

mein toller virus



Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run | svhost
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | HKLM

Files to delete:
F:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\svhost.exe
C:\WINDOWS\system32\install\svhost.exe
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.


Anschließend bitte Combofix ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 17.11.2009, 14:36   #8
csupenner
 
mein toller virus - Standard

mein toller virus



okay.
ich lass grade nochmal malewarebytes drüberlaufen, da ich das gefunden hab

C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\svhost.exe

rundll32 ist doch eigentlich eine system datei, das die dlls verwaltet.
wenn sich der virus da reingefressen hat heists nix gutes oder?
wenns so weiter geht kauf ich mir echt bald neues motherboard und neue festplatte
du kannst, wenn du mal zeit hast, ja mal gerne mit team viewer bei mir reinschaun.
hab mir schon überlegt ob ich router reset mache, wird aber nix bringen, da steam auch net läuft, nachdem ich lan kabel gezogen hab.

so maleware ist fertig, das hat er ausgespuckt:
Zitat:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3178
Windows 5.1.2600 Service Pack 2

14.01.2099 15:37:11
mbam-log-2099-01-14 (15-37-11).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 126356
Laufzeit: 7 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{0p8cd2x7-l52b-4nnw-07sl-wneo51gcj0pf} (Generic.Bot.H) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{4955EF36-9EC3-400C-84DC-BC5835F10912}\RP19\A0002764.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4955EF36-9EC3-400C-84DC-BC5835F10912}\RP19\A0002766.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4955EF36-9EC3-400C-84DC-BC5835F10912}\RP22\A0002774.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4955EF36-9EC3-400C-84DC-BC5835F10912}\RP22\A0002777.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4955EF36-9EC3-400C-84DC-BC5835F10912}\RP25\A0003298.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4955EF36-9EC3-400C-84DC-BC5835F10912}\RP25\A0003299.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4955EF36-9EC3-400C-84DC-BC5835F10912}\RP33\A0003940.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.
danke im vorraus


Edit:
so ist fertig. sieht aber nicht rosig aus. maleware hat anscheinend alles deletet
Zitat:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open file "F:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\svhost.exe"
Deletion of file "F:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\svhost.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: file "C:\WINDOWS\system32\install\svhost.exe" not found!
Deletion of file "C:\WINDOWS\system32\install\svhost.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|svhost"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|svhost" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|HKLM"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|HKLM" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.
sicher das mir dieses combofix nicht meinen pc ganz und gar zerhackt?^^
weil das klingt irgendwie ziemlich unheimlich mit den ganzen warnungen auf garantie usw
ich führs aber aus wenns sein muss. ich wart erstmal auf antwort und schau dann mal weiter.
der pc ist nämlich noch keine 5 monate alt. >.<

Geändert von csupenner (17.11.2009 um 14:56 Uhr)

Alt 17.11.2009, 15:06   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
mein toller virus - Blinzeln

mein toller virus



Zitat:
sicher das mir dieses combofix nicht meinen pc ganz und gar zerhackt?^^
Bei den ganzen Einträgen (Backdoors, Bifrost) kannst Du eh nicht viel mehr kaputtmachen

Führe Combofix bitte streng nach Anleitung aus, dann kann nix passieren
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 17.11.2009, 19:23   #10
csupenner
 
mein toller virus - Standard

mein toller virus



Zitat:
Zitat von cosinus Beitrag anzeigen
Bei den ganzen Einträgen (Backdoors, Bifrost) kannst Du eh nicht viel mehr kaputtmachen

Führe Combofix bitte streng nach Anleitung aus, dann kann nix passieren
das zerhackt aber net bios mit oder?
diese kack windows aktivierung geht schon wieder nicht.
werd bald auf linux umsteigen fände es sowieso mal interessant^^
beschäftige mich nämlich eigentlich viel mit pc, bios oder cmd.
also so kleine spielereien halt wie ip rausfinden usw.
naja ich mach das mal aber lieber erst später :P mein pc will noch paar stunden leben.
danke dir übrigens warst schon mal ne sehr große hilfe

Alt 17.11.2009, 19:57   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
mein toller virus - Standard

mein toller virus



Glaub mir, wenn Du Combofix richtig anwendest passiert nix
Und notfalls rollst Du eben Dein letztes Backup aus
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 18.11.2009, 12:44   #12
csupenner
 
mein toller virus - Standard

mein toller virus



der test ging reibungslos und sogar ohne neu booten, was mich bissl erstaunt hat ;P
der log passt mal wieder nicht rein, glaub ich.
DOWNLOAD
sieht eigentlich nach einem ordentlichem system aus, irgendwas passt aber trotzdem net. Itunes zickt nämlich auch rum. genausolang wie steam. nur startet das garnimmer. wenn ich das starten will, kommt dieser windows fehler



blos halt das itunes nicht ausgeführt werden kann blabla.
ich mach mal einen screen und post ihn dann hier mal. aber sieht genauso aus.
ist aber net so wichtig ich nehm einfach amarok, wenn das mal funktioniert

Geändert von csupenner (18.11.2009 um 12:49 Uhr)

Alt 18.11.2009, 12:54   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
mein toller virus - Standard

mein toller virus



Zitat:
ComboFix 09-11-18.04 - Administrator 14.01.2099 23:50.1.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
Hast Du Combofix beim Download nicht umbenannt?
Mir fällt auch auf, dass Du da bekloppte Datumstempel hast. Jahr 2099 Ist Deine Systemzeit bzw. das Datum richtig eingestellt auf Deinem PC?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 18.11.2009, 18:23   #14
csupenner
 
mein toller virus - Standard

mein toller virus



sieht nicht so aus^^
wo kann man das genau ändern?
irgendwie blick ich das nicht auch wenn ich net ein total versager bin
deswegen geht warscheinlich mein itunes auch net^^
so weit ich weis muss man das in bios umstelln
ich glaub das hat mein xp antispy umgestellt^^ hab schon alles rückgängig gemacht und es deinstallt, weil ich gedacht hab an dem liegts ;D

Geändert von csupenner (18.11.2009 um 18:31 Uhr)

Alt 19.11.2009, 11:04   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
mein toller virus - Standard

mein toller virus



Gut möglich, dass wir mit der Enfernung der Backdoor-Einträge einiges geschrottet haben. Bei solchem Befall ist eine Neuinstallation eh immer zu empfehlen. Also wenn Du ein "sauberes" und stabiles OS haben willst musst Du formatieren und Windows neu aufsetzen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu mein toller virus
antivir, antivir guard, avira, bho, desktop, dll, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, neu, neu aufsetzen, nvidia, problem, programme, rundll, selbst reanimieren, software, spyware, spyware terminator, svchost, svhost, svhost.exe, virus, windows, windows xp



Ähnliche Themen: mein toller virus


  1. Toller Service! Danke Schrauber und alle anderen Verantwortlichen des Forums
    Lob, Kritik und Wünsche - 08.07.2015 (1)
  2. Toller Schrauber :-)
    Lob, Kritik und Wünsche - 04.01.2015 (0)
  3. Virus auf mein Schullaptop
    Log-Analyse und Auswertung - 29.11.2012 (10)
  4. Mein Windows xp hat einen Virus
    Alles rund um Windows - 07.05.2012 (4)
  5. Der 50€ Virus blockiert mein Benutzerkonto
    Log-Analyse und Auswertung - 17.02.2012 (11)
  6. Mein Pc ist langsamer geworden ! Ein Virus ?
    Plagegeister aller Art und deren Bekämpfung - 31.10.2011 (2)
  7. Hi, mein cousin hat nen virus...
    Log-Analyse und Auswertung - 11.08.2011 (1)
  8. Mein Pc ist langsam. VIRUS ??
    Antiviren-, Firewall- und andere Schutzprogramme - 22.12.2009 (4)
  9. Stellt ein Virus mein Norton 360 aus?
    Plagegeister aller Art und deren Bekämpfung - 10.07.2008 (2)
  10. habe virus - mein logfile...
    Log-Analyse und Auswertung - 29.05.2008 (6)
  11. Mein eScan - Virus Log
    Mülltonne - 22.11.2006 (0)
  12. Mein Log.. MSN Virus?
    Log-Analyse und Auswertung - 12.10.2005 (4)
  13. Mein Escan virus log
    Log-Analyse und Auswertung - 07.10.2005 (4)
  14. Mein log...inklusive virus...?
    Log-Analyse und Auswertung - 14.02.2005 (12)
  15. toller sorber c.
    Plagegeister aller Art und deren Bekämpfung - 27.12.2003 (3)
  16. Was für ein toller "Vergleich"
    Netzwerk und Hardware - 12.10.2003 (2)
  17. mein erster virus
    Plagegeister aller Art und deren Bekämpfung - 15.04.2003 (8)

Zum Thema mein toller virus - Hallo ich hab ein kleines problem das ziemlich groß ist. ich hab durch zufall entdeckt das ich einen virus habe. Das problem ist das ich nicht weis was dieser virus - mein toller virus...
Archiv
Du betrachtest: mein toller virus auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.