Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: C:\WINDOWS\svchost.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.01.2010, 19:00   #1
Lunchalot
 
C:\WINDOWS\svchost.exe - Böse

C:\WINDOWS\svchost.exe



Hallo, mein Prevx 3.0 zeigt mir diese datei als malware an, nun weiß ich nicht was ich tun soll da mein avast nichts findet.
Die Datei ist als Systemdatei Standard mäßig ausgeblendet und liegt genau:
C:\WINDOWS\svchost.exe

Wie soll ich vorgehen? Ist mein Schulrechner und der sollte am besten so bleiben wie er ist, also von den Daten her.

Bitte um schnell hilfe :/

Hier mein Hijack log

Code:
ATTFilter
 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:01:47, on 13.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Mevin\Programme\avast\aswUpdSv.exe
C:\Mevin\Programme\avast\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATK Hotkey\HcontrolUser.exe
C:\Programme\ATK Hotkey\Hcontrol.exe
C:\Programme\ATK Hotkey\MsgTranAgt.exe
C:\Programme\ATKOSD2\ATKOSD2.exe
C:\Programme\ASUS\ATK Media\DMEDIA.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Wireless Console 2\wcourier.exe
C:\Programme\Atheros\ACU.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe
C:\Mevin\PROGRA~1\avast\ashDisp.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Mouse Driver\StartAutorun.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mouse Driver\KMConfig.exe
C:\Dokumente und Einstellungen\NB-Admin\Desktop\Core Temp.exe
C:\Mevin\Programme\icq\ICQ6.5\ICQ.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Mouse Driver\KMProcess.exe
C:\WINDOWS\system32\acs.exe
C:\Mevin\Programme\firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Prevx\prevx.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Prevx\prevx.exe
C:\Programme\Mouse Driver\KMWDSrv.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\Mevin\Programme\avast\ashMaiSv.exe
C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\Mevin\Programme\avast\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\ATK Hotkey\ATKOSD.exe
C:\Programme\ATK Hotkey\WDC.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.youtube.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [HControlUser] "C:\Programme\ATK Hotkey\HcontrolUser.exe"
O4 - HKLM\..\Run: [ATKHOTKEY] "C:\Programme\ATK Hotkey\Hcontrol.exe"
O4 - HKLM\..\Run: [MsgTranAgt] "C:\Programme\ATK Hotkey\MsgTranAgt.exe"
O4 - HKLM\..\Run: [ATKOSD2] "C:\Programme\ATKOSD2\ATKOSD2.exe"
O4 - HKLM\..\Run: [ATKMEDIA] C:\Programme\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Wireless Console 2] "C:\Programme\Wireless Console 2\wcourier.exe"
O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU.exe -nogui
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [UpdatePPShortCut] "C:\Programme\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe" "C:\Programme\CyberLink\PowerProducer" update "Software\CyberLink\PowerProducer\4.0"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [avast!] C:\Mevin\PROGRA~1\avast\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB002" /M "Stylus DX3800"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KMCONFIG] C:\Programme\Mouse Driver\StartAutorun.exe KMConfig.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Core Temp] C:\Dokumente und Einstellungen\NB-Admin\Desktop\Core Temp.exe
O4 - HKCU\..\Run: [ICQ] "C:\Mevin\Programme\icq\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [HKCU] C:\WINDOWS\svchost\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\svchost\svchost.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\svchost\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: CCC.lnk = ?
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Mevin\Programme\icq\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Mevin\Programme\icq\ICQ6.5\ICQ.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1224589640359
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1224589631796
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Adobe Version Cue CS3 {de_DE}  (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Mevin\Programme\avast\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Mevin\Programme\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Mevin\Programme\avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Mevin\Programme\avast\ashWebSv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Programme\Mouse Driver\KMWDSrv.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

--
End of file - 12369 bytes
         



greez

Alt 13.01.2010, 21:46   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
C:\WINDOWS\svchost.exe - Standard

C:\WINDOWS\svchost.exe



Hallo,

was heißt denn Schulrechner? Dein Rechner zu Hause nur für die Schule?
Bitte die betroffene Datei bei Virustotal.com auswerten lassen und Ergebnislink posten, danach sehen wir weiter.
__________________

__________________

Alt 13.01.2010, 22:42   #3
Lunchalot
 
C:\WINDOWS\svchost.exe - Standard

C:\WINDOWS\svchost.exe



Joa Schulrechner heisst -> Laptop mit dem ganzen Schulprogrammen drauf (Adobe reihe, cinnema 4d usw.) und halt Datein für die Schule, deswegen hoffe ich nicht das iwi schon Daten von mir zerstört wurden.

also bei dem virustotal kommt atm:

Proxy Error

The proxy server received an invalid response from an upstream server.
The proxy server could not handle the request POST /vt/de/recepcion.

Reason: Error reading from remote server

hmmm habs mal mit ssl versucht und ohne geht irgendwie beides ned. Ich versuchs mal weiterhin.

P.S.: Diese Svchost.exe ist auch aufjeden von meinen wechseldatenträger, d.h. IPod und USB Stick.


greez
__________________

Alt 13.01.2010, 22:47   #4
Lunchalot
 
C:\WINDOWS\svchost.exe - Standard

C:\WINDOWS\svchost.exe



Okay, jetzt gings:


Die Datei wurde bereits analysiert:
MD5: 539843593ace48f98c23b19f017ff460
First received: 2009.12.30 22:36:13 UTC
Datum 2009.12.30 22:36:13 UTC [>13D]
Ergebnisse 13/41
Permalink: analisis/f1d3d25d466904351bce7f44b1aa6134b496791262fe6c266cecab1e543d194d-1262212573

ist dass das richtige?


Code:
ATTFilter
  Datei svchost.exe empfangen 2009.12.30 22:36:13 (UTC)
Status: Beendet
Ergebnis: 13/41 (31.71%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared 	4.5.0.43 	2009.12.30 	Gen.Trojan!IK
AhnLab-V3 	5.0.0.2 	2009.12.30 	-
AntiVir 	7.9.1.122 	2009.12.30 	-
Antiy-AVL 	2.0.3.7 	2009.12.30 	Backdoor/Win32.Bifrose.gen
Authentium 	5.2.0.5 	2009.12.30 	-
Avast 	4.8.1351.0 	2009.12.30 	-
AVG 	8.5.0.430 	2009.12.30 	BackDoor.VB.IVH
BitDefender 	7.2 	2009.12.30 	Backdoor.Generic.223639
CAT-QuickHeal 	10.00 	2009.12.30 	-
ClamAV 	0.94.1 	2009.12.30 	Trojan.Bifrose-8869
Comodo 	3417 	2009.12.30 	-
DrWeb 	5.0.1.12222 	2009.12.30 	-
eSafe 	7.0.17.0 	2009.12.29 	-
eTrust-Vet 	35.1.7207 	2009.12.30 	-
F-Prot 	4.5.1.85 	2009.12.30 	-
F-Secure 	9.0.15370.0 	2009.12.30 	Backdoor.Generic.223639
Fortinet 	4.0.14.0 	2009.12.30 	-
GData 	19 	2009.12.30 	Backdoor.Generic.223639
Ikarus 	T3.1.1.79.0 	2009.12.30 	Gen.Trojan
Jiangmin 	13.0.900 	2009.12.30 	Backdoor/Bifrose.rvu
K7AntiVirus 	7.10.934 	2009.12.30 	-
Kaspersky 	7.0.0.125 	2009.12.30 	Backdoor.Win32.Bifrose.bwgl
McAfee 	5847 	2009.12.30 	-
McAfee+Artemis 	5847 	2009.12.30 	-
McAfee-GW-Edition 	6.8.5 	2009.12.30 	Heuristic.LooksLike.Trojan.Dropper.I
Microsoft 	1.5302 	2009.12.30 	-
NOD32 	4730 	2009.12.30 	-
Norman 	6.04.03 	2009.12.30 	-
nProtect 	2009.1.8.0 	2009.12.30 	-
Panda 	10.0.2.2 	2009.12.30 	-
PCTools 	7.0.3.5 	2009.12.30 	-
Prevx 	3.0 	2009.12.30 	-
Rising 	22.28.02.04 	2009.12.30 	-
Sophos 	4.49.0 	2009.12.30 	-
Sunbelt 	3.2.1858.2 	2009.12.30 	-
Symantec 	1.4.4.12 	2009.12.30 	-
TheHacker 	6.5.0.3.121 	2009.12.30 	-
TrendMicro 	9.120.0.1004 	2009.12.30 	BKDR_BIFROSE.DRM
VBA32 	3.12.12.1 	2009.12.30 	-
ViRobot 	2009.12.30.2116 	2009.12.30 	Backdoor.Win32.Bifrose.73728.L
VirusBuster 	5.0.21.0 	2009.12.30 	-
weitere Informationen
File size: 344064 bytes
MD5   : 539843593ace48f98c23b19f017ff460
SHA1  : 86bba81b44865932f29db3737d275da68409e1e0
SHA256: f1d3d25d466904351bce7f44b1aa6134b496791262fe6c266cecab1e543d194d
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1100
timedatestamp.....: 0x4AEB75F3 (Sat Oct 31 00:25:39 2009)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xC5B0 0xD000 4.43 eec9a484f9ca14054443fc8a515266c7
.data 0xE000 0xC04 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0xF000 0x45C70 0x46000 7.99 4092e0835c25c42e555f89f03017dfdb

( 1 imports )

> msvbvm60.dll: MethCallEngine, -, -, -, -, -, -, EVENT_SINK_AddRef, DllFunctionCall, EVENT_SINK_Release, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, -, ProcCallEngine, -, -, -, -, -, -, -, -

( 0 exports )
TrID  : File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 6144:+gbTcPgjlCyX3FHwnIQCUzhRauYkwFN4HrIo3LkV9JJW94jCHOioDvgP:+gnEgBLZyzquYfStOJJWkCulbgP
PEiD  : -
RDS   : NSRL Reference Data Set
-
         

greez

Alt 14.01.2010, 08:15   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
C:\WINDOWS\svchost.exe - Standard

C:\WINDOWS\svchost.exe



Auha, nen schönen Bifrost-Backdoor hast Du da installiert
Ich würd Dir ehrlich gesagt ein Formatieren plus Neuinstallation empfehlen. Bereinigung nur auf eigene Gefahr und die würd ich beim Bifrost nicht wirklich empfehlen...

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 14.01.2010, 13:05   #6
Lunchalot
 
C:\WINDOWS\svchost.exe - Standard

C:\WINDOWS\svchost.exe



Also hab gestern Abend noch ein Avast! Upadte gemacht und der hat dann gleich den svchost gefunden, hab den dann gelöscht + die auf den wechseldatenträger, in der regestry wurde der eintrag auch gelöscht.

Also die .exe datei ist nicht mehr da und kommt auch nicht mehr...reicht das? Oder muss ich irgendwie befürchten das evtl. noch wo anders sich eine Datei versteckt hat?

greez

Alt 14.01.2010, 13:21   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
C:\WINDOWS\svchost.exe - Standard

C:\WINDOWS\svchost.exe



Ich hab nicht umsonst auf die Neuinstallation bei Backdoorbefall verwiesen, wie kommst Du also darauf, dass das Löschen dieser einzelen Datei (sicher!) ausreicht?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 14.01.2010, 18:07   #8
Lunchalot
 
C:\WINDOWS\svchost.exe - Standard

C:\WINDOWS\svchost.exe



Weiß ich nicht ich dachte du kannst es mir evtl sagen was da noch so drauf is

Dann werd ich da wohl nicht rum kommen...hmmm...verdammt...

Kannst mir wenigstens sagen woher sowas kommt? weiß man dazu irgendwas? weil nochmal will ich mir des eig ned geben.


greez

Alt 14.01.2010, 20:07   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
C:\WINDOWS\svchost.exe - Standard

C:\WINDOWS\svchost.exe



Wie gesagt, ich würd keine Bereinigung empfehlen, durchführen können wir es trotzdem. Wollte damit nur sagen, dass Du den Mist nicht mit Garantie loswirst

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!


Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 15.01.2010, 15:15   #10
Lunchalot
 
C:\WINDOWS\svchost.exe - Standard

C:\WINDOWS\svchost.exe



Okay dann post ich dir mal die Logs, sollte irgendwas nicht stimmen werd ich nächste woche mein pc formatieren, da ich hier keine ext. festplatte hab um daten zu sichern, und da ich die image cds nicht hier habe.

Hier der Randoms Log:

http://www.file-upload.net/download-2162432/info.txt.html

Hier der Random/Hijack log:

http://www.file-upload.net/download-2162447/log.txt.html

Hier der Anti-Malware log:

http://www.file-upload.net/download-2162452/mbam-log-2010-01-15--01-27-31-.txt.html



greez

Alt 15.01.2010, 16:01   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
C:\WINDOWS\svchost.exe - Standard

C:\WINDOWS\svchost.exe



Bitte CF anwenden:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu C:\WINDOWS\svchost.exe
antivirus scan, avast, avast!, beste, besten, bleibe, c:\windows, datei, daten, hkus\s-1-5-18, malware, menu.exe, nichts, pdf-datei, prevx, schnell, standard, svchost.exe, svhost, svhost.exe, systemdatei, trojaner, virus, vorgehen, windows



Ähnliche Themen: C:\WINDOWS\svchost.exe


  1. Windows 7: CPU ständig bei 100% (svchost.exe?)
    Log-Analyse und Auswertung - 03.06.2015 (40)
  2. Windows 7 64 Bit: svchost.exe braucht 120.000 KB
    Plagegeister aller Art und deren Bekämpfung - 23.02.2015 (12)
  3. Windows 7, svchost zu 95-100% ausgelastet.
    Log-Analyse und Auswertung - 16.01.2015 (2)
  4. Windows 7 Hartnäckiger svchost Virus
    Log-Analyse und Auswertung - 09.12.2014 (18)
  5. svchost.exe in 2 Windows Ordnern
    Plagegeister aller Art und deren Bekämpfung - 27.05.2014 (6)
  6. Windows 7 - svchost.exe 100% CPU-Auslastung
    Log-Analyse und Auswertung - 06.04.2014 (6)
  7. Windows XP | svchost.exe -k netsvcs auf 100% CPU
    Plagegeister aller Art und deren Bekämpfung - 02.03.2014 (1)
  8. C:windows/system32/svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 13.02.2014 (1)
  9. C:\Windows\System32Gl\svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (13)
  10. BKA Version 1.09 über svchost.exe (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load)
    Plagegeister aller Art und deren Bekämpfung - 29.03.2012 (7)
  11. c:\windows\system32\svchost.exe Virus?
    Plagegeister aller Art und deren Bekämpfung - 13.08.2011 (24)
  12. svchost Virus ! C:\Benutzer\Windows\Install\svchost.exe - WORM/Rebhip.A.318
    Plagegeister aller Art und deren Bekämpfung - 20.01.2011 (1)
  13. Windows 7 - svchost.exe + Sound
    Alles rund um Windows - 14.12.2010 (13)
  14. Svchost.exe(netsvs) überlastet windows 7
    Plagegeister aller Art und deren Bekämpfung - 16.08.2010 (1)
  15. C:\Windows\system32\svchost.exe.
    Plagegeister aller Art und deren Bekämpfung - 17.07.2009 (19)
  16. C:\Windows\svchost.exe
    Log-Analyse und Auswertung - 30.04.2009 (2)
  17. c:windows\system32\svchost.exe oO
    Log-Analyse und Auswertung - 14.03.2009 (1)

Zum Thema C:\WINDOWS\svchost.exe - Hallo, mein Prevx 3.0 zeigt mir diese datei als malware an, nun weiß ich nicht was ich tun soll da mein avast nichts findet. Die Datei ist als Systemdatei Standard - C:\WINDOWS\svchost.exe...
Archiv
Du betrachtest: C:\WINDOWS\svchost.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.