svchost.exe
 

Also, ich habe folgendes Problem:
Seit kurzem blockt Bitdefender immer einen Prozess namens svchost.exe.
Es ist aber NICHT die svchost.exe in system32, sondern die Datei liegt unter meinem Benutzerkonto in AppData\Roaming\Microsoft.
Allerdings kann ich die Datei nicht mit dem Windows-Explorer finden und Bitdefender findet auch bei einem Systemscan nichts verdächtiges.
Ich habe auch schon Programme wie Spybot S&D ausprobiert, aber die finden auch nichts.
Was soll ich tun?

Ich habe noch etwas vergessen, irgendein Programm deaktiviert ständig den Scan von Bitdefender.
Und hier ist noch der Logfile:

BitDefender Log File

Product : Bitdefender Internet Security 2012
Scanning task : Vollständiger System-Scan
Log date : Dienstag, 29. Mai 2012 09:29:45
Log path : C:\ProgramData\Bitdefender\Desktop\Profiles\Logs\dcf483c4-26d0-4e6f-ba28-6a53a00adae1\1338275457_1_02.xml

Scan Paths:
Path : C:\

[-]Scan Results
[-]Resolved issues:Object Path Threat Name Final Status
Cookie: C:\Users\Lukas\AppData\Roaming\Microsoft\Windows\Cookies\8QS8ZOE5.txt Cookie.DoubleClick Deleted

[-]Objects that were not scanned:Object Path Reason Final Status
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/HtmlScreens/page0.html Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar1.zip=>sbRecovery.ini Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>sbRecovery.ini Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/HtmlScreens/page2.html Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar3.zip=>sbRecovery.ini Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar4.zip=>sbRecovery.ini Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar5.zip=>sbRecovery.ini Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/HtmlScreens/title.png Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar6.zip=>sbRecovery.ini Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar7.zip=>sbRecovery.ini Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/HtmlScreens/options.js Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/Babylon.dat Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar8.zip=>sbRecovery.ini Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/BExternal.dll Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar9.zip=>sbRecovery.ini Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/bab091.norecovericon.dat Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/HtmlScreens/globe.png Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar10.zip=>sbRecovery.reg Password-protected Not scanned (file was password-protected)
File: C:\Users\Lukas\Downloads\AntiVirus2012Download.rar=>AntiVirus2012Download=>AntiVirus2012.rar=>AntiVirus2012.exe Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar11.zip=>sbRecovery.reg Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/Setup-latest-30b.zpb Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar12.zip=>sbRecovery.reg Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/HtmlScreens/toolBar.jpg Password-protected Not scanned (file was password-protected)
File: C:\Program Files (x86)\InstallShield Installation Information\{B46BEA36-0B71-4A4E-AE41-87241643FA0A}\SupportFiles.7z=>PowerDVD12.ico Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\WinAgentadb.zip=>sbRecovery.ini Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/Setup.exe Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/SetupStrings.dat Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/HtmlScreens/page3Lrg.css Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/bab033.tbinst.dat Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar3.zip=>sbRecovery.reg Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar4.zip=>sbRecovery.reg Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar5.zip=>sbRecovery.reg Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/HtmlScreens/page3.html Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar6.zip=>sbRecovery.reg Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/Setup-tbmntr903.zpb Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar7.zip=>sbRecovery.reg Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/HtmlScreens/blueStar.png Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar8.zip=>sbRecovery.reg Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/Chrome_tb.zpb Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar9.zip=>sbRecovery.reg Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/sqlite3.dll Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar1.zip=>Users/Lukas/AppData/Roaming/Babylon/log_file.txt Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/sign Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/HtmlScreens/setup.js Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar.zip=>sbRecovery.ini Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar10.zip=>sbRecovery.ini Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar11.zip=>sbRecovery.ini Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar12.zip=>sbRecovery.ini Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/HtmlScreens/page2.css Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/HtmlScreens/page3.css Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\WinAgentadb.zip=>sbRecovery.reg Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/HtmlScreens/progress.png Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/HtmlScreens/pBar.gif Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/HtmlScreens/eula.html Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/HtmlScreens/page2Lrg.css Password-protected Not scanned (file was password-protected)
File: C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip=>Users/Lukas/AppData/Local/Babylon/Setup/IECookieLow.dll Password-protected Not scanned (file was password-protected)

[-]Detailed Scan Summary
[-]Basic
Scanned items : 293799
Infected items : 1
Suspicious items : 0 (no suspected items have been detected)
Resolved items : 1
Unresolved items : 0 (no issues remained unresolved)

[-]Advanced
Scan time : 0: 17: 40
Files per second : 277
Skipped items : 390853
Password-protected items : 56
Overcompressed items : 0
Scanned archives : 7
Input-output errors : 0
Scanned boot sectors : 4
Scanned processes : 4551
Infected processes : 0
Scanned registry keys : 2010
Infected registry keys : 0
Scanned cookies : 163
Infected cookies : 1

[-]Scan Options
[-]Target Threat Types:
Scan for viruses : Yes
Scan for adware : Yes
Scan for spyware : Yes
Scan for applications : Yes
Scan for dialers : Yes
Scan for rootkits : Yes
Scan for keyloggers : Yes

[-]Target Selection Options:
Scan registry keys : Yes
Scan cookies : Yes
Scan boot sectors : Yes
Scan memory processes : Yes
Scan archives : Yes
Scan runtime packers : Yes
Scan emails : Yes
Scan all files : Yes
Heuristic Scan : Yes
Scanned extensions : none configured
Excluded extensions : none configured

[-]Target Processing:
Default primary action for infected objects : Disinfect
Default secondary action for infected objects : Move to Quarantine
Default primary action for suspicious objects : Move to Quarantine
Default secondary action for suspicious objects : None
Default action for hidden objects : Disinfect
Default action for password-protected objects : Log as not scanned

[-]Scan engines summary
Number of virus signatures : 7245322

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Also, das Problem hat sich erledigt als ich mit Malwarebytes gescannt habe.
Der Virus wurde gefunden und gelöscht.
Hier trotzdem noch der Logfile:

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Außerdem fehlt ESET noch!

Ältere Scans von Malwarebytes habe ich nicht, aber hier ist das Ergebnis von
Eset:
Aber wie bereits erwähnt ist die Datei nicht mehr zu finden.

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Ja, Windows startet wieder ordnungsgemäß, wenn auch etwas langsamer.
Das hat aber glaube ich eher etwas damit zu tun das Windows nicht aufgeräumt ist.
Und nein, ich habe keine leeren Verzeichnisse gefunden und es ist auch noch alles da.

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Habe mit OTL gescannt und es hat auch ohne Probleme geklappt.
Da das Log zu groß ist habe ich es als zip angehängt.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hat alles super geklappt und hier das Log:

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Er hat irgend etwas im Alcohol 52% Verzeichniss gefunden.:-(
Ich hab die Datei in Quarantäne verschoben.
Hier das Log:

Was hast du an meinem Hinweis denn nicht verstanden :headbang:

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

Asche über mein Haupt, da war ich wohl etwas voreilig.
Was soll ich jetzt tun?