Trojaner-Board - svchost.exe und andere probleme

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - svchost.exe und andere probleme (https://www.trojaner-board.de/30069-svchost-exe-andere-probleme.html)

so, ich hab jetzt wieder escan installiert. allerdings läuft das etwas anders als in der escan beschreibung hier im forum..

er scannt schon bei der installation. dabei hat er auch einiges gefunden, allerdings nicht die svchost datei. ein log konnte ich nicht speichern, weil ich direkt nachdem er fertig war die installation abgeschlossen hat..

was direkt wieder auffällt ist, dass mein system sich fast aufhängt wenn ich escan öffne. zumindest dauert alles ewig!

ich werde jetzt im abgesicherten modus booten und escan ausführen.. mal sehen was sich ergibt!

@mc_troja
Hast du Leseschwierigkeiten?:confused:
Gründe zu meiner Frage:
1.

Zitat:

Zitat von Markus1234

Wenn es sich um einen Backdoor handelt, ist das Löschen sinnfrei.
Da löschst du besser Windows sammt der Infektion von der Platte.

Zitat:

so, ich hab jetzt wieder escan installiert.

Wer wo hat dir empfohlen, eScan zu installieren? Hast du die Anleitung, die [Gc]Sunny verlinkt hat, durchgelesen?

Hier ist der Direkte Link für MWAV, nicht für dsa Programm "eScan" ;)
Wir nennen es nur einen "eScan" machen, da die Engine verwendet wird.

mfg,
Markus

ok, hatte endlich die zeit für einen escan!

hier die treffer aus dem log:

Sat Jun 24 15:36:14 2006 => System found infected with whenu.savenow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: No Action Taken.
Sat Jun 24 15:36:17 2006 => Offending Folder found: C:\Programme\vvsn
Sat Jun 24 15:36:17 2006 => Object "whenu.weathercast Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sat Jun 24 15:36:21 2006 => Offending file found: C:\Dokumente und Einstellungen\...\Eigene Dateien\pocket_pc my documents\flashenabled\scotch\age.html
Sat Jun 24 15:36:21 2006 => System found infected with adclicker 1.0 Spyware/Adware (age.html)! Action taken: No Action Taken.

Sat Jun 24 15:36:21 2006 => Offending file found: C:\Dokumente und Einstellungen\...\Eigene Dateien\pocket_pc my documents\xda my documents\flashenabled\scotch\age.html
Sat Jun 24 15:36:21 2006 => System found infected with adclicker 1.0 Spyware/Adware (age.html)! Action taken: No Action Taken.

Sat Jun 24 15:36:27 2006 => Offending file found: C:\Dokumente und Einstellungen\...\Eigene Dateien\pocket_pc my documents\flashenabled\scotch\age.html
Sat Jun 24 15:36:27 2006 => System found infected with adclicker 1.0 Spyware/Adware (age.html)! Action taken: No Action Taken.

Sat Jun 24 15:36:27 2006 => Offending file found: C:\Dokumente und Einstellungen\...\Eigene Dateien\pocket_pc my documents\xda my documents\flashenabled\scotch\age.html
Sat Jun 24 15:36:27 2006 => System found infected with adclicker 1.0 Spyware/Adware (age.html)! Action taken: No Action Taken.

weiter:

Sat Jun 24 15:44:33 2006 => File C:\Dokumente und Einstellungen\...\Desktop\01\svchost.exe infected by "Trojan-Dropper.Win32.Delf.uy" Virus! Action Taken: No Action Taken.

das ist die kopie der svchost aus dem WIN verzeichnis, ich denke also dass mein problem "Trojan-Dropper.Win32.Delf.uy" heisst.

weiter:

Sat Jun 24 16:59:20 2006 => File C:\WINDOWS\svchost.0, infected by "Trojan-Dropper.Win32.Delf.uy" Virus! Action Taken: No Action Taken.

das ist die originaldatei, die ich bereits in *.0, umbenannt habe.

whenu.savenow und age.html krieg ich sicher alleine weg. ganz anders siehts mit "Trojan-Dropper.Win32.Delf.uy" aus.

was fällt euch dazu ein?

DANKE nochmal an alle die sich produktiv an diesem thread beteiligen!!!

Hallo,

was heißt

Zitat:

DANKE nochmal an alle die sich produktiv an diesem thread beteiligen!!!

das für Dich?

Bei Backdoors rate ich immer neu Aufsetzen und hier ist es wohl schon längst überfällig.

Gruß

Schrulli

ja, das hast du offensichtlich nicht verstanden.

Zitat:

whenu.savenow und age.html krieg ich sicher alleine weg. ganz anders siehts mit "Trojan-Dropper.Win32.Delf.uy" aus.

Wie kommst du eigentlich darauf, dass sich das Ding überhaupt "komplett enfernen" lässt? :crazy:

Schrulli hat vollkommen recht.

mfg,
Markus

na ich hab davon eher keine ahnung, daher frage ich ja hier.

und da mir bislang niemand die information gegeben hat, um was für eine art von malware/virus/whatever es sich handelt und ich bei kaspersky online auch keine info gefunden habe weiss ich sowieso nicht was man machen kann und was nicht.

"wenns ein backdoor ist kannste dein sys gleich neu aufsetzen" ist es einer?

"löschen macht keinen sinn, wenns ein backdoor ist" ist es einer?

offenbar ja schon, allerdings habe ich, sollte mir das bereits jemand explizit mitgeteilt/bestätigt habe, es wohl überlesen..

wäre also super, wenn jemand eine klare aussage bezüglich dieser malware machen kann.

vielen dank!

mc_troja (oder besser mc_backdoor?)

Zitat:

Zitat von Schrulle

Bei Backdoors rate ich immer neu Aufsetzen und hier ist es wohl schon längst überfällig.

+++++

Zitat:

Zitat von Markus1234

Schrulli hat vollkommen recht.

:party:

mfg,
Markus