|
svchost.exe und andere probleme hallo, nachdem meine suche nichts ergeben hat, starte ich diesen thread. mein problem ist folgendes: <System>=>C:\WINDOWS\svchost.exe (memory dump) Entdeckt: BehavesLike:Win32.ExplorerHijack <System>=>C:\WINDOWS\svchost.exe (memory dump) Desinfizieren fehlgeschlagen <System>=>C:\WINDOWS\svchost.exe (memory dump) Verschieben fehlgeschlagen <System>=>C:\WINDOWS\svchost.exe (disk) Infiziert mit: Trojan.Downloader.Agent.VY <System>=>C:\WINDOWS\svchost.exe (disk) Desinfizieren fehlgeschlagen <System>=>C:\WINDOWS\svchost.exe (disk) Verschieben fehlgeschlagen <System>=>C:\WINDOWS\svchost.exe (full dump) Infiziert mit: BehavesLike:Win32.ExplorerHijack <System>=>C:\WINDOWS\svchost.exe (full dump) Desinfizieren fehlgeschlagen <System>=>C:\WINDOWS\svchost.exe (full dump) Verschieben fehlgeschlagen das ist ein auszug aus meinem bitdefender scanbericht. wie kann ich dieser malware an den kragen? für alle die was rauslesen können (wozu ich nicht gehöre) hier noch mein hijackthis log: Logfile of HijackThis v1.99.1 Scan saved at 09:28:23, on 20.06.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\WINDOWS\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Softwin\BitDefender9\vsserv.exe C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe C:\Programme\Softwin\BitDefender9\bdoesrv.exe C:\PROGRA~1\softwin\BITDEF~1\bdnagent.exe C:\PROGRA~1\softwin\BITDEF~1\bdswitch.exe C:\Programme\Microsoft IntelliType Pro\type32.exe C:\Programme\Analog Devices\SoundMAX\SMTray.exe C:\Programme\DAEMON Tools\daemon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\TGTSoft\StyleXP\StyleXP.exe C:\Programme\Stardock\ObjectDock\ObjectDock.exe C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe C:\Programme\NetCaptor\NetCaptor.exe C:\WINDOWS\system32\cidaemon.exe D:\programme\HijackThis.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\svchost.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe" O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\softwin\BITDEF~1\bdnagent.exe" O4 - HKLM\..\Run: [BDSwitchAgent] "C:\PROGRA~1\softwin\BITDEF~1\bdswitch.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O15 - Trusted Zone: www.1987324.com O17 - HKLM\System\CCS\Services\Tcpip\..\{552A82D0-E978-4FDC-87EE-F938AF878DE1}: NameServer = 192.168.187.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{5985AD19-E7C8-4F13-8D37-450A412C5B2C}: NameServer = 192.168.178.1 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing) O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) abschliessend möchte ich noch sagen, dass ich mir gestern e-scan installiert habe und er bei dem ersten scan 10 dinger gefunden hat, allerdings war nach dem verlangten neustart mein system so unglaublich langsam (über 15 min. allein zum booten), dass ich es wieder gelöscht habe. kennt wer dieses problem? für alle die's bis hierher geschafft haben VIELEN DANK! mfg, mc_troja |
|
Leider gibt es einige Schädlinge die in das Raster passen, u.a. auch Backdoor-Programme. Sollte die Online-Überprüfung der svchost.exe aus dem Ordner C:\Windows so ausfallen, wirdst du wohl dein System neu machen müssen :party: Fixe also vorerst noch nichts in HiJackThis sondern scanne erst die Dateien und halte dich an die Anweisungen. mfg, Markus |
Zitat:
ja, sie ist verändert. wenn ich iexplorer öffne, kommt o.g. seite, mein virenprogramm bringt 3 oder 4 meldungen und auf der internetseite steht dann dieser "seite unbekannt text" auf italienisch. ich surfe von italien aus, allerdings besuche ich nie italienische seiten :balla: wenn ich bei jotti (o.ä.) versuche die datei scannen zu lassen sagt er mir: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file ich habe aber definitiv meine firewall ausgeschaltet. VirusTotal sagt: Antivirus Version Update Result AntiVir n - no virus found Authentium n - no virus found Avast n - no virus found AVG n - no virus found BitDefender n - no virus found CAT-QuickHeal n - no virus found ClamAV n - no virus found DrWeb n - no virus found eTrust-InoculateIT n - no virus found eTrust-Vet n - no virus found Ewido n - no virus found Fortinet n - no virus found F-Prot n - no virus found Ikarus n - no virus found Kaspersky n - no virus found McAfee n - no virus found Microsoft n - no virus found NOD32v2 n - no virus found Norman n - no virus found Panda n - no virus found Sophos n - no virus found Symantec n - no virus found TheHacker n - no virus found UNA n - no virus found VBA32 n - no virus found VirusBuster n - no virus found Aditional Information File size: 0 bytes MD5: d41d8cd98f00b204e9800998ecf8427e SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709 warum wird mir die dateigrösse mit 0 bytes angezeit? da ist doch irgendwas ultra faul, oder? äh.. HILFE!! :schrei: |
Kopiere die Datei in irgendein Verzeichnis auf dem Desktop und uplaode sie von dort aus. Wenns immer noch nicht geht, dann benenn sie um und versuche es erneut. mfg, Markus |
solange ich windows normal starte kann ich mit der datei garnichts machen. weder kopieren, noch umbenennen, noch ausschneiden oder löschen. im abgesicherten modus konnte ich sie kopieren. zum hochladen und prüfen lassen hab ich win wieder normal gebootet und jetzt kommts: auch die datei in dem ordner auf dem desktop, die definitiv genau wie die im win verzeichnis 13kb hat, wird mir auf VirusTotal und bei jotti wieder mit 0 bytes angezeigt. kann ich die datei denn löschen? oder ist das eine systemdatei die zwar noch funktioniert, aber auch malware enthält? |
Hast du sie denn umbenannt wie ich es oben beschrieben hab? Ordneroptionen -.> Dateierweiterungen bei bekannten Dateitypen ausblenden deaktivierne /haken entfernen) und dann die datei nach "0" umbenennen und uploaden (prüfen lassen). mfg, Markus |
ok, umbenennen ging. ich habs in "svchost.0," umbenannt, aber auch so wird auf jotti 0 byte angezeigt. was ist überhaupt "Trojan.Downloader.Agent.VY" habe nichts gefunden:confused: aargh!! gerade meldet meine firewall, dass sowohl die datei im WIN verzeichnis (also die mit der .0, endung) als auch die in dem ordner auf dem desktop aktiv ist :pukeface: fällt dir nochwas ein? danke übringens für deine hilfe! |
Uff, Packe die Datei mit Winrar oder Zip und schütze sie durch ein Passwort. Uploade die Datei dann auf rapidshare.de und schick mir den Link + PW zu. mfg, Markus |
Also meiner Ansicht handelt es sich dabei um einen Backdoor-Trojaner! Mach bitte einen vollständigen eScan und poste das Ergebnis mit Hilfe der "find.bat". (steht alles ganz genau in der Anleitung! :daumenhoc ) Gruß Daniel |
Klar, Daniel. Nur brauche ich für die Empfehlung einer Neuinstallation auch "Beweise", so einfach muss man es sich ja nicht machen :daumenhoc Könnte durchaus auch zu bereinigen sein doch versprechen will/kann ich nix. mfg, markus |
Zitat:
Bin genau der gleichen Meinung wie du, Symptome festellen sowie den Auslöser, dann Maßnahmen ergreifen :aplaus: Gruß Daniel |
winrar sagt: svchost.rar: Konnte C:\Dokumente und Einstellungen\...\Desktop\01\svchost.exe nicht öffnen Ein an das System angeschlossenes Gerät funktioniert nicht. :confused: zudem meldet bitdefender aktivität der datei, sobald ich den ordner aufmache... man kommt halt echt nicht ran an den stricher. :koch: ich schick dir pm ein link. -EDIT- hat sich erübrigt mit pm. ich kann die datei weder packen noch via ftp hochladen.. lalala.. ich probier jetzt mal die escan geschichte nochmal. vorgestern hab ichs schonmal probiert, da war mein pc so hart gelähmt, dass allein das booten mehrere minuten gedauert hat (mach ich was falsch?). danke solange! |
jetzt nochmal, nachdem ja wirklich klar ist, dass die datei faul ist: kann ich sie (mit killbox o.ä.) löschen, oder ist diese veränderte svchost.exe, die ja nun svchost.0, heisst noch wichtig für mein system? |
Wenn es sich um einen Backdoor handelt, ist das Löschen sinnfrei. Da löschst du besser Windows sammt der Infektion von der Platte. Das ist A) Extrem sicher B) Viel schneller Du kannst gerne auch einen eScan machen, dann wissen wir evtl. mehr. Sieht aber bis dahin definitiv nicht gut aus. mfg, Markus |
so, ich hab jetzt wieder escan installiert. allerdings läuft das etwas anders als in der escan beschreibung hier im forum.. er scannt schon bei der installation. dabei hat er auch einiges gefunden, allerdings nicht die svchost datei. ein log konnte ich nicht speichern, weil ich direkt nachdem er fertig war die installation abgeschlossen hat.. was direkt wieder auffällt ist, dass mein system sich fast aufhängt wenn ich escan öffne. zumindest dauert alles ewig! ich werde jetzt im abgesicherten modus booten und escan ausführen.. mal sehen was sich ergibt! |
@mc_troja Hast du Leseschwierigkeiten?:confused: Gründe zu meiner Frage: 1. Zitat:
Zitat:
|
Hier ist der Direkte Link für MWAV, nicht für dsa Programm "eScan" ;) Wir nennen es nur einen "eScan" machen, da die Engine verwendet wird. mfg, Markus |
ok, hatte endlich die zeit für einen escan! hier die treffer aus dem log: Sat Jun 24 15:36:14 2006 => System found infected with whenu.savenow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: No Action Taken. Sat Jun 24 15:36:17 2006 => Offending Folder found: C:\Programme\vvsn Sat Jun 24 15:36:17 2006 => Object "whenu.weathercast Spyware/Adware" found in File System! Action Taken: No Action Taken. Sat Jun 24 15:36:21 2006 => Offending file found: C:\Dokumente und Einstellungen\...\Eigene Dateien\pocket_pc my documents\flashenabled\scotch\age.html Sat Jun 24 15:36:21 2006 => System found infected with adclicker 1.0 Spyware/Adware (age.html)! Action taken: No Action Taken. Sat Jun 24 15:36:21 2006 => Offending file found: C:\Dokumente und Einstellungen\...\Eigene Dateien\pocket_pc my documents\xda my documents\flashenabled\scotch\age.html Sat Jun 24 15:36:21 2006 => System found infected with adclicker 1.0 Spyware/Adware (age.html)! Action taken: No Action Taken. Sat Jun 24 15:36:27 2006 => Offending file found: C:\Dokumente und Einstellungen\...\Eigene Dateien\pocket_pc my documents\flashenabled\scotch\age.html Sat Jun 24 15:36:27 2006 => System found infected with adclicker 1.0 Spyware/Adware (age.html)! Action taken: No Action Taken. Sat Jun 24 15:36:27 2006 => Offending file found: C:\Dokumente und Einstellungen\...\Eigene Dateien\pocket_pc my documents\xda my documents\flashenabled\scotch\age.html Sat Jun 24 15:36:27 2006 => System found infected with adclicker 1.0 Spyware/Adware (age.html)! Action taken: No Action Taken. weiter: Sat Jun 24 15:44:33 2006 => File C:\Dokumente und Einstellungen\...\Desktop\01\svchost.exe infected by "Trojan-Dropper.Win32.Delf.uy" Virus! Action Taken: No Action Taken. das ist die kopie der svchost aus dem WIN verzeichnis, ich denke also dass mein problem "Trojan-Dropper.Win32.Delf.uy" heisst. weiter: Sat Jun 24 16:59:20 2006 => File C:\WINDOWS\svchost.0, infected by "Trojan-Dropper.Win32.Delf.uy" Virus! Action Taken: No Action Taken. das ist die originaldatei, die ich bereits in *.0, umbenannt habe. whenu.savenow und age.html krieg ich sicher alleine weg. ganz anders siehts mit "Trojan-Dropper.Win32.Delf.uy" aus. was fällt euch dazu ein? DANKE nochmal an alle die sich produktiv an diesem thread beteiligen!!! |
Hallo, was heißt Zitat:
Bei Backdoors rate ich immer neu Aufsetzen und hier ist es wohl schon längst überfällig. Gruß Schrulli |
ja, das hast du offensichtlich nicht verstanden. |
Zitat:
Schrulli hat vollkommen recht. mfg, Markus |
na ich hab davon eher keine ahnung, daher frage ich ja hier. und da mir bislang niemand die information gegeben hat, um was für eine art von malware/virus/whatever es sich handelt und ich bei kaspersky online auch keine info gefunden habe weiss ich sowieso nicht was man machen kann und was nicht. "wenns ein backdoor ist kannste dein sys gleich neu aufsetzen" ist es einer? "löschen macht keinen sinn, wenns ein backdoor ist" ist es einer? offenbar ja schon, allerdings habe ich, sollte mir das bereits jemand explizit mitgeteilt/bestätigt habe, es wohl überlesen.. wäre also super, wenn jemand eine klare aussage bezüglich dieser malware machen kann. vielen dank! mc_troja (oder besser mc_backdoor?) |
Zitat:
+++++ Zitat:
mfg, Markus |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:48 Uhr. |
Copyright ©2000-2025, Trojaner-Board