Hilfe! Win32/Henky.Tanzen, werde ihn nicht los Hallo! Mein Antivirusprogramm hat den Virus "Win32/Henky.Tanzen gefunden. Leider kann ich ihn nicht mit meinem Antivir-Programm entfernen, er ist nach jedem Löschversuch wieder da. Habe auch die Systemwiederherstellung deaktiviert und das Virusprogramm nochmal im abgesicherten Modus durchgezogen, doch gleich nach dem Neustart war er wieder da. Was kann ich da machen?? Gibt es irgendeine Möglichkeit, das Ding endgültig loszuwerden, außer das System wieder neu zu installieren? |
Guten Abend, Tanzen ist ja eigentlich gar nicht so schlecht. ;) Aber mal zur Sache: Poste bitte die vollständige Meldung des AntiViren-Programmes sowie Informationen über das von Dir verwendete Betriebssystem. |
Hallo, also, mein Betriebssystem ist Windows XP Professional SP 2. Mein Antivirusprogramm meldet: Auf Ihrem PC wurde gefunden: C:\WINDOWS\rdrive\bku.exe enthält Signatur des Windows-Virus: W32/Henky.Tanzen Wenn ich dann Löschen anklicke, kommt eine Fehlermeldung: C:\WINDOWS\rdrive\bku.exe konnte nicht gefunden werden. Es scheint auch meinen PC ziemlich lahmzulegen, kann nicht mehr richtig surfen...:heulen: |
Zitat:
TROJ_AGENT.EDR - Description and solution Steht Dir ein Zweit-PC zur Verfügung, mit dem Du ins Internet gehen könntest? |
Ich hab nur diesen PC. Hab auch erst vor einer Woche den ganzen PC neu installieren müssen wegen einem anderen Virus. Trotz ZoneAlarm und Antivirusprogramm hab ich mir jetzt schon wieder sowas eingefangen... Gibt es auch eine deutsche Anleitung, um diesen Virus wegzubekommen? Vielen Dank für eure Hilfe! |
Zitat:
Mehr dazu ggf. gleich noch. Zitat:
Lade Dir HijackThis: HijackThis - bebilderte Anleitung Öffne HijackThis bzw. starte das Programm, doch anstatt einen Systemscan durchzuführen, klick auf "Opfen the Misc Tools section". Wähle sodann im Bereich "System tools" -> "Open process manager". Such in der Auflistung nach dem Prozess C:\WINDOWS\rdrive\bku.exe, markiere ihn durch einfachen Linksklick und wähle "Kill process". Bestätige die Abfrage mit "Ja". Such anschließend die Seite http://www.virustotal.com/ auf und prüf dort die Datei C:\WINDOWS\rdrive\bku.exe. Warte das Scanende ab, und poste anschließend die vollständige Ergebnisliste. |
Danke erstmal für die schnelle Antwort! Das klappt leider nicht. Dieser Prozess ist im Prozess Manager nicht zu finden... Was kann ich stattdessen machen? |
Versuch, ob die Virustotal-Prüfung auch so funktioniert. |
Erstell bitte ergänzend ein LogFile gemäß dieser Anleitung und poste es hier: http://www.trojaner-board.de/17493-a...ijackthis.html |
Hallo Markus, die Virustotal-Prüfung klappt auch nicht, die Datei wird nicht gefunden. Grüße, Lilly |
Hier ist das LogFile: Logfile of HijackThis v1.99.1 Scan saved at 22:42:04, on 15.07.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\MySpace\IM\MySpaceIM.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\svshost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Name\Desktop\hijackthis\HijackThis.exe O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [MySpaceIM] C:\Programme\MySpace\IM\MySpaceIM.exe O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?47f4e88708b743388318cb277c6eb496 O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?47f4e88708b743388318cb277c6eb496 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O17 - HKLM\System\CCS\Services\Tcpip\..\{EB40D04F-A147-471B-B32C-95DB00404BD2}: NameServer = 82.144.41.8 62.220.18.8 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Remote WinDir Services - Unknown owner - C:\WINDOWS\system32\svshost.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
Sieht insgesamt nicht gut aus, da Du bis dato mit dem SP1 für XP unterwegs warst. Prüf bitte nun diese Datei bei Virustotal: C:\WINDOWS\system32\svshost.exe Poste hier die Ergebnisse. Nichts voreilig löschen! |
Das Scanergebnis von Virustotal sieht folgendermaßen aus: File svshost.exe received on 07.15.2007 22:53:47 (CET) Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED Loading server information... Your file is queued in position: 3. Estimated start time is between 52 and 75 seconds. Do not close the window untill scan is complete. The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result. If you are waiting for more than five minutes you have to resend your file. Your file is being scanned by VirusTotal in this moment, results will be shown as they're generated. Print results Print Your file has expired or do not exists. Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time. You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished. Email: Antivirus Version Last Update Result AhnLab-V3 2007.7.14.0 2007.07.14 Win32/IRCBot.worm.variant AntiVir 7.4.0.42 2007.07.15 HEUR/Crypted Authentium 4.93.8 2007.07.13 no virus found Avast 4.7.997.0 2007.07.13 Win32:Ircbot-ATD AVG 7.5.0.476 2007.07.15 no virus found BitDefender 7.2 2007.07.15 Backdoor.SDBot.DESL CAT-QuickHeal 9.00 2007.07.14 Backdoor.SdBot.awe ClamAV devel-20070416 2007.07.15 Trojan.SdBot-6298 DrWeb 4.33 2007.07.15 BackDoor.IRC.Sdbot.1396 eSafe 7.0.15.0 2007.07.10 suspicious Trojan/Worm eTrust-Vet 30.8.3784 2007.07.14 Win32/Petribot.ALV Ewido 4.0 2007.07.14 no virus found FileAdvisor 1 2007.07.15 no virus found Fortinet 2.91.0.0 2007.07.14 no virus found F-Prot 4.3.2.48 2007.07.13 no virus found Ikarus T3.1.1.8 2007.07.15 Backdoor.Win32.SdBot.awe Kaspersky 4.0.2.24 2007.07.15 Backdoor.Win32.SdBot.awe McAfee 5074 2007.07.13 New Malware.cs Microsoft 1.2704 2007.07.15 no virus found NOD32v2 2399 2007.07.14 IRC/SdBot Norman 5.80.02 2007.07.13 no virus found Panda 9.0.0.4 2007.07.15 W32/Sdbot.KNV.worm Sophos 4.19.0 2007.07.06 no virus found Sunbelt 2.2.907.0 2007.07.14 no virus found Symantec 10 2007.07.15 no virus found TheHacker 6.1.6.146 2007.07.13 no virus found VBA32 3.12.0.2 2007.07.14 no virus found VirusBuster 4.3.23:9 2007.07.15 Worm.SdBot.FTG Webwasher-Gateway 6.0.1 2007.07.15 Heuristic.Crypted Aditional information File size: 66823 bytes MD5: c448fb7fbd3da09c5ba36fc0d144ec0b SHA1: 795ece48fb11e499cc4968672b4872cb98caf7bd packers: eXPressor Importante ATENTION: VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware. Scan another file VirusTotal © Hispasec Sistemas - Blog - Contacto: info@virustotal.com |
Bitte wie folgt vorgehen: A.) Datei C:\WINDOWS\system32\svshost.exe, wenn möglich, aus dem Systemverzeichnis kopieren und in ein Archiv packen wie hier unter Punkt 4.) beschrieben, dann als Anhang per Mail senden an virus@sicher-ins-netz.info (oder versuchen, die Datei direkt anzuhängen). Wenn es nicht klappt, melde Dich nochmal. B.) Killbox laden: KillBox.Net C.) Klick dort auf "Download KillBox" und speichere die dann geladene Datei KillBox.exe in einem extra Ordner, den Du z.B. unter "Eigene Dateien" neu anlegst. Diesen Ordner nennst Du z.B. "Analyse". Trenne die Internetverbindung. D.) Führe "KillBox.exe" aus. E.) Setze im sich öffnenden kleinen KillBox-Fenster den Punkt links auf "Delete on Reboot". F.) Jetzt wird rechts davon der Button "AllFiles" anklickbar. Klick darauf. G.) Kopiere nun aus diesem Posting diese zwei Pfade (nicht mehr und nicht weniger, nur diese zwei Zeilen, die hinter diesem Doppelpunkt folgen): C:\WINDOWS\system32\svshost.exe C:\WINDOWS\rdrive\bku.exe H.) Wechsele wieder zum KillBox-Fenster. Klick darin oben links auf "File", dann "Paste from Clipboard". I.) Klick nun in KillBox ganz rechts außen auf den roten Kreis mit dem weißen Kreuz. J.) Es kommt nun die Frage, ob das System neu gestartet werden soll. Bestätige mit "Ja". Melde Dich nach dem Neustart mit einem sodann erstellten neuen HijackThis-Logfile wieder. |
Hallo, vielen Dank! Das neue LogFile sieht so aus: Logfile of HijackThis v1.99.1 Scan saved at 23:33:47, on 15.07.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\MySpace\IM\MySpaceIM.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Heike\Desktop\hijackthis\HijackThis.exe O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [MySpaceIM] C:\Programme\MySpace\IM\MySpaceIM.exe O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?47f4e88708b743388318cb277c6eb496 O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?47f4e88708b743388318cb277c6eb496 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O17 - HKLM\System\CCS\Services\Tcpip\..\{EB40D04F-A147-471B-B32C-95DB00404BD2}: NameServer = 82.144.41.8 62.220.18.8 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Remote WinDir Services - Unknown owner - C:\WINDOWS\system32\svshost.exe (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
So, die Erstmaßnahme hat zunächst gegriffen. Hat der Dateiversand funktioniert? |
Die Datei hab ich noch nicht versenden können, hab das nicht ganz verstanden...:confused: Sorry, bin PC-technisch nicht so bewandert. Was muss ich jetzt noch machen, damit der PC wieder sauber ist? Und welche Tipps würdest du mir geben, damit ich den PC in Zukunft besser schütze? Liebe Grüße! |
Zitat:
Wenn es nicht klappt, melde Dich nochmal. Nachfragen ist nicht schlimm! Zitat:
Zitat:
Zitat:
|
Könnte ich das auch von einem PC in einem Internet-Café machen? Muss das System wirklich neu aufgesetzt werden??? Ich möchte das in jedem Fall vermeiden. Danke nochmal! |
Zitat:
Zitat:
Zitat:
System nach Infektion neu aufsetzen Ist das soweit verständlich? Wie gesagt: Bei Fragen, fragen! |
Ist dieser Trojaner immer noch auf meinem System? Auch, wenn er vom Antivirusprogramm nicht mehr angezeigt wird? Ein Neuaufsetzen scheint also unumgänglich. Dann sollte ich jetzt sicher wiedermal alle Passwörter ändern, oder? Was kann ich denn machen, damit mir das danach nicht gleich wieder passiert? |
Schalte temporär den Virenscanner aus. Schau dann mal in den Ordner C:\!KillBox. Welche Dateien befinden sich darin? Nichts weiter machen, nur in den Ordner hineinsehen und berichten. |
In dem KillBox Ordner sind folgende Dateien: -Logs _svshost Was kann man daraus erkennen? |
Schließe den Ordner. Setze dann erst einmal von dieser Seite Punkt 2.) um. Wenn Du das gemacht hast, schau abermals in den Ordner - welche Endung hat die svshost-Datei in dem Order C:\!KillBox? |
Die Datei hat die Endung .exe Also: svshost.exe |
Zitat:
Zitat:
Zitat:
Das heißt, beide Situationen wären nicht erfreulich. Nur die erstere schafft einen vernünftigen "neuen Anfang" für Dich, sodass Du wieder diejenige bist, die die Kontrolle über das System ausübt, und nicht Dir unbekannte Dritte. Zitat:
Zitat:
Soweit erstmal zu dieser Stunde Wenn's Fragen gibt Frag in die Runde! ;) |
Zitat:
|
Gut, ich werde dann mal das Neuaufsetzen des Systems in Angriff nehmen. Dazu noch eine Frage: Was ist mit der Patchsammlung, die vor der Installation installiert werden soll, gemeint? Ja, ich hatte erst vor einer Woche von jemandem das System neu aufsetzen lassen. Deshalb bin ich so geschockt, dass es mir schon wieder passiert ist, trotz ZoneAlarm u. Antivir und obwohl ich mit Mozilla surfe. Ich danke dir trotzdem ganz herzlich für deine geduldige Hilfe und deine schnellen Antworten!!!!!! VIELEN DANK :) Es ist wirklich super, dass du hier PC-Laien wie mir so nett hilfst. Liebe Grüße und gute Nacht! |
Das mit dem Versenden der Datei hat leider nicht geklappt. Ich könnte nur die KillBox.exe-Datei versenden, nicht aber svshost.exe. Wie kann ich das sonst machen? |
Zitat:
|
Zitat:
Zitat:
Du brauchst die Vollversion für Windows XP. Zuvor muss aber das SP2 für XP installiert werden: Downloaddetails: Windows XP Service Pack 2 für IT-Spezialisten und Entwickler Die oben genannte Patchsammlung wird erst "obendrauf" installiert. Zitat:
Welche der beiden Varianten trifft zu? Zitat:
Beispiel: Du gehst bei Regen auf einem Gehweg entlang und trägst einen aufgespannten Regenschirm, der den gröbsten Regen von oben abfängt. Nun aber trittst Du in eine tiefe Pfütze, bekommst nasse Füße und fragst dann: "Mist, warum bin ich nass geworden, ich habe doch einen Regenschirm?" Heißt also: Das "Wasser", das Dich hier ärgert, kam aus einer ganz anderen Richtung. Deswegen ist es für diesen speziellen Infektionsfall irrelevant, welchen Browser Du verwendet hast. Hier eine Erklärung zu Netzwerkwürmern: Netzwerk-Würmer Agobot, Rbot, Spybot, SdBot - Maßnahmen zu Schutz und Entfernung Zitat:
Die Hilfestellungen sollen eine gewisse Nachhaltigkeit zur Folge haben, das heißt: Dass Du in die Lage versetzt wirst, die notwendigen, grundlegenden Dinge selbst zu kontrollieren, sodass es nicht mehr so leicht zu Infektionen kommt. Ich kann Dir schon mal sagen: Es ist einfacher, als viele denken, einfacher, als Menschen denken, die sich (noch) nicht so gut damit auskennen. Die größte Hürde ist eigentlich nur das Denken, dass es vermeintlich zu schwierig wäre - sowas "blockiert" dann eher. Also, nur Mut! ;) |
Hier nochmal zum LogFile: Code: Logfile of HijackThis v1.99.1 Im Gegenteil, es befindet sich auf dem Stand von vor Jahren. Es wurde zwar gerade erst neu aufgesetzt, dabei wurde jedoch versäumt, aktuellere, frei als Updates verfügbare Softwarekomponenten, nachzurüsten. Ich betone abermals: Dieses Nachrüsten muss vor der ersten Internetverbindung bereits umgesetzt sein. Es reicht hingegen nicht aus, dies gleich sofort nach der ersten Verbindung durchzuführen. Übrigens: Dass ich geschrieben habe, den Mozilla als Sicherheitskomponente gedanklich zu streichen, bedeutet nun im Umkehrschluss nicht, dass Du jetzt den Internet Explorer verwenden sollst - ich wollte nur deutlich machen, dass es zunächst einer gesunden Basis, eines soliden Fundaments bedarf, auf das dann letztlich alles andere aufgebaut wird - wie auch bei einem Hausneubau. Also: - Windows XP - Service-Pack 2 - Patches / Update-Pack für Windows XP SP2 - Mozilla Firefox oder Opera zum Surfen im Netz - z.B. Mozilla Thunderbird oder Opera zum Mailen - Java in Version 6: -> http://www.trojaner-board.de/105213-java-update-einstellungen.html]Java SE Downloads[/url] Download -> Java Runtime Environment (JRE) 6u2, "Windows Offline Installation, Multi-language" Das alles offline installieren - vor der ersten Internetverbindung. Und bitte zunächst kein anderes Gedöhns, das das System belastet oder gleich schon wieder unnötig überfrachtet oder vollmüllt. Wenn das installierst ist, gehst Du das erste Mal online. Als allererstes rufst Du dann mit dem Firefox den Secunia Software Inspector auf. Das geht so: Prüfung installierter Software auf Aktualität: Secunia Software Insepector Führe diese Analyse durch und warte das Ergebnis ab. Wenn es vorliegt, wechsele ins Trojaner-Board und berichte hier in diesem Thread detailliert über die Ergebnisse - insbesondere die Komponenten, die rot gekennzeichnet wurden, sind von Interesse. Danach kannst Du Dir dann z.B. auch AntiVir laden und installieren. ZoneAlarm hingegen darf "draußen bleiben". Und noch etwas zu der Datei svshost.exe: Sie ist deswegen von Interesse, damit man nachprüfen kann, ob es sich wirklich 100%ig um den Verbreitungsweg handelt, den ich Dir nannte. Das jedoch geht am besten, wenn man sie vorliegen hat, dann braucht man nicht zu spekulieren. Daher wäre es sehr von Vorteil, wenn es Dir gelingen würde, sie via Mail zu versenden bzw. zu erläutern, woran genau es hängt, dass ein Verschicken nicht funktioniert. |
Danke für die ganzen Infos!!!! :) Mein Problem beim Versand der Datei ist, dass ich die svshost.exe-Datei nicht einzeln anhängen kann, nur die ganze KillBox-Datei. Die Schritte zur Neuinstallation hab ich mir gleich notiert und werde es diesmal selbst probieren. Vor einer Woche hatte das ein Bekannter gemacht. Eine Frage habe ich dazu noch: Ist es nicht besser, dass Antivir schon vor der ersten Internetverbindung zu installieren? |
Zitat:
Zitat:
Zitat:
Zitat:
|
Ich werde mich da lieber strikt an deine Anleitung halten. Aber, wie kann ich rausfinden, welche Treiber ich benötige? Und wenn ich die jeweiligen Treiber nicht mehr auf CD habe, wie kann ich sie am besten vorher kopieren? Sorry, wegen der blöden Fragen... Ich benutze übrigens Outlook, werde nach der System-Neuinstallation auch auf Thunderbird umsteigen. Jedenfalls kann ich nur den Ordner KillBox anhängen, nicht die einzelne Datei svshost.exe. Liebe Grüße! |
Zitat:
kann mir bitte einer von euch helfen? Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:43:41, on 01.08.2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\WINDOWS\system32\svshost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Microsoft SQL Server\MSSQL$CENTROSQL\Binn\sqlservr.exe c:\programme\gemeinsame dateien\vidicom\vcmserver.exe C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\AOL 9.0a\aoltray.exe C:\Programme\Gemeinsame Dateien\AOL\1185903638\ee\aolsoftware.exe C:\Programme\AOL 9.0a\waol.exe C:\Programme\AOL 9.0a\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\THOMAS~1.COM\LOKALE~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe O2 - BHO: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1C887F20-946C-4B2C-9592-58AAACB0EF1F} - (no file) O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll O2 - BHO: (no name) - {733DD360-2CE2-4A97-88D1-E4EDC1A60767} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: H - {A5D506DF-EF88-44db-917C-E56FF9E2A4FD} - C:\WINDOWS\System32\sours.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file) O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [sp2chk.exe] sp2chk.exe O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\gilsoh.exe O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1185903638\ee\AOLSoftware.exe O4 - HKCU\..\Run: [xset] C:\WINDOWS\System32\xset\chdicg.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/ O15 - Trusted Zone: http://*.63.219.181.7 O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C:oo.mht!http://vxiframe.biz//adverts//013//targ.chm::/win32.exe O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://69.50.166.212/counter/new/x.chm::/update.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-36.cab O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab O16 - DPF: {BBCACFA8-B901-451E-A606-0FE678814967} (control to view directory & upload images) - http://www.uboot.com/h/int/applet/photo_activex/PhotoUploader.CAB O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4861/mcfscan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{04E171BE-E898-40FF-B91D-2E5F6CA2B3AD}: NameServer = 69.50.188.180,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{667B9295-519B-4A03-A033-A485B15B49FF}: NameServer = 213.191.92.87 213.191.74.19 O17 - HKLM\System\CCS\Services\Tcpip\..\{6D815EB7-B85B-4691-8105-0BC8C80D76D5}: NameServer = 69.50.188.180,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{8066DDA4-E041-4615-A40B-E4395DFB3397}: NameServer = 205.188.146.145 O17 - HKLM\System\CCS\Services\Tcpip\..\{81CBFD9B-8CCA-40F4-BE60-3D9E7EC2AA94}: NameServer = 69.50.188.180,195.225.176.31 O17 - HKLM\System\CS1\Services\Tcpip\..\{04E171BE-E898-40FF-B91D-2E5F6CA2B3AD}: NameServer = 69.50.188.180,195.225.176.31 O17 - HKLM\System\CS2\Services\Tcpip\..\{04E171BE-E898-40FF-B91D-2E5F6CA2B3AD}: NameServer = 69.50.188.180,195.225.176.31 O18 - Filter hijack: text/html - {80333139-1185-4F6E-BE5C-D32ACE617348} - (no file) O18 - Filter: text/plain - {80333139-1185-4F6E-BE5C-D32ACE617348} - (no file) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: gbrftrdkr v0pwj9uywmm - Unknown owner - C:\WINDOWS\system32\svshost.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: vidicom Server - vidicom GmbH - c:\programme\gemeinsame dateien\vidicom\vcmserver.exe -- End of file - 9480 bytes |
Zitat:
|
Hallo, @max1 Bei einem beinahe vollkommen ungepatchten Betriebssystem ist es die beste Entscheidung, sofort Neuaufzusetzen. Das Bereinigen würde hier mehr Zeit in Anspruch nehmen, als das Neuaufsetzen. Hoffentlich hast du auch ein Backup von einem virenfreien Systemstatus ;) MFG, Arion PS: Zukünftig öffne lieber einen neuen Thread! |
Zitat:
Zitat:
Bitte befolge den Link zum Neuaufsetzen genau! Dann hast du ne Chance in Zukunft weniger Ärger am Hals zu haben. lg myrtille |
hehe die hat der gesammelt :D Aber sogar ohne SP1:headbang: :headbang: :headbang: |
Alle Zeitangaben in WEZ +1. Es ist jetzt 18:11 Uhr. |
Copyright ©2000-2024, Trojaner-Board