|
svchost.exe bzw klog.dat Liebe Forengemeinde, ich musste heute feststellen, das mein PC wohl doch einige Viren abbekommen hat. Ich suche bereits stundenlang in google, aber nirgends konnte ich wirkliche Hilfe ausfindig machen. Folgendes: Ich habe immer 1 bis 3 svchost.exe Dateien im Taskmanager aktiv, welche allerdings nicht dem System 32 Ordner angehören. Es sind also Viren. Zu finden ist die svchost.exe Datei unter C:\Windows\Realtek\svchost.exe Als Symbol ein Jpeg-Bild. Als ich versuchte den ganzen Ordner mit dem Programm "unlocker" zu löschen, kam folgende Meldung: http://img157.imageshack.us/img157/5397/unlockerlr4.jpg Erst nun stieß ich darauf, das die Datei scheinbar einen anderen Hintergrund hat. Googeln ergab erneut nicht viel. Nur das die dat-datei wohl Tastatur eingaben speichert? Ich bin völlig planlos, wie nun vorgehen? Ich habe auch bereits hijack benutzt. Bei einer automatischen Auswertung wurde ich darauf gestoßen, das wie erwähnt, 3 svchost dateien nicht im system32 ordner liegen. Weder Ordner noch Datei löschbar. Beende ich die 3 svchost und dann den iexplorer, kommt ein bild von jemanden und die 3 svchost sind wieder hergestellt. Was tun? Lieben dank im Vorraus für Antworten. Samtpfote |
Hi Samtpfote Lass die Dateien, die du meinst mal von VirusTotal - Free Online Virus and Malware Scan überprüfen, damit geklärt ist, um welche Infektion es sich handelt. Sagt dein AV nichts? Erstell doch mal bitte ein HiJackThis Logfile :) mfg |
Die klog.dat gehört zu dem Bifrost Backdoor. Jemand hat Remote Zugriff auf Deinen Rechner, Du solltest ihn Neuaufsetzen. |
Hallo ihr zwei, mein AntiVir hat ganz genau "nichts" dazu gesagt. Kompletten Scan gemacht, aber er hat nichts gefunden. Die Hijack habe ich mal angehangen und bereits zu erkennen: C:\Windows\Realtek\svchost.exe Grüße, Samtpfote |
Lade die Datei C:\Windows\Realtek\svchost.exe bei VirusTotal - Free Online Virus and Malware Scan hoch und poste das Ergebnis hier. |
Da stand nun folgendes, meinst du das?: Die Datei wurde bereits analysiert: MD5: a2d634c9554098bfe17b4a742592d9be First received: 2008.06.19 01:25:02 (CET) Datum 2008.06.19 02:46:03 (CET) [+1D] Ergebnisse 9/33 Permalink: analisis/8a69a3f581eba6aa90dd2f621b856370 |
Nein Samtpfote :) du musst das posten, was die Antivirenprogramme anzeigen. der Text darunter |
Oh, natürlich.. :) Nun besser? Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.6.19.0 2008.06.18 - AntiVir 7.8.0.55 2008.06.18 - Authentium 5.1.0.4 2008.06.18 W32/Heuristic-KPP!Eldorado Avast 4.8.1195.0 2008.06.18 Win32:Buzus-IO AVG 7.5.0.516 2008.06.19 - BitDefender 7.2 2008.06.19 - CAT-QuickHeal 9.50 2008.06.18 (Suspicious) - DNAScan ClamAV 0.93.1 2008.06.19 - DrWeb 4.44.0.09170 2008.06.18 - eSafe 7.0.15.0 2008.06.18 - eTrust-Vet 31.6.5886 2008.06.19 - Ewido 4.0 2008.06.18 - F-Prot 4.4.4.56 2008.06.18 W32/Heuristic-KPP!Eldorado F-Secure 6.70.13260.0 2008.06.18 - Fortinet 3.14.0.0 2008.06.18 - GData 2.0.7306.1023 2008.06.18 Win32:Buzus-IO Ikarus T3.1.1.26.0 2008.06.19 Virus.Win32.Buzus.IO Kaspersky 7.0.0.125 2008.06.18 Heur.Backdoor.Generic McAfee 5320 2008.06.18 - Microsoft 1.3604 2008.06.19 - NOD32v2 3198 2008.06.18 - Norman 5.80.02 2008.06.17 - Panda 9.0.0.4 2008.06.18 - Prevx1 V2 2008.06.19 Malicious Software Rising 20.49.22.00 2008.06.18 - Sophos 4.30.0 2008.06.19 - Sunbelt 3.0.1153.1 2008.06.15 - Symantec 10 2008.06.19 - TheHacker 6.2.92.354 2008.06.18 - TrendMicro 8.700.0.1004 2008.06.18 - VBA32 3.12.6.7 2008.06.18 - VirusBuster 4.3.26:9 2008.06.12 - Webwasher-Gateway 6.6.2 2008.06.18 Win32.Malware.gen!94 |
Bitte lasse Deine Datei einmal scannen, auch wenn VT sagt das die Datei schon mal gescannt wurde. Poste das Ergebnis dann hier. |
Danke :) Ich hab keine Ahnung, wieso nur 9 von 33 AV was finden. x,x Warte mal ab, was BataAlexander dazu meint mfg |
Achsooo.. sry, sehe jetzt erst, das er noch meine Datei noch gar nicht richtig scannte. Datei svchost.exe empfangen 2008.06.20 13:55:40 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 10/33 (30.31%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.6.19.0 2008.06.20 - AntiVir 7.8.0.59 2008.06.20 - Authentium 5.1.0.4 2008.06.20 W32/Heuristic-KPP!Eldorado Avast 4.8.1195.0 2008.06.19 Win32:Buzus-IO AVG 7.5.0.516 2008.06.19 - BitDefender 7.2 2008.06.20 - CAT-QuickHeal 9.50 2008.06.19 (Suspicious) - DNAScan ClamAV 0.93.1 2008.06.20 - DrWeb 4.44.0.09170 2008.06.20 - eSafe 7.0.15.0 2008.06.19 - eTrust-Vet 31.6.5890 2008.06.20 - Ewido 4.0 2008.06.20 - F-Prot 4.4.4.56 2008.06.19 W32/Heuristic-KPP!Eldorado F-Secure 7.60.13501.0 2008.06.20 - Fortinet 3.14.0.0 2008.06.20 - GData 2.0.7306.1023 2008.06.20 Win32:Buzus-IO Ikarus T3.1.1.26.0 2008.06.20 Virus.Win32.Buzus.IO Kaspersky 7.0.0.125 2008.06.20 Heur.Backdoor.Generic McAfee 5321 2008.06.19 - Microsoft 1.3604 2008.06.20 Backdoor:Win32/Bifrose.AE NOD32v2 3202 2008.06.20 - Norman 5.80.02 2008.06.19 - Panda 9.0.0.4 2008.06.19 - Prevx1 V2 2008.06.20 Malicious Software Rising 20.49.42.00 2008.06.20 - Sophos 4.30.0 2008.06.20 - Sunbelt 3.0.1153.1 2008.06.15 - Symantec 10 2008.06.20 - TheHacker 6.2.92.355 2008.06.19 - TrendMicro 8.700.0.1004 2008.06.20 - VBA32 3.12.6.7 2008.06.19 - VirusBuster 4.3.26:9 2008.06.12 - Webwasher-Gateway 6.6.2 2008.06.20 Win32.Malware.gen!94 (suspicious) |
Ok Dein System ist mit einem Backdoor infiziert. Der Keylogger hat Deine Passwörter mitgeloggt. Um sicherzugehen die Infektion zu entfernen musst Du Neuaufsetzen. |
Wenn Du einen anderen Rechner zur Verfügung hast ändere dort die Zugangsdaten für:
|
Okay, werde ich tun. Vielen dank für die Hilfe :) System neu aufsetzen heißt dann komplettes formatieren aller festplatten und schließlich auch Windows Vista wieder neu installieren? Samtpfote |
Folge der Anleitung: http://www.trojaner-board.de/51262-a...sicherung.html mfg |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:46 Uhr. |
Copyright ©2000-2025, Trojaner-Board