|
Windows\System32\ problem Ciao, also ich hab am Wochenende miteinmal auf meinem Bildschirm ein Fensterchen bekommen von Antivir da stande irgendwas mit "Trojaner tr/virtl.1974" ich bin dann auf Löschen gegangen aber das brachte rein gar nichts.. OK Ich hab dann mein System XP runtergefahren und mein zweites System Vista gestartet und darüber den Trojaner versucht zu löschen. Nun es kamm 3 x das Fenster zwecks Trojaner und irgendwelche [svchosl.exe] ich hab es dann gelöscht keine Ahnung ob diese Datei wichtig war? Nun hab ich das Problem wenn ich mein System XP neu hochfahre bekomme ich son schmales langes Fenster wo drine steht " Windows\System32\oobe\svchost.exe " konnte nicht ausgeführt werden. Nun meine Frage hab ich da irgendwelche WICHTIGEN - DATEIN gelöscht die mir jetzt in meinem System fehlen ? Ich hatte im netz nachgesehen nach diesem Troja Pferdchen aber leider nichts dazu gefunden was müsste ich jetzt tun ? P.S. Mein System ansich läuft weiter Super und ich hab auch keine weiteren Meldungen mehr über diesen Trojaner bekommen wie geschrieben nur wenn ich den Rechner neu hochfahre das ich diese Meldung [Windows\System32\oobe\svchost.exe] erhalte. Wenn ich jetzt mein System neu aufsetzen würde und auch wieder das Antivir neu installiere kann es sein das ich dann wieder dieses Troja Pferdchen bekomme ? Denn es kam ja durch ein Update oder nachdem ich ein Update mit Antivir gemacht habe erst. Gruß maestro75 :dankeschoen: |
Halli hallo maestro75 :hallo: Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
Konfiguriere AntiVir aggressiv und führe einen Vollscan im abgesicherten Modus unter XP durch. Poste das log! So wird der abgesicherte Modus am einfachsten aufgerufen: KLICK mich Erstellung eines Hijacklog -Hier gibt es das Tool -> HijackThis -Speichere es in einem eigenen Ordner! (z.B.: c:\Hijackthis\) -Suche die Datei HiJackThis.exe und benenne sie um in 'This.com' (Klick rechte Maustaste -> umbenennen) -Starte nun mit Doppelklick auf This.com -Klicke auf den rot markierten Button Do a system scan and save a log file -Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein) - Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest. - Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken. Eine bebilderte Anleitung findet sich in unserem FAQ-Bereich: HJT-Anleitung |
[edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA http://www.smilies.4-user.de/include...lie_be_027.gif [/edit] |
Das log ist zerstückelt. Zitat:
[EDIT] Jetzt sind noch aktive Links drinn. Die bitte auch editieren! Und poste bitte immer alle logs! Der AntiVir Bericht fehlt noch.. |
So hierder Antivir log.. Code: Avira AntiVir Personal |
Zitat:
|
Zitat:
|
So ich hoffe das ich jetzt alles beseitigt habe ? :rolleyes: Hier der log von HijackThis Code: Logfile of Trend Micro HijackThis v2.0.2Code: |
Sauber. So wollen wir das haben.. ;) Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"! * Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen. Zitat:
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren! * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. |
Ich hab die oobe nicht gefunden daher hab ich aus dem Ordner oobe die msoobe gescannt Hier die Datei svochst.exe Code: AhnLab-V3 2008.8.29.0 2008.09.01 -Code: AhnLab-V3 2008.8.29.0 2008.09.01 - |
Zitat:
An die Ergebnisse glaube ich im Leben nicht.. Bei dir läuft ein IRC Bot. Lade uns die C:\WINDOWS\System32\oobe\svchost.exe biite auf den Server hoch. Anleitung Upload Channel Danach gehts für dich hier weiter: Bereinigung nach einer Kompromitierung Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist. Master Boot Record überprüfen: Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei aus. Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck Zitat:
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen. Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!! |
MBR Log Code: device: opened successfully |
Gut, dann kannst du weiter machen.. |
mit was weiter machen ich hab ja diese MBR gemacht und keinen Fehler gefunden somit brauch ich ja da das andere ja nicht mehr machen oder ? Sry wenn ich mich hier etwas glatt anstelle aber ich hab keine Ahnung von viren & co kann sein das ich manchmal hier was falsch mache oder nicht verstehe... und was sagst zu meiner Fehlenden oobe ? ich hab mit diese mbr.txt.bat runter geladen wenn ich sie öffne steht da drine @echo off mbr.exe - f ich hab kein plan wie ich das machen soll ? da dieses text duko ne text datei bleibt. :( |
Du musst weiter machen mit dem Neuaufsetzten denn dein System ist kompromitiert. |
na alles etwas zu neuland für mich ich hoffe ich hab es richtig gelöst ??? Code: GMER 1.0.14.14536 - htpw.gmer.net |
Das es Neuland ist macht ja nichts aber du scheinst mich nicht zu verstehen: Du musst den Rechner platt machen/formatieren/neuaufsetzten. http://www.trojaner-board.de/51262-a...sicherung.html |
Klar hab ich dich verstanden.... schon weiter oben :) Ja gut damit kenne ich mich bestens aus wie man nen Rechner also platt macht schade nur wie kann sowas überhaupt passieren ist daran das AntiVir schuld oder was ? Kann es mir passieren wenn ich den Rechner neu aufsetze das ich mir durch AntiVir gleich wieder was einfange ? Ich könnte sowas von kotzen echt .... frage mich echt was wie durch auf mein System kommen konnte und was oder wer der übeltäter auf meinem System ist der das verursacht hat ? Trotzdem Danke ich dir ..... für deine Zeit und auch Mühe besten dank hab etwas dazu gelernt und vllt auch verstanden... Danke nochmal @undoreal :dankeschoen: gruss maestro75 :killpc::killpc::killpc: |
Ciao @undoreal also ich hab meinen Rechner komplett Neu aufgesetzt nun hab ich wieder das problem der Rechner ist grade frisch neu aufgesetzt da bekomme ich beim versuch von AntiVir zu updaten gleich n Trojaner Meldung sie lautet svchosl.exe konnte nicht gefunden werden ich muss sagen ich weiss einfach nicht mehr weiter wie und warum ? Meldung von AntiVir C:\WINDOWS\svchosl.exe Ist das Trojanische Pferd TR/Virtl.1974 egal was ich mache es in Quarantäne verschiebe es kommt dann wieder und wieder... Was soll ich jetzt machen ??? Gruss maestro75 |
Dann hast du nicht richtig neuaufgsetzt oder du hast danach schon wieder Blödsinn installiert. Bereinigung nach einer Kompromitierung Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist. Master Boot Record überprüfen: Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei aus. Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck Zitat:
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen. Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!! |
Na ich glaube es liegt nicht hier an mir das Problem.... Schaumal bitte was ich in meinem C:\WINDOWS\System32\oobe gefunden habe.. Code: AhnLab-V3 2008.9.3.0 2008.09.02 - |
:dummguck: Hä? Wenn du richtig formatierst und mit einer originalen Windows CD neuaufsetzt dann ist der Ordner weg! Definitiv! |
Ich hab mit einer Original CD installiert nur ist diese CD auf einer DVD mit mehreren Systemtool´s und anderen Anwendungen sowie auch mit SP2-3 da ich immer keinen Bock habe alles einzelnd zu installieren deshalb ist die DVD mit einer original Windows XP bestückt und etwas Software sowie Tool´s und andere kleine Sachen.... Na gut jedenfalls kann ich nicht mehr mache denn wenn ich mit der DVD nochmal alles installiere hab ich dnach das selbe Problem. |
Zitat:
So kann dein Rechner jedenfalls nicht bleiben.. Da hat jemand VOLLEN Zugriff auf deinen Rechner! |
Ja ich hab mir diese DVD erstellen lassen von jemanden und meine original Windos CD dazugegeben nur ist dieser jenige jetzt kein Hacker oder sowas nein nur der kennt sich mir Sachen die mir fehlen... Ich werd mir ne original andere XP Version besorgen und den Rechner dann übermorgen neu machen.. Hab auch andere Hardware mir heute bestellt n Intel System und da möchte ich dann schon das alles lüppt und ich keine probleme bekomme zwecks Trojaner..:killpc: wenn ich mit meinem Neuen System Prob´s habe komm ich wieder hier zu dir und nerve dich. :huepp: Bis dahin denn... maestro75 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:41 Uhr. |
Copyright ©2000-2025, Trojaner-Board