Trojaner-Board - mein toller virus

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - mein toller virus (https://www.trojaner-board.de/79411-toller-virus.html)

mein toller virus

Hallo
ich hab ein kleines problem das ziemlich groß ist.
ich hab durch zufall entdeckt das ich einen virus habe.
Das problem ist das ich nicht weis was dieser virus bewirkt, auser das mein steam nicht mehr funktioniert, noch itunes.
Er heist svhost, also nachbildung von svchost, dem systemprozess.
er steckt in C:\Windows\system32\install
ich hab auch schon neu aufsetzen versucht, ohne erfolg.
kanns sein das er sich in mein bios gebissen hat? hab mich bisher noch nicht an ein reset getraut, da mein motherboard relativ neu ist.
Hier erstmal ein Hijackthis:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:45:05, on 10.01.2099
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\cidaemon.exe
E:\SONSTI~1\icq\ICQ6.5\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\Sonstiges\Spyware Terminator\sp_rsser.exe
E:\spiele\steam\Steam.exe
E:\Sonstiges\Avira\AntiVir Desktop\avguard.exe
E:\Sonstiges\Avira\AntiVir Desktop\sched.exe
E:\Sonstiges\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\Sonstiges\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [HKLM] C:\WINDOWS\system32\install\svhost.exe
O4 - HKLM\..\Run: [avgnt] "E:\Sonstiges\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Steam] "E:\Spiele\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [ICQ] "E:\Sonstiges\icq\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [HKCU] C:\WINDOWS\system32\install\svhost.exe
O4 - HKCU\..\Run: [SpywareTerminatorUpdate] "E:\Sonstiges\Spyware Terminator\SpywareTerminatorUpdate.exe"
O4 - HKLM\..\Policies\Explorer\Run: [svhost] C:\WINDOWS\system32\install\svhost.exe
O4 - HKCU\..\Policies\Explorer\Run: [svhost] C:\WINDOWS\system32\install\svhost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Sonstiges\icq\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Sonstiges\icq\ICQ6.5\ICQ.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Sonstiges\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Sonstiges\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - E:\Sonstiges\Spyware Terminator\sp_rsser.exe

--
End of file - 3787 bytes

Wenn ich ihn lösche, reanimiert er sich einfach.
das passiert auch wenn ich ihn veränder. heist also in txt datei umänder oder in editor umänder.
registry eintrag wird auch selbstständig reanimiert.
er ist in verschiedenen registry abteilungen, wie ihr oben seht.
ich benutz windows xp mit sp2
hardware kann ich auf anforderung auch sagen

hoffe ihr könnt mir helfen, bin hier am verzweifeln :(

Hallo und :hallo:

Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

danke aber ich hab mein problem mitlerweile gelöst :P
das ging weg indem ich framework, treiber und windows upgedatet habe
danach konnte ich das einfach löschen, ohne das es sich reanimiert.
was mich aber wundert ist das mein steam problem nicht weg ist

bei steam ist leider nur der prozess da, aber keine anwendung.
er wird im task manager angezeigt, sowie im security task manager.
ich kann die steam.dll löschen, danach updatet es steam wieder.
dazu kommt die anwendung. danach verschwindet sie aber wieder.
irgendwer nen tipp?

bin grade bisschen in zeitdruck, werde aber diesen test machen, sobald ich zeit dazu hab.

das ist aber ein nettes tool^^
hier mal das ergebnis:

Zitat:

--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 6000+ )
BIOS : Default System BIOS
USER : Administrator ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:39 Go (Free:31 Go)
D:\ (CD or DVD) - CDFS - Total:4 Go (Free:0 Go)
E:\ (Local Disk) - NTFS - Total:333 Go (Free:212 Go)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 12.01.2099|12:39 )

--------------------\\ Ordner Verzeichnis unter ANWEND~1

[10.01.2099|19:53] C:\DOKUME~1\ADMINI~1\ANWEND~1\Adobe
[09.01.2099|17:19] C:\DOKUME~1\ADMINI~1\ANWEND~1\Apple Computer
[10.01.2099|23:59] C:\DOKUME~1\ADMINI~1\ANWEND~1\dvdcss
[11.01.2099|14:19] C:\DOKUME~1\ADMINI~1\ANWEND~1\Help
[09.01.2099|17:21] C:\DOKUME~1\ADMINI~1\ANWEND~1\ICQ
[09.01.2099|15:50] C:\DOKUME~1\ADMINI~1\ANWEND~1\Identities
[09.01.2099|16:27] C:\DOKUME~1\ADMINI~1\ANWEND~1\InstallShield
[09.01.2099|16:35] C:\DOKUME~1\ADMINI~1\ANWEND~1\Macromedia
[11.01.2099|19:50] C:\DOKUME~1\ADMINI~1\ANWEND~1\Microsoft
[10.01.2099|19:41] C:\DOKUME~1\ADMINI~1\ANWEND~1\Mozilla
[10.01.2099|19:53] C:\DOKUME~1\ADMINI~1\ANWEND~1\Sun
[10.01.2099|13:20] C:\DOKUME~1\ADMINI~1\ANWEND~1\TuneUp Software
[10.01.2099|20:28] C:\DOKUME~1\ADMINI~1\ANWEND~1\Uniblue
[11.01.2099|13:01] C:\DOKUME~1\ADMINI~1\ANWEND~1\vlc
[0|Datei(en)] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes
[16|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes frei

[09.01.2099|17:19] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[10.01.2099|21:16] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
[09.01.2099|17:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ICQ
[12.01.2099|12:36] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[10.01.2099|23:36] C:\DOKUME~1\ALLUSE~1\ANWEND~1\NVIDIA Corporation
[11.01.2099|14:29] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SecTaskMan
[10.01.2099|13:20] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[9|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

[09.01.2099|14:27] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

[09.01.2099|17:37] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

[09.01.2099|14:27] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks

[12.01.2099 12:28][--a------] C:\WINDOWS\tasks\Automatische Problemsuche.job
[12.01.2099 12:28][--ah-----] C:\WINDOWS\tasks\SA.DAT
[04.08.2004 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Ordner Verzeichnis unter C:\Programme

[10.01.2099|23:37] C:\Programme\AGEIA Technologies
[09.01.2099|16:27] C:\Programme\AMD
[09.01.2099|16:24] C:\Programme\ATI Technologies
[09.01.2099|14:24] C:\Programme\ComPlus Applications
[09.01.2099|17:17] C:\Programme\Gemeinsame Dateien
[10.01.2099|20:08] C:\Programme\ICQ6Toolbar
[10.01.2099|23:47] C:\Programme\InstallShield Installation Information
[09.01.2099|15:49] C:\Programme\Internet Explorer
[09.01.2099|14:30] C:\Programme\Java
[10.01.2099|19:41] C:\Programme\Messenger
[09.01.2099|14:32] C:\Programme\microsoft frontpage
[09.01.2099|14:25] C:\Programme\Movie Maker
[11.01.2099|13:33] C:\Programme\MSBuild
[09.01.2099|14:23] C:\Programme\MSN
[09.01.2099|14:23] C:\Programme\MSN Gaming Zone
[09.01.2099|14:25] C:\Programme\NetMeeting
[10.01.2099|23:36] C:\Programme\NVIDIA Corporation
[09.01.2099|14:24] C:\Programme\Online Services
[09.01.2099|14:26] C:\Programme\Online-Dienste
[09.01.2099|14:25] C:\Programme\Outlook Express
[10.01.2099|23:47] C:\Programme\Realtek
[11.01.2099|13:31] C:\Programme\Reference Assemblies
[09.01.2099|15:50] C:\Programme\Uninstall Information
[09.01.2099|14:27] C:\Programme\Windows Media Player
[09.01.2099|14:23] C:\Programme\Windows NT
[09.01.2099|14:26] C:\Programme\WindowsUpdate
[09.01.2099|14:32] C:\Programme\xerox
[0|Datei(en)] C:\Programme\Bytes
[29|Verzeichnis(se),] C:\Programme\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

[10.01.2099|19:53] C:\Programme\Gemeinsame Dateien\Apple
[09.01.2099|14:25] C:\Programme\Gemeinsame Dateien\Dienste
[09.01.2099|16:24] C:\Programme\Gemeinsame Dateien\InstallShield
[09.01.2099|14:30] C:\Programme\Gemeinsame Dateien\Java
[10.01.2099|21:14] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[09.01.2099|14:25] C:\Programme\Gemeinsame Dateien\MSSoap
[08.01.2099|20:34] C:\Programme\Gemeinsame Dateien\ODBC
[08.01.2099|20:34] C:\Programme\Gemeinsame Dateien\SpeechEngines
[09.01.2099|14:24] C:\Programme\Gemeinsame Dateien\System
[10.01.2099|23:37] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[12|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

--------------------\\ Process

( 25 Processes )

... OK !

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Status.mif

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei SAUBER

--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2099-01-12 12:39:31
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Suche nach anderen Infektionen

Kein anderen Infektionen gefunden !

[F:161][D:23]-> C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
[F:5][D:0]-> C:\DOKUME~1\ADMINI~1\Cookies
[F:1354][D:4]-> C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 12.01.2099|12:41 - Option : [1]

--------------------\\ Scan beendet um 12:41:02

seh jetzt nichts mehr ausergewöhnliches, auser die ganzen kack toolbars weg.
komisch ist aber, das hier gerade 2 registry einträge warn von dem virus.
ich konnt sie einfach löschen. gefunden hab ich sie über msconfig.
aber der eigentliche virus in C:\Windows\system32\install\svhost.exe ist weg
weis wer wie der immernoch da sein konnte nachdem ich den pc neu aufgesetzt habe? wüsste jetzt nicht wie eine datei die ins bios eingedrungen ist, auf die festplatte zugreifen könnte. ist es möglich das es einen bestimmten "Bereich" giebt, der nicht neu aufgesetzt wird? es bleibt ja immer 8mb frei bei neu aufsetzen. das er sich vl dadrin versteckt hat.
danke für jeden tipp :daumenhoc

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

File-Upload.net - logs.rar

das sind mal die logs.
der ccleaner hat die fehler leider gelöscht, ohne vorher einen log anzuzeigen.

Edit:
das hier hat maleware rausgelassen.

Zitat:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3178
Windows 5.1.2600 Service Pack 2

13.01.2099 18:52:50
mbam-log-2099-01-13 (18-52-50).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 2
Laufzeit: 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hkcu (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\svhost (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hklm (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\svhost (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\install\svhost.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

ich habs gelöscht, da genau das der virus war.
ich hoff er ist weg =(

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.

Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

Registry values to delete:

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run | svhost

HKLM\Software\Microsoft\Windows\CurrentVersion\Run | HKLM
 

Files to delete:

F:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\svhost.exe

C:\WINDOWS\system32\install\svhost.exe

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Anschließend bitte Combofix ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

okay.
ich lass grade nochmal malewarebytes drüberlaufen, da ich das gefunden hab

C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\svhost.exe

rundll32 ist doch eigentlich eine system datei, das die dlls verwaltet.
wenn sich der virus da reingefressen hat heists nix gutes oder? :killpc:
wenns so weiter geht kauf ich mir echt bald neues motherboard und neue festplatte :balla:
du kannst, wenn du mal zeit hast, ja mal gerne mit team viewer bei mir reinschaun.
hab mir schon überlegt ob ich router reset mache, wird aber nix bringen, da steam auch net läuft, nachdem ich lan kabel gezogen hab.

so maleware ist fertig, das hat er ausgespuckt:

Zitat:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3178
Windows 5.1.2600 Service Pack 2

14.01.2099 15:37:11
mbam-log-2099-01-14 (15-37-11).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 126356
Laufzeit: 7 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{0p8cd2x7-l52b-4nnw-07sl-wneo51gcj0pf} (Generic.Bot.H) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{4955EF36-9EC3-400C-84DC-BC5835F10912}\RP19\A0002764.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4955EF36-9EC3-400C-84DC-BC5835F10912}\RP19\A0002766.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4955EF36-9EC3-400C-84DC-BC5835F10912}\RP22\A0002774.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4955EF36-9EC3-400C-84DC-BC5835F10912}\RP22\A0002777.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4955EF36-9EC3-400C-84DC-BC5835F10912}\RP25\A0003298.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4955EF36-9EC3-400C-84DC-BC5835F10912}\RP25\A0003299.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4955EF36-9EC3-400C-84DC-BC5835F10912}\RP33\A0003940.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.

danke im vorraus ;)

Edit:
so ist fertig. sieht aber nicht rosig aus. maleware hat anscheinend alles deletet

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: could not open file "F:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\svhost.exe"
Deletion of file "F:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\svhost.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Error: file "C:\WINDOWS\system32\install\svhost.exe" not found!
Deletion of file "C:\WINDOWS\system32\install\svhost.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|svhost"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|svhost" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|HKLM"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|HKLM" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

sicher das mir dieses combofix nicht meinen pc ganz und gar zerhackt?^^
weil das klingt irgendwie ziemlich unheimlich mit den ganzen warnungen auf garantie usw
ich führs aber aus wenns sein muss. ich wart erstmal auf antwort und schau dann mal weiter.
der pc ist nämlich noch keine 5 monate alt. >.<

Zitat:

sicher das mir dieses combofix nicht meinen pc ganz und gar zerhackt?^^

Bei den ganzen Einträgen (Backdoors, Bifrost) kannst Du eh nicht viel mehr kaputtmachen :D

Führe Combofix bitte streng nach Anleitung aus, dann kann nix passieren ;)

Zitat:

Zitat von cosinus (Beitrag 480963)

Bei den ganzen Einträgen (Backdoors, Bifrost) kannst Du eh nicht viel mehr kaputtmachen :D

Führe Combofix bitte streng nach Anleitung aus, dann kann nix passieren ;)

das zerhackt aber net bios mit oder? :D
diese kack windows aktivierung geht schon wieder nicht.
werd bald auf linux umsteigen ;) fände es sowieso mal interessant^^
beschäftige mich nämlich eigentlich viel mit pc, bios oder cmd.
also so kleine spielereien halt wie ip rausfinden usw.
naja ich mach das mal aber lieber erst später :P mein pc will noch paar stunden leben.
danke dir übrigens warst schon mal ne sehr große hilfe :dankeschoen:

Glaub mir, wenn Du Combofix richtig anwendest passiert nix ;)
Und notfalls rollst Du eben Dein letztes Backup aus :blabla:

der test ging reibungslos und sogar ohne neu booten, was mich bissl erstaunt hat ;P
der log passt mal wieder nicht rein, glaub ich.
DOWNLOAD
sieht eigentlich nach einem ordentlichem system aus, irgendwas passt aber trotzdem net. Itunes zickt nämlich auch rum. genausolang wie steam. nur startet das garnimmer. wenn ich das starten will, kommt dieser windows fehler

http://farm4.static.flickr.com/3067/...ba36fde6_o.jpg

blos halt das itunes nicht ausgeführt werden kann blabla.
ich mach mal einen screen und post ihn dann hier mal. aber sieht genauso aus.
ist aber net so wichtig ich nehm einfach amarok, wenn das mal funktioniert :rolleyes:

Zitat:

ComboFix 09-11-18.04 - Administrator 14.01.2099 23:50.1.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe

Hast Du Combofix beim Download nicht umbenannt?
Mir fällt auch auf, dass Du da bekloppte Datumstempel hast. Jahr 2099 :crazy: Ist Deine Systemzeit bzw. das Datum richtig eingestellt auf Deinem PC?

sieht nicht so aus^^
wo kann man das genau ändern? :D
irgendwie blick ich das nicht auch wenn ich net ein total versager bin :rolleyes:
deswegen geht warscheinlich mein itunes auch net^^
so weit ich weis muss man das in bios umstelln
ich glaub das hat mein xp antispy umgestellt^^ hab schon alles rückgängig gemacht und es deinstallt, weil ich gedacht hab an dem liegts ;D
:dankeschoen:

Gut möglich, dass wir mit der Enfernung der Backdoor-Einträge einiges geschrottet haben. Bei solchem Befall ist eine Neuinstallation eh immer zu empfehlen. Also wenn Du ein "sauberes" und stabiles OS haben willst musst Du formatieren und Windows neu aufsetzen.