Ravenstin 0 Melden Teilen Geschrieben 16. März 2005 Hi folks, es laufen zwei was sehr ungewöhnlich ist. Bitte versuche mal herauszufinden, ob diese Dateien im Verzeichnis: C:\Windows\System32 liegen. Liegt ein davon nicht darin, könnte es sich um folgende Trojaner handeln: W32.Welchia.Worm W32.Assarm@mm W32/Jeefo Greets, PunK' Also ich habe "svchost.exe" 5 x drinne. Das ist doch ein Systemprogramm und somit normal, denke ich mal. @corsair: Hast du auch schon mal spybot durchlaufen lassen? Das findet neben Ad-aware auch ne menge und man kann einen Dauerschutz aktivieren. Ich habe seit dem keine Spyware mehr draufbekommen!! Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Corsair 217 Melden Teilen Geschrieben 16. März 2005 (bearbeitet) Jep, hab ich.Hat nix gefunden Hab mit Steganos Antispyware 7 ein vergleichbares Programm der meinen PC beim surfen ständig schützt -edit- Ach so Spybot Search and Destroy schreibt Bearbeitet 16. März 2005 von Corsair Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Ravenstin 0 Melden Teilen Geschrieben 16. März 2005 Anscheinend ja wohl nicht sicher genug *g* Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Gast Erik Melden Teilen Geschrieben 16. März 2005 So habe jetzt mal nach manchen Prozessen bei Google geguckt: Habe auch raus gefunden, dass manche Trojaner oder so sind. Habe dann bei dem betreffenden Trojaner auf Prozess beenden geklickt, dann wird mir gesagt: Zugriff verweigert. Die Dateien auf der Festplatte löschen kann ich auch nicht, da er mir sagt, das Programm ist geöffnet (logisch) Wie bekomme ich diesen Scheiß jetzt von meiner Festplatte? Und msconfig kann ich nicht ausführen, da sagt er mir folgendes: Datei nicht gefunden. Oft flackert mein ganzer Bildschirm immer so schwarz und geht dann oft komplett aus, muss das mit der Hardware zu tun haben oder kann das auch was mit den Trojanern zu tun haben? (ich bin newb in Sachen Viren und dergleichen gruß Erik Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
-=Punkbuster=- 166 Melden Teilen Geschrieben 16. März 2005 Hi, Hinweis: Bevor Du diese Schritte durchführst, mach ein Backup Deiner wichtigen Daten (Bilder, Lieder, etc.). . An Deiner Stelle würde ich ihn formatieren und mir vorher wenigstens SP2 runterladen. Danach neu aufsetzen und "bevor!" Du auch nur daran denkst, das Patchkabel einzustecken, SP2 aufspielen. Wenn Du nicht formatieren willst, würde ich diesen Weg vorschlagen: 1. Dateien suchen Suche die von Dir infizierten Dateien auf der Festplatte und merke/notiere Dir den Pfad 2. stell die Systemwiederherstellung ab. das machst Du so: Klicken Sie auf Start > Einstellungen > Systemsteuerung und Doppelklicken Sie auf System. Wechseln Sie ins Register Leistungsmerkmale und klicken Sie auf die Schaltfläche Dateisystem. Nun wechseln Sie ins Register Problembehandlung. Setzen Sie ein Häkchen auf: Systemwiederherstellung deaktivieren und Klicken Sie auf OK. Starten Sie den Computer neu. 3. Beim! Neustarten drückst Du F8 und startest den Rechner im abgesicherten Modus. Du suchst jetzt die Dateien und löschst Sie. Außerdem öffnest Du über: -> Start -> Ausführen: regedit Dort suchst Du über STRG + F die Namen der von Dir als Trojaner-Files identifizierten Dateien und löschst die entsprechenden Einträge. Sie werden sich mit großer Wahrscheinlichkeit unter: HKEY LOCAL MACHINE -> Software -> Microsoft -> Current Version -> Run HKEY LOCAL MACHINE -> Software -> Microsoft -> Current Version -> Run Once HKEY LOCAL MACHINE -> Software -> Microsoft -> Current Version -> Run services finden. Ich sage es aber gleich dazu, wenn Du dort die Einträge löschst ist es möglich, dass die Kiste nicht mehr anspringt. Du musst wissen, welchen Trojaner Du an Board hast und am besten unter http://www.symantec.com/search/ danach suchen. Dort steht zu fast jedem Trojaner/Virus auch erklärt, welche Einträge dieser in der Registry erzeugt. So bist Du sicher, dass Du nichts falsches löschst. Cheers und viel erfolg, PunK' Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
-=Punkbuster=- 166 Melden Teilen Geschrieben 16. März 2005 Also ich habe "svchost.exe" 5 x drinne. Das ist doch ein Systemprogramm und somit normal, denke ich mal. Öhm, ja, war noch früh heute morgen. Es muss heißen, ...was "nicht" ungewöhnlich ist. Bitte versuch mal herauszufinden, ob diese... usw. Es natürlich nicht ungewöhnlich, aber wenn diese datei nicht im System32 liegt, ist es mit großer Sicherheit Malware oder ein Trojaner. Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
K-Jii 94 Melden Teilen Geschrieben 16. März 2005 Hi folks, es laufen zwei "svchost.exe", was sehr ungewöhnlich ist. Bitte versuche mal herauszufinden, ob diese Dateien im Verzeichnis: C:\Windows\System32 liegen. Liegt ein davon nicht darin, könnte es sich um folgende Trojaner handeln: W32.Welchia.Worm W32.Assarm@mm W32/Jeefo Greets, PunK' bei mir läuft svchost.exe 5mal... aber das der dienst mehrmals vertreten is ,soll wohl normal sein... Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Ceanic 0 Melden Teilen Geschrieben 16. März 2005 bei mir sinds auch 5 und ich kenne viele die haben da auch 5 stück Haben wir alle Trojaner drauf? Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Necro 0 Melden Teilen Geschrieben 16. März 2005 bei mir 4mal 2mal system einmal netzwerk und einmal lokaler dienst Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Gast Erik Melden Teilen Geschrieben 16. März 2005 So hab das Programm jetzt mal laufen gelassen, und das kam raus, vielleicht wird hiermit ja jemand schlau: Logfile of HijackThis v1.99.1 Scan saved at 14:17:07, on 16.03.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\QuickTime\qttask.exe C:\Programme\DIGStream\digstream.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINNT\system32\RUNDLL32.EXE C:\WINNT\system32\ctfmon.exe C:\Programme\D-Link AirPlus\AIRPLUS.EXE C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\eMule.de\emule.exe C:\PROGRA~1\NORTON~1\NORTON~1\navw32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\12\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [urlLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [PMXInit] C:\WINNT\system32\pmxinit.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [DIGStream] C:\Programme\DIGStream\digstream.exe O4 - HKLM\..\Run: [P2P Networking] C:\WINNT\system32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - Global Startup: D-Link AirPlus Utility.lnk = C:\Programme\D-Link AirPlus\AIRPLUS.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\Dokumente und Einstellungen\12\Anwendungsdaten\MGI\PhotoSuite4\Temp\MGI00000.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} - http://mx253.sb03.com/apps/softsearch/britneyzone_ax1.exe O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab O16 - DPF: {24D1BDCE-D835-11D6-BF84-0050047EA0E7} (BlueStream_Flash Class) - http://www.rovion.com/Controls/Rovion.cab O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab O16 - DPF: {4620BC29-8B8E-4F4E-9D92-1DB6633D6793} (SurferNETWORK Plugin) - http://rd1.surfernetwork.com/surferplugin.ocx O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200401...meInstaller.exe O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
-=Punkbuster=- 166 Melden Teilen Geschrieben 16. März 2005 ich quotiere mich jetzt noch einmal selbst, um Missverständnisse zu vermeiden: usw. Es natürlich nicht ungewöhnlich, aber wenn diese datei (Anm: svchost) nicht im System32 Ordner liegt, ist es mit großer Sicherheit Malware oder ein Trojaner. Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
-=Punkbuster=- 166 Melden Teilen Geschrieben 16. März 2005 Mit dem Taskmanager diese Prozesse beenden (das ist Spyware) C:\WINNT\system32\P2P Networking\P2P Networking.exe Dann über Hijack this den entsprechenden Eintrag fixen (Scan/genannte Einträge markieren/"Fix checked" klicken), davor, dabei und danach nicht ins Netz und keinen IE öffnen. O4 - HKLM\..\Run: [P2P Networking] C:\WINNT\system32\P2P Networking\P2P Networking.exe /AUTOSTART Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...