hab einen neuen Virus
hab mir irgendwie einen virus eingefangen
er verändert die registry
antiviren und firewalls werden gesperrt und man kann nicht mehr ins internet
sobald ich kaspersky anmache steht dran zugriff verweigert, bin mal mit spybot drüber gegangen und der hat mehrere
sachen gefunden
und ich kann den namen nicht rausfinden, wenn ich taskmanager anmachen geht der nach 2-3 sekunden wieder aus, dass gleiche passiert auch sobald ich die registry öffne
kann mir irgendjemand helfen ?
er verändert die registry
antiviren und firewalls werden gesperrt und man kann nicht mehr ins internet
sobald ich kaspersky anmache steht dran zugriff verweigert, bin mal mit spybot drüber gegangen und der hat mehrere
sachen gefunden
und ich kann den namen nicht rausfinden, wenn ich taskmanager anmachen geht der nach 2-3 sekunden wieder aus, dass gleiche passiert auch sobald ich die registry öffne
kann mir irgendjemand helfen ?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 18288
Url: https://administrator.de/contentid/18288
Ausgedruckt am: 31.10.2024 um 14:10 Uhr
22 Kommentare
Neuester Kommentar
Moin,
starte den Rechner im abgesicherten Modus* und probiere dann die Cleaning-Maßnahmen.
Bei XP: Denke bitte dran, den "Wiederherstellungspunkt" zu deaktivieren!
Gruß, Rene
PS: Ich bin erstaunt, dass Kaspersky das Teil (bin mal gespannt, welcher das ist) nicht "kassiert" hat!
Halte uns bitte auf dem Laufenden!
starte den Rechner im abgesicherten Modus* und probiere dann die Cleaning-Maßnahmen.
Bei XP: Denke bitte dran, den "Wiederherstellungspunkt" zu deaktivieren!
Gruß, Rene
PS: Ich bin erstaunt, dass Kaspersky das Teil (bin mal gespannt, welcher das ist) nicht "kassiert" hat!
Halte uns bitte auf dem Laufenden!
- Irgendwie entsinne ich, dass der Abgesicherte Modus mit 256 Farben startet, Kaspersky weigert sich (glaube ich) unter 256 Farben zu arbeiten ...
wenn du mal auf http://www.hijackthis.de/ gehst, kannst du dein Logfile auswerten lassen - scheint ganz brauchbar zu sein
Und 1 Sekunde später die Antwort :
Moin,
jaja, die bösen IRC-Channels
Du hast in folgendem Schlüssel
HKLM\..\Run: [svshost] C:\WINDOWS\System32\hhwuxfdir\svshost.exe
den Trojaner: TROJ/SDBOT-HN TROJAN
Der Rest ist sauber.
Das sagt Sophos zum Entfernen:
Recovery
This section tells you how to disinfect.
Please follow the instructions for removing Trojans.
Windows NT/2000/XP/2003
In Windows NT/2000/XP/2003 you will also need to edit the following registry entry. The removal of this entry is optional in Windows 95/98/Me. Please read the warning about editing the registry.
At the taskbar, click Start|Run. Type 'Regedit' and press Return. The registry editor opens.
Before you edit the registry, you should make a backup. On the 'Registry' menu, click 'Export Registry File'. In the 'Export range' panel, click 'All', then save your registry as Backup.
Locate the HKEY_LOCAL_MACHINE entry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
svshostdriver= svshost.exe
and delete it if it exists.
Close the registry editor.
Wenn Du dann alles obige gemacht hast, dann lasse "das volle Programm" laufen:
Ad-Ware, SpyBot, AV-Scanner
Gruß, Rene
Moin,
jaja, die bösen IRC-Channels
Du hast in folgendem Schlüssel
HKLM\..\Run: [svshost] C:\WINDOWS\System32\hhwuxfdir\svshost.exe
den Trojaner: TROJ/SDBOT-HN TROJAN
Der Rest ist sauber.
Das sagt Sophos zum Entfernen:
Recovery
This section tells you how to disinfect.
Please follow the instructions for removing Trojans.
Windows NT/2000/XP/2003
In Windows NT/2000/XP/2003 you will also need to edit the following registry entry. The removal of this entry is optional in Windows 95/98/Me. Please read the warning about editing the registry.
At the taskbar, click Start|Run. Type 'Regedit' and press Return. The registry editor opens.
Before you edit the registry, you should make a backup. On the 'Registry' menu, click 'Export Registry File'. In the 'Export range' panel, click 'All', then save your registry as Backup.
Locate the HKEY_LOCAL_MACHINE entry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
svshostdriver= svshost.exe
and delete it if it exists.
Close the registry editor.
Wenn Du dann alles obige gemacht hast, dann lasse "das volle Programm" laufen:
Ad-Ware, SpyBot, AV-Scanner
Gruß, Rene
... und man möge es mir verzeihen, aber es bestätigt mich leider erneut:
Symantec ist sein Geld absolut nicht mehr wert!
Dieses Stück "Pseudo"-Sicherheitssoftware macht das System langsam, verankert sich sooo dermaßen tief in das BS, dass eine sauberer De-Install = Formatieren bedeutet. Als Belohnung dafür bekommt man eine der schlechtesten Erkennungsraten bei Trojanern.
Sorry, aber immer wieder (ob nun bei Kunden oder im einschlägigen Internetforen) begegne ich Anwendern, die mit aktiviertem Symantec-Produkten völlig verseucht sind ...
Sorry, das ist meine Meinung.
Gruß, Rene
Symantec ist sein Geld absolut nicht mehr wert!
Dieses Stück "Pseudo"-Sicherheitssoftware macht das System langsam, verankert sich sooo dermaßen tief in das BS, dass eine sauberer De-Install = Formatieren bedeutet. Als Belohnung dafür bekommt man eine der schlechtesten Erkennungsraten bei Trojanern.
Sorry, aber immer wieder (ob nun bei Kunden oder im einschlägigen Internetforen) begegne ich Anwendern, die mit aktiviertem Symantec-Produkten völlig verseucht sind ...
Sorry, das ist meine Meinung.
Gruß, Rene
zum Bereinigen kannst Du alternativ auch die kostenlose Damage Cleanup Engine von TREND MICRO verwenden.
Download unter:
http://de.trendmicro-europe.com/enterprise/support/tsc.php
Gruß Christian
Download unter:
http://de.trendmicro-europe.com/enterprise/support/tsc.php
Gruß Christian
@tigermore
Nur zur Ergänzung der vorherigen Postings:
Es gibt reichlich Varianten von diesem Baukastentrojaner.
Sophos beispielsweise spuckt bei kurzer Nachfrage 170 Varianten aus, die eine svshost.exe in den AutoStart-Bereich der Registry schreiben.
Muss also nicht der Spybot-HN sein ..der ist vom April 2004 - das ist eher unwahrscheinlich.
Mich wundert wirklich nur, dass es eine Firewall gibt, die diesem Billigzeugs nicht gewachsen ist. Kannst Du bitte, wenn der aktuelle Stress nachlässt und Du diesen Quatsch entsorgt hast, bitte nochmal posten, was (und welche Versionen) an Firewall/AV-Tools Du im Einsatz hast?
Denn wenn das "nur" ein Trojaner/Networm/IRC-Backdoor aus diesem Toolkit ist und dennoch nicht abgefangen wird, muss ich Rene wirklich zustimmen - dann taugt Symantec nicht für 5 Cent.
Danke
Biber
Nur zur Ergänzung der vorherigen Postings:
Es gibt reichlich Varianten von diesem Baukastentrojaner.
Sophos beispielsweise spuckt bei kurzer Nachfrage 170 Varianten aus, die eine svshost.exe in den AutoStart-Bereich der Registry schreiben.
Muss also nicht der Spybot-HN sein ..der ist vom April 2004 - das ist eher unwahrscheinlich.
Mich wundert wirklich nur, dass es eine Firewall gibt, die diesem Billigzeugs nicht gewachsen ist. Kannst Du bitte, wenn der aktuelle Stress nachlässt und Du diesen Quatsch entsorgt hast, bitte nochmal posten, was (und welche Versionen) an Firewall/AV-Tools Du im Einsatz hast?
Denn wenn das "nur" ein Trojaner/Networm/IRC-Backdoor aus diesem Toolkit ist und dennoch nicht abgefangen wird, muss ich Rene wirklich zustimmen - dann taugt Symantec nicht für 5 Cent.
Danke
Biber
Moin,
@Biber
Er hat die <tt>Norton Internet Security</tt> im Einsatz (siehe die 8.000.000 Einträge im HJT-Log...)
HJT hat auch diese Trojaner-Variante erkannt, daher schrieb ich auch die Anleitung für diesen Typus.
@tigermore
Was mich gerade mehr als wundert: Wieso läuft bei Dir Kaspersky, wenn die NIS noch aktiv ist?!
Du solltest NIEMALS 2 Virenwächter (Monitore) parallel installiert haben ? das gibt immer Stress!
U.A. kann sich das so auswirken, dass Viren/Trojaner nicht mehr erkannt werden ! ....
<font color=red>Bitte ALLE folgenden Schritte im abgesicherten Modus und in der exakten Reihenfolge ausführen:</font>
1.) Den Wiederherstellungsfunktion von XP deaktivieren
2.) Erneut den entsprechenden Registry-Key löschen
3.) Alle Einträge in der REG nach dem String "svshost.exe" durchsuchen und löschen (keine Sorge, die Original Windows-Datei heißt svchost")
4. Alle Einträge in der REG nach dem String "hhwuxfdir" durchsuchen und löschen
(Zu 3 und 4: Mit "löschen" meine ich den kompletten Schlüssel!)
5. Die Datei C:\WINDOWS\System32\hhwuxfdir\svshost.exe LÖSCHEN. Kopiere nun aber (nur um ganz sicher zu gehen) die notepad.exe unter dessen Namen (svshost.exe) in den System32-Ordner und belege sie mit Schreibschutz!
6. Versuch, ins Internet zu gehen (wenn Du das jetzt liest, dann bist Du zweifelsfrei online
7. Lösche (Zippen und löschen geht auch) nun bitte die Datei "\\Windows\system32\drivers\etc\HOST"
8. Ich habe Dir Bitdefender-Free und die Ewido-Security-Suite (beide laufen ohne Probleme neben aktiven Virenscannern!) auf meinen Server geschmissen, falls der Trojaner evtl. bekannte URL´s von AV-Herstellern abfängt. Außerdem vermute ich, dass er die HOST (die ja nun weg sein sollte) manipuliert hat. ==>Folgende Dateien downloaden:
[...]
Die vorgenannten Anwendungen bitte installieren und laufen lassen.
Melde Dich bitte unbedingt, wenn Du die Dateien gezogen hast, ich lösche Sie dann wieder aus Traffic-Gründen.
Lass von Dir hören!
Gruß, Rene
@Biber
Er hat die <tt>Norton Internet Security</tt> im Einsatz (siehe die 8.000.000 Einträge im HJT-Log...)
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll)
HJT hat auch diese Trojaner-Variante erkannt, daher schrieb ich auch die Anleitung für diesen Typus.
@tigermore
Was mich gerade mehr als wundert: Wieso läuft bei Dir Kaspersky, wenn die NIS noch aktiv ist?!
Du solltest NIEMALS 2 Virenwächter (Monitore) parallel installiert haben ? das gibt immer Stress!
U.A. kann sich das so auswirken, dass Viren/Trojaner nicht mehr erkannt werden ! ....
<font color=red>Bitte ALLE folgenden Schritte im abgesicherten Modus und in der exakten Reihenfolge ausführen:</font>
1.) Den Wiederherstellungsfunktion von XP deaktivieren
2.) Erneut den entsprechenden Registry-Key löschen
3.) Alle Einträge in der REG nach dem String "svshost.exe" durchsuchen und löschen (keine Sorge, die Original Windows-Datei heißt svchost")
4. Alle Einträge in der REG nach dem String "hhwuxfdir" durchsuchen und löschen
(Zu 3 und 4: Mit "löschen" meine ich den kompletten Schlüssel!)
5. Die Datei C:\WINDOWS\System32\hhwuxfdir\svshost.exe LÖSCHEN. Kopiere nun aber (nur um ganz sicher zu gehen) die notepad.exe unter dessen Namen (svshost.exe) in den System32-Ordner und belege sie mit Schreibschutz!
6. Versuch, ins Internet zu gehen (wenn Du das jetzt liest, dann bist Du zweifelsfrei online
7. Lösche (Zippen und löschen geht auch) nun bitte die Datei "\\Windows\system32\drivers\etc\HOST"
8. Ich habe Dir Bitdefender-Free und die Ewido-Security-Suite (beide laufen ohne Probleme neben aktiven Virenscannern!) auf meinen Server geschmissen, falls der Trojaner evtl. bekannte URL´s von AV-Herstellern abfängt. Außerdem vermute ich, dass er die HOST (die ja nun weg sein sollte) manipuliert hat. ==>Folgende Dateien downloaden:
[...]
Die vorgenannten Anwendungen bitte installieren und laufen lassen.
Melde Dich bitte unbedingt, wenn Du die Dateien gezogen hast, ich lösche Sie dann wieder aus Traffic-Gründen.
Lass von Dir hören!
Gruß, Rene
... und noch einen ernstgemeinten Anhang:
Besteht die Möglichkeit, ohne großen Aufwand das System komplett neu aufzusetzen?
Falls ja, oder falls Du eh regelmässige Backups hast (Vorsicht!! Hier könnte der Trojaner schon bei sein!), würde ich Dir diesen Weg nahe legen:
Du hättest die Sicherheit, dass der Übeltäter wirklich verschwunden ist (obwohl die vorbeschriebenen Wege auch zum Erfolg führen).
Ferner wäre der Symantec-M**l weg, den bekommst Du so nämlich nicht mehr so einfach aus dem System.
Ich empfehle Dir dann dringend den Einsatz von Kaspersky oder Bitdefender Personal (Pro).
Als Desktopfirewall taugen die "Sygate Personal Firewall-Free" und die "Outpost Personal" (Free) zumindest soweit, um solch bekannte Plagegeister abzuhalten (solange sie bekannte/nicht gefixte Ports benutzen).
Die Erkennungsraten von Kaspersky und Bitdefender sind seit Jahren ungeschlagen.
Im Übrigen vereint das Produkt G-DATA Antivirus 2005 beide Engines unter einem Dach ? allerdings klagen viele Anwender, dass G-Data sehr Ressourcenhungrig ist und das System verlangsamen soll.
Das "A&O" gegen Plagegeister ist aber nachwievor, nicht auf alles draufzuklicken, MS-Updates regelmässig zu installieren, Outlook (falls verwendet) in die eingeschränkte Sicherheitszone zu setzen und ebenfalls bei OL die "Autovorschau" rauszunehmen (!). Unbekannte E-Mails gehören UNGELESEN gelöscht.
TIPP: Wenn man in Outlook und auch Outlook-Express beim Löschen (ENTF.-Taste) gleichzeitig die Großstelltaste (Shift) drückt, wird sofort gelöscht, nicht erst in den Papierkorb verschoben.
Ferner empfehle ich immer (insb. bei IE) Java-Applets und ActiveX nur dann zu aktivieren, wenn man es wirklich benötigt und die Quelle vertrauenswürdig ist!
Schreibe doch mal bitte, wie Du in´s Internet gehst (Router, FritzCard, Modem?) und welche CPU/RAM Dein Rechner hat.
Gruß, Rene
PS: Ich schreibe hier mit Absicht (z.B. als Kaufkriterium) keine Produktpreise, denn Dein jetziger Aufwand kostet viiieeeel mehr, als der Kaufpreis eines guten AV-Schutzes!
Besteht die Möglichkeit, ohne großen Aufwand das System komplett neu aufzusetzen?
Falls ja, oder falls Du eh regelmässige Backups hast (Vorsicht!! Hier könnte der Trojaner schon bei sein!), würde ich Dir diesen Weg nahe legen:
Du hättest die Sicherheit, dass der Übeltäter wirklich verschwunden ist (obwohl die vorbeschriebenen Wege auch zum Erfolg führen).
Ferner wäre der Symantec-M**l weg, den bekommst Du so nämlich nicht mehr so einfach aus dem System.
Ich empfehle Dir dann dringend den Einsatz von Kaspersky oder Bitdefender Personal (Pro).
Als Desktopfirewall taugen die "Sygate Personal Firewall-Free" und die "Outpost Personal" (Free) zumindest soweit, um solch bekannte Plagegeister abzuhalten (solange sie bekannte/nicht gefixte Ports benutzen).
Die Erkennungsraten von Kaspersky und Bitdefender sind seit Jahren ungeschlagen.
Im Übrigen vereint das Produkt G-DATA Antivirus 2005 beide Engines unter einem Dach ? allerdings klagen viele Anwender, dass G-Data sehr Ressourcenhungrig ist und das System verlangsamen soll.
Das "A&O" gegen Plagegeister ist aber nachwievor, nicht auf alles draufzuklicken, MS-Updates regelmässig zu installieren, Outlook (falls verwendet) in die eingeschränkte Sicherheitszone zu setzen und ebenfalls bei OL die "Autovorschau" rauszunehmen (!). Unbekannte E-Mails gehören UNGELESEN gelöscht.
TIPP: Wenn man in Outlook und auch Outlook-Express beim Löschen (ENTF.-Taste) gleichzeitig die Großstelltaste (Shift) drückt, wird sofort gelöscht, nicht erst in den Papierkorb verschoben.
Ferner empfehle ich immer (insb. bei IE) Java-Applets und ActiveX nur dann zu aktivieren, wenn man es wirklich benötigt und die Quelle vertrauenswürdig ist!
Schreibe doch mal bitte, wie Du in´s Internet gehst (Router, FritzCard, Modem?) und welche CPU/RAM Dein Rechner hat.
Gruß, Rene
PS: Ich schreibe hier mit Absicht (z.B. als Kaufkriterium) keine Produktpreise, denn Dein jetziger Aufwand kostet viiieeeel mehr, als der Kaufpreis eines guten AV-Schutzes!
Ach, die ziert sich nur bisschen...
Im abgesicherten Modus starten.. nur auf CMD-Ebene gehen und die Datei ganz billig mit "del " löschen.
Hast Du denn noch irgendeine "saubere" Boot-Möglichkeit (CD; Disk)?
Du solltest einmal mit unverseuchtem System durchstarten können, denn Deine letzte gesicherte Konfiguration war offensichtlich auch nicht so richtig gesund.
Im abgesicherten Modus starten.. nur auf CMD-Ebene gehen und die Datei ganz billig mit "del " löschen.
Hast Du denn noch irgendeine "saubere" Boot-Möglichkeit (CD; Disk)?
Du solltest einmal mit unverseuchtem System durchstarten können, denn Deine letzte gesicherte Konfiguration war offensichtlich auch nicht so richtig gesund.
... und solange das Notepad beim Hochfahren gestartet wird, hast Du noch immer irgendwo den Wurm sitzen (der so doof und billig ist, dass er nicht mal merkt, dass man ihm das Notepad unterschiebt ).
Ansonsten kann ich mich nur biber seinem Rat anschließen (Bootdisk/-CD).
Aber, wie auch schon "angedroht": <tt>Format C:\</tt> hilft immer, auch wenn´s die Holzhammer-Methode ist... ? ob der Aufwand groß ist, weiß ich nicht, Du hast meine restlichen Fragen ja noch nicht beantwortet
Gruß, Rene
PS: Dateien auf meinem Server habe ich nun gelöscht.
Ansonsten kann ich mich nur biber seinem Rat anschließen (Bootdisk/-CD).
Aber, wie auch schon "angedroht": <tt>Format C:\</tt> hilft immer, auch wenn´s die Holzhammer-Methode ist... ? ob der Aufwand groß ist, weiß ich nicht, Du hast meine restlichen Fragen ja noch nicht beantwortet
Gruß, Rene
PS: Dateien auf meinem Server habe ich nun gelöscht.
danke für die programme , aber da
ich sie nicht updaten kann, kann ich sie
noch nicht wirklich testen
ich sie nicht updaten kann, kann ich sie
noch nicht wirklich testen
Ich lege Dir gleich mal die Updatesignaturen auf den Server ? Link folgt ...
Gruß, Rene
oder kommt nur format c in frage ?
Ich denk so langsam, das ist der schnellste Weg ... ? nachdem wir es nun seit 2 Tagen probieren ...
Gruß, Rene
sucht nach einer Datei die sich "MyAlbum2007" nennt, nicht öffnen !!!!
Dort ist ein neuer MSN Virus drauf, der sich selbst verteilt und auch wieder
zurück kommt!
zur Zeit finden zwar einige Antivirenprogramme diesen, er kann aber nicht entfernt werden!
Da hilft nur eins "Neuinstallation des Betriebssystems"
http://www.trojaner-board.de/40526-msn-virus.html hier ist link wo ich meine infos gefunden habe
Dort ist ein neuer MSN Virus drauf, der sich selbst verteilt und auch wieder
zurück kommt!
zur Zeit finden zwar einige Antivirenprogramme diesen, er kann aber nicht entfernt werden!
Da hilft nur eins "Neuinstallation des Betriebssystems"
http://www.trojaner-board.de/40526-msn-virus.html hier ist link wo ich meine infos gefunden habe