22
hab einen neuen Virus
hab mir irgendwie einen virus eingefangen 
er verändert die registry
antiviren und firewalls werden gesperrt und man kann nicht mehr ins internet
sobald ich kaspersky anmache steht dran zugriff verweigert, bin mal mit spybot drüber gegangen und der hat mehrere
sachen gefunden
und ich kann den namen nicht rausfinden, wenn ich taskmanager anmachen geht der nach 2-3 sekunden wieder aus, dass gleiche passiert auch sobald ich die registry öffne
kann mir irgendjemand helfen ?
er verändert die registry
antiviren und firewalls werden gesperrt und man kann nicht mehr ins internet
sobald ich kaspersky anmache steht dran zugriff verweigert, bin mal mit spybot drüber gegangen und der hat mehrere
sachen gefunden
und ich kann den namen nicht rausfinden, wenn ich taskmanager anmachen geht der nach 2-3 sekunden wieder aus, dass gleiche passiert auch sobald ich die registry öffne
kann mir irgendjemand helfen ?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 18288
Url: https://administrator.de/contentid/18288
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
22 Kommentare
Neuester Kommentar
Moin,
starte den Rechner im abgesicherten Modus* und probiere dann die Cleaning-Maßnahmen.
Bei XP: Denke bitte dran, den "Wiederherstellungspunkt" zu deaktivieren!
Gruß, Rene
PS: Ich bin erstaunt, dass Kaspersky das Teil (bin mal gespannt, welcher das ist) nicht "kassiert" hat!
Halte uns bitte auf dem Laufenden!
starte den Rechner im abgesicherten Modus* und probiere dann die Cleaning-Maßnahmen.
Bei XP: Denke bitte dran, den "Wiederherstellungspunkt" zu deaktivieren!
Gruß, Rene
PS: Ich bin erstaunt, dass Kaspersky das Teil (bin mal gespannt, welcher das ist) nicht "kassiert" hat!
Halte uns bitte auf dem Laufenden!
- Irgendwie entsinne ich, dass der Abgesicherte Modus mit 256 Farben startet, Kaspersky weigert sich (glaube ich) unter 256 Farben zu arbeiten ...
naja hab mal im abgesicherten modus hijackthis durchlaufen lassen (im normalen modus geht auch hijackthis aus !)
und stinger hat auch nix endeckt
und ich weiss nicht was ich sonst machen kann
hier mein logfile,vielleicht kann mir jemand helfen =/
Logfile of HijackThis v1.99.1
Scan saved at 19:25:47, on 23.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Tigermore\Desktop\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [svshost] C:\WINDOWS\System32\hhwuxfdir\svshost.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.ca ...
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
und stinger hat auch nix endeckt
und ich weiss nicht was ich sonst machen kann
hier mein logfile,vielleicht kann mir jemand helfen =/
Logfile of HijackThis v1.99.1
Scan saved at 19:25:47, on 23.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Tigermore\Desktop\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [svshost] C:\WINDOWS\System32\hhwuxfdir\svshost.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.ca ...
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
wenn du mal auf http://www.hijackthis.de/ gehst, kannst du dein Logfile auswerten lassen - scheint ganz brauchbar zu sein 
lol....
sobald ich auf die seite gehe, schließt sich der explorer
sobald ich auf die seite gehe, schließt sich der explorer
Und 1 Sekunde später die Antwort 
:
Moin,
jaja, die bösen IRC-Channels
Du hast in folgendem Schlüssel
HKLM\..\Run: [svshost] C:\WINDOWS\System32\hhwuxfdir\svshost.exe
den Trojaner: TROJ/SDBOT-HN TROJAN
Der Rest ist sauber.
Das sagt Sophos zum Entfernen:
Recovery
This section tells you how to disinfect.
Please follow the instructions for removing Trojans.
Windows NT/2000/XP/2003
In Windows NT/2000/XP/2003 you will also need to edit the following registry entry. The removal of this entry is optional in Windows 95/98/Me. Please read the warning about editing the registry.
At the taskbar, click Start|Run. Type 'Regedit' and press Return. The registry editor opens.
Before you edit the registry, you should make a backup. On the 'Registry' menu, click 'Export Registry File'. In the 'Export range' panel, click 'All', then save your registry as Backup.
Locate the HKEY_LOCAL_MACHINE entry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
svshostdriver= svshost.exe
and delete it if it exists.
Close the registry editor.
Wenn Du dann alles obige gemacht hast, dann lasse "das volle Programm" laufen:
Ad-Ware, SpyBot, AV-Scanner
Gruß, Rene
:Moin,
jaja, die bösen IRC-Channels
Du hast in folgendem Schlüssel
HKLM\..\Run: [svshost] C:\WINDOWS\System32\hhwuxfdir\svshost.exe
den Trojaner: TROJ/SDBOT-HN TROJAN
Der Rest ist sauber.
Das sagt Sophos zum Entfernen:
Recovery
This section tells you how to disinfect.
Please follow the instructions for removing Trojans.
Windows NT/2000/XP/2003
In Windows NT/2000/XP/2003 you will also need to edit the following registry entry. The removal of this entry is optional in Windows 95/98/Me. Please read the warning about editing the registry.
At the taskbar, click Start|Run. Type 'Regedit' and press Return. The registry editor opens.
Before you edit the registry, you should make a backup. On the 'Registry' menu, click 'Export Registry File'. In the 'Export range' panel, click 'All', then save your registry as Backup.
Locate the HKEY_LOCAL_MACHINE entry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
svshostdriver= svshost.exe
and delete it if it exists.
Close the registry editor.
Wenn Du dann alles obige gemacht hast, dann lasse "das volle Programm" laufen:
Ad-Ware, SpyBot, AV-Scanner
Gruß, Rene
... und man möge es mir verzeihen, aber es bestätigt mich leider erneut:
Symantec ist sein Geld absolut nicht mehr wert!
Dieses Stück "Pseudo"-Sicherheitssoftware macht das System langsam, verankert sich sooo dermaßen tief in das BS, dass eine sauberer De-Install = Formatieren bedeutet. Als Belohnung dafür bekommt man eine der schlechtesten Erkennungsraten bei Trojanern.
Sorry, aber immer wieder (ob nun bei Kunden oder im einschlägigen Internetforen) begegne ich Anwendern, die mit aktiviertem Symantec-Produkten völlig verseucht sind ...
Sorry, das ist meine Meinung.
Gruß, Rene
Symantec ist sein Geld absolut nicht mehr wert!
Dieses Stück "Pseudo"-Sicherheitssoftware macht das System langsam, verankert sich sooo dermaßen tief in das BS, dass eine sauberer De-Install = Formatieren bedeutet. Als Belohnung dafür bekommt man eine der schlechtesten Erkennungsraten bei Trojanern.
Sorry, aber immer wieder (ob nun bei Kunden oder im einschlägigen Internetforen) begegne ich Anwendern, die mit aktiviertem Symantec-Produkten völlig verseucht sind ...
Sorry, das ist meine Meinung.
Gruß, Rene
###e
ich kann den eintrag in der registry zwar löschen, aber der kommt wieder sobald ich im normalen modus starte
adaware, spybot und kaspersky hab ich drüberlaufen lassen, aber die haben nix gefunden
was soll ich jetzt machen ? =(
edit: gibt es ne möglichkeit ihn im abgesicherten modus zu löschen ? also ich meine im system32 ordner, die datei muss sich ja irgendwo befinden
ich kann den eintrag in der registry zwar löschen, aber der kommt wieder sobald ich im normalen modus starte
adaware, spybot und kaspersky hab ich drüberlaufen lassen, aber die haben nix gefunden
was soll ich jetzt machen ? =(
edit: gibt es ne möglichkeit ihn im abgesicherten modus zu löschen ? also ich meine im system32 ordner, die datei muss sich ja irgendwo befinden
Hallo Tiger,
versuchs mit der neuen Version von Panda Software Internet Security 2006, kannst du als Test- bzw. evalversion für 30 Tage kostenlos nutzen.
Die Technologie ist neu und sehr effektiv bei der beseitigung von Viren.
Ich hatte vor kurzen ein ähnliches Problem.
Viel erfolg
versuchs mit der neuen Version von Panda Software Internet Security 2006, kannst du als Test- bzw. evalversion für 30 Tage kostenlos nutzen.
Die Technologie ist neu und sehr effektiv bei der beseitigung von Viren.
Ich hatte vor kurzen ein ähnliches Problem.
Viel erfolg
zum Bereinigen kannst Du alternativ auch die kostenlose Damage Cleanup Engine von TREND MICRO verwenden.
Download unter:
http://de.trendmicro-europe.com/enterprise/support/tsc.php
Gruß Christian
Download unter:
http://de.trendmicro-europe.com/enterprise/support/tsc.php
Gruß Christian
@tigermore
Nur zur Ergänzung der vorherigen Postings:
Es gibt reichlich Varianten von diesem Baukastentrojaner.
Sophos beispielsweise spuckt bei kurzer Nachfrage 170 Varianten aus, die eine svshost.exe in den AutoStart-Bereich der Registry schreiben.
Muss also nicht der Spybot-HN sein ..der ist vom April 2004 - das ist eher unwahrscheinlich.
Mich wundert wirklich nur, dass es eine Firewall gibt, die diesem Billigzeugs nicht gewachsen ist. Kannst Du bitte, wenn der aktuelle Stress nachlässt und Du diesen Quatsch entsorgt hast, bitte nochmal posten, was (und welche Versionen) an Firewall/AV-Tools Du im Einsatz hast?
Denn wenn das "nur" ein Trojaner/Networm/IRC-Backdoor aus diesem Toolkit ist und dennoch nicht abgefangen wird, muss ich Rene wirklich zustimmen - dann taugt Symantec nicht für 5 Cent.
Danke
Biber
Nur zur Ergänzung der vorherigen Postings:
Es gibt reichlich Varianten von diesem Baukastentrojaner.
Sophos beispielsweise spuckt bei kurzer Nachfrage 170 Varianten aus, die eine svshost.exe in den AutoStart-Bereich der Registry schreiben.
Muss also nicht der Spybot-HN sein ..der ist vom April 2004 - das ist eher unwahrscheinlich.
Mich wundert wirklich nur, dass es eine Firewall gibt, die diesem Billigzeugs nicht gewachsen ist. Kannst Du bitte, wenn der aktuelle Stress nachlässt und Du diesen Quatsch entsorgt hast, bitte nochmal posten, was (und welche Versionen) an Firewall/AV-Tools Du im Einsatz hast?
Denn wenn das "nur" ein Trojaner/Networm/IRC-Backdoor aus diesem Toolkit ist und dennoch nicht abgefangen wird, muss ich Rene wirklich zustimmen - dann taugt Symantec nicht für 5 Cent.
Danke
Biber
Moin,
@Biber
Er hat die <tt>Norton Internet Security</tt> im Einsatz (siehe die 8.000.000 Einträge im HJT-Log...)
HJT hat auch diese Trojaner-Variante erkannt, daher schrieb ich auch die Anleitung für diesen Typus.
@tigermore
Was mich gerade mehr als wundert: Wieso läuft bei Dir Kaspersky, wenn die NIS noch aktiv ist?!
Du solltest NIEMALS 2 Virenwächter (Monitore) parallel installiert haben ? das gibt immer Stress!
U.A. kann sich das so auswirken, dass Viren/Trojaner nicht mehr erkannt werden ! ....
<font color=red>Bitte ALLE folgenden Schritte im abgesicherten Modus und in der exakten Reihenfolge ausführen:</font>
1.) Den Wiederherstellungsfunktion von XP deaktivieren
2.) Erneut den entsprechenden Registry-Key löschen
3.) Alle Einträge in der REG nach dem String "svshost.exe" durchsuchen und löschen (keine Sorge, die Original Windows-Datei heißt svchost")
4. Alle Einträge in der REG nach dem String "hhwuxfdir" durchsuchen und löschen
(Zu 3 und 4: Mit "löschen" meine ich den kompletten Schlüssel!)
5. Die Datei C:\WINDOWS\System32\hhwuxfdir\svshost.exe LÖSCHEN. Kopiere nun aber (nur um ganz sicher zu gehen) die notepad.exe unter dessen Namen (svshost.exe) in den System32-Ordner und belege sie mit Schreibschutz!
6. Versuch, ins Internet zu gehen (wenn Du das jetzt liest, dann bist Du zweifelsfrei online
7. Lösche (Zippen und löschen geht auch) nun bitte die Datei "\\Windows\system32\drivers\etc\HOST"
8. Ich habe Dir Bitdefender-Free und die Ewido-Security-Suite (beide laufen ohne Probleme neben aktiven Virenscannern!) auf meinen Server geschmissen, falls der Trojaner evtl. bekannte URL´s von AV-Herstellern abfängt. Außerdem vermute ich, dass er die HOST (die ja nun weg sein sollte) manipuliert hat. ==>Folgende Dateien downloaden:
[...]
Die vorgenannten Anwendungen bitte installieren und laufen lassen.
Melde Dich bitte unbedingt, wenn Du die Dateien gezogen hast, ich lösche Sie dann wieder aus Traffic-Gründen.
Lass von Dir hören!
Gruß, Rene
@Biber
Er hat die <tt>Norton Internet Security</tt> im Einsatz (siehe die 8.000.000 Einträge im HJT-Log...)
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll)
HJT hat auch diese Trojaner-Variante erkannt, daher schrieb ich auch die Anleitung für diesen Typus.
@tigermore
Was mich gerade mehr als wundert: Wieso läuft bei Dir Kaspersky, wenn die NIS noch aktiv ist?!
Du solltest NIEMALS 2 Virenwächter (Monitore) parallel installiert haben ? das gibt immer Stress!
U.A. kann sich das so auswirken, dass Viren/Trojaner nicht mehr erkannt werden ! ....
<font color=red>Bitte ALLE folgenden Schritte im abgesicherten Modus und in der exakten Reihenfolge ausführen:</font>
1.) Den Wiederherstellungsfunktion von XP deaktivieren
2.) Erneut den entsprechenden Registry-Key löschen
3.) Alle Einträge in der REG nach dem String "svshost.exe" durchsuchen und löschen (keine Sorge, die Original Windows-Datei heißt svchost")
4. Alle Einträge in der REG nach dem String "hhwuxfdir" durchsuchen und löschen
(Zu 3 und 4: Mit "löschen" meine ich den kompletten Schlüssel!)
5. Die Datei C:\WINDOWS\System32\hhwuxfdir\svshost.exe LÖSCHEN. Kopiere nun aber (nur um ganz sicher zu gehen) die notepad.exe unter dessen Namen (svshost.exe) in den System32-Ordner und belege sie mit Schreibschutz!
6. Versuch, ins Internet zu gehen (wenn Du das jetzt liest, dann bist Du zweifelsfrei online
7. Lösche (Zippen und löschen geht auch) nun bitte die Datei "\\Windows\system32\drivers\etc\HOST"
8. Ich habe Dir Bitdefender-Free und die Ewido-Security-Suite (beide laufen ohne Probleme neben aktiven Virenscannern!) auf meinen Server geschmissen, falls der Trojaner evtl. bekannte URL´s von AV-Herstellern abfängt. Außerdem vermute ich, dass er die HOST (die ja nun weg sein sollte) manipuliert hat. ==>Folgende Dateien downloaden:
[...]
Die vorgenannten Anwendungen bitte installieren und laufen lassen.
Melde Dich bitte unbedingt, wenn Du die Dateien gezogen hast, ich lösche Sie dann wieder aus Traffic-Gründen.
Lass von Dir hören!
Gruß, Rene
... und noch einen ernstgemeinten Anhang:
Besteht die Möglichkeit, ohne großen Aufwand das System komplett neu aufzusetzen?
Falls ja, oder falls Du eh regelmässige Backups hast (Vorsicht!! Hier könnte der Trojaner schon bei sein!), würde ich Dir diesen Weg nahe legen:
Du hättest die Sicherheit, dass der Übeltäter wirklich verschwunden ist (obwohl die vorbeschriebenen Wege auch zum Erfolg führen).
Ferner wäre der Symantec-M**l weg, den bekommst Du so nämlich nicht mehr so einfach aus dem System.
Ich empfehle Dir dann dringend den Einsatz von Kaspersky oder Bitdefender Personal (Pro).
Als Desktopfirewall taugen die "Sygate Personal Firewall-Free" und die "Outpost Personal" (Free) zumindest soweit, um solch bekannte Plagegeister abzuhalten (solange sie bekannte/nicht gefixte Ports benutzen).
Die Erkennungsraten von Kaspersky und Bitdefender sind seit Jahren ungeschlagen.
Im Übrigen vereint das Produkt G-DATA Antivirus 2005 beide Engines unter einem Dach ? allerdings klagen viele Anwender, dass G-Data sehr Ressourcenhungrig ist und das System verlangsamen soll.
Das "A&O" gegen Plagegeister ist aber nachwievor, nicht auf alles draufzuklicken, MS-Updates regelmässig zu installieren, Outlook (falls verwendet) in die eingeschränkte Sicherheitszone zu setzen und ebenfalls bei OL die "Autovorschau" rauszunehmen (!). Unbekannte E-Mails gehören UNGELESEN gelöscht.
TIPP: Wenn man in Outlook und auch Outlook-Express beim Löschen (ENTF.-Taste) gleichzeitig die Großstelltaste (Shift) drückt, wird sofort gelöscht, nicht erst in den Papierkorb verschoben.
Ferner empfehle ich immer (insb. bei IE) Java-Applets und ActiveX nur dann zu aktivieren, wenn man es wirklich benötigt und die Quelle vertrauenswürdig ist!
Schreibe doch mal bitte, wie Du in´s Internet gehst (Router, FritzCard, Modem?) und welche CPU/RAM Dein Rechner hat.
Gruß, Rene
PS: Ich schreibe hier mit Absicht (z.B. als Kaufkriterium) keine Produktpreise, denn Dein jetziger Aufwand kostet viiieeeel mehr, als der Kaufpreis eines guten AV-Schutzes!
Besteht die Möglichkeit, ohne großen Aufwand das System komplett neu aufzusetzen?
Falls ja, oder falls Du eh regelmässige Backups hast (Vorsicht!! Hier könnte der Trojaner schon bei sein!), würde ich Dir diesen Weg nahe legen:
Du hättest die Sicherheit, dass der Übeltäter wirklich verschwunden ist (obwohl die vorbeschriebenen Wege auch zum Erfolg führen).
Ferner wäre der Symantec-M**l weg, den bekommst Du so nämlich nicht mehr so einfach aus dem System.
Ich empfehle Dir dann dringend den Einsatz von Kaspersky oder Bitdefender Personal (Pro).
Als Desktopfirewall taugen die "Sygate Personal Firewall-Free" und die "Outpost Personal" (Free) zumindest soweit, um solch bekannte Plagegeister abzuhalten (solange sie bekannte/nicht gefixte Ports benutzen).
Die Erkennungsraten von Kaspersky und Bitdefender sind seit Jahren ungeschlagen.
Im Übrigen vereint das Produkt G-DATA Antivirus 2005 beide Engines unter einem Dach ? allerdings klagen viele Anwender, dass G-Data sehr Ressourcenhungrig ist und das System verlangsamen soll.
Das "A&O" gegen Plagegeister ist aber nachwievor, nicht auf alles draufzuklicken, MS-Updates regelmässig zu installieren, Outlook (falls verwendet) in die eingeschränkte Sicherheitszone zu setzen und ebenfalls bei OL die "Autovorschau" rauszunehmen (!). Unbekannte E-Mails gehören UNGELESEN gelöscht.
TIPP: Wenn man in Outlook und auch Outlook-Express beim Löschen (ENTF.-Taste) gleichzeitig die Großstelltaste (Shift) drückt, wird sofort gelöscht, nicht erst in den Papierkorb verschoben.
Ferner empfehle ich immer (insb. bei IE) Java-Applets und ActiveX nur dann zu aktivieren, wenn man es wirklich benötigt und die Quelle vertrauenswürdig ist!
Schreibe doch mal bitte, wie Du in´s Internet gehst (Router, FritzCard, Modem?) und welche CPU/RAM Dein Rechner hat.
Gruß, Rene
PS: Ich schreibe hier mit Absicht (z.B. als Kaufkriterium) keine Produktpreise, denn Dein jetziger Aufwand kostet viiieeeel mehr, als der Kaufpreis eines guten AV-Schutzes!
also hab das genau gemacht was du gesagt hast, aber irgendwie klappts immernoch nicht :'(
systemwiederherstellung war schon deaktiviert
hab den key in der reg gelöscht
hab nach weiteren svshost und hhwuxfdir keys in der reg gesucht und nichts gefunden
hab die datei im ordner hhwuxfdir gelöscht und die notepad.exe in den ordner kopiert und umbenannt und schreibgeschützt
wenn ich den pc hochstarte öffnet sich jetzt der notepad als "unbennant"
systemwiederherstellung war schon deaktiviert
hab den key in der reg gelöscht
hab nach weiteren svshost und hhwuxfdir keys in der reg gesucht und nichts gefunden
hab die datei im ordner hhwuxfdir gelöscht und die notepad.exe in den ordner kopiert und umbenannt und schreibgeschützt
wenn ich den pc hochstarte öffnet sich jetzt der notepad als "unbennant"
hmmmmm
irgendwie läuft was schief =/
wenn ich den pc hochfahre läuft der svshost prozess nicht mehr, in der reg ist der key auch weg und der ordner hhwuxfdir gibts auch nicht mehr. (und es kommt nicht mehr die meldung, dass eine datei eine verbindung zu irc.xposed.com herstellen möchte)
ich komm mit dem IE ins internet
task manager, reg editor (alles was vorher sich automatisch geschlossen hat) schließt sich nicht mehr
mozilla (mit mozilla kann ich nicht online gehen, also offline selbsterstellte html seiten funktionieren; der sagt mir, dass er keine verbindung herstellen kann mit der gewünschten seite), kaspersky, firewall gehen nicht, und bei allen programmen geht der update nicht mehr (fehlermeldung: konnte keine verbindung herstellten), obwohl ich eine verbindung habe.
was soll ich jetzt machen =? hab das gefühl ich muss formatieren, da viele daten in reg verändert wurden :'''(
edit: hab eine datei gefunden
SVSHOST.EXE-1A8E373B.pf
in C:\WINDOWS\Prefetch , datei kann aber nicht gelöscht werden
irgendwie läuft was schief =/
wenn ich den pc hochfahre läuft der svshost prozess nicht mehr, in der reg ist der key auch weg und der ordner hhwuxfdir gibts auch nicht mehr. (und es kommt nicht mehr die meldung, dass eine datei eine verbindung zu irc.xposed.com herstellen möchte)
ich komm mit dem IE ins internet
task manager, reg editor (alles was vorher sich automatisch geschlossen hat) schließt sich nicht mehr
mozilla (mit mozilla kann ich nicht online gehen, also offline selbsterstellte html seiten funktionieren; der sagt mir, dass er keine verbindung herstellen kann mit der gewünschten seite), kaspersky, firewall gehen nicht, und bei allen programmen geht der update nicht mehr (fehlermeldung: konnte keine verbindung herstellten), obwohl ich eine verbindung habe.
was soll ich jetzt machen =? hab das gefühl ich muss formatieren, da viele daten in reg verändert wurden :'''(
edit: hab eine datei gefunden
SVSHOST.EXE-1A8E373B.pf
in C:\WINDOWS\Prefetch , datei kann aber nicht gelöscht werden
Ach, die ziert sich nur bisschen...
Im abgesicherten Modus starten.. nur auf CMD-Ebene gehen und die Datei ganz billig mit "del " löschen.
Hast Du denn noch irgendeine "saubere" Boot-Möglichkeit (CD; Disk)?
Du solltest einmal mit unverseuchtem System durchstarten können, denn Deine letzte gesicherte Konfiguration war offensichtlich auch nicht so richtig gesund.
Im abgesicherten Modus starten.. nur auf CMD-Ebene gehen und die Datei ganz billig mit "del " löschen.
Hast Du denn noch irgendeine "saubere" Boot-Möglichkeit (CD; Disk)?
Du solltest einmal mit unverseuchtem System durchstarten können, denn Deine letzte gesicherte Konfiguration war offensichtlich auch nicht so richtig gesund.
... und solange das Notepad beim Hochfahren gestartet wird, hast Du noch immer irgendwo den Wurm sitzen (der so doof und billig ist, dass er nicht mal merkt, dass man ihm das Notepad unterschiebt 
).
Ansonsten kann ich mich nur biber seinem Rat anschließen (Bootdisk/-CD).
Aber, wie auch schon "angedroht": <tt>Format C:\</tt> hilft immer, auch wenn´s die Holzhammer-Methode ist... ? ob der Aufwand groß ist, weiß ich nicht, Du hast meine restlichen Fragen ja noch nicht beantwortet
Gruß, Rene
PS: Dateien auf meinem Server habe ich nun gelöscht.
).Ansonsten kann ich mich nur biber seinem Rat anschließen (Bootdisk/-CD).
Aber, wie auch schon "angedroht": <tt>Format C:\</tt> hilft immer, auch wenn´s die Holzhammer-Methode ist... ? ob der Aufwand groß ist, weiß ich nicht, Du hast meine restlichen Fragen ja noch nicht beantwortet
Gruß, Rene
PS: Dateien auf meinem Server habe ich nun gelöscht.
ehm ja danke bis jetzt für die hilfe :D
die prefetch datei ist nun auch weg
aber leider hab ich keine bootcd oder disk :'(
zu deinen fragen
ich benutz ein modem 1mbit leitung (terrorcom), cpu ist pentium 4 2,53 ghz, 512 mb ddram
danke für die programme , aber da ich sie nicht updaten kann, kann ich sie noch nicht wirklich testen
gibt es wirklich keine andere methode ausser format c =?
die prefetch datei ist nun auch weg
aber leider hab ich keine bootcd oder disk :'(
zu deinen fragen
ich benutz ein modem 1mbit leitung (terrorcom), cpu ist pentium 4 2,53 ghz, 512 mb ddram
danke für die programme
, aber da ich sie nicht updaten kann, kann ich sie noch nicht wirklich testen gibt es wirklich keine andere methode ausser format c =?
danke für die programme , aber da
ich sie nicht updaten kann, kann ich sie
noch nicht wirklich testen
, aber daich sie nicht updaten kann, kann ich sie
noch nicht wirklich testen
Ich lege Dir gleich mal die Updatesignaturen auf den Server ? Link folgt ...
Gruß, Rene
hab sie mir gezogen, aber ich kann kaspersky gar nicht starten
er sagt mir ja: Fehler beim Start des Serviceteils von Kaspersky Anto-Virus Personal
und geht gar nicht an
gibt es denn eine möglichkeit, alles wieder zum laufen zu bringen =?
oder kommt nur format c in frage ?
er sagt mir ja: Fehler beim Start des Serviceteils von Kaspersky Anto-Virus Personal
und geht gar nicht an
gibt es denn eine möglichkeit, alles wieder zum laufen zu bringen =?
oder kommt nur format c in frage ?
oder kommt nur format c in frage ?
Ich denk so langsam, das ist der schnellste Weg ... ? nachdem wir es nun seit 2 Tagen probieren ...
Gruß, Rene
> oder kommt nur format c in frage ?
Ich denk so langsam, das ist der schnellste
Weg ... ? nachdem wir es nun seit 2 Tagen
probieren ...
Gruß, Rene
Ich denk so langsam, das ist der schnellste
Weg ... ? nachdem wir es nun seit 2 Tagen
probieren ...
Gruß, Rene
:'( naja das mach ich dann am wochenende
sucht nach einer Datei die sich "MyAlbum2007" nennt, nicht öffnen !!!!
Dort ist ein neuer MSN Virus drauf, der sich selbst verteilt und auch wieder
zurück kommt!
zur Zeit finden zwar einige Antivirenprogramme diesen, er kann aber nicht entfernt werden!
Da hilft nur eins "Neuinstallation des Betriebssystems"
http://www.trojaner-board.de/40526-msn-virus.html hier ist link wo ich meine infos gefunden habe
Dort ist ein neuer MSN Virus drauf, der sich selbst verteilt und auch wieder
zurück kommt!
zur Zeit finden zwar einige Antivirenprogramme diesen, er kann aber nicht entfernt werden!
Da hilft nur eins "Neuinstallation des Betriebssystems"
http://www.trojaner-board.de/40526-msn-virus.html hier ist link wo ich meine infos gefunden habe
