Hallo, nachdem ich durch einen Unglücklichen Zufall den Virus "uwe.exe" auf meinem pc hatte und ihn danach (denke ich) entfernt habe, finde ich nun eine svchost.exe mit dem taskmanager, sie scheint beständg zu laufen ! ich bin den anleitungen in einem anderen Forum gefolgt und habe mittels cmd und tasklist/svc eine erweiterte taskliste bekommen, dort stehen mehrer svchost.exe und ich bräuchte hilfe um herausufinden ob eine davon ein virus o.ä. ist !
Ergebnis von CMD :

Code: Alles auswählenAufklappen

ATTFilter

Abbildname                     PID Dienste
========================= ======== ============================================
System Idle Process              0 Nicht zutreffend
System                           4 Nicht zutreffend
smss.exe                       372 Nicht zutreffend
csrss.exe                      476 Nicht zutreffend
wininit.exe                    536 Nicht zutreffend
csrss.exe                      560 Nicht zutreffend
winlogon.exe                   612 Nicht zutreffend
services.exe                   640 Nicht zutreffend
lsass.exe                      664 EFS, SamSs
lsm.exe                        676 Nicht zutreffend
svchost.exe                    768 DcomLaunch, PlugPlay, Power
nvvsvc.exe                     836 nvsvc
svchost.exe                    876 RpcEptMapper, RpcSs
svchost.exe                    972 AudioSrv, Dhcp, eventlog, lmhosts, wscsvc
svchost.exe                   1004 AudioEndpointBuilder, CscService, hidserv,
                                   Netman, PcaSvc, TrkWks, UxSms, wudfsvc
svchost.exe                    128 Appinfo, BITS, Browser, gpsvc, IKEEXT,
                                   iphlpsvc, LanmanServer, MMCSS, ProfSvc,
                                   Schedule, SENS, ShellHWDetection, Themes,
                                   UxTuneUp, Winmgmt, wuauserv
audiodg.exe                    468 Nicht zutreffend
svchost.exe                    860 EventSystem, netprofm, nsi, WdiServiceHost
svchost.exe                   1128 CryptSvc, Dnscache, LanmanWorkstation,
                                   NlaSvc
spoolsv.exe                   1252 Spooler
svchost.exe                   1288 BFE, DPS, MpsSvc
nvvsvc.exe                    1344 Nicht zutreffend
svchost.exe                   1452 Akamai
avp.exe                       1480 AVP
nSvcAppFlt.exe                1572 ForceWare Intelligent Application Manager (I
                                   AM)
Veoh_GirafficWatchdog.exe     1628 Giraffic
nvSCPAPISvr.exe               1772 Stereo Service
svchost.exe                   1804 stisvc
svchost.exe                   1824 SysMain
TuneUpUtilitiesService64.     1968 TuneUp.UtilitiesSvc
WLIDSVC.EXE                   1996 wlidsvc
nSvcIp.exe                    1384 nSvcIp
WLIDSVCM.EXE                  2068 Nicht zutreffend
Veoh_Giraffic.exe             2172 Nicht zutreffend
taskhost.exe                  2376 Nicht zutreffend
TuneUpUtilitiesApp64.exe      2436 Nicht zutreffend
dwm.exe                       2492 Nicht zutreffend
explorer.exe                  2600 Nicht zutreffend
sidebar.exe                   2712 Nicht zutreffend
veohwebplayer.exe             2720 Nicht zutreffend
ICQ.exe                       2772 Nicht zutreffend
netsession_win.exe            2784 Nicht zutreffend
vidalia.exe                   2820 Nicht zutreffend
DTLite.exe                    2828 Nicht zutreffend
Skype.exe                     2836 Nicht zutreffend
netsession_win.exe            2136 Nicht zutreffend
MouClient_FD2_1001RL.exe      2100 Nicht zutreffend
avp.exe                       2128 Nicht zutreffend
polipo.exe                    2884 Nicht zutreffend
conhost.exe                   2848 Nicht zutreffend
svchost.exe                   3820 FontCache, SSDPSRV, upnphost
SearchIndexer.exe             4060 WSearch
svchost.exe                   4456 PolicyAgent
javaw.exe                     4780 Nicht zutreffend
svchost.exe                   5248 WinDefend
wmpnetwk.exe                  4196 WMPNetworkSvc
filezilla.exe                 3252 Nicht zutreffend
firefox.exe                   3660 Nicht zutreffend
WinRAR.exe                    2508 Nicht zutreffend
WinRAR.exe                    3420 Nicht zutreffend
plugin-container.exe          2780 Nicht zutreffend
plugin-container.exe          4572 Nicht zutreffend
TUAutoReactivator64.exe       3996 Nicht zutreffend
armsvc.exe                    2656 AdobeARMservice
AcroRd32.exe                  5972 Nicht zutreffend
AcroRd32.exe                  4648 Nicht zutreffend
Integrator.exe                2592 Nicht zutreffend
AcroRd32.exe                  4024 Nicht zutreffend
AcroRd32.exe                  3948 Nicht zutreffend
cmd.exe                       5800 Nicht zutreffend
conhost.exe                   5656 Nicht zutreffend
WmiPrvSE.exe                  3456 Nicht zutreffend
tasklist.exe                  5772 Nicht zutreffend
WmiPrvSE.exe                   204 Nicht zutreffend
         

need help lg Mega !

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

So habe das Programm installiert, glaube nun immer stärker einen Virus zu haben, es öffnet sich ständig der Link hxxp://p4.g3bo6p4uy5rfe.5sjp63r2rputwxuw.if.v4.ipv6-exp.l.google.com/intl/en/ipv6/exp/iframe.html und ich habe keine Ahnung was das für ein Link ist ... desweiteren ist gestern abend windows ohne jeden Grund abgestürzt und eben hatte es wieder seltsame macken .... was kann ich tun ? ich bekomm hier grade leichte panik, weil ich einen sehr teuren PC habe und angst habe meine Daten zu verlieren ... wie komme ich an den Lofg von Malware bytes ? ...

So nach durchlauf von Kaspersky,Malwarebit und Eset haben die Teile doch allen ernstes 3 verschiedene gefunden x_x Kaspersky findet Packed.Win32.InstallCore.a, Eset hat Win32/Toolbar.Zugo Application gefunden und Malware bit hat auch was gefunden, zeigt mir aber noch nicht an was o.o

Lass bitte diese sinnfreien Vollzitate sein! //cosinus

Du solltest alle Logs posten, hast du nicht getan, also kann man dir nicht helfen

Ok, hier der Eset Log: ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=2a01214456715f419b07bb97f66c6926
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-19 05:36:55
# local_time=2012-04-19 07:36:55 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1280 16777215 100 0 13752337 13752337 0 0
# compatibility_mode=5893 16776573 100 94 491895 86468699 0 0
# compatibility_mode=8192 67108863 100 0 122 122 0 0
# scanned=154058
# found=1
# cleaned=0
# scan_time=18180
C:\Program Files (x86)\Veoh Networks\VeohWebPlayer\qlps-qlipso-sntb.exe Win32/Toolbar.Zugo application (unable to clean) 00000000000000000000000000000000 I


Wo finde ich den den Malware bytes log ?

p.s.:
malware bytes log :
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.20.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Jonas :: JONAS-PC [Administrator]

Schutz: Aktiviert

21.04.2012 07:17:03
mbam-log-2012-04-21 (07-17-03).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 664213
Laufzeit: 2 Stunde(n), 43 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Jonas\Documents\ICQ\622403525\ReceivedFiles\379496947 Kikki.x3\stress.exe (Joke.Stressreducer) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Sind das alle Logs? Was ist mit dem Fund von Kaspersky?

Kaspersky hatte den Trojaner Packed.Win32.InstallCore.a gefunden, denn hab ich gelöscht (laut kasperksy) ... weiß leider nicht wo ich den kaspersky log finde ...

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Der Log von Malware bytes ist angehängt, ich habe alle gefundenen Viren entfernt und trotzdem öffnet sich diese seltsame seite immerwieder o.o

Das sehe ich schon, dass du ein Log von MBAM gepostet hast, die Frage war aber ob du noch mehr davon und eben nur eins gepostet hast

reicht der eine nicht ? xD habe es halt erst nach deinem link installiert und habe noch keine anderen logs ...

Ist es zuviel verlangt einfach nur meine Frage zu beantworten?
Es geht nicht darum ob ein Log reicht, sondern darum ob du vllt in der Vergangenheit damit schon gescannt hast! Falls ja interessieen mich nämlich vorherige Funde damit ich weiß mit welcher Malware es wir hier zu tun haben!

So viel dazu

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Nein, alles läuft und das Startmenü ist vollständig ... das einzige was mir immerwieder auffällt ist dieser link ... danke für deine hilfe bisher übrigens xD

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread