Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: svchost.exe

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 17.04.2013, 11:15   #1
SVchostOpfer
 
svchost.exe - Standard

svchost.exe



Werte Admins und Nutzer dieser Plattform

Mein Laptop scheint sich mit dem SVCHOST.EXE Trojaner infiziert zu haben. Mein Lapi läd gleich nach dem Internetstart (bin Internetsticknutzer) wie tolle zu dem svchostprogramm los, manchmal geht die CPU in die Knie.. sind auch mehrere gleiche und manche mit andere Endungen des svchost programms am laufen.

Ich habe bemerkt das bereits vor kurzer Zeit jemanden hier geholfen wurde. Scheinbar muss eine indivituelle Anleitung zur Beseitung gegeben werden.

Eigentlich wollte zuerst ich die empfohlene Malware bei Ponyfile herunterladen und den Check durchführen bevor ich hier etwas poste.

Da fing das erste Problem an... ich folgte den Anweisungen für den Download für das Programm, kam auch gut voran, dann wurde ich zu egnyte.com verlinkt. Dies scheint eine Datencloud zu sein.

Muss ich dort was "uploaden" oder wie gehts weiter... ?

Für einen kleinen ersten gedanklichen Anstoß dazu wäre ich dankbar. Bevor ich mit meinem eigentlichen Problem hier ankommen.

Vielen Dank schon mal im voraus

Alt 17.04.2013, 12:50   #2
aharonov
/// TB-Ausbilder
 
svchost.exe - Standard

svchost.exe



Hi,

also svchost.exe ist eine legitime Windows-Datei und es ist normal, dass mehrere Instanzen davon laufen. Es kann aber natürlich sein, dass sie auch Malware ausführt.
Mach bitte mal das:


Schritt 1

Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.
  • Starte das Tool mit Doppelklick.
  • Klicke nun auf den Disable Button.
  • Bestätige diese Sicherheitsabfrage mit Ja.
  • Wenn der Scan beendet wurde (Finished), klicke auf OK.
  • Falls Defogger zu einem Neustart auffordert, bestätige dies mit OK.
  • Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt.
  • Nur falls Probleme aufgetreten sind, poste deren Inhalt mit deiner nächsten Antwort.
Klicke den Re-enable Button nicht ohne Anweisung!



Schritt 2

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.
  • Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
  • Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
  • Schliesse bitte alle anderen Programme.
  • Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
    Vista und Win7 User mit Rechtsklick "als Administrator starten".
  • Sollte sich ein Fenster mit folgender Warnung öffnen
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    dann klicke unbedingt auf No.
  • Entferne rechts den Haken bei:
    • IAT/EAT
    • Show all
  • Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
  • Starte den Scan mit einem Klick auf Scan.
  • Mache gar nichts am Computer, während der Scan läuft!
  • Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
  • Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
  • Füge bitte den Inhalt des Logfiles hier in deine Thread ein.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Schritt 3

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.
  • Doppelklick auf die OTL.exe.
  • Unter Extra Registry, wähle bitte Use SafeList.
  • Setze den Haken bei Scan all Users.
  • Klicke nun auf Run Scan.
  • Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
  • Poste den Inhalt dieser Logfiles hier in den Thread.



Bitte poste in deiner nächsten Antwort:
  • Log von Gmer
  • Logs von OTL
__________________

__________________

Alt 18.04.2013, 12:14   #3
SVchostOpfer
 
svchost.exe - Standard

svchost.exe



Vielen Dank Leo

Hier die gewünschte Texte.

Ich möchte mich für den Nickname des zweiten Nutzers entschuldigen. Hab schon verzweifelt versucht den aus dem System zu bannen


gmer.txt:
Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 97,7 KB. Ihre Datei ist 143,2 KB groß.
(hab ich geZIPt)


OTL.Txt:
Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 97,7 KB. Ihre Datei ist 126,1 KB groß.
(hab ich geZIPt)
__________________

Alt 18.04.2013, 12:27   #4
aharonov
/// TB-Ausbilder
 
svchost.exe - Standard

svchost.exe



Hallo,

Zitat:
Hab schon verzweifelt versucht den aus dem System zu bannen
Ich versteh grad nicht so recht.. Du hast ein Benutzerkonto auf dem Rechner, welches du auch mit Adminrechten weder umbenennen noch löschen kannst..?

Die Tools bitte immer direkt auf den Desktop speichern und von dort starten.
(Die Logfiles bitte nicht anhängen (das erschwert mir das Auswerten massiv), sondern deren Inhalt direkt innerhalb von Codetags einfügen: [code]Inhalt Logfile[/code].)


Schritt 1
  • Gehe zu Start --> Systemsteuerung und öffne Programme und Funktionen.
  • Suche und deinstalliere dort der Reihe nach folgende Einträge:
    • Ask Toolbar
    • BabylonObjectInstaller
    • Babylon toolbar on IE
    • Searchqu Toolbar
    • softonic-de3 Toolbar
  • Schliesse das Fenster wieder und führe einen Neustart durch, wenn das gefordert wurde.



Schritt 2

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.
  • Schliesse alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Löschen.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.



Schritt 3

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!


Downloade dir bitte Combofix.
  • WICHTIG: Speichere Combofix auf deinen Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
  • Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.



Schritt 4

Starte bitte die OTL.exe.
  • Setze den Haken bei Scan all Users.
  • Drücke auf den Quick Scan Button.
  • Poste den Inhalt von OTL.txt hier in den Thread.



Bitte poste in deiner nächsten Antwort:
  • Log von AdwCleaner
  • Log von Combofix
  • Log von OTL
__________________
cheers,
Leo

Alt 19.04.2013, 08:53   #5
SVchostOpfer
 
svchost.exe - Standard

svchost.exe



OMG, das ist ne Mammutaufgabe

Danke für deinen Einsatz und den Tipps. Ich schaue zu das ich das schnellstends erledige

Lg. gerhard


Alt 19.04.2013, 11:43   #6
aharonov
/// TB-Ausbilder
 
svchost.exe - Standard

svchost.exe



Ok.
__________________
--> svchost.exe

Alt 23.04.2013, 18:42   #7
SVchostOpfer
 
svchost.exe - Standard

svchost.exe



Zwischenbericht: Ist noch in Arbeit

Alt 23.04.2013, 18:50   #8
aharonov
/// TB-Ausbilder
 
svchost.exe - Standard

svchost.exe



Alles klar.
__________________
cheers,
Leo

Alt 25.04.2013, 09:19   #9
SVchostOpfer
 
svchost.exe - Standard

svchost.exe



Guten Morgen Leo

Ich hab einige Probleme bei der "Bereinigung"

Hier mal soweit wie ich vorangekommen bin:

1.

Das Ask Toolbar Programm konnte ich nicht löschen. Nirgends im System zu finden, auch als Suchbegriff keine Chance. Weiß aber das Ask Toolbar ein Browser Add In Programm ist.

2.

Den ADWcleanerbericht füge ich anbei. Vielleicht ist diese LOGdatei wieder dabei, besser weiß ich es aber nicht

3.

Habs in der Kürze nicht herausgefunden wie man den Speicherort ändert, hab das Programm nach dem download einfach auf den Desktop verschoben...

Combofix blieb bei STUFE 48 hängen... bis dorthin lief das Programm bereits so ne halbe Stunde. Ich wartete noch eine halbe Stunde bevor ich es beendete. Einfach auf das rote Feld mit dem Kreuzchen geklickt um das Fenster zu schließen.

4.

Ich hab dennoch den Quick Scan mit OMG, nee OTL durchgeführt. Muss ich erst noch ZIPen, reiche ich heut abend nach wenn ichs schaffe

Bericht anbei...

Kann ich dir hier im Forum eine PM schicken? Da ist nochwas was du "wissen" solltest bezüglich des Laptop.

Gruß Gerhard

PS: Den "zweiten" Nutzer konnte ich schon länger her löschen. Kann man seinen Nickname systemweit "ändern"? Habe damals mit dem C64 angefangen, konnte dann später unter DOS etwas arbeiten als die ersten "PCs" aufkamen... Bester unfairer Trick ging glaub ich so... Format C:\*.* oder so ähnlich

Alt 25.04.2013, 11:05   #10
SVchostOpfer
 
svchost.exe - Standard

svchost.exe



hier noch der OTL quick scan bericht

Alt 25.04.2013, 12:03   #11
aharonov
/// TB-Ausbilder
 
svchost.exe - Standard

svchost.exe



Hi,

du kannst mir ausnahmsweise schon eine PM schreiben, wenn es etwas dringendes zum Laptop gibt, das du nicht öffentlich hier schreiben kannst.

Benenne die Combofix.exe um in NoMBR.exe und führe sie dann nochmals so wie in obiger Anleitung beschrieben aus. Läuft es dann durch?
__________________
cheers,
Leo

Alt 30.04.2013, 17:56   #12
aharonov
/// TB-Ausbilder
 
svchost.exe - Standard

svchost.exe



Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.
__________________
cheers,
Leo

Alt 06.05.2013, 13:26   #13
aharonov
/// TB-Ausbilder
 
svchost.exe - Standard

svchost.exe



Fehlende Rückmeldung
Dieses Thema wurde aus meinen Abos gelöscht. Somit bekomme ich keine Benachrichtigung mehr über neue Antworten.
Schreib mir eine PM, falls du das Thema doch wieder fortsetzen möchtest. Dann machen wir hier weiter.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass dein Rechner schon sauber ist.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.
__________________
cheers,
Leo

Antwort

Themen zu svchost.exe
admins, andere, anleitung, bereits, check, cloud, cpu, download, endungen, gen, infiziert, interne, kleine, kleinen, laptop, leitung, malware, problem, programm, schei, start, stick, svchost.exe, troja, trojaner, werte




Ähnliche Themen: svchost.exe


  1. svchost.exe ( Svchost Prozess Analyser)
    Log-Analyse und Auswertung - 23.09.2011 (7)
  2. 10x svchost.exe
    Log-Analyse und Auswertung - 13.04.2011 (1)
  3. svchost Virus ! C:\Benutzer\Windows\Install\svchost.exe - WORM/Rebhip.A.318
    Plagegeister aller Art und deren Bekämpfung - 20.01.2011 (1)
  4. svchost.bat? Was ist das?
    Plagegeister aller Art und deren Bekämpfung - 19.01.2011 (43)
  5. svchost.exe
    Log-Analyse und Auswertung - 07.12.2010 (1)
  6. svchost.exe 100%
    Plagegeister aller Art und deren Bekämpfung - 15.09.2010 (13)
  7. Svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 30.06.2010 (2)
  8. TR/Crypt.ZPACK.Gen in C:\Temp\bcot.tmp\svchost.exe , C:\Temp\qmub.tmp\svchost.exe usw
    Plagegeister aller Art und deren Bekämpfung - 12.04.2010 (1)
  9. Svchost.exe
    Log-Analyse und Auswertung - 25.02.2009 (3)
  10. Svchost.exe ca 20 mal
    Alles rund um Windows - 05.01.2008 (2)
  11. svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 26.12.2007 (3)
  12. svchost
    Log-Analyse und Auswertung - 14.12.2007 (8)
  13. svchost.exe
    Mülltonne - 21.10.2007 (1)
  14. Svchost.exe
    Log-Analyse und Auswertung - 25.09.2007 (11)
  15. svchost.exe??
    Plagegeister aller Art und deren Bekämpfung - 22.12.2005 (3)
  16. 5 svchost.exe!?
    Log-Analyse und Auswertung - 03.04.2005 (5)
  17. svchost.exe
    Log-Analyse und Auswertung - 27.02.2005 (1)

Zum Thema svchost.exe - Werte Admins und Nutzer dieser Plattform Mein Laptop scheint sich mit dem SVCHOST.EXE Trojaner infiziert zu haben. Mein Lapi läd gleich nach dem Internetstart (bin Internetsticknutzer) wie tolle zu dem - svchost.exe...
Archiv
Du betrachtest: svchost.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.