Werte Admins und Nutzer dieser Plattform

Mein Laptop scheint sich mit dem SVCHOST.EXE Trojaner infiziert zu haben. Mein Lapi läd gleich nach dem Internetstart (bin Internetsticknutzer) wie tolle zu dem svchostprogramm los, manchmal geht die CPU in die Knie.. sind auch mehrere gleiche und manche mit andere Endungen des svchost programms am laufen.

Ich habe bemerkt das bereits vor kurzer Zeit jemanden hier geholfen wurde. Scheinbar muss eine indivituelle Anleitung zur Beseitung gegeben werden.

Eigentlich wollte zuerst ich die empfohlene Malware bei Ponyfile herunterladen und den Check durchführen bevor ich hier etwas poste.

Da fing das erste Problem an... ich folgte den Anweisungen für den Download für das Programm, kam auch gut voran, dann wurde ich zu egnyte.com verlinkt. Dies scheint eine Datencloud zu sein.

Muss ich dort was "uploaden" oder wie gehts weiter... ?

Für einen kleinen ersten gedanklichen Anstoß dazu wäre ich dankbar. Bevor ich mit meinem eigentlichen Problem hier ankommen.

Vielen Dank schon mal im voraus

Hi,

also svchost.exe ist eine legitime Windows-Datei und es ist normal, dass mehrere Instanzen davon laufen. Es kann aber natürlich sein, dass sie auch Malware ausführt.
Mach bitte mal das:


Schritt 1

Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button.
• Bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Falls Defogger zu einem Neustart auffordert, bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt.
• Nur falls Probleme aufgetreten sind, poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!



Schritt 2

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.

• Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
• Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
• Schliesse bitte alle anderen Programme.
• Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Sollte sich ein Fenster mit folgender Warnung öffnen

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  dann klicke unbedingt auf No.
• Entferne rechts den Haken bei:
  • IAT/EAT
  • Show all
• Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
• Starte den Scan mit einem Klick auf Scan.
• Mache gar nichts am Computer, während der Scan läuft!
• Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
• Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
• Füge bitte den Inhalt des Logfiles hier in deine Thread ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Schritt 3

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

• Doppelklick auf die OTL.exe.
• Unter Extra Registry, wähle bitte Use SafeList.
• Setze den Haken bei Scan all Users.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
• Poste den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von Gmer
• Logs von OTL

Vielen Dank Leo

Hier die gewünschte Texte.

Ich möchte mich für den Nickname des zweiten Nutzers entschuldigen. Hab schon verzweifelt versucht den aus dem System zu bannen


gmer.txt:
Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 97,7 KB. Ihre Datei ist 143,2 KB groß.
(hab ich geZIPt)


OTL.Txt:
Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 97,7 KB. Ihre Datei ist 126,1 KB groß.
(hab ich geZIPt)

Hallo,

Zitat:

Hab schon verzweifelt versucht den aus dem System zu bannen

Ich versteh grad nicht so recht.. Du hast ein Benutzerkonto auf dem Rechner, welches du auch mit Adminrechten weder umbenennen noch löschen kannst..?

Die Tools bitte immer direkt auf den Desktop speichern und von dort starten.
(Die Logfiles bitte nicht anhängen (das erschwert mir das Auswerten massiv), sondern deren Inhalt direkt innerhalb von Codetags einfügen: [code]Inhalt Logfile[/code].)


Schritt 1

• Gehe zu Start --> Systemsteuerung und öffne Programme und Funktionen.
• Suche und deinstalliere dort der Reihe nach folgende Einträge:
  • Ask Toolbar
  • BabylonObjectInstaller
  • Babylon toolbar on IE
  • Searchqu Toolbar
  • softonic-de3 Toolbar
• Schliesse das Fenster wieder und führe einen Neustart durch, wenn das gefordert wurde.

Schritt 2

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.

• Schliesse alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 3

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix.

• WICHTIG: Speichere Combofix auf deinen Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
• Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.



Schritt 4

Starte bitte die OTL.exe.

• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von AdwCleaner
• Log von Combofix
• Log von OTL

OMG, das ist ne Mammutaufgabe

Danke für deinen Einsatz und den Tipps. Ich schaue zu das ich das schnellstends erledige

Lg. gerhard

Ok.

Zwischenbericht: Ist noch in Arbeit

Alles klar.

Guten Morgen Leo

Ich hab einige Probleme bei der "Bereinigung"

Hier mal soweit wie ich vorangekommen bin:

1.

Das Ask Toolbar Programm konnte ich nicht löschen. Nirgends im System zu finden, auch als Suchbegriff keine Chance. Weiß aber das Ask Toolbar ein Browser Add In Programm ist.

2.

Den ADWcleanerbericht füge ich anbei. Vielleicht ist diese LOGdatei wieder dabei, besser weiß ich es aber nicht

3.

Habs in der Kürze nicht herausgefunden wie man den Speicherort ändert, hab das Programm nach dem download einfach auf den Desktop verschoben...

Combofix blieb bei STUFE 48 hängen... bis dorthin lief das Programm bereits so ne halbe Stunde. Ich wartete noch eine halbe Stunde bevor ich es beendete. Einfach auf das rote Feld mit dem Kreuzchen geklickt um das Fenster zu schließen.

4.

Ich hab dennoch den Quick Scan mit OMG, nee OTL durchgeführt. Muss ich erst noch ZIPen, reiche ich heut abend nach wenn ichs schaffe

Bericht anbei...

Kann ich dir hier im Forum eine PM schicken? Da ist nochwas was du "wissen" solltest bezüglich des Laptop.

Gruß Gerhard

PS: Den "zweiten" Nutzer konnte ich schon länger her löschen. Kann man seinen Nickname systemweit "ändern"? Habe damals mit dem C64 angefangen, konnte dann später unter DOS etwas arbeiten als die ersten "PCs" aufkamen... Bester unfairer Trick ging glaub ich so... Format C:\*.* oder so ähnlich

hier noch der OTL quick scan bericht

Hi,

du kannst mir ausnahmsweise schon eine PM schreiben, wenn es etwas dringendes zum Laptop gibt, das du nicht öffentlich hier schreiben kannst.

Benenne die Combofix.exe um in NoMBR.exe und führe sie dann nochmals so wie in obiger Anleitung beschrieben aus. Läuft es dann durch?

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.

Fehlende Rückmeldung
Dieses Thema wurde aus meinen Abos gelöscht. Somit bekomme ich keine Benachrichtigung mehr über neue Antworten.
Schreib mir eine PM, falls du das Thema doch wieder fortsetzen möchtest. Dann machen wir hier weiter.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass dein Rechner schon sauber ist.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.