Hallo,

der Computer meiner Freundin ist in letzter Zeit total am spinnen. Der Taskmanager lässt sich nicht mehr aufrufen, "Ausführen" funktioniert nicht mehr.. immer kommt die Meldung, dass es vom Administrator gesperrt wurde.

Ich hatte bis vor ein paar Tagen das Backdoorprogramm "scvhost.exe" drauf, habe es aber erfolgreich entfernt.

Das Problem:
Bei meiner Freundin ist der Ordner "System32" komplett verschwunden. Ich habe schon unter die Ordneroptionen die Ansicht soweit geändert das alles angezeigt wird was vorher versteckt war, doch der Ordner ist trotzdem weg. Antivir kann diesen Trojaner nicht löschen, das einzige was ich weiss ist, dass er sich im Ordner System32 befindet der aber wie beschrieben nicht da ist.

Da sie einen sehr langsamen Rechner (224MB Ram; 800Mhz), und er wegen des Trojaners noch langsamer ist, ist es sehr schwer an im irgentwelche Virenprogramme zu installieren und auszuführen.

Könnte mir jemand einen Manuellen Weg beschreiben um den Trojaner zu entfernen, ausser das System neu aufzusetzen?

Vielen Dank im voraus!!

MfG Fatality2_3

Kurze verbesserung:

Ich hatte auf meinem Computer den Trojaner "scvhost.exe" drauf und auf dem Computer meiner Freundin befindet sich eine Datei namens "svcchost.exe" !

hi

zu allererst mal inet Kabel ziehen, highjackthis scan machen und die Eintrage (disable regedit falls vorhanden löschen) anschließend start-->ausführen-->regedit

so nun auf HKEY_CURRENT_USER-->Software-->Microsoft-->Windows->Currentversion->Polices-->System
hier müsste sich ein Eintrag befinden der sich disable taskmanager nennt-->löschen
so nun das selbe bei HKEY_LOCAL_MACHINE

anschließend Taskmanager öffnen und den prozess killen, sicherstellen das versteckte dateien angezeigt werden und den prozess aus dem system32 ordner löschen.

Und zuguter letzt nochmal nen HJT log posten

Hallo Fatality2_3,

zuerst mal Glückwunsch zu Deinem Wohnort, meine Oma wohnte dort, ganz schön "hübsch", vor allem Burg Vischering.

Zu Deinem Problem: Leider ist es nicht so einfach, wie Loaderking es gerne hätte. Beide Dateien werden von Backdoor Trojanern verwandt, hier ist ein Neuaufsetzen beider Rechner Pflicht!
Lies Dir dazu diese Anleitung durch.
Einen anderen Weg, derartigen Befall zu entfernen gibt es nicht.

Gruß

Schrulli

Also erst mal vielen Dank an loaderking!
Der Rechner läuft jetzt wieder, abgesehen von einigen Fehlermeldungen beim Starten der Benutzeroberfläche (z.B. das die svcchost.exe-Datei nicht gefunden wurde).

Aber wie Schrulli schon sagt ist es wirklich besser gleich einen Komplettneustart mit neuem Betriebsystem durchzuführen, allein deshalb schon, weil noch jede menge Restverzeichnise von installierten bzw. wieder deinstallierten Programmen auf der Festplatte herum schwirren. Ausserdem habe ich Adaware installiert und es einen Komplett durchlauf durchführen lassen, dabei wurden allein 687 infizierte Datein gefunden. Ein derartiges Ergebnis habe ich noch nie in meinem Leben gesehen.

Es stellte sich nur vorher immer das Problem: Wohin mit ihren Datein (Bilder, Musik, etc.)? Aber das ist auch gelöst da mein Vater seine Externe Festplatte zur verfügung stellt.

Ok das wars eigentlich!

Noch mal vielen Dank an eich Beide


P.S.: @ Schrulli: Lüdinghausen ist wirklich eine schöne Stadt und wenn die Renovierungsarbeiten an der Burg Kakesbeck fertig sind, haben wir hier sogar drei Burgen zu besichtigen.

Zitat:

P.S.: @ Schrulli: Lüdinghausen ist wirklich eine schöne Stadt und wenn die Renovierungsarbeiten an der Burg Kakesbeck fertig sind, haben wir hier sogar drei Burgen zu besichtigen.

Gib Schrulli eine Chance; Er verstrebt dein Dorf veranstaltungstechnisch als Doktorarbeit.
Zuzutrauen ist dem alles.

LG

cronos

Zitat:

Zitat von Fatality2_3

P.S.: @ Schrulli: Lüdinghausen ist wirklich eine schöne Stadt und wenn die Renovierungsarbeiten an der Burg Kakesbeck fertig sind, haben wir hier sogar drei Burgen zu besichtigen.

Schöne Gegend. Hab Verwandtschaft in der Nähe. (5 KM Umkreis ) Aber ganz schön flach alles.

Auch wenn die lösung schon ne halbe ewigkeit zurückliegt hab ich eine gute methode gefunden (eher aus frust erwachsen! ^^) wie man den in den griff bekommt!

Ich hatte auch das "svcchost.exe"-problem und hab aus frust gleich beim systemstart bei Windows XP den Task-Manager geöffnet... mir sprang da was ins gesicht: 2 mal explorer.exe ... das kam mir mächtig spanisch vor,also hab ich beide prozesse beendet! erwartungsgemäß war die benutzeroberfläche weg! als ich den explorer nun neu gestartet hatte kam wieder die svcchost, doch nachdem ich sie wieder einmal abgewürgt hatte kam sie nicht wieder! ^^

hat also funktioniert!
zur sicherheit hab ich die registry durchsucht (Suchwort svcchost) und über 20 einträge gefunden, die ich natürlich augenblicklich gekickt hab! hab jetzt schon seit einer woche ruhe! ^^

Da das allerdings allein keine sicherheitsgarantie ist empfehle ich Comodo Firewall! Die blockt echt alles was zu euch will! ^^

Aber wenn ihr keine wichtigen dateien zu verlieren habt, installiert lieber neu! ist immer sicherer!

Mfg

Hallo,

Zitat:

Auch wenn die lösung schon ne halbe ewigkeit zurückliegt

gut erkannt
Da diese Datei zu einer Backdoor gehört und nicht klar ist, was der Angreifer noch so alles auf deinem System manipuliert hat, ist hier Neuausetzen angesagt!
Dein System ist kompromittiert!
Falls du dich jedoch gegen Neuaufsetzen, aber für Hilfe entscheidest, eröffne bitte ein neues Thema.

Moritz