Hi zusammen,

hab mir irgendwie den Mydoom.I Wurm eingefangen. Das komische ist, die erste Fehlermeldung hat Antivir gebracht, als ich gerade die neusten Patchs des MS Patch Days runtergeladen habe.

Auf jedenfall habe ich danach mein System mit Stinger, AvastVirusCleaner und HijackThis geprüft.

Hijackthis hat dann erkannt das es sich dabei um den MyDoom.I handelt. Nun meine Frage, wie bekomme ich diesen Plagegeist weg? Kann mir dabei jemand helfen?

Gruß Mystic

Halli hallo.

Du darfst nie E-Mail Anhaenge oeffnen!!!

Poste doch als erstes mal ein HJT log.

Dann koenntest du folgendes versuchen:

Update AntiVir. Stelle die hoechste Sicherheitsstufe ein, so dass ALLE DATEIEN durchsucht werden.
Nun starte den Computer im Abgesicherten Modus.
Dann mach einen vollen Scann mit AntiVir, alle infizierten Dateien loeschen.
Nun musst du manuell einen Registrierungseintrag loeschen:
Start -> ausfuehren -> " regedit "
im RegEditor musst du in diesen Pfad navigieren :
" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "
wenn du diesen Pfad aufgerufen hast erscheint im rechten Fenster der Wert
"SVHOST"="%System%\svhost.exe" diesen Wert loeschen.

ACHTUNG: Wenn du dir unsicher im Umgang mit dem RegEditor bist dann solltest fragen bis du alles verstanden hast oder es ganz sein lassen da du dir durch ein loeschendes Falschen Schluessels dein System zerschiessen kannst.
Ebenfalls solltest du Backup der Registry machen bevor du den Wert loeschst. Hier eine Anleitung dazu : Backup der Registry | windowspower.de

Einige Versionen des Wurms oeffnen Ports in deinem System. Also eine Hintertuer. Dieses System ist dann in keinem Fall mehr sicher ! ! !
Du solltest dir also genau ueberlegen, ob du nicht lieber Neuaufsetzen moechtest. Eine gute Anleitung findest du hier im Forum.

Viel Erfolg

Logfile of HijackThis v1.99.1
Scan saved at 12:23:35, on 15.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
E:\Downloads\Glass2k.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\iPod\bin\iPodService.exe
E:\Mystic´s PC KIT\USB\Mystic\Software\Bekämpfung, Schutz, etc\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [svhost] C:\WINDOWS\system32\svhost.exe
O4 - HKLM\..\Run: [Glass2k] E:\Downloads\Glass2k.exe
O4 - HKLM\..\Run: [SMSystemAnalyzer] "C:\Programme\iolo\System Mechanic Professional 7\SMSystemAnalyzer.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [svhost] C:\WINDOWS\system32\svhost.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: MenuAppServer.lnk = L:\MenuApp.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166050029856
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iolo DMV Service (ioloDMV) - Unknown owner - C:\Programme\iolo\Common\Lib\ioloDMVSvc.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe


Log

Keine Angst ich bin nich so dumm das ich Emailanhänge öffne... vorallem nicht wenn eine unangekündigte Mail kommt. Bin was das angeht kein Laie...

Nur das ich mir unsicher bin wenn mein Virenprogramm (AntiVir) mir sagt er will Svchost löschen... ^^

AntiVir ist immer höchstaktuell bei mir. + sämtliche WinUpdates + Firewall usw..

Dein Computer will bestimmt nicht Svchost löschen. Sondern Svhost. Der Wurm gibt sich einen ähnlichen Namen wie eine Systemdatei und erreicht damit genau das, was er soll, er lässt dich zweifeln.

Ich empfehle dir zu formatieren. MyDoom ist nämlich echt gefährlich. Ich bin darain auch kein Profi, aber wenn ich meinen PC ohne Formatieren noch retten wollte, würde ich so vorgehen:


Ich würde so vorgehen:

0. www.virustotal.com besuchen. Oben rechts in das weiße Kästchen "L:\MenuApp.exe" reinschreiben und auf "send" klicken. Auswertung abwarten. Wenn Virus dann noch den Eintrag: O4 - Startup: MenuAppServer.lnk = L:\MenuApp.exe

löschen. ( bei Schritt 4)

1. Dateien sichern (CD/Externe Festplatte)

2. Herunterladen von Spybot Search and Destroy ( Die Seite von Spybot-S&D! )

und von

Ad-Aware Se ( CHIP Online - Download - Ad-aware SE Personal 1.0.6 Englisch )

3. Beide updaten (Nicht scnannen)

4.

Scannen mit Hijackthis.

Häkchen vor

O4 - HKLM\..\Run: [svhost] C:\WINDOWS\system32\svhost.exe
und
O4 - HKCU\..\Run: [svhost] C:\WINDOWS\system32\svhost.exe
und
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local

und "Fix checked" drücken


5.

PC herunterfahren und wieder hochfahren (Kein Neustart). Beim Hochfahren "F8" drücken und PC im abgesicherten Modus starten. Erst mit Spybot scannen und alles, was nachher erscheint markieren und "Markierte Probleme beheben" klicken.
Danach mit Ad-Aware scannen und alle Objecte, die er findet löschen lassen.

6. PC abermals herunterfahren und neu starten. Mit HijackThis scannen und hier posten.



Wie gesagt, keine Ahnung ob das funktioniert. Probier's mal. Daten sichern nicht vergessen!

Lass dich nicht verrueckt machen und entscheide dich. Entweder den einen oder den anderen Loesungsansatz.
Also ich mach mal weiter:

Hast du getan was ich dir gesagt habe? In einem Punkt sicher nicht: Ich schrieb ALLES LOESCHEN WAS ANTIVIR FINDET!
Fuehre bitte genau aus was ich schreibe und gib mir detailliertes
Feedback.

Also nochmal:

Zitat:

Update AntiVir. Stelle die hoechste Sicherheitsstufe ein, so dass ALLE DATEIEN durchsucht werden.
Nun starte den Computer im Abgesicherten Modus.
Dann mach einen vollen Scann mit AntiVir, alle infizierten Dateien loeschen.
Nun musst du manuell einen Registrierungseintrag loeschen:
Start -> ausfuehren -> " regedit "
im RegEditor musst du in diesen Pfad navigieren :
" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run "
wenn du diesen Pfad aufgerufen hast erscheint im rechten Fenster der Wert
"SVHOST"="%System%\svhost.exe" diesen Wert loeschen.

ACHTUNG: Wenn du dir unsicher im Umgang mit dem RegEditor bist dann solltest fragen bis du alles verstanden hast oder es ganz sein lassen da du dir durch ein loeschendes Falschen Schluessels dein System zerschiessen kannst.
Ebenfalls solltest du Backup der Registry machen bevor du den Wert loeschst. Hier eine Anleitung dazu : Backup der Registry | windowspower.de

Uebrigens: Das Programm "Glass2k" welches du dir gezogen hast sieht fuer mich nicht besonders vertrauenswuerdig aus.... Von solchen Dingen wuerde ich in Zukunft die Finger lassen.
Ich glaube nicht das es schaedlich ist aber Vorsicht ist besser als Nachsicht.
Scan doch die Datei *E:\Downloads\Glass2k.exe* mal bitte auf VIRUSTOTAL


Bis gleich..

Nochwas.

KEINE EINTRAEGE FIXENbevor du mein Zitat befolgst!!!!

Keine Angst das Programm ist nicht schädlich. Ist nur damit Windows etwas verspielter ist... Fenster werden durchsichtig.

Hab das jetzt so gelöst:
Antivir update
Ad-Aware update
Spybot S&D update

Systemwiederherstellung deaktivieren

Registry sichern

In Abgesicherten Modus hochfahren

Die oben genannten Programme in der genannten Reihenfolge durchlaufen lassen (immer mit der höchstmöglichen scanstufe). Dann noch Stinger und Avastcleaner.

Neugestartet

Sys funzt wieder ohne Probleme