HILFE!!!!W32/Jeefo-A***C:\<Windows>\svchost.exe

Deepmixxsub · 09.09.2007, 14:00

Hallo zusammen!

Problem, wie folgt:

C:\<Windows>\svchost.exe entdeckt, 2 mal in der Auswertung...Nach einigem gestöber hier und auf anderen Hilfeseiten schien es wohl der Win32/Jeefo-A zu sein......Behandelt mit:

Windows Disinfector

JEEFOGUI ist ein Disinfector für einzelne Windows-Computer.

* Öffnen Sie JEEFOGUI
* Starten Sie es.
(Hier hieß es dann Resolve for win32/jeefo-A)
* Klicken Sie dann auf GO.

Wie beschrieben dateien behandelt.....Hier schien alles noch stabil zu sein..hijacklog eine der C:\<Windows>\svchost.exe war weg. Dann weiter mit sophos anti-virus 6.5.6 gescannt....knapp 460 infizierte .exe

Das kam mir zu diesem Zeitpunkt zwar schon Spanisch vor....weil einiges dabei war bei demich dachte das kann wohl kaum sein...nun ich hab´s dummerweise dennoch gelöscht....hmmm und somit wohl sämtliche Dinge die doch noch wichtig waren....

Microsoft Windows-Tool zum Entfernen bösartiger Software (KB890830) hat natürlich nichts genutzt...

Die svchost.exe die nicht in system32 lief ist zwar weg, aber unter start>>SUCHE >>sind nun SVCHOST.EXE-3530F672.pf und SVCHOST.EXE-16C7D411>>im Ordner C:\Windows\prefetch

Probleme seitdem:

Unter anderem....neben der Darstellung der Desktop-Icons und der generellen Icons....
zip.dateien liesen sich nicht mehr öffnen... als ich erneut hijacklog versuchte...winrar deinstalliert und wieder neu installiert seitdem funktioniert das wieder....

Msi Installer.....nix geht mehr>>>>Wollte spiel linstallieren: Fehler bei der komponentenübertragung>>>1603 schwerer Fehler bei der Installation....

Ansonsten noch erledigt:
security-check.ch>>>ist gemacht
Keine neuen Windows-updates verfügbar..

Der sophos-anti-Virus zeigt weiterhin ununterbrochen infizierte .exe Dateien an......ich hab ihn nun gestoppt da ich nicht noch mehr löschen wollte...

Eines der ersten Hijacklog´s:

[Y] Logfile of HijackThis v1.99.1 -

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

undoreal · 09.09.2007, 14:19

Halli hallo.

Das hört sich aber wirr an.. ^^

Um einen Überblick über dein System zu bekommen poste doch bitte ein brand-frisches HijackThis log und führe einen eScan durch. Anleitung dazu findest du in meiner Signatur verlinkt.

Gruß

Undoreal

BataAlexander · 09.09.2007, 14:30

Zitat:

jetzt etwas völlig neues:

nun bei der Infektion recht normal

Zitat:

Der Virus läuft kontinuierlich im Hintergrund und infiziert in periodischen Intervallen Dateien.

Quelle
Gehe vor wie undoreal es beschrieben hat.

Deepmixxsub · 09.09.2007, 17:16

mein eScan ist soooo lang 10,5 kb im Worddokument...es waren 521 infizierte Dateien....In welcher form kann ich das hier am besten posten?? Als Anhang??Oder aufteilen?

~~Der Jan~~ · 09.09.2007, 17:26

Zitat:

Zitat von Deepmixxsub

mein eScan ist soooo lang 10,5 kb im Worddokument...es waren 521 infizierte Dateien....In welcher form kann ich das hier am besten posten?? Als Anhang??Oder aufteilen?

Selbst wenn nur die hälfte davon stimmen würde, wären es eindeutig zu viele. An deiner Stelle würde ich das System neu aufsetzen und anschließend absichern.

Deepmixxsub · 09.09.2007, 17:30

*lol Jan....Naja ich weigere mich strikt

....So lange ich nicht alles versucht hab....Außerdem würde ich grundsätzlich gern wissen was das um Himmelswillen überhaupt ist

undoreal · 09.09.2007, 17:32

Nana, nun mal langsam mit de Pferde...

Lies bitte die eScan Anleitung noch einmal genau durch und werte das log mit Hilfe der find.bat aus. Das entstandene log postest du dann..

mfg

Undoreal

Deepmixxsub · 09.09.2007, 17:44

Nun das kann ich mir noch 10 mal durchlesen...an der länge ändert das nichts..(hab´s auch nochmal wiederholt).sollte ich es demnach aufteilen??oder anhängen?

cosinus · 09.09.2007, 18:27

Du kannst das Textfile hier als Anhang einfügen - bis 19,5 KB sind erlaubt.

Deepmixxsub · 09.09.2007, 18:32

So nun versuche ich das nochmal mit dem Hijacklog ....ich hoffe ich hab das diesmal alles richtig gemacht......

Also aktueller Log:

Logfile of HijackThis v1.99.1
Scan saved at 19:27:33, on 9.9.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\deepmixx\LOKALE~1\Temp\Rar$EX00.693\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [VC5Player] C:\Programme\HHVcdV5Sys\VC5Play.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - c:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Programme\HHVcdV5Sys\VC5SecS.exe

JEN

cosinus · 09.09.2007, 18:39

Hmm..
Das Logfile sieht ein wenig mager aus. 12 laufende Systemprozesse, imho stimmt da irgendwas nicht.
Nimm mal diese Datei zum Erstellen eines Logs - denn manche Schädlinge beeinflussen HJT bei der Erstellung, was bei dieser in pruefung.com umbenannten Hijackthis-Datei hoffentlich nicht passiert.

Deepmixxsub · 09.09.2007, 19:19

Also nochmal alles auf Anfang:

Hier natürlich ein Hijackthis-log (das NICHT im abgesicherten Modus gemacht wurde) *lol :

Logfile of HijackThis v1.99.1
Scan saved at 20:13:00, on 9.9.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
c:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\Programme\HHVcdV5Sys\VC5SecS.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\HHVcdV5Sys\VC5Play.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\Virtual CD v5\System\VC5Tray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\deepmixx\LOKALE~1\Temp\Rar$EX00.582\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [VC5Player] C:\Programme\HHVcdV5Sys\VC5Play.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - c:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Programme\HHVcdV5Sys\VC5SecS.exe

JEN

undoreal · 09.09.2007, 19:46

Sauber.

das sieht schon besser aus..

Suche bitte wie in meiner Signatur beschrieben nach folgender Datei:

" C:\WINDOWS\svchost.exe "

poste die Eigenschaften und lasse sie online überprüfen auf VT.

mfg

Undoreal

Deepmixxsub · 09.09.2007, 20:48

Findet bei suchen nur:

Name: SVCHOST.EXE-3530F672.pf
ort: C:\WINDOWS\Prefetch

Name: SVCHOST.EXE-16C7D411
ort: C:\Windows\prefetch

Name: svchost
Ort: C:\WINDOWS\system32
Beschreibung: Generic Host Process for Win32 Services
Dateityp: Anwendung

Ort: C:\WINDOWS\system32\dllcache
Beschreibung: Generic Host Process for Win32 Services
Dateityp: Anwendung

Habe alles mit VT getestet ohne Ergebnis...
??????

Es wurden ja schon einige exe gelöscht durch den sophos

Windows Disinfector

JEEFOGUI ist ein Disinfector für einzelne Windows-Computer.

* Öffnen Sie JEEFOGUI
* Starten Sie es.
(Hier hieß es dann Resolve for win32/jeefo-A)
* Klicken Sie dann auf GO.

und danach mit dem sophos anti-virus

undoreal · 09.09.2007, 21:21

Zitat:

Findet bei suchen nur:

ok wenn die alle i.O. sind dann bracuhen wir einen eScan log..

mfg

Undoreal

09.09.2007, 14:19	#2
undoreal /// AVZ-Toolkit Guru	$HILFE!!!!W32/Jeefo-A*C:\<Windows>\svchost.exe - Standard$ HILFE!!!!W32/Jeefo-A*C:\<Windows>\svchost.exe Halli hallo. Das hört sich aber wirr an.. ^^ Um einen Überblick über dein System zu bekommen poste doch bitte ein brand-frisches HijackThis log und führe einen eScan durch. Anleitung dazu findest du in meiner Signatur verlinkt. Gruß Undoreal __________________ __________________

09.09.2007, 18:27	#9
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$HILFE!!!!W32/Jeefo-A*C:\<Windows>\svchost.exe - Standard$ HILFE!!!!W32/Jeefo-AC:\<Windows>\svchost.exe Du kannst das Textfile hier als Anhang einfügen - bis 19,5 KB sind erlaubt. __________________ Logfiles bitte immer in CODE-Tags posten*

HILFE!!!!W32/Jeefo-A***C:\<Windows>\svchost.exe

Plagegeister aller Art und deren Bekämpfung: HILFE!!!!W32/Jeefo-A***C:\<Windows>\svchost.exe