Danke! hab die Datei jetzt gefunden und abgeschickt

Zitat:

Zitat von Asko1987

Danke! hab die Datei jetzt gefunden und abgeschickt

Na bitte, klappt doch.

Erste Tendenz: Infektionsursache ist in der Tat die vermeintliche Messenger-Installationsdatei. Und: Es handelt sich bei der svchoslt.exe um einen relativ neuen Backdoor (von ca. Anfang / Mitte September). Die Veränderungen, die er im System vornimmt, sind nicht unerheblich.

Findest Du auch eine Datei C:\WINDOWS\system32\svchoslt.exe.bat?

Zitat:

Zitat von mmk

Na bitte, klappt doch.

Erste Tendenz: Infektionsursache ist in der Tat die vermeintliche Messenger-Installationsdatei. Und: Es handelt sich bei der svchoslt.exe um einen relativ neuen Backdoor (von ca. Anfang / Mitte September). Die Veränderungen, die er im System vornimmt, sind nicht unerheblich.

Findest Du auch eine Datei C:\WINDOWS\system32\svchoslt.exe.bat?

hmmm... neee finde ich irgendwie nicht.. muss die datei da sein?

Nein, ist ok. Ich frage nur, welche der Schädlingskomponenten bei Dir noch vorliegen.

Ist ferner noch eine Datei C:\file.exe vorhanden? Bitte erstmal nur nachsehen.

Und dann: Sende mir bitte zwecks Kontrolle auch noch eine Kopie der Datei mswinsck.ocx aus dem System32-Verzeichnis zu - sie wird vom Backdoor überschrieben.

Zitat:

Zitat von mmk

Nein, ist ok. Ich frage nur, welche der Schädlingskomponenten bei Dir noch vorliegen.

Ist ferner noch eine Datei C:\file.exe vorhanden? Bitte erstmal nur nachsehen.

nee, datei ist nicht vorhanden

Zitat:

Und dann: Sende mir bitte zwecks Kontrolle auch noch eine Kopie der Datei mswinsck.ocx aus dem System32-Verzeichnis zu - sie wird vom Backdoor überschrieben.

abgeschickt

Gut, zwei von einigen Möglichkeiten.

1.) Da der Schädling im abgesicherten Modus nicht geladen wurde, kannst Du versuchen, dort die Datei C:\WINDOWS\system32\svchoslt.exe löschen. Aber wichtig, achte auf die Schreibweise! Das "l" muss vor dem "t" zu sehen sein, sonst ist es die falsche.

2.) Lade Dir Avenger:

http://swandog46.geekstogo.com/avenger.zip

Speichere es ab, pack es aus und starte das Programm. Klick auf "Input Script manually". Nach einem Klick auf die Lupe fügst Du folgendes ein:

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\WINDOWS\system32\svchoslt.exe
         

Nun kannst Du auf die grüne Ampel klicken, anschließend das System neu starten und nach dem Neustart den Inhalt der Datei C:\avenger.txt hier posten.

Zitat:

Zitat von mmk

Gut, zwei von einigen Möglichkeiten.

1.) Da der Schädling im abgesicherten Modus nicht geladen wurde, kannst Du versuchen, dort die Datei C:\WINDOWS\system32\svchoslt.exe löschen. Aber wichtig, achte auf die Schreibweise! Das "l" muss vor dem "t" zu sehen sein, sonst ist es die falsche.

2.) Lade Dir Avenger:

http://swandog46.geekstogo.com/avenger.zip

Speichere es ab, pack es aus und starte das Programm. Klick auf "Input Script manually". Nach einem Klick auf die Lupe fügst Du folgendes ein:

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\WINDOWS\system32\svchoslt.exe
         

Nun kannst Du auf die grüne Ampel klicken, anschließend das System neu starten und nach dem Neustart den Inhalt der Datei C:\avenger.txt hier posten.

das mit dem Avenger hat nicht funktioniert, da war ne Error-Meldung und hat automatisch abgebrochen, aber die Variante mit Abgesicherten Modus hat funktioniert.. hab jetzt neugestartet und das Antivirus-programm läuft, und Taskmannager lässt sich auch wieder öffnen :P


ICH DANKE DIR VIELMALS FÜR DIE HILFE

Erklärung: Auf diese Weise wird zumindest erst einmal die eigentliche Backdoor-Datei herausgenommen. Das überführt das System zwar nicht wieder in einen vertrauenswürdigen Zustand, ist aber eine der wenigen Möglichkeiten, die als Erstmaßnahme via Ferndiagnose übrig bleibt.

Im Prinzip müsste ein derart infiziertes System sofort vom Internet getrennt werden. Und mit sofort meine ich sofort. Leider wäre dann keine Hilfestellung auf diesem Wege mehr möglich - insofern ein Kompromiss im Hinblick darauf, Dir die notwendigen Schritte erläutern zu können, was Du tun kannst und solltest, um so etwas künftig zu verhindern.

Ich rate Dir dringend dazu, Dich möglichst umgehend mit den im Folgenden genannten Maßnahmen auseinander- und sie dann in die Tat umzusetzen:

Anleitung - Neuaufsetzen des Systems / anschliessende Absicherung
Anleitung - Neuaufsetzen des Systems / anschliessende Absicherung

Du solltest es zukünftig unbedingt vermeiden, irgendwelche Programme aus irgendwelchen Quellen zu laden, die Du über Google gefunden hast. Da ist äußerste Vorsicht geboten! Im Zweifel frag lieber erst nach, z.B. in Foren wie diesem.

Und erstell Dir später vom dann sauberen System aus Notfallstart-CDs, diese können sehr hilfreich sein. Zum Beispiel diese hier:

UBCD for Windows

Oder auch zusätzlich eine Linux Live (z.B. Knoppix). Müsste bald eine neue Version rauskommen, dann lohnt es sich um so mehr.

Danke für die Erkärung und deine Hilfe, ich werde mir deinen Tipp zu Herzen nehmen.

ich wünsche noch eine gute Nacht bzw. guten Morgen und verabschiede mich mit freundlichen Grüßen Asko :P

Achso, falls es jemanden interessiert: Die Erkennungsraten der Virenscanner für diesen Backdoor sehen eigentlich ganz gut aus:

Code: Alles auswählenAufklappen

ATTFilter

File svchoslt.exe received on 09.20.2007 06:33:59 (CET)
	
Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2007.9.20.0	2007.09.19	Win-Trojan/Shark.377274
AntiVir	7.6.0.15	2007.09.19	BDS/Shark.G
Authentium	4.93.8	2007.09.19	W32/Backdoor.BTVC
Avast	4.7.1043.0	2007.09.19	Win32:VB-FED
AVG	7.5.0.485	2007.09.19	Generic6.WCT
BitDefender	7.2	2007.09.20	Backdoor.Shark.G
CAT-QuickHeal	9.00	2007.09.19	Backdoor.Shark.x
ClamAV	0.91.2	2007.09.20	-
DrWeb	4.33	2007.09.19	-
eSafe	7.0.15.0	2007.09.19	Win32.Shark.x
eTrust-Vet	31.2.5149	2007.09.19	-
Ewido	4.0	2007.09.19	Trojan.VB.lg
FileAdvisor	1	2007.09.20	-
Fortinet	3.11.0.0	2007.09.20	W32/Shark.X!tr.bdr
F-Prot	4.3.2.48	2007.09.19	W32/BackdoorX.UFV
F-Secure	6.70.13030.0	2007.09.20	Backdoor.Win32.Shark.x
Ikarus	T3.1.1.12	2007.09.20	Backdoor.Shark.G
Kaspersky	4.0.2.24	2007.09.20	Backdoor.Win32.Shark.x
McAfee	5123	2007.09.19	New Malware.d
Microsoft	1.2803	2007.09.20	Trojan:Win32/VB.AAH
NOD32v2	2541	2007.09.20	probably a variant of Win32/Genetik
Norman	5.80.02	2007.09.19	-
Panda	9.0.0.4	2007.09.20	Trj/Agent.GHG
Prevx1	V2	2007.09.20	-
Rising	19.41.20.00	2007.09.19	-
Sophos	4.21.0	2007.09.20	Troj/Baxor-Gen
Sunbelt	2.2.907.0	2007.09.19	-
Symantec	10	2007.09.20	Backdoor.Trojan
TheHacker	6.2.5.062	2007.09.19	Backdoor/Shark.x
VBA32	3.12.2.4	2007.09.19	Backdoor.Win32.sharK21
VirusBuster	4.3.26:9	2007.09.19	-
Webwasher-Gateway	6.0.1	2007.09.19	Trojan.Shark.G
Additional information
File size: 385374 bytes
MD5: 8ac73452f011ff600531b1a24a76b5dd
SHA1: 209a317344ad048043832cae296fafc092b33e87
packers: BINARYRES