Hallo,
mein Karspersky Personal Suite V, meldet immer einen Befall :"Infiziert: Virus Virus.Win32.Hidrag.a c:\windows\svchost.exe 35.5 KB". Manche Programme und Spiele gehen auch nicht mehr. Ich weiß nicht was ich machen soll.


Logfile of HijackThis v1.99.1
Scan saved at 15:44:38, on 30.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\Steam\steam.exe
C:\Programme\UseNeXT\UseNeXT.exe
C:\Dokumente und Einstellungen\LiNK01\Desktop\yodm3D14\Yodm3D.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Dokumente und Einstellungen\LiNK01\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" -r (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Zeitschaltuhr Service (PCZeitschaltuhrService) - Unknown owner - C:\Programme\DATA BECKER\PC Zeitschaltuhr\PCZeitschaltuhrService.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe

Hallo.

Werte die fragliche Datei c:\windows\svchost.exe mal bei Virustotal aus und poste die Ergebnisse inkl. Angaben zur Dateigröße und Prüfsummen.

Führ für weitere Analysen folgende Tools bzw. Anleitungen aus und poste die Logfiles:

- eScan
- Silentrunners
- combofix

virustotal.com:
Datei svchost.exe empfangen 2007.11.30 20:34:42 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/32 (3.13%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.1.0 2007.11.30 -
AntiVir 7.6.0.34 2007.11.30 -
Authentium 4.93.8 2007.11.30 -
Avast 4.7.1074.0 2007.11.29 -
AVG 7.5.0.503 2007.11.30 -
BitDefender 7.2 2007.11.30 Win32.Virtob.Gen
CAT-QuickHeal 9.00 2007.11.30 -
ClamAV 0.91.2 2007.11.30 -
DrWeb 4.44.0.09170 2007.11.30 -
eSafe 7.0.15.0 2007.11.29 -
eTrust-Vet 31.3.5338 2007.11.30 -
Ewido 4.0 2007.11.30 -
FileAdvisor 1 2007.11.30 -
Fortinet 3.14.0.0 2007.11.30 -
F-Prot 4.4.2.54 2007.11.29 -
F-Secure 6.70.13030.0 2007.11.30 -
Ikarus T3.1.1.12 2007.11.30 -
Kaspersky 7.0.0.125 2007.11.30 -
McAfee 5175 2007.11.30 -
Microsoft 1.3007 2007.11.30 -
NOD32v2 2696 2007.11.30 -
Norman 5.80.02 2007.11.30 -
Panda 9.0.0.4 2007.11.29 -
Prevx1 V2 2007.11.30 -
Rising 20.20.40.00 2007.11.30 -
Sophos 4.23.0 2007.11.30 -
Sunbelt 2.2.907.0 2007.11.30 -
Symantec 10 2007.11.30 -
TheHacker 6.2.9.145 2007.11.30 -
VBA32 3.12.2.5 2007.11.30 -
VirusBuster 4.3.26:9 2007.11.30 -
Webwasher-Gateway 6.6.2 2007.11.30 -
weitere Informationen
File size: 4608 bytes
MD5: 9785f26a1408b3085cb9a1ea7fd92100
SHA1: f2116981549e6a8abfc6bcc36280402cb78c5568

Oje, da hast du entweder laufzeitgepackte Malware oder einen ganz neuen Kandidaten erwischt!
Soviel ist schonmal sicher: Die Bereinigung wird kaum Garantie auf Erfolg haben. Wenn du auf der sicheren Seite sein willst, musst du das System neu aufsetzen.

Ich besitze noch eine Externe Festplatte kann des sein das sich der Virus dort versteckt und dann wieder mein System infiziert. Manche Datein auf der Platte wurden als Gefahr gemeldet und waren unbrauchbar. Was kann ich da machen ?

Hmm... kann man schlecht sagen da wie cosinus gesagt hat dass wahrscheinlich ne neue Malware ist...

Müsste man an Kaspersky oder so schicken damit die des "auseinandernehmen"

Zitat:

Ich besitze noch eine Externe Festplatte kann des sein das sich der Virus dort versteckt und dann wieder mein System infiziert. Manche Datein auf der Platte wurden als Gefahr gemeldet und waren unbrauchbar. Was kann ich da machen ?

Am besten mit einem sauberen System unter eingeschränkten Benutzerrechten (keine Adminrechte!) potentiell gefährliche Dateien löschen. Das sind ausführbare Dateien wie z.B. *.exe, *.com, *.scr, *.pif etc.
Musik, Filme, Worddokumente und so kannst du auf der Platte lassen.

Dann sind .rar/.zip (mit einer .exe-Datein) nicht gefährdet ?

Zitat:

Zitat von link000

Dann sind .rar/.zip (mit einer .exe-Datein) nicht gefährdet ?

Potentiell sind sie schon gefährlich, denn in den Archiven können verseuchte Executables sein. Am besten du schmeißt alles weg, was nicht koscher aussieht.

ok, danke. Hab mein System neu aufgesetzt und es scheint alles zu gehn.