Hallo,

seit mein Freund leztens die Virenwarnungen ignoriert hat und verseuchte Dateien runtergeladen hat, hab ich, wie konnte es anders kommen, ein Problem.
Die Winows Firewall kann nicht mehr gestartet werden.
Auserdem Stürzen einige Spiele nach dem Intro ab.
Und in der Systemseuerung bei den Prozessen wird angezeigt das 6 mal svchost.exe läuft. Hab gelesen das es svchost.exe Viren gibt.
Wie behebe ich das Problem?


MfG Paul

[Edit:] Hab vergessen zu erwänen, dass avast folgende Viren gefunden hat:

Cakemania und theoffice sind die infizierten Spiele

also whenu ist ganz nervige spyware habe allerdings von keinen wirklichen schäden gehört ma sehn was die experten dazu sagen. ACM.dll gehört mit zu savenow spyware genauso wie save.exe. scvhost.exe hatte ich auch mal das war bei mir ein BdT(backdoor trojaner) in dem fall pc neu aufsetzen -.-
wsock32 mpsste eine fehlermeldung sein das kommt bei avast mal vpr bei der datei... aber da kann ich dir auch weniger helfen. also ich wäre aufgrund von scvhost.exe für ein schnelles Neuaufsetzen und passwörter dannach ändern. grade saveu bzw whenu kann sehr hartnäckig sein.

ok werde dan ma auf spyware testen

sync.exe ist ein Prozess, der dem AdShooter.SearchForIt gehört, das Programm durch Search For It Inc bekanntmacht. Dieses process überwacht Ihre Durchstöberngewohnheiten und verteilt die Daten zurück zu den Servers des Autors für Analyse. Dieses fordert auch das Bekanntmachen von popups auf. Dieser Prozess ist ein Sicherheitsrisiko und sollte von Ihrem System gelöscht werden. nochmal dazu. ich hoffe für dich die scvhost.exe ist kein BdT denn das könnte böse enden wenn der hersteller was böses vorhat

Lass dich nicht verrückt machen. Deine svchost.exe schein eine Systemdatei zu sein. Nicht die scvhost.exe, die konnte ich aber bei dir nicht sehen. Poste doch erst einmal ein HijackThis Log, dann können wir ja weiter sehen. Findest du hier mit Anleitung

eine scvhost.exe hat er schon als virus identifiziert und svchost.exe muss nicht immer eine systemdatei sein...
bei mir war die sCVhost.exe jedenfalls ein BdT daher meine warnung

Hi,

nun mal langsam bitte

Der Taskmanager gibt noch nicht mal an, aus welchem Ordner die Dateien gestartet wurden. Wenn eine der svchost.exe nicht in system32 zuhause ist, wäre das ganz schlecht.

Auch bei Avast fehlen Informationen: In welchen Ordnern wurden die Dateien gefunden, was hat Avast in ihnen erkannt? Ok, den Namen nach ist da einiges faul bei. Auch bei Avast sollte man den Scanbericht irgendwo als Text zum kopieren und einfügen finden können.

Und ein HijackThis würde erstmal einen Überblick über das zugrundeliegende System liefern.

Gruß, Karl

ok... hier findet ihr die HIJ Logfile, das avast! Protokoll und den avast! Container

Auserdem hab ich auch noch eine Dekoprimierungsbome gelöscht. Ich weis nicht mehr wie die heist. Tut mir leid. Ich weis aber noch das da eine Taube auf rotem hintergrund auf dem Icon war.

mal ne Frage: Was ist ein BdT?

Die Adware ist ärgerlich aber kein großes Problem. Anders sieht das aus mit "Win32:CiaDoor". Da hast Du dir auf dem System einen Backdoorserver installiert/installieren lassen. Der hat in der Registry einen Eintrag, der für die Windows Firewall wichtig ist, manipuliert, so dass sie nicht mehr funktionieren kann:

Code: Alles auswählenAufklappen

ATTFilter

O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)
         

Ich würde an deiner Stelle neu installieren, denn der Remote-Administrator, der auf diesem System tätig war, hat sicher kein Log hinterlassen, was er alles am System verändert hat. Bei Avast stehen (aus dem Ordner system32) folgende Dateien:

Code: Alles auswählenAufklappen

ATTFilter

kernel32.dll
winsock.dll
wsock32.dll
         

Alle drei sind dem Namen nach (und im Ordner system32) normale Windowsdateien, stellt sich die Frage, wieso Avast die bemängelt hat. Dummerweise steht gerade bei diesen Dateien nicht dabei, welches Problem Avast mit ihnen ausgemacht hat. Da steht der Verdacht im Raum, dass Systemdateien manipuliert wurden.

Also das ganze System nochmal neu Installieren wenn ich das richtig verstanden habe?

Ja, so meine ich das. Und in Zukunft dann keine verseuchten Dateien mehr runterladen und dann sogar noch die Warnung des Scanners ignorieren, wobei ihr euch darüber klar sien müsst, dass der Scanner nicht vor allem warnen wird, es gibt immer eine Menge Dateien, die er nicht erkennt, daraufhin werden die nämlich regelmäßig überarbeitet. Heißt: Nicht auf einen Virenscanner vertrauen und auf Programme aus P2P, Messenger u.ä. verzichten.

Natoll...
das ich die Warnungen nicht ignorieren sollte ist mir schon klar.

Kann ich musik und so mitnehmen oder nicht?

Bzw. Welche Dateien sollte ich nicht mitnehmen?

Danke bis jezt. Obwohl das nicht so tolle Nachrichten sind.

also war die scvhost.exe ja doch ein BdT(backdoor trojaner)! und die svchost kommt natürlich auch ausser system32 auch wenn es ein BdT ist! musik kannste mitnehmen aber überlege welche exe,bat,com,scf dateien du runtergeladen hast und lösch die lieber nzw lad sie mal bei virustotal.com hoch. würde mich mal interessieren inwieweit jemand es geschafft hat einen cia server ud zu machen. was noch sehr wichtig ist ändere nach der neuaufsetzung des system deine gesamten passwörter in firefox,pokern,paypal usw

Ok... hier habe ich mal die links von den Viren gelistet, die runtergeladen wurden und die links von denen wo Ciadoor dranstand.

http://info.prevx.com/aboutprogramtext.asp?PX5=F8E2ECC23383750A1A39036AA1A6460088D0C806

http://info.prevx.com/aboutprogramtext.asp?PX5=41100C6936EE5DC3D02E02849F3EB900C643CD5D

http://fileadvisor.bit9.com/services/extinfo.aspx?md5=e542cc1875d57544eb2382faf41573b1
http://info.prevx.com/aboutprogramtext.asp?PX5=5585E36800A41E0C7E380217ED90BC00D0779C10

http://info.prevx.com/aboutprogramtext.asp?PX5=41100C6936EE5DC3D02E02849F3EB900C643CD5D

Ich habe irgendwo gehört dass wenn man mit eingeschränktem Konto Surft ein gerringeres risiko einer infizierung hat.
Auserdem hab ich mir gedacht wenn ich mit nem Virtuellen PC surfe sind die Viren auch nur Virtuell. Und nachdem ich das Proggramm beendet habe sind se weg. Oder stimmt das nicht.

Zitat:

Zitat von paul93

Ich habe irgendwo gehört dass wenn man mit eingeschränktem Konto Surft ein gerringeres risiko einer infizierung hat.

Richtig. Die Malware, die Du dir dann einsammelst, hat z.B. kein Recht, die Systemverzeichnisse zu beschreiben, Teile der Registry sind ihr nicht zugänglich, usw. Alleridngs gibt es Malware, die auch unter einem eingeschränkten Knto klarkommt, idem sie sich auf die dort zugänglichen Bereiche beschränkt. Tendenziell ist die aber weniger schlimm (Kerneltreiber kann sie nicht isntallieren) und leichter wegzubekommen: Meist reicht es schon aus, das infizierte Konto zu löschen und ein neues anzulegen.

Zitat:

Auserdem hab ich mir gedacht wenn ich mit nem Virtuellen PC surfe sind die Viren auch nur Virtuell. Und nachdem ich das Proggramm beendet habe sind se weg. Oder stimmt das nicht.

Falsch. Die sind dann auch real, aber nur innerhalb des Virtuellen PCs. Dort bleiben sie auch, nachdem Du ihn runterfährst und wieder startest. Allerdings bieten manche Virtualisierungssoftware die Möglichkeit, einen eogenannten Snapshot zu erstellen. auf dne lässt sich das System dann wieder zurücksetzen, das aber komplett. In der Zwischenzeit gespeicherte Dateien, Lesezeichen usw. sind dann ebenfalls weg.

Das Traurige hier aber ist, dass ich aus deinen Zeilen lese, dass Du Infektionen für normal hältst, so als ob sie zum Internet dazugehören. Das ist falsch: Man kann sich im Internet bewegen (sogar auf sehr kritischen Seiten) ohne infiziert zu werden, sogar ohne einen Haufen Sicherheitsoftware.