Liebe Forengemeinde,

ich musste heute feststellen, das mein PC wohl doch einige Viren abbekommen hat. Ich suche bereits stundenlang in google, aber nirgends konnte ich wirkliche Hilfe ausfindig machen.

Folgendes:

Ich habe immer 1 bis 3 svchost.exe Dateien im Taskmanager aktiv, welche allerdings nicht dem System 32 Ordner angehören. Es sind also Viren.
Zu finden ist die svchost.exe Datei unter C:\Windows\Realtek\svchost.exe
Als Symbol ein Jpeg-Bild.
Als ich versuchte den ganzen Ordner mit dem Programm "unlocker" zu löschen, kam folgende Meldung:



Erst nun stieß ich darauf, das die Datei scheinbar einen anderen Hintergrund hat. Googeln ergab erneut nicht viel. Nur das die dat-datei wohl Tastatur eingaben speichert?

Ich bin völlig planlos, wie nun vorgehen?
Ich habe auch bereits hijack benutzt. Bei einer automatischen Auswertung wurde ich darauf gestoßen, das wie erwähnt, 3 svchost dateien nicht im system32 ordner liegen.

Weder Ordner noch Datei löschbar.
Beende ich die 3 svchost und dann den iexplorer, kommt ein bild von jemanden und die 3 svchost sind wieder hergestellt.

Was tun?

Lieben dank im Vorraus für Antworten.

Samtpfote

Hi Samtpfote
Lass die Dateien, die du meinst mal von VirusTotal - Free Online Virus and Malware Scan überprüfen, damit geklärt ist, um welche Infektion es sich handelt.
Sagt dein AV nichts?
Erstell doch mal bitte ein HijackThis Logfile

mfg

Die klog.dat gehört zu dem Bifrost Backdoor.
Jemand hat Remote Zugriff auf Deinen Rechner, Du solltest ihn Neuaufsetzen.

Hallo ihr zwei,

mein AntiVir hat ganz genau "nichts" dazu gesagt. Kompletten Scan gemacht, aber er hat nichts gefunden.

Die Hijack habe ich mal angehangen und bereits zu erkennen:
C:\Windows\Realtek\svchost.exe


Grüße,
Samtpfote

Lade die Datei

C:\Windows\Realtek\svchost.exe

bei VirusTotal - Free Online Virus and Malware Scan hoch und poste das Ergebnis hier.

Da stand nun folgendes, meinst du das?:

Die Datei wurde bereits analysiert:
MD5: a2d634c9554098bfe17b4a742592d9be
First received: 2008.06.19 01:25:02 (CET)
Datum 2008.06.19 02:46:03 (CET) [+1D]
Ergebnisse 9/33
Permalink: analisis/8a69a3f581eba6aa90dd2f621b856370

Nein Samtpfote
du musst das posten, was die Antivirenprogramme anzeigen.
der Text darunter

Oh, natürlich..
Nun besser?


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.19.0 2008.06.18 -
AntiVir 7.8.0.55 2008.06.18 -
Authentium 5.1.0.4 2008.06.18 W32/Heuristic-KPP!Eldorado
Avast 4.8.1195.0 2008.06.18 Win32:Buzus-IO
AVG 7.5.0.516 2008.06.19 -
BitDefender 7.2 2008.06.19 -
CAT-QuickHeal 9.50 2008.06.18 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.06.19 -
DrWeb 4.44.0.09170 2008.06.18 -
eSafe 7.0.15.0 2008.06.18 -
eTrust-Vet 31.6.5886 2008.06.19 -
Ewido 4.0 2008.06.18 -
F-Prot 4.4.4.56 2008.06.18 W32/Heuristic-KPP!Eldorado
F-Secure 6.70.13260.0 2008.06.18 -
Fortinet 3.14.0.0 2008.06.18 -
GData 2.0.7306.1023 2008.06.18 Win32:Buzus-IO
Ikarus T3.1.1.26.0 2008.06.19 Virus.Win32.Buzus.IO
Kaspersky 7.0.0.125 2008.06.18 Heur.Backdoor.Generic
McAfee 5320 2008.06.18 -
Microsoft 1.3604 2008.06.19 -
NOD32v2 3198 2008.06.18 -
Norman 5.80.02 2008.06.17 -
Panda 9.0.0.4 2008.06.18 -
Prevx1 V2 2008.06.19 Malicious Software
Rising 20.49.22.00 2008.06.18 -
Sophos 4.30.0 2008.06.19 -
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.19 -
TheHacker 6.2.92.354 2008.06.18 -
TrendMicro 8.700.0.1004 2008.06.18 -
VBA32 3.12.6.7 2008.06.18 -
VirusBuster 4.3.26:9 2008.06.12 -
Webwasher-Gateway 6.6.2 2008.06.18 Win32.Malware.gen!94

Bitte lasse Deine Datei einmal scannen, auch wenn VT sagt das die Datei schon mal gescannt wurde. Poste das Ergebnis dann hier.

Danke
Ich hab keine Ahnung, wieso nur 9 von 33 AV was finden. x,x
Warte mal ab, was BataAlexander dazu meint
mfg

Achsooo.. sry, sehe jetzt erst, das er noch meine Datei noch gar nicht richtig scannte.

Datei svchost.exe empfangen 2008.06.20 13:55:40 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 10/33 (30.31%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.19.0 2008.06.20 -
AntiVir 7.8.0.59 2008.06.20 -
Authentium 5.1.0.4 2008.06.20 W32/Heuristic-KPP!Eldorado
Avast 4.8.1195.0 2008.06.19 Win32:Buzus-IO
AVG 7.5.0.516 2008.06.19 -
BitDefender 7.2 2008.06.20 -
CAT-QuickHeal 9.50 2008.06.19 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.06.20 -
DrWeb 4.44.0.09170 2008.06.20 -
eSafe 7.0.15.0 2008.06.19 -
eTrust-Vet 31.6.5890 2008.06.20 -
Ewido 4.0 2008.06.20 -
F-Prot 4.4.4.56 2008.06.19 W32/Heuristic-KPP!Eldorado
F-Secure 7.60.13501.0 2008.06.20 -
Fortinet 3.14.0.0 2008.06.20 -
GData 2.0.7306.1023 2008.06.20 Win32:Buzus-IO
Ikarus T3.1.1.26.0 2008.06.20 Virus.Win32.Buzus.IO
Kaspersky 7.0.0.125 2008.06.20 Heur.Backdoor.Generic
McAfee 5321 2008.06.19 -
Microsoft 1.3604 2008.06.20 Backdoor:Win32/Bifrose.AE
NOD32v2 3202 2008.06.20 -
Norman 5.80.02 2008.06.19 -
Panda 9.0.0.4 2008.06.19 -
Prevx1 V2 2008.06.20 Malicious Software
Rising 20.49.42.00 2008.06.20 -
Sophos 4.30.0 2008.06.20 -
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.20 -
TheHacker 6.2.92.355 2008.06.19 -
TrendMicro 8.700.0.1004 2008.06.20 -
VBA32 3.12.6.7 2008.06.19 -
VirusBuster 4.3.26:9 2008.06.12 -
Webwasher-Gateway 6.6.2 2008.06.20 Win32.Malware.gen!94 (suspicious)

Ok Dein System ist mit einem Backdoor infiziert. Der Keylogger hat Deine Passwörter mitgeloggt.
Um sicherzugehen die Infektion zu entfernen musst Du Neuaufsetzen.

Wenn Du einen anderen Rechner zur Verfügung hast ändere dort die Zugangsdaten für:

• Webmail Account
• Spiele Accounts
• Pay Pal
• Ebay und andere Auktionshäuser
• einfach alle auf diesem Rechner genutzten Logins
• Wenn Du OnlineBanking auf dem Rechner betrieben hast, prüfe die Kontobewegung auf Unregelmäßigkeiten

Okay, werde ich tun.

Vielen dank für die Hilfe

System neu aufsetzen heißt dann komplettes formatieren aller festplatten und schließlich auch Windows Vista wieder neu installieren?

Samtpfote

Folge der Anleitung: http://www.trojaner-board.de/51262-a...sicherung.html
mfg