|
Plagegeister aller Art und deren Bekämpfung: svchost.exe, copy.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
22.06.2008, 07:57 | #1 |
| svchost.exe, copy.exe Hallo, es tut mir wirklich leid, wenn es dieses Thema schon mal gab, habe aber in der Suche nicht wirklich was gefunden bzw. weiß nicht, wonach ich suchen soll. Seit einigen Wochen habe ich schon dieses "svchost.exe nicht gefunden..." Problem. Seit einigen Monaten schon dieses "copy.exe nicht gefunden..." Problem. Ich habe nach den Begriffen gegooglet und Sachen gelesen wie "Dein System ist derart verseucht, formatiere!" Ich hab Fragen, und zwar: -Wie krieg ich das weg? -Der PC gehört nicht mir, sondern meinem Freund. Wichtige Dateien sind bei ihm gespeichert. Meine ext. Festplatte ist angeschlossen. Wenn ich die öffnen will, dann geht das auch nur über "Rechtsklick->Öffnen", sogar auf fremden PCs. Also ist sie auch in irgendeiner Art befallen, oder? -Würde ich die Sachen vom PC auf die ext. HDD kopieren, um den PC zu formatieren, wären sie dann nicht durch meine Platte infiziert? Ach, ich bin ganz aus dem Häuschen. Sowas hatte ich noch nie. LG Jasmin |
22.06.2008, 09:04 | #2 | |
| svchost.exe, copy.exe Hallo zirkumflex und
__________________Zitat:
|
26.06.2008, 13:21 | #3 |
| svchost.exe, copy.exeCode:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:47:01, on 26.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\slserv.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\QuickTime\qttask.exe C:\Programme\VIAudioi\SBADeck\ADeck.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\Last.fm\LastFM.exe C:\Programme\Opera\Opera.exe C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Opera\Opera\profile\cache4\temporary_download\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.hyrican.de R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - G:\Setups\Free Download Manager\iefdm2.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1 O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Alles mit FDM herunterladen - file://G:\Setups\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://G:\Setups\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://G:\Setups\Free Download Manager\dllink.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Videos mit FDM herunterladen - file://G:\Setups\Free Download Manager\dlfvideo.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O14 - IERESET.INF: START_PAGE_URL=h**p://www.hyrican.de O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - h**ps://stream.web.de/mail/activex/mail_upload_11213.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097214908404 O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://static.ak.schuelervz.net/photouploader/ImageUploader4.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game03.zylom.com/activex/zylomgamesplayer.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe -- End of file - 8195 bytes |
26.06.2008, 13:34 | #4 |
| svchost.exe, copy.exe Scan bitte die Datei Code:
ATTFilter C:\WINDOWS\svchost.exe |
29.06.2008, 08:22 | #5 |
| svchost.exe, copy.exe Ich habe jetzt 3 Tage mal zu jeder Tageszeit probiert das Ding hochzuladen, aber es geht einfach nicht. Ich meine, die Datei ist 16 KB los, da kanns ja irgendwie nicht sein, dass das Stunden über Stunden fürs Uploaden braucht, oder? |
30.06.2008, 12:38 | #6 |
| svchost.exe, copy.exe Deaktiviere die Systemwiederherstellung Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP) <- Anleitung Lösche die Datei pass aber auf das du C:\WINDOWS\svchost.exe löschst und nicht die echte svchost und fixe danach mit HijackThis F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe. Danach kannst du die Systemwiederherstellung wieder aktivieren. |
30.06.2008, 12:40 | #7 |
/// AVZ-Toolkit Guru | svchost.exe, copy.exe Mal ein ganz großes STOP ich hier einlegen muss. Die Datei muss ausgewertet werden sonst können wir nicht sicher sein, dass es sich nicht um einen Rbot handelt. Und das wäre äußerst fatal. Gehe also wie folge vor: Fertige eine Kopie der C:\WINDOWS\svchost.exe an und lege diese auf den Desktop. Benne sie um in 123456.exe und schicke diese per Mail an Virustotal. http://www.virustotal.com/metodos.html
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
30.06.2008, 12:55 | #8 |
| svchost.exe, copy.exe Ich bin mir eigentlich ziemlich sicher das es ein Trojan-Dropper.Win32.apl ist, aber wir können auch die Auswertung abwarten. |
18.07.2008, 21:53 | #9 |
| svchost.exe, copy.exe Ich werd das jetzt mal machen. (Jaa, ich weiß, lange Zeit dazwischen.) Aber... Diese Datei gibt es nicht im Ordner "WINDOWS", sie ist im system32 Ordner. Keine Ahnung ob das nun einen Unterschied macht, aber wollte es mal loswerden. Edit: Also ich hab das Ding jetzt durch diesen Online-Scanner durchgejagt bekommen. Code:
ATTFilter PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1002509 timedatestamp.....: 0x41107ed6 (Wed Aug 04 06:14:46 2004) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x2c00 0x2c00 6.29 420df24e201392421fb0026174c3d87c .data 0x4000 0x1f0 0x200 1.61 553c0ebbbc67abab785f2065a062b522 .rsrc 0x5000 0x418 0x600 2.54 2997285df9158db5a62ffb42a2fd0d07 ( 4 imports ) > ADVAPI32.dll: RegQueryValueExW, SetSecurityDescriptorDacl, SetEntriesInAclW, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, InitializeSecurityDescriptor, GetTokenInformation, OpenProcessToken, OpenThreadToken, SetServiceStatus, RegisterServiceCtrlHandlerW, RegCloseKey, RegOpenKeyExW, StartServiceCtrlDispatcherW > KERNEL32.dll: HeapFree, GetLastError, WideCharToMultiByte, lstrlenW, LocalFree, GetCurrentProcess, GetCurrentThread, GetProcAddress, LoadLibraryExW, LeaveCriticalSection, HeapAlloc, EnterCriticalSection, LCMapStringW, FreeLibrary, lstrcpyW, ExpandEnvironmentStringsW, lstrcmpiW, ExitProcess, GetCommandLineW, InitializeCriticalSection, GetProcessHeap, SetErrorMode, SetUnhandledExceptionFilter, RegisterWaitForSingleObject, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, LocalAlloc, lstrcmpW, DelayLoadFailureHook > ntdll.dll: NtQuerySecurityObject, RtlFreeHeap, NtOpenKey, wcscat, wcscpy, RtlAllocateHeap, RtlCompareUnicodeString, RtlInitUnicodeString, RtlInitializeSid, RtlLengthRequiredSid, RtlSubAuthoritySid, NtClose, RtlSubAuthorityCountSid, RtlGetDaclSecurityDescriptor, RtlQueryInformationAcl, RtlGetAce, RtlImageNtHeader, wcslen, RtlUnhandledExceptionFilter, RtlCopySid > RPCRT4.dll: RpcServerUnregisterIfEx, RpcMgmtWaitServerListen, RpcMgmtSetServerStackSize, RpcServerUnregisterIf, RpcServerListen, RpcServerUseProtseqEpW, RpcServerRegisterIf, I_RpcMapWin32Status, RpcMgmtStopServerListening ( 0 exports ) Virustotal. MD5: 65a819b121eb6fdab4400ea42bdffe64 Geändert von zirkumflex (18.07.2008 um 21:59 Uhr) |
18.07.2008, 22:18 | #10 | |
svchost.exe, copy.exeZitat:
Bei der svchost.exe in WINDOWS handelt es sich höchstwahrscheinlich um einen IRC-Bot, du solltest schonmal Datensicherung betreiben.
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
18.07.2008, 22:20 | #11 |
| svchost.exe, copy.exe Hab ich schon. Hier der Scan-Report von dem eMail-Ding. Code:
ATTFilter Complete scanning result of "123456.exe", processed in VirusTotal at 07/18/2008 23:53:15 (CET). [ file data ] * name..: 123456.exe * size..: 14336 * md5...: 65a819b121eb6fdab4400ea42bdffe64 * sha1..: 0dfdee2871427e9c40ec82541156884ff9b4bfa3 * peid..: - [ scan result ] AhnLab-V3 2008.7.17.0/20080718 found nothing AntiVir 7.8.1.11/20080718 found nothing Authentium 5.1.0.4/20080718 found nothing Avast 4.8.1195.0/20080718 found nothing AVG 7.5.0.516/20080718 found nothing BitDefender 7.2/20080718 found nothing CAT-QuickHeal 9.50/20080718 found nothing ClamAV 0.93.1/20080718 found nothing DrWeb 4.44.0.09170/20080718 found nothing eSafe 7.0.17.0/20080703 found nothing eTrust-Vet 31.6.5966/20080718 found nothing Ewido 4.0/20080718 found nothing F-Prot 4.4.4.56/20080718 found nothing F-Secure 7.60.13501.0/20080718 found nothing Fortinet 3.14.0.0/20080718 found nothing GData 2.0.7306.1023/20080718 found nothing Ikarus T3.1.1.34/20080718 found nothing Kaspersky 7.0.0.125/20080718 found nothing McAfee 5342/20080718 found nothing Microsoft 1.3704/20080718 found nothing NOD32v2 3281/20080718 found nothing Norman 5.80.02/20080718 found nothing Panda 9.0.0.4/20080718 found nothing Prevx1 V2/20080718 found nothing Rising 20.53.42.00/20080718 found nothing Sophos 4.31.0/20080718 found nothing Sunbelt 3.1.1536.1/20080718 found nothing Symantec 10/20080718 found nothing TheHacker 6.2.96.381/20080716 found nothing VBA32 3.12.8.1/20080718 found nothing VirusBuster 4.5.11.0/20080703 found nothing Webwasher-Gateway 6.6.2/20080718 found nothing Geändert von zirkumflex (18.07.2008 um 23:19 Uhr) |
Themen zu svchost.exe, copy.exe |
befallen, copy.exe, dateien, festplatte, formatieren, frage, fragen, fremde, fremden, heulen, infiziert, kopieren, krieg, platte, sache, sachen, suche, svchost.exe, system, thema, verseucht, wichtige, wirklich, woche, wochen, öffnen |