Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: StayFriends-Fakemail / svchost.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.10.2008, 18:06   #1
EDV
 
StayFriends-Fakemail / svchost.exe - Standard

StayFriends-Fakemail / svchost.exe



Ich habe hier drei PCs (aus unterschiedlichen Netzwerken) die allesamt dieser Fakemail zum Opfer gefallen sind: http://www.trojaner-board.de/62787-scam_mail-deutsch-hoher-qualitaet-malware-nicht-detektierbar.html

Das Problem bei allen Rechnern ist, dass nach der Windowsanmeldung eine Fehlermeldung von Windows kommt die lautet "Dieses Programm wurde aus Sicherheitsgründen geschlossen" - "Name: Microsoft Cabinet Maker".
Diese Meldung kann man wegklicken bis "Das Problem verursachte svchost.exe" kommt. Offenbar handelt es sich aber nicht um die svchost.exe von MS sondern um eine Datei die sich in C:\Programme\Microsoft Commons\ befindet. Laut TotalVirus.com ein Virus.

Wenn man die Fehlermeldung wegklickt kann man über den Taskmanager alle Programme starten, aber der Desktop erscheint nicht. Wenn ich über den Taskmanager die explorer.exe öffne kommt der oben genannte Fehler wieder.

Bisher hat nicht geholfen:
* Systemwiederherstellung (vermutlich ist der Systemwiederherstellungspunkt nicht alt genug)
* Malwarebytes (laut diversen Forenbeiträgen soll der den Virus schon bekämpft haben, hier hat er das Problem aber nicht beseitigt)
* Löschen von C:\Programme\Microsoft Commons\svchost.exe (es kommt zwar dann keine Meldung nach dem Start von Windows, aber beim versuch die explorer.exe zu starten kommt der Fehler wieder und die svchost.exe ist in wieder in dem gerade genannten Ordner wieder zu finden - auch ohne Internetanschluss)
* Mit runalyzer habe ich geschaut welche Programme gestartet werden, alles verdächte habe ich deaktiviert. Die svchost.exe war nicht dabei. Auch die shell scheint korrekt zusein, mit der explorer.exe.


Jemand weitere Ideen?

Danke!




Edit: HiJackThis-Log
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:09:56, on 27.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\E_S00RP1.EXE
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\system32\SAgent4.exe
C:\windows\system32\svchost.exe
C:\windows\system32\wuauclt.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\taskmgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\PROGRA~1\ICQToolbar\toolbaru.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series (Kopie 2)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P36 "EPSON Stylus DX3800 Series (Kopie 2)" /O5 "LPT1:" /M "Stylus DX3800"
O4 - HKLM\..\Run: [Nemobar] C:\PROGRA~1\NemoBar\Nemobar.exe
O4 - HKLM\..\Run: [tsnp2std] C:\windows\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\windows\vsnp2std.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series (Kopie 1)] C:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P36 "EPSON Stylus DX3800 Series (Kopie 1)" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [zzz_ImInstaller_Magentic] C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\ImInstaller\Magentic\magentic_install.exe -startup -product Magentic
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunOnce: [*Restore] C:\windows\system32\restore\rstrui.exe -i
O4 - HKCU\..\Run: [EPSON Stylus DX3800 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P36 "EPSON Stylus DX3800 Series (Kopie 1)" /M "Stylus DX3800" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Programme\IncrediMail\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: Epson Printer Status Agent4 (StatusAgent4) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\SAgent4.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe

--
End of file - 6164 bytes

Geändert von EDV (27.10.2008 um 18:24 Uhr)

Alt 27.10.2008, 22:52   #2
Indiehorst
 
StayFriends-Fakemail / svchost.exe - Standard

StayFriends-Fakemail / svchost.exe



Hallo,
hatte seit Samstag das gleiche Problem, über denTask-Manager kannst du ja noch Programme starten. Ich hab zuerst noch mal bei meinen Virenscanner (Avira) ein Update gemacht, dann einen Komplettscan. Der hat mir dann den Virus gemeldet, über die Meldung wurde mir dann ein Removal-Tool zur Verfügung gestellt. Das hat dann erst mal den Virus entfernt, die Explorer.exe fehlte dann immer noch, hab dann Malwarebytes' Anti-Malware heruntergeladen, und auch hier einen Komplett-Scan gemacht (Dauer über 1 Stunde). Danach lief alles wieder.
__________________


Alt 27.10.2008, 22:57   #3
Indiehorst
 
StayFriends-Fakemail / svchost.exe - Standard

StayFriends-Fakemail / svchost.exe



Hab noch mal dem Avira-Tool gesucht:
AVIRA Presse - Avira warnt vor Trojaner in gefälschten Rechnungen von Stayfriends
__________________

Alt 27.10.2008, 22:59   #4
Indiehorst
 
StayFriends-Fakemail / svchost.exe - Standard

StayFriends-Fakemail / svchost.exe



und hier die Malwarebytes:
Malwarebytes' Anti-Malware 1.30 in Adware & Spyware entfernen - Spyware - Windows | Downloads | ZDNet.de

Ich hoffe, ich konnte dir helfen

Alt 28.10.2008, 19:17   #5
EDV
 
StayFriends-Fakemail / svchost.exe - Standard

StayFriends-Fakemail / svchost.exe



Zitat:
Zitat von Indiehorst Beitrag anzeigen
Hi! Danke für deine Antworten.
Aber ein Removal Tool finde ich unter dem Link nicht, und auch sonst im Internet nicht.


Alt 29.10.2008, 14:16   #6
EDV
 
StayFriends-Fakemail / svchost.exe - Standard

StayFriends-Fakemail / svchost.exe



Also mit AntiVir + Malwarebytes klappt das Entfernen mittlerweile Problemlos.

Alt 29.10.2008, 14:44   #7
arkade
 
StayFriends-Fakemail / svchost.exe - Standard

StayFriends-Fakemail / svchost.exe



Hallo, Ihr da draußen. Das geschilderte Problem hat mir seit letzten Frtg. das Leben vergällt. Aber dank Silent sharK's Lösungsvorschlag ist mein PC wieder online. Schaut doch im selben Forum nach unter "Trojaner TR/Dldr.ibill.bf", da hat Silent shark dank eines Zusatzprogrammes meine Platten geputzt. AntiVir hatte die Viren (bei mir drei verschiedene mit stay friends = TR/Dldr.EbayBill.V; TR/Buzus.hrp; TR/Dldr.iBill.BF.) lediglich identifiziert, aber nicht beseitigt.
Viel Glück!! arkade

Alt 29.10.2008, 22:01   #8
Radiocontrol
 
StayFriends-Fakemail / svchost.exe - Standard

StayFriends-Fakemail / svchost.exe



http://www.trojaner-board.de/62787-scam_mail-deutsch-hoher-qualitaet-malware-nicht-detektierbar.html

Vorneweg, ich denke ich habe ihn fixen koennen. Mein erstes vorgehen nach dem doppelclick auf die Datei war das Netz zu trennen.

Outpost Firewall installiert und nur den Dateien zugriff gewährt die ich kannte. Mittels des "process viewers" konnte ich nachsehen welche dlls die ganzen svchosts in meinem Taskmanager so geladen haben. Unbekannte Dlls sind dementsprechend auch online berprüft worden.

Dann die im Thread genannten Programme genutzt plus eigene AVs.

Die SCR-Datei hatte sich bis hierhin 5mal vervielfältigt allerdings bin ich guter Dinge, dass kein zusäzlicher rootkit runtergeladen wurde.....

Ich empfehle Dir aus diesem Grunde ganz dringend die ausgeführten dlls zu überprüfen und weiterhin zu checken ob du etwas im stealht mitgeladen hast

Alt 04.11.2008, 09:39   #9
Lorei
 
StayFriends-Fakemail / svchost.exe - Standard

StayFriends-Fakemail / svchost.exe



Habe auch Avira und Malwarebytes verwendet mit Ergebnis, dass Malwarebytes einen Registry Eintrag und zwei Dateien gelöscht hat. Nach Neustart ist das scheinbar als Rootkit ausgelegte Mistding wieder da!
Eine Wiederherstellung über XP CD brachte das gleiche negative Ergebnis.

Gibt es nicht ein sicheres Verfahren um dieses Ding zu entfernen?????

Bin sehr dankbar für jede Hilfe!!!!

Lorei

Antwort

Themen zu StayFriends-Fakemail / svchost.exe
alle programme, anschluss, antispyware, antivir, aus sicherheitsgründen, avgnt, avgnt.exe, avira, ctfmon.exe, desktop, einstellungen, ellung, fakemail, fehlermeldung, handel, hijack, hkus\s-1-5-18, iminstaller, install.exe, internet explorer, löschen, microsoft, ordner, problem, programm, programme, rstrui.exe, rundll, sicherheitsgründe, sicherheitsgründen, software, start von windows, starten, svchost.exe, taskmanager, temp, urlsearchhook, usb, windows xp, windows xp sp3, wmp, xp sp3, yahoo




Ähnliche Themen: StayFriends-Fakemail / svchost.exe


  1. URL:Mal auf svchost.exe
    Log-Analyse und Auswertung - 01.03.2015 (11)
  2. Windows 7 - Inkasso Fakemail Datei geöffnet. Verbreitet sich ein getarnter Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 29.08.2013 (15)
  3. 2x | Windows 7 - Inkasse Fakemail Datei geöffnet. Trojaner verbreitet sich?
    Mülltonne - 23.08.2013 (1)
  4. svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 08.06.2012 (33)
  5. svchost.exe ( Svchost Prozess Analyser)
    Log-Analyse und Auswertung - 23.09.2011 (7)
  6. 10x svchost.exe
    Log-Analyse und Auswertung - 13.04.2011 (1)
  7. svchost Virus ! C:\Benutzer\Windows\Install\svchost.exe - WORM/Rebhip.A.318
    Plagegeister aller Art und deren Bekämpfung - 20.01.2011 (1)
  8. svchost.bat? Was ist das?
    Plagegeister aller Art und deren Bekämpfung - 19.01.2011 (43)
  9. Svchost.bat ?
    Plagegeister aller Art und deren Bekämpfung - 13.01.2011 (1)
  10. svchost.exe
    Log-Analyse und Auswertung - 07.12.2010 (1)
  11. TR/Crypt.ZPACK.Gen in C:\Temp\bcot.tmp\svchost.exe , C:\Temp\qmub.tmp\svchost.exe usw
    Plagegeister aller Art und deren Bekämpfung - 12.04.2010 (1)
  12. 10 x svchost.exe
    Log-Analyse und Auswertung - 10.05.2009 (1)
  13. Svchost.exe
    Log-Analyse und Auswertung - 25.02.2009 (3)
  14. svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 26.06.2007 (20)
  15. svchost.exe
    Log-Analyse und Auswertung - 21.05.2007 (1)
  16. 5 svchost.exe!?
    Log-Analyse und Auswertung - 03.04.2005 (5)
  17. svchost.exe
    Log-Analyse und Auswertung - 27.02.2005 (1)

Zum Thema StayFriends-Fakemail / svchost.exe - Ich habe hier drei PCs (aus unterschiedlichen Netzwerken) die allesamt dieser Fakemail zum Opfer gefallen sind: http://www.trojaner-board.de/62787-scam_mail-deutsch-hoher-qualitaet-malware-nicht-detektierbar.html Das Problem bei allen Rechnern ist, dass nach der Windowsanmeldung eine Fehlermeldung von - StayFriends-Fakemail / svchost.exe...
Archiv
Du betrachtest: StayFriends-Fakemail / svchost.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.