|
Log-Analyse und Auswertung: svchost.exe|Verbindet sich zu VIELEN IP´sWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
28.05.2009, 12:52 | #16 |
| svchost.exe|Verbindet sich zu VIELEN IP´s Mir ist gerade ein Fehler aufgefallen EDIT: Funktion ging irgendwie auch nicht http://bleikrone.de/log.txt http://bleikrone.de/info.txt |
28.05.2009, 15:54 | #17 |
| svchost.exe|Verbindet sich zu VIELEN IP´s Port 25, du versendest wie ein Weltmeister Spams. Trenne grundsätzlich die Verbindung zum Internet, falls du sie nicht zwingend brauchst, sonst wird es dir bald gehen wie dem hier => http://www.trojaner-board.de/66946-r...infiziert.html (Punkt 1)
__________________1.) Deinstalliere
2.) Starte HJT => Do a system scan only => Markiere: Code:
ATTFilter Alle R0, R1, O3, O9, O16 und O20-Einträge O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') Warnung! Benutzung des Scriptes auf eigene Gefahr. Ich lösche alles, das ich nicht kenne. Falls nach dem Script keine Besserung eintritt => Neuinstallation 3.) Scripten mit Combofix
Code:
ATTFilter KILLALL:: Driver:: a58cadbc ah66ppwl MHN Registry:: [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\bfbbpmpa] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Google Update"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] Folder:: C:\Programme\Spybot - Search & Destroy C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy C:\Config.Msi C:\Programme\altbinz C:\rsit C:\Dokumente und Einstellungen\bown\Lokale Einstellungen\Anwendungsdaten\Google\Update C:\Programme\ApexDC++ File:: C:\WINDOWS\system32\Log.txt C:\WINDOWS\system32\bfbbpmpa.dll C:\WINDOWS\tasks\AppleSoftwareUpdate.job C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1060284298-507921405-682003330-1003.job DirLook:: C:\Programme\aaa C:\Programme\QuickPar
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas
__________________ |
28.05.2009, 18:40 | #18 |
| svchost.exe|Verbindet sich zu VIELEN IP´s__________________ |
28.05.2009, 18:53 | #19 |
| svchost.exe|Verbindet sich zu VIELEN IP´s Da ist er. Du hattest da noch einen zweiten RAT (SubSeven), von dem dich allerdings Spybot bewahrt hat (oder auch nicht). Dem Rechner wirst du nie wieder vertrauen können. Scripten mit Combofix
Code:
ATTFilter KILLALL:: Registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\vphou] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"=- [-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=- "UpdatesDisableNotify"=- File:: c:\windows\system32\vphou.exe
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
28.05.2009, 20:06 | #20 |
| svchost.exe|Verbindet sich zu VIELEN IP´s Hui, aber warum werd ich ihm nie wieder trauen können? Aber er ist mein bester Freund *haha* warn witz ^^ http://bleikrone.de/log.txt |
28.05.2009, 20:10 | #21 |
| svchost.exe|Verbindet sich zu VIELEN IP´s Entweder das falsche Log oder das falsche Script. ciao, andreas p.s.: Das richtige findest du mit: Start => Ausführen => c:\combofix.txt => OK.
__________________ --> svchost.exe|Verbindet sich zu VIELEN IP´s Geändert von john.doe (28.05.2009 um 20:42 Uhr) |
28.05.2009, 21:58 | #22 |
| svchost.exe|Verbindet sich zu VIELEN IP´s |
28.05.2009, 22:10 | #23 |
| svchost.exe|Verbindet sich zu VIELEN IP´s 1.) Was meldet NetLimiter? 2.) Deaktiviere den Wächter von NOD32. 3.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir den Link als PN. 4.) Aktiviere den Wächter von NOD32. 5.) Erstelle ein Filelisting.
6.) GMER - Rootkit Detection
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
29.05.2009, 16:55 | #24 |
| svchost.exe|Verbindet sich zu VIELEN IP´s NetLimiter zeigt immer noch an das er verbinden will, aber hab den Port bzw. die Verbindung erstmal gekappt von dem Dienst svchost.exe hier die txt. datein ich denk mal du wirst jetzt schon bei deiner Freundin sein Ich wünsch dir ein erholsames verlängertes Wochenende ; ) http://bleikrone.de/gmer.txt http://bleikrone.de/listing.txt |
29.05.2009, 17:07 | #25 |
| svchost.exe|Verbindet sich zu VIELEN IP´s Warum hast du die listing.txt editiert? ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
29.05.2009, 18:02 | #26 |
| svchost.exe|Verbindet sich zu VIELEN IP´s Wie meinst Editiert Oo ? hab einfach das listinig.txt aufm Server gehauen hab damit nichts gemacht. |
29.05.2009, 18:10 | #27 |
| svchost.exe|Verbindet sich zu VIELEN IP´s Windows benutzt als Zeilenendekennung 0d 0a, so ist es auch im gmerlog zu sehen, aber im listing.txt ist nur 0a. Das ist unter Unix/Linux üblich, wird allerdings auch von einigen Editoren benutzt, aber weder das ursprüngliche Listing noch das evtl. benutzte Listing von Notepad benutzen 0a sondern 0d 0a. Ergo: Da hat jemand editiert und ich wüsste jetzt gerne warum. Das ist mir übrigens aufgefallen, als ich die Links angeklickt habe. Beim Gmerlog hat Opera das als Textdatei angezeigt, bei listing.txt kam die Speicherndialogbox, weil Opera mit nur 0a nichts anfangen konnte. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
29.05.2009, 21:05 | #28 |
| svchost.exe|Verbindet sich zu VIELEN IP´s Oo Bahnhof... ich werd sofort alles beide nochmal machen, und nochmal Posten, |
30.05.2009, 06:45 | #29 |
| svchost.exe|Verbindet sich zu VIELEN IP´s So , habs nochmal gemacht, genauso wie ichs gestern gemacht hatte hoffentlich fehlt nichts. http://bleikrone.de/gmer.txt http://bleikrone.de/listing.txt |
01.06.2009, 15:31 | #30 |
| svchost.exe|Verbindet sich zu VIELEN IP´s 1.) Blacklight ausführen und Logfile posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!) 2.) Führe SUPERAntiSpyware nach dieser Anleitung aus und poste das Log: http://www.trojaner-board.de/51871-a...tispyware.html 3.) CureIT Dr.Web
4.) Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation5.) Überprüfe den Rechner mit dem AVP-Tool sowie mit PrevXCSI. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
Themen zu svchost.exe|Verbindet sich zu VIELEN IP´s |
abgesicherten modus, antivirus, bho, bonjour, counter-strike source, crypt, cyberghost, dateien, desktop, dr.web, eset nod32, explorer, hijack, hijackthis, hkus\s-1-5-18, hotkey, internet explorer, malwarebytes, messenger, micro, microsoft, mozilla, mozilla thunderbird, opera, problem, programme, software, sp3, system, tuneup.defrag, updates, windows, windows xp |