Trojan.Agent / c:\WINDOWS\system32\svchosptd.exe

CitizenBlue · 06.05.2011, 13:40

Hallo Liebes Forum!

Habe mal ein wenig hier im Forum umhergesucht, aber bin nicht so recht weiter gekommen - ich habe mein System hier mit Malwarebytes untersucht, es hat auch in der Tat etwas gefunden, nämlich "c:\WINDOWS\system32\svchosptd.exe (Trojan Agent) " das ganze aber "No Action Taken" gekennzeichnet, also lässt Malwarebytes das einfach stehen? Ich weiß dass svchostd.eve wichtig wäre, aber das zusätzliche t darin lässt mich ein wenig zweifeln? Wie schätzt ihr die Lage ein?

Hier das Log, habs mal nicht angehängt falls wirklich irgendwie irgendwas irgendwo sein sollte, sondern direkt als "Zitat" eingefügt!

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6519

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

06.05.2011 14:09:42
mbam-log-2011-05-06 (14-09-38).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 158105
Laufzeit: 2 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\svchosptd.exe (Trojan.Agent) -> No action taken.

markusg · 06.05.2011, 14:20

hi,
erst mal erkläre uns doch, welcher grund liegt für dich vor, einen scan zu machen. welche probleme hat also dein pc?

Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

CitizenBlue · 06.05.2011, 14:58

Hi! Danke für Deine flinke Antwort!
Der Grund für meinen Scan ist, dass seite morgen meine Browser (ich habe FF + Chrome getestet) sehr "stolprig" arbeiten, das heißt sie bleiben hängen, reagieren nicht. Meine anderen Netzwerkanwendungen (Verbindung mit einem anderen Server zb) funktioniert hingegen reibungslos.

Hier die beiden Scanberichte im Anhang

markusg · 06.05.2011, 15:22

wieso konntest du sie nicht anhängen? einfach auf antworten, anhänge verwalten und anhängen.
sehe mir das log an.

CitizenBlue · 06.05.2011, 15:25

Zitat:

Zitat von markusg

wieso konntest du sie nicht anhängen? einfach auf antworten, anhänge verwalten und anhängen.
sehe mir das log an.

seltsam, zip kann ich anhängen, rar nicht. (Nachricht kam dass ich die Datei nicht anhängen kann, ohne Begründung. Hatte das Problem schon mal bei einem anderen V Bulletin Forum)

markusg · 06.05.2011, 15:29

merkwürdig :-)
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

CitizenBlue · 06.05.2011, 15:50

Achtung, jetzt wirds erneut seltsam

Ich kriege folgende Meldungen, wenn ich Combo Fix starte (als Administrator):

Ich komme dann auch nicht weiter, weil immer wieder die gleichen Meldungen aufpoppen, sobald ich zb. OK klicke, oder in Sophos das ganze in Quarantäne verschiebe ^^

p.s. habe auch ein Sophos check gemacht, aber dort gab es keine Ergebnisse.

markusg · 06.05.2011, 16:14

starte den pc im abgesicherten modus ohne netzwerk, bei pc start mit f8 zu erreichen, bei den meisten zu mindest, dort combofix erneut starten

CitizenBlue · 06.05.2011, 16:19

Zitat:

Zitat von markusg

starte den pc im abgesicherten modus ohne netzwerk, bei pc start mit f8 zu erreichen, bei den meisten zu mindest, dort combofix erneut starten

ok danke! Komme leider erst morgen dazu, muss langsam mal zur Arbeit abtanzen ^^

06.05.2011, 15:29	#6
markusg /// Malware-holic	$Trojan.Agent / c:\WINDOWS\system32\svchosptd.exe - Standard$ Trojan.Agent / c:\WINDOWS\system32\svchosptd.exe merkwürdig :-) bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix __________________ --> Trojan.Agent / c:\WINDOWS\system32\svchosptd.exe

Trojan.Agent / c:\WINDOWS\system32\svchosptd.exe

Log-Analyse und Auswertung: Trojan.Agent / c:\WINDOWS\system32\svchosptd.exe