|
Malware und Backdoor Hi, also hab letztens leider ne gedownloadete DAtei geöffnet, die brahcte nur ne Fehlermeldung. Der Antivir Guard hat nix erkannt udn beim Scan der Datei au nix. Aber Bitdefender hat dann irgendwas mit Generic.Malware und Backdoor.Ciaoo oder so gefunden. hab dann ganze Platte gescannt, und alles infizierte gelöscht. Eines der beiden Dinger hat meinen Taskmanager und Regedit gesperrt. Kam immer nur "Der taskmanager wurde durch den Admin dekativiert". Hab ich aber wieder hingekriegt, dank Tune Up Registry Editor. Glaub aber trotzdem nicht das jetz alles runter is. Würde mich freuen wenn sich mal jemand meinen HiJack Log anguckt und mir sagt was davon noch schädlich sein könnte. Thx im Vorraus ------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 11:42:46, on 12.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\netdde.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Bluetooth\BTNtService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ASUS\WLAN Card Utilities\Center.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe C:\Programme\ATI Technologies\Omega\ATI Tray Tools\atitray.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe c:\programme\softwin\bitdefender free edition\bdmcon.exe C:\Programme\iTunes\iTunes.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\ICQLite\ICQLite.exe C:\Dokumente und Einstellungen\God of GTA\Desktop\HighJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Sinnloser Text F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Control Center] C:\Programme\ASUS\WLAN Card Utilities\Center.exe O4 - HKLM\..\Run: [Norton] C:\Programme\ASUS\WLAN Card Utilities\NorExec.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\ATI Technologies\Omega\ATI Tray Tools\atitray.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Autostart.lnk = ? O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Sys tem, DisableRegedit=1 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{811A9836-2C4A-4180-8532- 82CB8AAC8B66}: NameServer = 192.168.1.200 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\Bluetooth\BTNtService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) |
Servus! Sieht ja nicht besonders aus. Lass´ mal folgende Datei Zitat:
Sollte beides nichts bringen, kopiere die Datei in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur. Achte bei den angegebenen Dateinamen auf die genaue Schreibweise und den exakten Pfad! Und wenn's wirklich ein Backdoor gewesen ist, nützt Dir das Löschen nicht wirklich - suche mal hier im board zum thema backdoor! stupormundi |
hat bei beiden Links nichts gefunden. Aber bei eScan hat er folgendes gebracht: Wed Apr 12 14:07:28 2006 => Offending Folder found: F:\Musik\midnight oil Wed Apr 12 14:07:37 2006 => Object "midnight oil Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. F:\Download\tools\I-net\Sicherheitszeug\anonym surfen\cookiecooker201.exe Wed Apr 12 15:20:15 2006 => Datei F:\Download\tools\I-net\Sicherheitszeug\anonym surfen\cookiecooker201.exe markiert als not-a-virus:NetTool.Win32.STunnel.404. Keine Aktion vorgenommen. Sonst finden weder AntiVir, BitDefender noch Ad-Aware was. Hoffe das System endlich wieder sauber is. |
Also dass diese Datei Zitat:
Versuche es bitte noch einmal und poste die ganze Meldung von Jotti/virustotal! stupormundi |
Also die "C:\WINDOWS\system32\scvhost.exe" gibts nicht mehr, die hat Bitdefender gelöscht. Die richtige Windatei svchost.exe gibts noch, un dis überall als Virenfrei durchgekommen. Der Eintrag "C:\WINDOWS\system32\scvhost.exe" in der registry is von Tune Up Utilities 2006 bei der Registrierungsprüfung als üngültig gelöscht worden. Hoffe das wars jetz endlich :schmoll: |
Datei: SCVHOST.EXE-2C8D7CBA.pf Auslastung: 0% 100% Status: OK Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden -------------------------------------- So das war das einzige was noch von der Datei zu finden war, abere wie oben zu shene nicht infiziert. :party: |
ich glaub ich hab immer noch nich alle Schäden behoben, denn die systemwiederhersttlung kann ichnicht mehr aktivieren, also die Registerkarte bei dne eigenschaften vom Arbeitszplatz fehlt. und in der Registry find ich den Eintrag ne wo ichs wieder aktivieren kann. :heulen: |
Bei der Datei scvhost.exe - nicht zu verwechseln mit svchost.exe - könnte es sich um eine Rbot-Variante handeln. http://www.sophos.de/virusinfo/analyses/w32rbotek.html Mit dem Löschen dieser Datei ist es nicht getan. Ein Neuaufsetzen des Systems inkl. vorheriges Formatieren der Systempartition würde den Schädling definitiv beseitigen. Du könntest nach allen Regeln der Kunst versuchen, das System zu bereinigen, doch es besteht immer das Risiko, dass Malware unentdeckt bleibt. Daher ist das Neuaufsetzen die bessere und auch in den meisten Fällen schnellste Alternative. |
Hm...komm ich wohl ne drumrum, wer weiß was der noch verändert was ich bis jetz noch ne gemerkt hab Danke für die Hilfe |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:59 Uhr. |
Copyright ©2000-2025, Trojaner-Board