Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   svchost.exe.exe: wie entfernen? (https://www.trojaner-board.de/41266-svchost-exe-exe-entfernen.html)

Holger2.0 24.07.2007 09:44

svchost.exe.exe: wie entfernen?
 
Hallo,
ich habe ein akutes Problem. Auf meinem PC hat sich der Schädling "scvhost.exe.exe" breitgemacht. Laut Analyse durch Virus-Total handelt es sich um einen Schädling. Er hat auch gleich meinen AntivirGuard ausgeknipst.
Das Analyseergebnis sieht aus wie unten gezeigt.

Ich bin jetzt ratlos: Antivirensoftware ausgeschaltet und per Hand nicht zu entfernen.
Was kann ich jetzt noch tun?

Dankbar für jeden Tipp

Holger
http://www.osnoxe.de/virusmeldung.jpg

Franz1968 24.07.2007 11:46

Hallo,
das sieht nicht erfreulich aus. Unter welchem Pfad wurde denn die svchost.exe.exe (scvhost.exe.exe?) gefunden?

Poste bitte ein HijackThis-Logfile nach Anleitung, wie sie in den FAQ zu finden ist. Benenne aber vorher die hijackthis.exe um, z. B. in hjt.exe
(Auch wenn der Schädling vermutlich nicht im HJT-Logfile auftauchen wird).

Poste zusätzlich ein Logfile von Silentrunners. Gehe dabei nach KarlKarls Anleitung vor:
Zitat:

Zitat von KarlKarl
Lade SilentRunners von dieser Seite auf den Desktop runter. Alle Programme schließen und SilentRunners starten. In der Abfrage "nein" wählen, damit die "supplementary searches" ebenfalls ausgeführt werden. Die weitere Abfrage mit "ja" bestätigen. Nun warten, bis SilentRunners mit einem Fenster bestätigt fertig zu sein, dies kann einige Zeit dauern. Das Logfile findest Du danach auf dem Desktop. Dessen Inhalt posten.

Drittens solltest du die bereits bei Virustotal überprüfte Datei an einige AV-Hersteller zur Analyse einsenden, z. B. an Avira, Kaspersky, Panda, NOD. Erstens, um die Malware zu identifizieren; zweitens, um spätere potenzielle Opfer zu schützen, indem die Signaturen der Malware in die Datenbanken der AV-Hersteller aufgenommen werden. Auch zum Einsenden gibt es eine Anleitung in den FAQ des Boards.

Schneller sollte es gehen, wenn du die Datei bei Norman hochlädst (oben rechts auf der Seite auf "submit file" klicken). In diesem Fall solltest du per Mail ein Ergebnis bekommen, das du bitte hier postest.

Schließlich solltest du den befallenen Rechner möglichst vom Internet trennen (Netzwerkkabel ziehen!), denn dass dein AV-Guard ausgeschaltet wird, lässt darauf schließen, dass du nicht mehr der Herr deines Systems bist.

Holger2.0 24.07.2007 15:10

Danke Franz.
ICh habe zwischenzeitlich die antivirustools von Ikarus geladen und die zeigten den Schädling an und entfernten ihn auch.
So hoffe ich, dass der Trojaner nun beseitigt ist.
(Allerdings haben die auch noch zig andere Dateien gefunden, die definitiv keine Viren sind, aber als solche benannt werden.)

Holger

Franz1968 25.07.2007 11:51

Zitat:

Zitat von Holger2.0 (Beitrag 282121)
ICh habe zwischenzeitlich die antivirustools von Ikarus geladen und die zeigten den Schädling an und entfernten ihn auch.

Und als was zeigten sie ihn an?
Zitat:

(Allerdings haben die auch noch zig andere Dateien gefunden, die definitiv keine Viren sind, aber als solche benannt werden.)
Das klingt arg nach Rosinenpickerei: Du vertraust darauf, dass dein AV-Programm Schädlinge entfernt, traust ihm aber nicht zu, sie als solche zu erkennen. Auf nähere Details bin ich gespannt.

Holger2.0 25.07.2007 13:51

Zitat:

Zitat von Franz1968 (Beitrag 282279)
Und als was zeigten sie ihn an?

Gute Frage. ICh habe nur gesehen, dass die Datei als Trojaner/Wurm erkannt wurde, (ich glaube irgendwas mit love?).

Zitat:

Zitat von Franz1968 (Beitrag 282279)
Das klingt arg nach Rosinenpickerei: Du vertraust darauf, dass dein AV-Programm
Schädlinge entfernt, traust ihm aber nicht zu, sie als solche zu erkennen. Auf nähere Details bin ich gespannt.

Hihi, das stimmt wohl, auf den ersten Blick sieht das ziemlich unprofessionell aus (nicht, das ich sonst besonders professionell wäre...)
Also, die Sache war folgende: Meine gute Firewall meldete just: "scvhost.exe.exe verlangt Netzwerkzugriff". Na holla, dachte ich, das ist ja wohl klar. Mit der svchost.exe hatte ich mich schon mal beschäftigt, aber eine exe.exe konnte nur was mieses sein.
Also die Datei gesucht und manuell mit meiner Standardsoftware (AVIRA Antivirus Premium) überprüft. Kein Virus erkannt. (Das mag, wie ich mir heute denke, wohl auch daran gelegen haben, dass sie im Speicher geladen war. Später (jedenfalls fiel es mir erst später auf, war dann auch mein Virenschild deaktiviert. Mag aber Zufall gewesen sein.)
Jedenfalls habe ich die datei dann bei Virustotal hochgeladen und testen lassen. Im Ergebnis erkannten nur zwei Programme die Datei als Schädling, eines davon war Ikarus. Das wiederum gibt es als 30 Tage-Trial und so lud und installierte ich es, denn es konnte den Schädling ja erkennen und entfernen.
EIn Systemscan brachte dann noch zig angebliche weitere Schädlinge zutage. Das waren (ungefähr vierzig) Wiederherstellungsdateien (A1234546.exe usw. aus dem System Volume Ordner) und eine Menge exe-Dateien, die ich entweder selbst installiert hatte oder deren Install-Files noch auf der Platte lagen. Außerdem Updates von Paradox-Programmen usw., aber alles Files aus verlässlichen Quellen, die ich z.T. schon sehr lange im Einsatz habe.
Bei Tests hat Ikarus auch nur eine sehr mittelmäßige Erkennungsquote. Daher flog das Programm auch gleich wieder runter von der Platte und mein (bis dahin) bewährtes AVIRA kam wieder drauf.
Ja, so ist das gewesen. Nenn' es ruhig Rosinenpickerei... :-)

Franz1968 26.07.2007 16:07

Hast du denn den identifizierten und entfernten (?) Schädling mal zur Analyse eingesandt? Und für den Fall, dass Ikarus richtig liegt: Hast du dich hier im Forum oder anderswo mal über die Konsequenzen eines Backdoor-Befalls informiert?

Holger2.0 26.07.2007 16:10

Eingesandt: ja.
Analyse läuft wohl noch.

Konsequenzen: System neu aufspielen.
Darauf freue ich mich schon...

Franz1968 26.07.2007 16:22

Für den Fall, dass du noch auf das Analyse-Ergebnis wartest, hoffe ich bzw. empfehle dir, dass du mit dem betroffenen Rechner nicht mehr online gehst.


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:31 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131