|
HILFE!!!!W32/Jeefo-A***C:\<Windows>\svchost.exe Hallo zusammen! Problem, wie folgt: C:\<Windows>\svchost.exe entdeckt, 2 mal in der Auswertung...Nach einigem gestöber hier und auf anderen Hilfeseiten schien es wohl der Win32/Jeefo-A zu sein......Behandelt mit: Windows Disinfector JEEFOGUI ist ein Disinfector für einzelne Windows-Computer. * Öffnen Sie JEEFOGUI * Starten Sie es. (Hier hieß es dann Resolve for win32/jeefo-A) * Klicken Sie dann auf GO. Wie beschrieben dateien behandelt.....Hier schien alles noch stabil zu sein..hijacklog eine der C:\<Windows>\svchost.exe war weg. Dann weiter mit sophos anti-virus 6.5.6 gescannt....knapp 460 infizierte .exe Das kam mir zu diesem Zeitpunkt zwar schon Spanisch vor....weil einiges dabei war bei demich dachte das kann wohl kaum sein...nun ich hab´s dummerweise dennoch gelöscht....hmmm und somit wohl sämtliche Dinge die doch noch wichtig waren.... Microsoft Windows-Tool zum Entfernen bösartiger Software (KB890830) hat natürlich nichts genutzt... Die svchost.exe die nicht in system32 lief ist zwar weg, aber unter start>>SUCHE >>sind nun SVCHOST.EXE-3530F672.pf und SVCHOST.EXE-16C7D411>>im Ordner C:\Windows\prefetch Probleme seitdem: Unter anderem....neben der Darstellung der Desktop-Icons und der generellen Icons.... zip.dateien liesen sich nicht mehr öffnen... als ich erneut hijacklog versuchte...winrar deinstalliert und wieder neu installiert seitdem funktioniert das wieder.... Msi Installer.....nix geht mehr>>>>Wollte spiel linstallieren: Fehler bei der komponentenübertragung>>>1603 schwerer Fehler bei der Installation.... Ansonsten noch erledigt: security-check.ch>>>ist gemacht Keine neuen Windows-updates verfügbar.. Der sophos-anti-Virus zeigt weiterhin ununterbrochen infizierte .exe Dateien an......ich hab ihn nun gestoppt da ich nicht noch mehr löschen wollte... Eines der ersten Hijacklog´s: [Y] Logfile of HijackThis v1.99.1 - [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA [/edit] |
Halli hallo. Das hört sich aber wirr an.. ^^ Um einen Überblick über dein System zu bekommen poste doch bitte ein brand-frisches Hijackthis log und führe einen eScan durch. Anleitung dazu findest du in meiner Signatur verlinkt. Gruß Undoreal |
Zitat:
Zitat:
Gehe vor wie undoreal es beschrieben hat. |
mein eScan ist soooo lang 10,5 kb im Worddokument...es waren 521 infizierte Dateien....In welcher form kann ich das hier am besten posten?? Als Anhang??Oder aufteilen? |
Zitat:
Selbst wenn nur die hälfte davon stimmen würde, wären es eindeutig zu viele. An deiner Stelle würde ich das System neu aufsetzen und anschließend absichern. :crazy::crazy: |
*lol Jan....Naja ich weigere mich strikt;)....So lange ich nicht alles versucht hab....Außerdem würde ich grundsätzlich gern wissen was das um Himmelswillen überhaupt ist :crazy: |
Nana, nun mal langsam mit de Pferde... Lies bitte die eScan Anleitung noch einmal genau durch und werte das log mit Hilfe der find.bat aus. Das entstandene log postest du dann.. mfg Undoreal |
Nun das kann ich mir noch 10 mal durchlesen...an der länge ändert das nichts..(hab´s auch nochmal wiederholt).sollte ich es demnach aufteilen??oder anhängen? |
Du kannst das Textfile hier als Anhang einfügen - bis 19,5 KB sind erlaubt. |
So nun versuche ich das nochmal mit dem Hijacklog ....ich hoffe ich hab das diesmal alles richtig gemacht...... Also aktueller Log: Logfile of HijackThis v1.99.1 Scan saved at 19:27:33, on 9.9.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wpabaln.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\deepmixx\LOKALE~1\Temp\Rar$EX00.693\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [VC5Player] C:\Programme\HHVcdV5Sys\VC5Play.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing) O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe O23 - Service: Sophos AutoUpdate Service - Sophos Plc - c:\Programme\Sophos\AutoUpdate\ALsvc.exe O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Programme\HHVcdV5Sys\VC5SecS.exe JEN |
Hmm.. Das Logfile sieht ein wenig mager aus. 12 laufende Systemprozesse, imho stimmt da irgendwas nicht. Nimm mal diese Datei zum Erstellen eines Logs - denn manche Schädlinge beeinflussen HJT bei der Erstellung, was bei dieser in pruefung.com umbenannten Hijackthis-Datei hoffentlich nicht passiert. |
Also nochmal alles auf Anfang: Hier natürlich ein Hijackthis-log (das NICHT im abgesicherten Modus gemacht wurde) *lol : Logfile of HijackThis v1.99.1 Scan saved at 20:13:00, on 9.9.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe c:\Programme\Sophos\AutoUpdate\ALsvc.exe C:\Programme\HHVcdV5Sys\VC5SecS.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\HHVcdV5Sys\VC5Play.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\Sophos\AutoUpdate\ALMon.exe C:\Programme\Virtual CD v5\System\VC5Tray.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wpabaln.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\DOKUME~1\deepmixx\LOKALE~1\Temp\Rar$EX00.582\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [VC5Player] C:\Programme\HHVcdV5Sys\VC5Play.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing) O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe O23 - Service: Sophos AutoUpdate Service - Sophos Plc - c:\Programme\Sophos\AutoUpdate\ALsvc.exe O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Programme\HHVcdV5Sys\VC5SecS.exe JEN |
Sauber. :) das sieht schon besser aus.. Suche bitte wie in meiner Signatur beschrieben nach folgender Datei: " C:\WINDOWS\svchost.exe " poste die Eigenschaften und lasse sie online überprüfen auf VT. mfg Undoreal |
Findet bei suchen nur: Name: SVCHOST.EXE-3530F672.pf ort: C:\WINDOWS\Prefetch Name: SVCHOST.EXE-16C7D411 ort: C:\Windows\prefetch Name: svchost Ort: C:\WINDOWS\system32 Beschreibung: Generic Host Process for Win32 Services Dateityp: Anwendung Ort: C:\WINDOWS\system32\dllcache Beschreibung: Generic Host Process for Win32 Services Dateityp: Anwendung Habe alles mit VT getestet ohne Ergebnis... ?????? Es wurden ja schon einige exe gelöscht durch den sophos Windows Disinfector JEEFOGUI ist ein Disinfector für einzelne Windows-Computer. * Öffnen Sie JEEFOGUI * Starten Sie es. (Hier hieß es dann Resolve for win32/jeefo-A) * Klicken Sie dann auf GO. und danach mit dem sophos anti-virus |
Zitat:
mfg Undoreal |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:14 Uhr. |
Copyright ©2000-2025, Trojaner-Board