|
HILFE!!!!W32/Jeefo-A***C:\<Windows>\svchost.exe Hallo zusammen! Problem, wie folgt: C:\<Windows>\svchost.exe entdeckt, 2 mal in der Auswertung...Nach einigem gestöber hier und auf anderen Hilfeseiten schien es wohl der Win32/Jeefo-A zu sein......Behandelt mit: Windows Disinfector JEEFOGUI ist ein Disinfector für einzelne Windows-Computer. * Öffnen Sie JEEFOGUI * Starten Sie es. (Hier hieß es dann Resolve for win32/jeefo-A) * Klicken Sie dann auf GO. Wie beschrieben dateien behandelt.....Hier schien alles noch stabil zu sein..hijacklog eine der C:\<Windows>\svchost.exe war weg. Dann weiter mit sophos anti-virus 6.5.6 gescannt....knapp 460 infizierte .exe Das kam mir zu diesem Zeitpunkt zwar schon Spanisch vor....weil einiges dabei war bei demich dachte das kann wohl kaum sein...nun ich hab´s dummerweise dennoch gelöscht....hmmm und somit wohl sämtliche Dinge die doch noch wichtig waren.... Microsoft Windows-Tool zum Entfernen bösartiger Software (KB890830) hat natürlich nichts genutzt... Die svchost.exe die nicht in system32 lief ist zwar weg, aber unter start>>SUCHE >>sind nun SVCHOST.EXE-3530F672.pf und SVCHOST.EXE-16C7D411>>im Ordner C:\Windows\prefetch Probleme seitdem: Unter anderem....neben der Darstellung der Desktop-Icons und der generellen Icons.... zip.dateien liesen sich nicht mehr öffnen... als ich erneut hijacklog versuchte...winrar deinstalliert und wieder neu installiert seitdem funktioniert das wieder.... Msi Installer.....nix geht mehr>>>>Wollte spiel linstallieren: Fehler bei der komponentenübertragung>>>1603 schwerer Fehler bei der Installation.... Ansonsten noch erledigt: security-check.ch>>>ist gemacht Keine neuen Windows-updates verfügbar.. Der sophos-anti-Virus zeigt weiterhin ununterbrochen infizierte .exe Dateien an......ich hab ihn nun gestoppt da ich nicht noch mehr löschen wollte... Eines der ersten Hijacklog´s: [Y] Logfile of HijackThis v1.99.1 - [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA [/edit] |
Halli hallo. Das hört sich aber wirr an.. ^^ Um einen Überblick über dein System zu bekommen poste doch bitte ein brand-frisches Hijackthis log und führe einen eScan durch. Anleitung dazu findest du in meiner Signatur verlinkt. Gruß Undoreal |
Zitat:
Zitat:
Gehe vor wie undoreal es beschrieben hat. |
mein eScan ist soooo lang 10,5 kb im Worddokument...es waren 521 infizierte Dateien....In welcher form kann ich das hier am besten posten?? Als Anhang??Oder aufteilen? |
Zitat:
Selbst wenn nur die hälfte davon stimmen würde, wären es eindeutig zu viele. An deiner Stelle würde ich das System neu aufsetzen und anschließend absichern. :crazy::crazy: |
*lol Jan....Naja ich weigere mich strikt;)....So lange ich nicht alles versucht hab....Außerdem würde ich grundsätzlich gern wissen was das um Himmelswillen überhaupt ist :crazy: |
Nana, nun mal langsam mit de Pferde... Lies bitte die eScan Anleitung noch einmal genau durch und werte das log mit Hilfe der find.bat aus. Das entstandene log postest du dann.. mfg Undoreal |
Nun das kann ich mir noch 10 mal durchlesen...an der länge ändert das nichts..(hab´s auch nochmal wiederholt).sollte ich es demnach aufteilen??oder anhängen? |
Du kannst das Textfile hier als Anhang einfügen - bis 19,5 KB sind erlaubt. |
So nun versuche ich das nochmal mit dem Hijacklog ....ich hoffe ich hab das diesmal alles richtig gemacht...... Also aktueller Log: Logfile of HijackThis v1.99.1 Scan saved at 19:27:33, on 9.9.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wpabaln.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\deepmixx\LOKALE~1\Temp\Rar$EX00.693\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [VC5Player] C:\Programme\HHVcdV5Sys\VC5Play.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing) O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe O23 - Service: Sophos AutoUpdate Service - Sophos Plc - c:\Programme\Sophos\AutoUpdate\ALsvc.exe O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Programme\HHVcdV5Sys\VC5SecS.exe JEN |
Hmm.. Das Logfile sieht ein wenig mager aus. 12 laufende Systemprozesse, imho stimmt da irgendwas nicht. Nimm mal diese Datei zum Erstellen eines Logs - denn manche Schädlinge beeinflussen HJT bei der Erstellung, was bei dieser in pruefung.com umbenannten Hijackthis-Datei hoffentlich nicht passiert. |
Also nochmal alles auf Anfang: Hier natürlich ein Hijackthis-log (das NICHT im abgesicherten Modus gemacht wurde) *lol : Logfile of HijackThis v1.99.1 Scan saved at 20:13:00, on 9.9.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe c:\Programme\Sophos\AutoUpdate\ALsvc.exe C:\Programme\HHVcdV5Sys\VC5SecS.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\HHVcdV5Sys\VC5Play.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\Sophos\AutoUpdate\ALMon.exe C:\Programme\Virtual CD v5\System\VC5Tray.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wpabaln.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\DOKUME~1\deepmixx\LOKALE~1\Temp\Rar$EX00.582\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [VC5Player] C:\Programme\HHVcdV5Sys\VC5Play.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing) O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe O23 - Service: Sophos AutoUpdate Service - Sophos Plc - c:\Programme\Sophos\AutoUpdate\ALsvc.exe O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Programme\HHVcdV5Sys\VC5SecS.exe JEN |
Sauber. :) das sieht schon besser aus.. Suche bitte wie in meiner Signatur beschrieben nach folgender Datei: " C:\WINDOWS\svchost.exe " poste die Eigenschaften und lasse sie online überprüfen auf VT. mfg Undoreal |
Findet bei suchen nur: Name: SVCHOST.EXE-3530F672.pf ort: C:\WINDOWS\Prefetch Name: SVCHOST.EXE-16C7D411 ort: C:\Windows\prefetch Name: svchost Ort: C:\WINDOWS\system32 Beschreibung: Generic Host Process for Win32 Services Dateityp: Anwendung Ort: C:\WINDOWS\system32\dllcache Beschreibung: Generic Host Process for Win32 Services Dateityp: Anwendung Habe alles mit VT getestet ohne Ergebnis... ?????? Es wurden ja schon einige exe gelöscht durch den sophos Windows Disinfector JEEFOGUI ist ein Disinfector für einzelne Windows-Computer. * Öffnen Sie JEEFOGUI * Starten Sie es. (Hier hieß es dann Resolve for win32/jeefo-A) * Klicken Sie dann auf GO. und danach mit dem sophos anti-virus |
Zitat:
mfg Undoreal |
wie gesagt ich habe diesen eScan nur ist die text datei zu lang um sie zu posten denke ich...es waren zB: Gescannte Dateien: 65022 Gefundene Viren: 521 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 16 Dauer des Scans bisher: 00:55:16 wie kann ich die textdatei hier posten ich kann ja nun keine zip hochladen...oder soll ich die auswertung teilen?? escan legt selbst 3 logs ab welchen soll ich denn nun nehmen...?? mwav_cleanlog, mwav_cut, MWAV und wenn ich die files.trojaner-board.de/find.bat öffnen legt er die auswertungsdatei "eScan_neu"....an, welche nun mal als txt bei mir 89,3 kb groß ist***schulterzuck |
Hi, Vorschlag: bei http://www.file-upload.net/ hochladen und dann den Link hier posten. Auf das Log bin ich auch gespannt. Gruß, Karl |
hmm...werde ich dafür nun auch abgemahnt??? nun denn hier escanfile: http://www.file-upload.net/download-401236/eScan_neu.txt.html |
Warum sollte man dich wofür abmahnen? Das verstehe ich gerade nicht. Das Log ist allerdings eine Katastrophe: "Virus.Win32.Hidrag.a" ist ein anderer Name für den Jeefo, dein System ist gefüllt mit infizierten EXE-Dateien. Da anscheinend der Jeefo-Remover nicht funktioniert, wird da wohl nichts anders übrig bleiben, als die Festplatte zu formatieren und neu zu installieren. Dazu gehört auch, auf allen anderen Datenträgern (USB/Wechsel-Platten, Sticks, andere Partitionen, gebrannte CDs/DVDs, usw) alle vorhandenen EXE-Dateien als inifiziert anzusehen und daher zu löschen, denn eine einzige übersehene infizierte Datei würde das neue System wieder zerstören. Ach ja: Zum einrichten des neuen Systems keine Cracks, keine Goldesel-Dateien, usw. benutzen, ich halte es für möglich, dass da die Ursache der Seuche liegt. Du ziehst dir per P2P-von einem anderen Rechner irgendeine EXE, wenn dieser andere Rechner den Jeefo hast, ist er damit bei dir angekommen. Und noch schlimmer: Über P2P verbreitest Du ihn weiter auf andere Rechner. Also wohl doch eine kleine Abmahnung ;) |
und ich habe absolut keine chance wenigstens einen teil zu retten bilder und soweiter oder kann ich das völlig aufgeben??? ********************************************************* Ach und naja abgemahnt von wegen links und persönliche daten im logfile... |
Wirklich reine Daten kannst Du retten, z.B. Bilder, Mp3, usw. Aber alles wegschmeißen, was ein ausführbares Programm ist, also EXE, aber auch SCR (das sind umbenannte EXE die als Bildschirmschoner dienen, die sind vermutlich auch infizierbar). Außerdem rate ich auch sehr du, alles, was aus P2P runtergeladen wurde, wegzuwerfen, denn da besteht auch die Möglichkeit, dass Programme in einem ZIP, RAR, usw. infiziert sein können. Also neu installieren von Orignaldatenträgern, (CDs, DVDs, die readonly sind). Installationsdateien für Firefox usw auf sauberem System neu runterladen. Das ist wirklich ernst, ich habe da schon einige Dramen erlebt, weil jemand irgendeine Datei in das neue System mitgenommen hat und die den Virus dann dabei hatte. |
ES IST EIN DRAMA***heul......nun gut dann bedanke ich mich erst mal soweit und wem vielleicht doch noch die rettung einfällt bitte melden......dankeschöööön;) JEN |
Zitat:
Wenn du nur eine einzige Datei vergisst oder Mwave eine nicht findet hat deine ganze Aktion nichts gebracht. Und nebenbei ist dein System als absolut kompromitiert anzusehen und wir dnie wieder als vertrauenswürdig einzustufen sein.. Ich hoffe ich konnte dir bei deiner Entscheidungsfindung helfen. :rolleyes: Gruß Undoreal |
also leute.... ich hab ein Prob, hoffe bin hier richtig mein laptop zeigt mir seit neustem an das ich viele datein habe die einen W32 besitzen...und seit neustem weil ich vor kurzen wieder antivir raufge,macht habe...nun das prob ist nun auch das ich beim spielen die tastatur benutzen kann...aber wenn ich sie so benutzen will geht garnichts. Sogar runterfahren tut er nicht normal und das akku symbol zeigt er auch nicht mehr an, wird das vom Virus sein oder liegts daran das der Laptop alt ist? (5-6 jahre) |
@Genkilein wenn du ein problem hast mach bitte ein eigenes thema auf sonst ist das hier ganz schön verwirrend aber bevor du das machst lies das bitte durch http://www.trojaner-board.de/69886-a...-beachten.html mfg RushHour777 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:19 Uhr. |
Copyright ©2000-2025, Trojaner-Board