Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   copy.exe und host.exe fehlen/als Viren erkannt (https://www.trojaner-board.de/50790-copy-exe-host-exe-fehlen-viren-erkannt.html)

knorkeX2 20.03.2008 18:02

copy.exe und host.exe fehlen/als Viren erkannt
 
Hallo alle miteinander:)

Ich habe seit kurzem ein komisches Problem. Vor ein paar Tagen wollte ich mal
wieder meine Festplatte mit einem Doppelklick öffnen und bekam folgende Fehlermeldung:

http://i28.tinypic.com/1zykop5.jpg

Und seitdem kann ich meine Festplatten nur noch mit Rechtsklick und öffnen öffnen.:(

http://i29.tinypic.com/wbcop4.jpg

Zudem steht oben, wie ihr sehen könnt, immer nur noch Autoplay.
Das geht mir langsam wirklich auf die Nerven und beim Windows start kommt andauernd das er host.exe und copy.exe nicht finden kann.

Zudem habe ich zurzeit viele Probleme mit meinem Rechner. Zu beginn steht oft beim PC-Start checksum error und ich muss dann erst F1 drücken.
Außerdem muss ich andauernd die Uhrzeit neu einstellen und manchmal schickt er mich dazu ins BIOS.
Hier mal ein Hijackthis Log

AntiVir hat auch schon bestätigt das copy.exe ein Virus, ein Trojaner wäre. Leider kann ich die genaue Bezeichnung zur copy.exe und zur host.exe nicht mehr finden. Jedenfalls wurden diese als Viren erkannt!

ps.: Ich hoffe ihr könnt mir helfen und ich danke schon mal!


----------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:56:06, on 20.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\system32\svchost.exe
E:\Programme\UPHClean\uphclean.exe
E:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\Java\jre1.6.0_03\bin\jusched.exe
E:\Programme\Razer\Copperhead\razerhid.exe
E:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
E:\Programme\Analog Devices\Core\smax4pnp.exe
E:\Programme\Analog Devices\SoundMAX\Smax4.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Razer\Copperhead\razertra.exe
E:\Programme\Razer\Copperhead\razerofa.exe
E:\Programme\firefox.exe
E:\Programme\TechSmith\SnagIt 8\SnagIt32.exe
E:\Programme\TechSmith\SnagIt 8\TSCHelp.exe
E:\Programme\TechSmith\SnagIt 8\SnagPriv.exe
E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FAMTAEE.EXE
E:\Downloads\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157]MSN.c*m
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =h**p://go.microsoft.com/fwlink/?LinkId=54896]Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896]Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157]MSN.c*m
F3 - REG:win.ini: load=E:\WINDOWS\svchost.exe
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - E:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - E:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [amd_dc_opt] E:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [Copperhead] E:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [Launch LGDCore] "E:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "E:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMAXPnP] E:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "E:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: e:\windows\system32\nwprovau.dll
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - h**p://support.asus.com/common/asusTek_sys_ctrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{09F2CDE6-495D-49BF-9E1C-9F1157FC8D0E}: NameServer = 217.237.149.142 217.237.150.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{09F2CDE6-495D-49BF-9E1C-9F1157FC8D0E}: NameServer = 217.237.149.142 217.237.150.205
O23 - Service: Adobe LM Service - Adobe Systems - E:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - E:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NMIndexingService - Nero AG - E:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe


----------------------------------------------------------------
End of file - 6274 bytes

cosinus 20.03.2008 18:17

Zitat:

E:\WINDOWS\svchost.exe
Sieht nach nem fetten Schädling aus. Werte diese Datei mal bei Virustotal aus und poste die Ergebnisse. Du solltest den kompletten Pfad zu dieser Datei kopieren und ins Adressfeld bei VT mittels STRG+V einfügen.

Mach danach mal einen Check mit Blacklight (=> Link unten) und poste auch davon das Logfile.

Zitat:

Zudem habe ich zurzeit viele Probleme mit meinem Rechner. Zu beginn steht oft beim PC-Start checksum error und ich muss dann erst F1 drücken.
Außerdem muss ich andauernd die Uhrzeit neu einstellen und manchmal schickt er mich dazu ins BIOS.
Ein Austausch der Mainboard-Batterie könnte helfen...

knorkeX2 20.03.2008 18:26

Zitat:

Zitat von root24 (Beitrag 329388)
Sieht nach nem fetten Schädling aus. Werte diese Datei mal bei Virustotal aus und poste die Ergebnisse. Du solltest den kompletten Pfad zu dieser Datei kopieren und ins Adressfeld bei VT mittels STRG+V einfügen.

Danke für die schnelle Antwort!:)

Allerdings weiss ich nicht, wo ich die Adresse bei Virus Total eingeben soll?
Ich hab schon gegooglet, aber man muss etwas hochladen?:confused:

cosinus 20.03.2008 18:32

Ja, bei Virustotal lädst Du verdächtige Dateien (eben diese svchost.exe - ein Schädling, der sich als Systemdatei tarnt) direkt von Deinem PC nach VT hoch zur Überprüfung.

Klick hierrauf ==> http://www.virustotal.com/de/ <==

Da findest Du das Adressfeld für die Datei, die hochgeladen und ausgewertet werden soll. Der Rest versteht sich eigentlich von selbst.

knorkeX2 20.03.2008 18:41

Also ich hab E:\WINDOWS\svchost.exe im Adressfeld eingegeben, wie du gesagt hattest und dann auf "Senden der Datei" geklickt.

Allerdings kommt dann nur das hier ganz oben links auf einer weißen Seite:

0 bytes size received / Se ha recibido un archivo vacio

cosinus 20.03.2008 18:42

Ok, dann scheint die Datei schon weg zu sein. Mach dann mal bitte mit Blacklight weiter.

knorkeX2 20.03.2008 19:47

So, also Blacklight hat nichts gefunden.

Allerdings kommt plötzlich AntiVir mit folgender Meldung:

http://i25.tinypic.com/168eurt.jpg

Ich hab auf "löschen" geklickt.
:balla:

cosinus 21.03.2008 02:53

Da ist Mist im Systemwiederherstellungsordner. Deaktivier sie daher, Du kannst sie aufgrund der Möglichkeit, daß Schädlinge mitgesichert wurden, eh nicht mehr vernünftig benutzen.

Bugme 13.06.2008 19:45

hi, ich hab (fast) das gleiche problem,

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

Hunter187 26.09.2008 11:20

Moin aus Hamburg!
Ich habe eine Lösung für euer Problem. Ich fing mir dasselbe ein von einem USB stick.
Mit der Kombination aus Virenscanner und Spyware killer (bei mir Avira personal feat. Spybot Search and destroy), sämtliche Festplatten im Abgesicherten Modus scannen, und danach per Hand die Autorun.inf von den jeweiligen Platten löschen (sind versteckt).

Auf diese weise habe ich bereits 6 Rechner bearbeitet, immer mit Erfolg.

cosinus 27.09.2008 16:53

Zitat:

Zitat von Hunter187 (Beitrag 377225)
Moin aus Hamburg!

Die letzte Antwort ist über drei Monate her, wenn noch was von Interesse da wäre, wäre sicherlich in der Zwischenzeit was gekommen.
Die Infektionen sind leider auch so unterschiedlich, dass ich es bezweiflen muss, nur hier und da was von Programmen automatisch löschen zu lassen, sowie manuell die autorun.inf.


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131