Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   svchost.exe, copy.exe (https://www.trojaner-board.de/54462-svchost-exe-copy-exe.html)

zirkumflex 22.06.2008 07:57
svchost.exe, copy.exe
 
Hallo,
es tut mir wirklich leid, wenn es dieses Thema schon mal gab, habe aber in der Suche nicht wirklich was gefunden bzw. weiß nicht, wonach ich suchen soll.

Seit einigen Wochen habe ich schon dieses "svchost.exe nicht gefunden..." Problem. Seit einigen Monaten schon dieses "copy.exe nicht gefunden..." Problem. Ich habe nach den Begriffen gegooglet und Sachen gelesen wie "Dein System ist derart verseucht, formatiere!"

Ich hab Fragen, und zwar:
-Wie krieg ich das weg?
-Der PC gehört nicht mir, sondern meinem Freund. Wichtige Dateien sind bei ihm gespeichert. Meine ext. Festplatte ist angeschlossen. Wenn ich die öffnen will, dann geht das auch nur über "Rechtsklick->Öffnen", sogar auf fremden PCs. Also ist sie auch in irgendeiner Art befallen, oder?
-Würde ich die Sachen vom PC auf die ext. HDD kopieren, um den PC zu formatieren, wären sie dann nicht durch meine Platte infiziert?

Ach, ich bin ganz aus dem Häuschen. Sowas hatte ich noch nie. :heulen:

LG Jasmin

Celli 22.06.2008 09:04
Hallo zirkumflex und :hallo:

Zitat:
1. Scanne dein System mit dem BitDefender Online Scanner - Free Online Virus Scan. Scanne auch alle Wechelsdatenträger!

2. Start -> Ausführen -> gib "regedit" ein ohne "
Suche folgenden Ordner HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ Die Datein die du löschen musst sind die mit so vielen Zahlen und Buchstaben.Lösche nicht die Datein A,B,C oder die,die aus anderen Buchstaben bestehen.

3. Arbeitsplatz öffnen gehe auf extras -> Ordneroptionen -> Ansicht -> Geschützte Systemdatein ausblenden -> Haken entfernen

extras -> Ordneroptionen -> Ansicht -> Alle Datein und Ordner anzeigen -> Haken setzen

4. Öffne alle Laufwerke und lösche die Datei autorun.inf . Alle autorun.inf müssen gelöscht sein.

5. Computer neustarten. Poste danach ein Hijackthis logfile.

zirkumflex 26.06.2008 13:21
Code:
Logfile of Trend Micro HiJackThis v2.0.2
Scan saved at 13:47:01, on 26.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Last.fm\LastFM.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Opera\Opera\profile\cache4\temporary_download\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.hyrican.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - G:\Setups\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Alles mit FDM herunterladen - file://G:\Setups\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://G:\Setups\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://G:\Setups\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://G:\Setups\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://www.hyrican.de
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - h**ps://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097214908404
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://static.ak.schuelervz.net/photouploader/ImageUploader4.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game03.zylom.com/activex/zylomgamesplayer.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 8195 bytes

Celli 26.06.2008 13:34
Scan bitte die Datei
Code:
C:\WINDOWS\svchost.exe
auf VirusTotal - Free Online Virus and Malware Scan. Lasse dir auch alle versteckten Datein anzeigen und poste das komplette Ergebnis.

zirkumflex 29.06.2008 08:22
Ich habe jetzt 3 Tage mal zu jeder Tageszeit probiert das Ding hochzuladen, aber es geht einfach nicht.

Ich meine, die Datei ist 16 KB los, da kanns ja irgendwie nicht sein, dass das Stunden über Stunden fürs Uploaden braucht, oder?

Celli 30.06.2008 12:38
Deaktiviere die Systemwiederherstellung Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP) <- Anleitung
Lösche die Datei pass aber auf das du C:\WINDOWS\svchost.exe löschst und nicht die echte svchost und fixe danach mit Hijackthis F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe. Danach kannst du die Systemwiederherstellung wieder aktivieren.

undoreal 30.06.2008 12:40
Mal ein ganz großes STOP ich hier einlegen muss.

Die Datei muss ausgewertet werden sonst können wir nicht sicher sein, dass es sich nicht um einen Rbot handelt. Und das wäre äußerst fatal.

Gehe also wie folge vor:

Fertige eine Kopie der C:\WINDOWS\svchost.exe an und lege diese auf den Desktop.
Benne sie um in 123456.exe und schicke diese per Mail an Virustotal. http://www.virustotal.com/metodos.html

Celli 30.06.2008 12:55
Ich bin mir eigentlich ziemlich sicher das es ein Trojan-Dropper.Win32.apl ist, aber wir können auch die Auswertung abwarten.

zirkumflex 18.07.2008 21:53
Ich werd das jetzt mal machen. (Jaa, ich weiß, lange Zeit dazwischen.)

Aber... Diese Datei gibt es nicht im Ordner "WINDOWS", sie ist im system32 Ordner. Keine Ahnung ob das nun einen Unterschied macht, aber wollte es mal loswerden.


Edit:

Also ich hab das Ding jetzt durch diesen Online-Scanner durchgejagt bekommen.

Code:
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1002509
timedatestamp.....: 0x41107ed6 (Wed Aug 04 06:14:46 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2c00 0x2c00 6.29 420df24e201392421fb0026174c3d87c
.data 0x4000 0x1f0 0x200 1.61 553c0ebbbc67abab785f2065a062b522
.rsrc 0x5000 0x418 0x600 2.54 2997285df9158db5a62ffb42a2fd0d07

( 4 imports )
> ADVAPI32.dll: RegQueryValueExW, SetSecurityDescriptorDacl, SetEntriesInAclW, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, InitializeSecurityDescriptor, GetTokenInformation, OpenProcessToken, OpenThreadToken, SetServiceStatus, RegisterServiceCtrlHandlerW, RegCloseKey, RegOpenKeyExW, StartServiceCtrlDispatcherW
> KERNEL32.dll: HeapFree, GetLastError, WideCharToMultiByte, lstrlenW, LocalFree, GetCurrentProcess, GetCurrentThread, GetProcAddress, LoadLibraryExW, LeaveCriticalSection, HeapAlloc, EnterCriticalSection, LCMapStringW, FreeLibrary, lstrcpyW, ExpandEnvironmentStringsW, lstrcmpiW, ExitProcess, GetCommandLineW, InitializeCriticalSection, GetProcessHeap, SetErrorMode, SetUnhandledExceptionFilter, RegisterWaitForSingleObject, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, LocalAlloc, lstrcmpW, DelayLoadFailureHook
> ntdll.dll: NtQuerySecurityObject, RtlFreeHeap, NtOpenKey, wcscat, wcscpy, RtlAllocateHeap, RtlCompareUnicodeString, RtlInitUnicodeString, RtlInitializeSid, RtlLengthRequiredSid, RtlSubAuthoritySid, NtClose, RtlSubAuthorityCountSid, RtlGetDaclSecurityDescriptor, RtlQueryInformationAcl, RtlGetAce, RtlImageNtHeader, wcslen, RtlUnhandledExceptionFilter, RtlCopySid
> RPCRT4.dll: RpcServerUnregisterIfEx, RpcMgmtWaitServerListen, RpcMgmtSetServerStackSize, RpcServerUnregisterIf, RpcServerListen, RpcServerUseProtseqEpW, RpcServerRegisterIf, I_RpcMapWin32Status, RpcMgmtStopServerListening

( 0 exports )
Hier noch die URL da hin.

Virustotal. MD5: 65a819b121eb6fdab4400ea42bdffe64

Silent sharK 18.07.2008 22:18
Zitat:
Aber... Diese Datei gibt es nicht im Ordner "WINDOWS", sie ist im system32 Ordner. Keine Ahnung ob das nun einen Unterschied macht, aber wollte es mal loswerden.
Das macht einen Unterschied, denn die im system32-Ordner gehört zum System.
Bei der svchost.exe in WINDOWS handelt es sich höchstwahrscheinlich um einen IRC-Bot,
du solltest schonmal Datensicherung betreiben.

zirkumflex 18.07.2008 22:20
Hab ich schon. :)

Hier der Scan-Report von dem eMail-Ding.

Code:
Complete scanning result of "123456.exe", processed in VirusTotal at 07/18/2008 23:53:15 (CET).

[ file data ]
* name..: 123456.exe
* size..: 14336
* md5...: 65a819b121eb6fdab4400ea42bdffe64
* sha1..: 0dfdee2871427e9c40ec82541156884ff9b4bfa3
* peid..: -

[ scan result ]
AhnLab-V3 2008.7.17.0/20080718 found nothing
AntiVir 7.8.1.11/20080718 found nothing
Authentium 5.1.0.4/20080718 found nothing
Avast 4.8.1195.0/20080718 found nothing
AVG 7.5.0.516/20080718 found nothing
BitDefender 7.2/20080718 found nothing
CAT-QuickHeal 9.50/20080718 found nothing
ClamAV 0.93.1/20080718 found nothing
DrWeb 4.44.0.09170/20080718 found nothing
eSafe 7.0.17.0/20080703 found nothing
eTrust-Vet 31.6.5966/20080718 found nothing
Ewido 4.0/20080718 found nothing
F-Prot 4.4.4.56/20080718 found nothing
F-Secure 7.60.13501.0/20080718 found nothing
Fortinet 3.14.0.0/20080718 found nothing
GData 2.0.7306.1023/20080718 found nothing
Ikarus T3.1.1.34/20080718 found nothing
Kaspersky 7.0.0.125/20080718 found nothing
McAfee 5342/20080718 found nothing
Microsoft 1.3704/20080718 found nothing
NOD32v2 3281/20080718 found nothing
Norman 5.80.02/20080718 found nothing
Panda 9.0.0.4/20080718 found nothing
Prevx1 V2/20080718 found nothing
Rising 20.53.42.00/20080718 found nothing
Sophos 4.31.0/20080718 found nothing
Sunbelt 3.1.1536.1/20080718 found nothing
Symantec 10/20080718 found nothing
TheHacker 6.2.96.381/20080716 found nothing
VBA32 3.12.8.1/20080718 found nothing
VirusBuster 4.5.11.0/20080703 found nothing
Webwasher-Gateway 6.6.2/20080718 found nothing


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:17 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19