Windows\System32\ problem
 

Ciao,

also ich hab am Wochenende miteinmal auf meinem Bildschirm ein Fensterchen bekommen von Antivir da stande irgendwas mit "Trojaner tr/virtl.1974" ich bin dann auf Löschen gegangen aber das brachte rein gar nichts.. OK Ich hab dann mein System XP runtergefahren und mein zweites System Vista gestartet und darüber den Trojaner versucht zu löschen. Nun es kamm 3 x das Fenster zwecks Trojaner und irgendwelche [svchosl.exe] ich hab es dann gelöscht keine Ahnung ob diese Datei wichtig war? Nun hab ich das Problem wenn ich mein System XP neu hochfahre bekomme ich son schmales langes Fenster wo drine steht " Windows\System32\oobe\svchost.exe " konnte nicht ausgeführt werden. Nun meine Frage hab ich da irgendwelche WICHTIGEN - DATEIN gelöscht die mir jetzt in meinem System fehlen ?

Ich hatte im netz nachgesehen nach diesem Troja Pferdchen aber leider nichts dazu gefunden was müsste ich jetzt tun ? P.S. Mein System ansich läuft weiter Super und ich hab auch keine weiteren Meldungen mehr über diesen Trojaner bekommen wie geschrieben nur wenn ich den Rechner neu hochfahre das ich diese Meldung [Windows\System32\oobe\svchost.exe] erhalte.

Wenn ich jetzt mein System neu aufsetzen würde und auch wieder das Antivir neu installiere kann es sein das ich dann wieder dieses Troja Pferdchen bekomme ? Denn es kam ja durch ein Update oder nachdem ich ein Update mit Antivir gemacht habe erst.

Gruß maestro75 :dankeschoen:

Halli hallo maestro75
Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

• Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update der Viren-Signaturen deines Anti-Viren Programmes.
  .
• Treiberupdate der Hardware (Grafikkarte, Soundkarte).
  .
• Windows Update -> Der Frischmacher.
  .
• Installation des aktuellen ServicePacks:
  • XP_ ServicePack3
  • Vista_ ServicePack1
  .
• Vernünftige Ordneransicht -> Einstellungen.
  .
• Abschalten unnötiger Dienste:
  • XP_ dingens.org
  • Vista_ TechNET
  .
• Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista_ Firewall
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
  • Sicherheit: -> höchste Stufe
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume mit cCleaner auf; Punkte 1&2.
  .
  Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.
  
  Häufig gestellte Fragen: XP | Vista

Konfiguriere AntiVir aggressiv und führe einen Vollscan im abgesicherten Modus unter XP durch. Poste das log!
So wird der abgesicherte Modus am einfachsten aufgerufen: KLICK mich


Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Speichere es in einem eigenen Ordner! (z.B.: c:\Hijackthis\)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Eine bebilderte Anleitung findet sich in unserem FAQ-Bereich: HJT-Anleitung

Das log ist zerstückelt. Editiere das bitte noch. Mit den Zeilenumbrüchen da drinn ist es schwer da drüber zu gucken ohne Augenkrebs zu bekommen.

[EDIT] Jetzt sind noch aktive Links drinn. Die bitte auch editieren!

Und poste bitte immer alle logs! Der AntiVir Bericht fehlt noch..

So hierder Antivir log..

so jetzt besser ?

ne. Da sind doch immer noch zwei aktiv drinn. Poste es einfach nochmal. Nicht quoten. Und dann editiere gleich beim ersten mal das http:\\ weg.

So ich hoffe das ich jetzt alles beseitigt habe ? :rolleyes:

Hier der log von HijackThis

Hier der log von Antivir

Sauber. So wollen wir das haben.. ;)


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Ich hab die oobe nicht gefunden daher hab ich aus dem Ordner oobe die msoobe gescannt

Hier die Datei svochst.exe

Und die msoobe

Wat? Schreibe bitte verständlich.

An die Ergebnisse glaube ich im Leben nicht..

Bei dir läuft ein IRC Bot.

Lade uns die C:\WINDOWS\System32\oobe\svchost.exe biite auf den Server hoch.

Anleitung Upload Channel

Danach gehts für dich hier weiter:

Bereinigung nach einer Kompromitierung

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von gmer ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

MBR Log

Gut, dann kannst du weiter machen..

mit was weiter machen ich hab ja diese MBR gemacht und keinen Fehler gefunden somit brauch ich ja da das andere ja nicht mehr machen oder ? Sry wenn ich mich hier etwas glatt anstelle aber ich hab keine Ahnung von viren & co kann sein das ich manchmal hier was falsch mache oder nicht verstehe...

und was sagst zu meiner Fehlenden oobe ?

ich hab mit diese mbr.txt.bat runter geladen wenn ich sie öffne steht da drine @echo off mbr.exe - f ich hab kein plan wie ich das machen soll ? da dieses text duko ne text datei bleibt. :(

Du musst weiter machen mit dem Neuaufsetzten denn dein System ist kompromitiert.