Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   svchost.exe 100% Auslastung ! (https://www.trojaner-board.de/77740-svchost-exe-100-auslastung.html)

Susi_19 22.09.2009 20:08

svchost.exe 100% Auslastung !
 
Hallo Leute, ich hab mich hier angemeldet, weil sv.chost.exe meinen Computer larm legt. Es ist nämlich ständig auf 100%.

Hier meine Logfile:

***

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:56:29, on 22.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\RTHDCPL.EXE
C:\bin\jusched.exe
I:\Programme\D-Tools\daemon.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Programme\Windows Live\Messenger\msnmsgr.exe
I:\Programme\Carambis\Driver Updater\dupdater.exe
I:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
I:\WINDOWS\system32\cisvc.exe
C:\bin\jqs.exe
I:\WINDOWS\svchost.exe
I:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
I:\Programme\ATI Technologies\ATI.ACE\cli.exe
I:\Programme\ATI Technologies\ATI.ACE\cli.exe
I:\WINDOWS\system32\cidaemon.exe
I:\Programme\Mozilla Firefox\firefox.exe
I:\WINDOWS\system32\wuauclt.exe
I:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.ask.com?o=15003&l=dis
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
R3 - URLSearchHook: (no name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - I:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - I:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - I:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - I:\Programme\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - I:\Programme\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - I:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - I:\Programme\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "I:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [MSConfig] I:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [DAEMON Tools-1033] "I:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "I:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Driver Updater] I:\Programme\Carambis\Driver Updater\dupdater.exe /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - I:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - I:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - I:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - I:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Update Service (gupdate1ca2bc32cf5d66a) (gupdate1ca2bc32cf5d66a) - Google Inc. - I:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - I:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\bin\jqs.exe

--
End of file - 5497 bytes

Ich hoffe ihr könnt damit was anfangen, ich verzweifle langsam :headbang::(

john.doe 22.09.2009 20:31

Hallo und :hallo:

1.) Lade die Datei
Zitat:

I:\WINDOWS\svchost.exe
bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html (nur Schritt 2). Markiere den Text in der Box, kopiere ihn und füge ihn im Uploadchannel ein.

2.) Starte HJT => Do a system scan only => Markiere:
Code:

Alle R0, R1, R3, O2, O3, O9 und O16-Einträge
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Driver Updater] I:\Programme\Carambis\Driver Updater\dupdater.exe /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

=> Fix checked

3.) Avenger

a) Deaktiviere den Hintergrundwächter vom Virenscanner.

b) Stöpsele alle externen Datenträger vom Rechner ab.

c.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

d.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

e.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:

Drivers to delete:
JavaQuickStarterService
gusvc
gupdate1ca2bc32cf5d66a

Files to delete:
I:\WINDOWS\svchost.exe

f.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

g.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

h.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

i.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

ciao, andreas

Susi_19 22.09.2009 20:50

Erst einmal Danke für die Anwort:)
Da gibt es allerdings ein paar Punkte die ich nicht verstehe. Zum Beispiel was meinst du mit Avenger? Was meinst du mit stöpsele alle externen..? Und wie schalte ich den Virenwächter aus?

Sorry, bin halt kein PC-Kenner :kloppen:

john.doe 22.09.2009 20:58

Zitat:

Was meinst du damit, ich soll es hochladen?
Du kannst die Datei auch bei einem Filehoster (z.B. www.materialordner.de) hochladen (englisch: upload) und hier den Link posten.
Zitat:

Und was meinst du mit Fix Cecked?
Nachdem du die Liste markiert hast (Häkchen setzen), klickst du auf einen Knopf, auf dem Fix checked steht. Hier steht es ausführlicher => http://www.trojaner-board.de/51130-a...ijackthis.html
Zitat:

Zum Beispiel was meinst du mit Avenger?
Das ist nur der Name des Programms das du dir erst laden sollst und dann nach Anleitung abarbeiten.
Zitat:

Was meinst du mit stöpsele alle externen..?
Überspringe den Punkt einfach, der ist nicht wichtig.
Zitat:

Und wie schalte ich den Virenwächter aus?
Unten rechts solltest du den Regenschirm von Avira sehen => Mausklick rechts auf das Symbol => Wächter deaktivieren (steht da glaub ich)

ciao, andreas

Susi_19 22.09.2009 21:07

So, ich hab jetzt getan was du gesagt hast, neustart gemacht, aber da ist kein LogFile von Avenger gekommen, und die CPU ist immernoch auf 100%..

Hab ich was falsch gemacht? :(

Und ich hab unter I:Windows/ keine Datei namens svchost ..:S

john.doe 22.09.2009 21:13

Zitat:

Hab ich was falsch gemacht?
Ja, aber das wird schon. Du hast auch die falsche Datei hochgeladen. Du solltest diese hier hochladen:
Zitat:

I:\WINDOWS\svchost.exe
Ich habe noch eine andere Anleitung für den Avenger. Vielleicht verstehst du die besser:

Anleitung Avenger (by swandog46)
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:

Drivers to delete:
JavaQuickStarterService
gusvc
gupdate1ca2bc32cf5d66a

Files to delete:
I:\WINDOWS\svchost.exe

http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Susi_19 22.09.2009 21:18

Aber wenn ich I:\WINDOWS\svchost.exe öffnen will, steht da, dass die Datei nicht gefunden werden kann. Ansonsten das mit Avenger hab ich genau so gemacht wie es da steht, aber nach dem Neustart ist nichts neues gekommen.. :S

john.doe 22.09.2009 21:22

Start => Ausführen => I:\avenger.txt (so eintippeln) => OK

Poste bitte beide Logs von RSIT. <= Da drauf klicken.

ciao, andreas

Susi_19 22.09.2009 22:21

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at I:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\JavaQuickStarterService" not found!
Deletion of driver "JavaQuickStarterService" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\gusvc" not found!
Deletion of driver "gusvc" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\gupdate1ca2bc32cf5d66a" not found!
Deletion of driver "gupdate1ca2bc32cf5d66a" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "I:\WINDOWS\svchost.exe" not found!
Deletion of file "I:\WINDOWS\svchost.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

___

Meinst du das?

john.doe 22.09.2009 22:30

Ja. :daumenhoc Kann es sein, dass du es mehrfach gemacht hast?

Gibt es eine Besserung?

Packe bitte den Ordner I:\avenger mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch und schicke mir den Link als Private Nachricht.

ciao, andreas

Susi_19 23.09.2009 00:09

Zitat:

Zitat von john.doe (Beitrag 467658)
Ja. :daumenhoc Kann es sein, dass du es mehrfach gemacht hast?

Gibt es eine Besserung?

ciao, andreas

Ja ich finde schon, es gibt ne Besserung :). Allerdings fürchte ich, kann das Ruckeln jeder Zeit wieder auftreten :confused:

Zitat:

Packe bitte den Ordner I:\avenger mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch und schicke mir den Link als Private Nachricht.
Mach ich :)

john.doe 23.09.2009 15:42

Zitat:

Ja ich finde schon, es gibt ne Besserung
Gut. :daumenhoc
Zitat:

Allerdings fürchte ich, kann das Ruckeln jeder Zeit wieder auftreten
Kann es auch, wenn du nämlich die gleiche Sache, die zur Infektion geführt hast, wieder machst. Was das genau war, kann ich nicht sagen, da bist du gefragt.
Zitat:

Mach ich
Gut. Du hast mich per PN gefragt, wozu diese Aktion dient. Ganz simpel, altes Sprichwort: Gefahr erkannt, Gefahr gebannt. Je mehr ich über den Schädling in Erfahrung bringen kann, desto einfacher ist zu helfen. Was mir allerdings Sorgen bereitet ist das hier:
Code:

Datei svchost.exe empfangen 2009.09.23 10:35:59 (UTC)
Status: Beendet
Ergebnis: 39/41 (95.12%)
 Filter
Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.5.0.24        2009.09.23        Virus.Win32.Hidrag!IK
AhnLab-V3        5.0.0.2        2009.09.23        Win32/Hidrag
AntiVir        7.9.1.23        2009.09.23        W32/Hidrag.a
Antiy-AVL        2.0.3.7        2009.09.23        -
Authentium        5.1.2.4        2009.09.23        W32/Jeefo.A
Avast        4.8.1351.0        2009.09.21        Win32:Jeefo
AVG        8.5.0.412        2009.09.23        Win32/Hidrag.A
BitDefender        7.2        2009.09.23        Worm.Generic.78141
CAT-QuickHeal        10.00        2009.09.23        W32.Jeefo.A
ClamAV        0.94.1        2009.09.23        W32.Jeefo-3
Comodo        2411        2009.09.23        Win32.Jeefo.A
DrWeb        5.0.0.12182        2009.09.23        Win32.HLLP.Jeefo.36352
eSafe        7.0.17.0        2009.09.22        Win32.Jeefo.a
eTrust-Vet        31.6.6756        2009.09.23        Win32/Jeefo.A
F-Prot        4.5.1.85        2009.09.22        W32/Jeefo.A
F-Secure        8.0.14470.0        2009.09.23        Virus.Win32.Hidrag.a
Fortinet        3.120.0.0        2009.09.23        W32/Jeefo.A
GData        19        2009.09.23        Worm.Generic.78141
Ikarus        T3.1.1.72.0        2009.09.23        Virus.Win32.Hidrag
Jiangmin        11.0.800        2009.09.23        Win32/Jeefo
K7AntiVirus        7.10.851        2009.09.22        Virus.Win32.Hidrag.a
Kaspersky        7.0.0.125        2009.09.23        Virus.Win32.Hidrag.a
McAfee        5749        2009.09.22        W32/Jeefo
McAfee+Artemis        5749        2009.09.22        W32/Jeefo
McAfee-GW-Edition        6.8.5        2009.09.23        Win32.Hidrag.a
Microsoft        1.5005        2009.09.23        Virus:Win32/Jeefo.A
NOD32        4449        2009.09.23        Win32/Jeefo.A
Norman        6.01.09        2009.09.23        W32/Hidrag.A
nProtect        2009.1.8.0        2009.09.23        Virus/W32.Hidrag
Panda        10.0.2.2        2009.09.22        W32/Jeefo.A.drp
PCTools        4.4.2.0        2009.09.22        Virus.Parite.B
Prevx        3.0        2009.09.23        -
Rising        21.48.22.00        2009.09.23        Win32.HiDrag.a
Sophos        4.45.0        2009.09.23        W32/Jeefo-A
Sunbelt        3.2.1858.2        2009.09.23        Jeefo (v)
Symantec        1.4.4.12        2009.09.23        W32.Jeefo
TheHacker        6.5.0.2.015        2009.09.22        W32/Jeefo.gen
TrendMicro        8.950.0.1094        2009.09.23        TROJ_FLOOD.AF
VBA32        3.12.10.10        2009.09.23        Win32.HLLP.Jeefo
ViRobot        2009.9.23.1949        2009.09.23        Win32.Hidrag
VirusBuster        4.6.5.0        2009.09.22        Win32.Hidrag
weitere Informationen
File size: 36352 bytes
MD5  : 9e3c13b6556d5636b745d3e466d47467
SHA1  : 2ac1c19e268c49bc508f83fe3d20f495deb3e538
SHA256: 20af03add533a6870d524a7c4753b42bfceb56cddd46016c051e23581ba743f8
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x11F0
timedatestamp.....: 0x3B866BF0 (Fri Aug 24 17:00:00 2001)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7670 0x7800 6.20 c478ded282b7727b350d4dc9b70eef9d
.data 0x9000 0x22C 0x400 1.32 2b891f34503e10393ace2b59199b0cd8
.bss 0xA000 0x224 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0xB000 0x8E4 0xA00 4.34 7f8597beaa4a3fa27eb16a14218aea88
.rsrc 0xC000 0x3C0 0x400 3.22 8f77282d51a23eb5a4733881c65a938c

( 3 imports )

> advapi32.dll: CloseServiceHandle, CreateServiceA, DeleteService, OpenSCManagerA, OpenServiceA, RegCloseKey, RegCreateKeyExA, RegSetValueExA, RegisterServiceCtrlHandlerA, SetServiceStatus, StartServiceA, StartServiceCtrlDispatcherA
> kernel32.dll: ExitProcess, FindClose, FindFirstFileA, FindNextFileA, FlushFileBuffers, GetCommandLineA, GetCurrentDirectoryA, GetDriveTypeA, GetFileAttributesA, CloseHandle, GetFileTime, GetLastError, GetModuleFileNameA, GetModuleHandleA, GetProcAddress, GetStartupInfoA, GetTempPathA, GetVersionExA, GetWindowsDirectoryA, CopyFileA, InterlockedIncrement, LoadLibraryA, CreateFileA, ReadFile, ReleaseMutex, SetEndOfFile, SetFileAttributesA, SetFilePointer, SetFileTime, CreateMutexA, SetUnhandledExceptionFilter, Sleep, TlsAlloc, TlsGetValue, TlsSetValue, CreateProcessA, WaitForSingleObject, WriteFile
> msvcrt.dll: _assert, _cexit, _fileno, _fmode, _fpreset, _iob, _setmode, __getmainargs, abort, atexit, fprintf, free, __p__environ, malloc, memcpy, memset, rand, signal, srand, strcat, strcmp, strcpy, time, __set_app_type

( 0 exports )
TrID  : File type identification
MinGW32 C/C++ Executable (69.4%)
Win64 Executable Generic (24.2%)
Win32 Executable Generic (2.4%)
Win32 Dynamic Link Library (generic) (2.1%)
Win16/32 Executable Delphi generic (0.5%)
ThreatExpert: http://www.threatexpert.com/report.aspx?md5=9e3c13b6556d5636b745d3e466d47467
ssdeep: 768:tkOumaoDu3hAyN95/KTSZsOTb/Kc6H0anc6HEvT66vlm3GWBk5hr2C56r:SmaoDu3BN95/g4byc6H5c6HcT66vlm3j
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=E8EDFB420014A5438EC600C8400D370078392369
PEiD  : W32.Jeefo (PE File Infector)
CWSandbox: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9e3c13b6556d5636b745d3e466d47467
RDS  : NSRL Reference Data Set

Das ist ein uralter Schädling (2003), den ein Anfänger im HJT-Log ausmachen kann. Du hast ein Antivirenprogramm, dass den Schädling erkennen muss. Warum hast du ihn trotzdem? Das ist ein Fileinfector, der sich an alle ausführbaren Dateien anhängt. Selten habe ich die Antivirenhersteller so einig in der Bezeichnung erlebt. Geheilt bist du noch lange nicht!

Weiter mit => http://www.trojaner-board.de/59299-a...eb-cureit.html

ciao, andreas

Susi_19 23.09.2009 16:05

Du, ich lasse gerade den Antiviren Programm laufen, und der hat bei 25% schon 62 Funde hingelegt. Ich bin echt schockiert :O

Ist mein PC noch zu retten? Kann ich den Schädling entfernen und den PC wieder sauber kriegen?

Übrigens den Scan lasse ich gerade laufen..

john.doe 23.09.2009 16:19

Zitat:

Du, ich lasse gerade den Antiviren Programm laufen, und der hat bei 25% schon 62 Funde hingelegt.
Es werden noch viel mehr werden. :(
Zitat:

Ist mein PC noch zu retten?
Ja, da der Schädling sehr alt ist, ist er auch gut erforscht und kann sicher entfernt werden. Nur ich weiß, wieviel Zeit dabei draufgehen kann, deshalb solltest du ernsthaft das hier lesen => http://www.trojaner-board.de/51262-a...sicherung.html

Wenn du lieber bereinigen möchtest, auch wenn es nicht so sicher ist und wesentlich länger dauert, dann gehe ich mit dir den Weg bis zu Ende. Empfehlen würde ich dir das aber nicht.
Zitat:

Übrigens den Scan lasse ich gerade laufen..
Gut, danach wissen wir mehr. :)

ciao, andreas

Susi_19 23.09.2009 16:24

Du meinst also, ich soll meinen XP neu aufsetzen?
Und wie lange könnte die Bereinigung denn dauern?
Und warum würdest du mir das nicht empfehlen?

:)


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131