Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   C:\WINDOWS\svchost.exe (https://www.trojaner-board.de/81677-c-windows-svchost-exe.html)

Lunchalot 13.01.2010 19:00
C:\WINDOWS\svchost.exe
 
Hallo, mein Prevx 3.0 zeigt mir diese datei als malware an, nun weiß ich nicht was ich tun soll da mein avast nichts findet.
Die Datei ist als Systemdatei Standard mäßig ausgeblendet und liegt genau:
C:\WINDOWS\svchost.exe

Wie soll ich vorgehen? Ist mein Schulrechner und der sollte am besten so bleiben wie er ist, also von den Daten her.

Bitte um schnell hilfe :/

Hier mein Hijack log

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:01:47, on 13.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Mevin\Programme\avast\aswUpdSv.exe
C:\Mevin\Programme\avast\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATK Hotkey\HcontrolUser.exe
C:\Programme\ATK Hotkey\Hcontrol.exe
C:\Programme\ATK Hotkey\MsgTranAgt.exe
C:\Programme\ATKOSD2\ATKOSD2.exe
C:\Programme\ASUS\ATK Media\DMEDIA.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Wireless Console 2\wcourier.exe
C:\Programme\Atheros\ACU.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe
C:\Mevin\PROGRA~1\avast\ashDisp.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Mouse Driver\StartAutorun.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mouse Driver\KMConfig.exe
C:\Dokumente und Einstellungen\NB-Admin\Desktop\Core Temp.exe
C:\Mevin\Programme\icq\ICQ6.5\ICQ.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Mouse Driver\KMProcess.exe
C:\WINDOWS\system32\acs.exe
C:\Mevin\Programme\firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Prevx\prevx.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Prevx\prevx.exe
C:\Programme\Mouse Driver\KMWDSrv.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\Mevin\Programme\avast\ashMaiSv.exe
C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\Mevin\Programme\avast\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\ATK Hotkey\ATKOSD.exe
C:\Programme\ATK Hotkey\WDC.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.youtube.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [HControlUser] "C:\Programme\ATK Hotkey\HcontrolUser.exe"
O4 - HKLM\..\Run: [ATKHOTKEY] "C:\Programme\ATK Hotkey\Hcontrol.exe"
O4 - HKLM\..\Run: [MsgTranAgt] "C:\Programme\ATK Hotkey\MsgTranAgt.exe"
O4 - HKLM\..\Run: [ATKOSD2] "C:\Programme\ATKOSD2\ATKOSD2.exe"
O4 - HKLM\..\Run: [ATKMEDIA] C:\Programme\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Wireless Console 2] "C:\Programme\Wireless Console 2\wcourier.exe"
O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU.exe -nogui
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [UpdatePPShortCut] "C:\Programme\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe" "C:\Programme\CyberLink\PowerProducer" update "Software\CyberLink\PowerProducer\4.0"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [avast!] C:\Mevin\PROGRA~1\avast\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB002" /M "Stylus DX3800"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KMCONFIG] C:\Programme\Mouse Driver\StartAutorun.exe KMConfig.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Core Temp] C:\Dokumente und Einstellungen\NB-Admin\Desktop\Core Temp.exe
O4 - HKCU\..\Run: [ICQ] "C:\Mevin\Programme\icq\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [HKCU] C:\WINDOWS\svchost\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\svchost\svchost.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\svchost\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: CCC.lnk = ?
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Mevin\Programme\icq\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Mevin\Programme\icq\ICQ6.5\ICQ.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1224589640359
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1224589631796
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Adobe Version Cue CS3 {de_DE}  (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Mevin\Programme\avast\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Mevin\Programme\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Mevin\Programme\avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Mevin\Programme\avast\ashWebSv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Programme\Mouse Driver\KMWDSrv.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

--
End of file - 12369 bytes



greez

cosinus 13.01.2010 21:46
Hallo,

was heißt denn Schulrechner? Dein Rechner zu Hause nur für die Schule? :confused:
Bitte die betroffene Datei bei Virustotal.com auswerten lassen und Ergebnislink posten, danach sehen wir weiter.

Lunchalot 13.01.2010 22:42
Joa Schulrechner heisst -> Laptop mit dem ganzen Schulprogrammen drauf (Adobe reihe, cinnema 4d usw.) und halt Datein für die Schule, deswegen hoffe ich nicht das iwi schon Daten von mir zerstört wurden.

also bei dem virustotal kommt atm:

Proxy Error

The proxy server received an invalid response from an upstream server.
The proxy server could not handle the request POST /vt/de/recepcion.

Reason: Error reading from remote server

hmmm habs mal mit ssl versucht und ohne geht irgendwie beides ned. Ich versuchs mal weiterhin.

P.S.: Diese Svchost.exe ist auch aufjeden von meinen wechseldatenträger, d.h. IPod und USB Stick.


greez

Lunchalot 13.01.2010 22:47
Okay, jetzt gings:


Die Datei wurde bereits analysiert:
MD5: 539843593ace48f98c23b19f017ff460
First received: 2009.12.30 22:36:13 UTC
Datum 2009.12.30 22:36:13 UTC [>13D]
Ergebnisse 13/41
Permalink: analisis/f1d3d25d466904351bce7f44b1aa6134b496791262fe6c266cecab1e543d194d-1262212573

ist dass das richtige?


Code:
  Datei svchost.exe empfangen 2009.12.30 22:36:13 (UTC)
Status: Beendet
Ergebnis: 13/41 (31.71%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.5.0.43        2009.12.30        Gen.Trojan!IK
AhnLab-V3        5.0.0.2        2009.12.30        -
AntiVir        7.9.1.122        2009.12.30        -
Antiy-AVL        2.0.3.7        2009.12.30        Backdoor/Win32.Bifrose.gen
Authentium        5.2.0.5        2009.12.30        -
Avast        4.8.1351.0        2009.12.30        -
AVG        8.5.0.430        2009.12.30        BackDoor.VB.IVH
BitDefender        7.2        2009.12.30        Backdoor.Generic.223639
CAT-QuickHeal        10.00        2009.12.30        -
ClamAV        0.94.1        2009.12.30        Trojan.Bifrose-8869
Comodo        3417        2009.12.30        -
DrWeb        5.0.1.12222        2009.12.30        -
eSafe        7.0.17.0        2009.12.29        -
eTrust-Vet        35.1.7207        2009.12.30        -
F-Prot        4.5.1.85        2009.12.30        -
F-Secure        9.0.15370.0        2009.12.30        Backdoor.Generic.223639
Fortinet        4.0.14.0        2009.12.30        -
GData        19        2009.12.30        Backdoor.Generic.223639
Ikarus        T3.1.1.79.0        2009.12.30        Gen.Trojan
Jiangmin        13.0.900        2009.12.30        Backdoor/Bifrose.rvu
K7AntiVirus        7.10.934        2009.12.30        -
Kaspersky        7.0.0.125        2009.12.30        Backdoor.Win32.Bifrose.bwgl
McAfee        5847        2009.12.30        -
McAfee+Artemis        5847        2009.12.30        -
McAfee-GW-Edition        6.8.5        2009.12.30        Heuristic.LooksLike.Trojan.Dropper.I
Microsoft        1.5302        2009.12.30        -
NOD32        4730        2009.12.30        -
Norman        6.04.03        2009.12.30        -
nProtect        2009.1.8.0        2009.12.30        -
Panda        10.0.2.2        2009.12.30        -
PCTools        7.0.3.5        2009.12.30        -
Prevx        3.0        2009.12.30        -
Rising        22.28.02.04        2009.12.30        -
Sophos        4.49.0        2009.12.30        -
Sunbelt        3.2.1858.2        2009.12.30        -
Symantec        1.4.4.12        2009.12.30        -
TheHacker        6.5.0.3.121        2009.12.30        -
TrendMicro        9.120.0.1004        2009.12.30        BKDR_BIFROSE.DRM
VBA32        3.12.12.1        2009.12.30        -
ViRobot        2009.12.30.2116        2009.12.30        Backdoor.Win32.Bifrose.73728.L
VirusBuster        5.0.21.0        2009.12.30        -
weitere Informationen
File size: 344064 bytes
MD5  : 539843593ace48f98c23b19f017ff460
SHA1  : 86bba81b44865932f29db3737d275da68409e1e0
SHA256: f1d3d25d466904351bce7f44b1aa6134b496791262fe6c266cecab1e543d194d
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1100
timedatestamp.....: 0x4AEB75F3 (Sat Oct 31 00:25:39 2009)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xC5B0 0xD000 4.43 eec9a484f9ca14054443fc8a515266c7
.data 0xE000 0xC04 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0xF000 0x45C70 0x46000 7.99 4092e0835c25c42e555f89f03017dfdb

( 1 imports )

> msvbvm60.dll: MethCallEngine, -, -, -, -, -, -, EVENT_SINK_AddRef, DllFunctionCall, EVENT_SINK_Release, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, -, ProcCallEngine, -, -, -, -, -, -, -, -

( 0 exports )
TrID  : File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 6144:+gbTcPgjlCyX3FHwnIQCUzhRauYkwFN4HrIo3LkV9JJW94jCHOioDvgP:+gnEgBLZyzquYfStOJJWkCulbgP
PEiD  : -
RDS  : NSRL Reference Data Set
-

greez

cosinus 14.01.2010 08:15
Auha, nen schönen Bifrost-Backdoor hast Du da installiert :balla:
Ich würd Dir ehrlich gesagt ein Formatieren plus Neuinstallation empfehlen. Bereinigung nur auf eigene Gefahr und die würd ich beim Bifrost nicht wirklich empfehlen...

Lunchalot 14.01.2010 13:05
Also hab gestern Abend noch ein Avast! Upadte gemacht und der hat dann gleich den svchost gefunden, hab den dann gelöscht + die auf den wechseldatenträger, in der regestry wurde der eintrag auch gelöscht.

Also die .exe datei ist nicht mehr da und kommt auch nicht mehr...reicht das? Oder muss ich irgendwie befürchten das evtl. noch wo anders sich eine Datei versteckt hat?

greez

cosinus 14.01.2010 13:21
Ich hab nicht umsonst auf die Neuinstallation bei Backdoorbefall verwiesen, wie kommst Du also darauf, dass das Löschen dieser einzelen Datei (sicher!) ausreicht? :balla:

Lunchalot 14.01.2010 18:07
Weiß ich nicht ich dachte du kannst es mir evtl sagen was da noch so drauf is :(

Dann werd ich da wohl nicht rum kommen...hmmm...verdammt...

Kannst mir wenigstens sagen woher sowas kommt? weiß man dazu irgendwas? weil nochmal will ich mir des eig ned geben.


greez

cosinus 14.01.2010 20:07
Wie gesagt, ich würd keine Bereinigung empfehlen, durchführen können wir es trotzdem. Wollte damit nur sagen, dass Du den Mist nicht mit Garantie loswirst :D

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Lunchalot 15.01.2010 15:15
Okay dann post ich dir mal die Logs, sollte irgendwas nicht stimmen werd ich nächste woche mein pc formatieren, da ich hier keine ext. festplatte hab um daten zu sichern, und da ich die image cds nicht hier habe.

Hier der Randoms Log:

http://www.file-upload.net/download-2162432/info.txt.html

Hier der Random/Hijack log:

http://www.file-upload.net/download-2162447/log.txt.html

Hier der anti-malware log:

http://www.file-upload.net/download-2162452/mbam-log-2010-01-15--01-27-31-.txt.html



greez

cosinus 15.01.2010 16:01
Bitte CF anwenden:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:38 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27