ComputerBase Menü
Aktuelles

[SammelThread] Viren, Würmer & Trojaner

Schon Ärger damit gehabt?

  • Ja

    Stimmen: 1.054 71,7%

  • Nein

    Stimmen: 417 28,3%
  • Umfrageteilnehmer
    1.471
Hi,
kennt jemand den Virus: WORM/Warezov.28672.5
Bekannter von mir hat ihn auf'm Laptop, weiß aber nicht, wie er ihn wegbekommt. Formatieren wäre der letzte Ausweg...
Er meinte, dass durch den Virus der Bildschirm ab und zu dunkler wird und durch die Mausbewegung wirds wieder normal und Antivir würde sich auch zu Wort melden. Er hat Antivir laufen lassen, bekommt den Fund gemeldet, wählt dann aus, dass der Virus gelöscht werden soll, drückt "Ok", der Bildschirm wird dunkel und durch ne Mausbewegung wieder normal. Wäre jetzt schon mehrmals passiert.
Hoffe es kann jemand etwas dazu sagen. Danke!
MfG
 
Hoffentlich kann mir da Jemand helfen?!

Bekomme seit gestern immer wieder die Meldung von BitDefender 10, dass er folgende Trojaner gefunden hat, der Rechner aber nicht infiziert sei. Und die Meldung kommt auch nur, wenn ich Mozilla Firefox 1.5.07 starte:

Trojan.Downloader Small.Bfi

BitDefender kann das leider nicht entfernen, und AdawareSE nichts. Und es scheint mir auch so, als ob der meine Autostart-Einträge schrottet, da immer mehr Einträge verschwinden.

Eine von den Dateien befindet sich in einem Cache-Ordner von Mozilla Firefox, so sagt das jedenfalls BitDefender. Komischerweise kann ich diesen Ordner mit dem Explorer und Total Commander nicht finden bzw. er existiert so nicht. Cache hab ich schon gelöscht, spybot findet nix und neuinstallation von firefox bringt auch nix :mad:

EDIT: Hier mal meine HijackThis logfile. Mir ist nix aufgefallen

Logfile of HijackThis v1.99.1
Scan saved at 11:49:27, on 15.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Softwin\BitDefender10\bdmcon.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Karli\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158934512736
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
 
Zuletzt bearbeitet:
Das habe ich auch schon gesehn. Der hats aber einfach nur ignoriert und hat Bitdefender 9 wieder drauf gemacht. Naja...mal schauen, was ich noch machen kann.
 
>Trojan.Downloader Small.Bfi
So wie ich dich verstanden habe, ist der Trojan-DLer im Cacheverzeichnis des Firefox. Der Cache liegt im Profilordner des Firefox, so das eine Neuinstallation des Firefox das Cache nicht löschen würde. Der Profilordner liegt i.d.R unter Dokumente und Einstellungen - User - Anwendungsdaten - Mozilla - Firefox- Profiles.

Damit der Ordner Anwendungsdaten sichtbar wird, muß dieser im Explorer unter "Extras" - "Ordneroptionen" - "Ansicht" - Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren - "OK" eingestellt werden.

Um die Cacheverzeichnisse der Platte effektiv zu leeren, bietet sich das Cleanprog an.
http://www.clearprog.de/.
Damit der Chache einer Firefoxinstallation geleert werden kann, muß afair der Profilpfad in den Einstellungen eingestellt werden.

Stellt sich der Virus nach einem Reboot wieder her, ist dein System infiziert. Wo findet dein Virenscanner die andere befallen Datei? Im Windowssystemverzeichnis?

>O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

Dein Log schaue ich noch durch - Denke aber es ist sauber. Auf die Schnelle ist mir aufgefallen, das deine Javainstallation nicht mehr aktuell ist (Aktuell = 09)
https://www.computerbase.de/downloads/systemtools/java-se-runtime-environment/

Edit:
>C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe

Dieser Prozeß gehört augenscheinlich zu ner XP Theme Software. Diese wird u.a. beim Googeln mit Malware in Verbindung gebracht. Wenn du die Software nicht mehr brauchst, würde ich diese deinstallieren und den Eintrag im HiJackThis-log fixen.

Löschen von Einträgen und Dateien am besten bei deaktivierter Systemwiederherstellung und im abgesicherten Modus.
http://www.bsi.bund.de/av/texte/wiederher.htm

In Benutzung befindliche Dateien können mit der KillBox! beendet und nach einem Reboot gelöscht werden.
http://www.bleepingcomputer.com/files/killbox.php

Versuche doch mit dem Firefox und der Erweiterung NoScript zu browsen. So betritts du jede I-Net Seite ersteinmal ohne das aktive Inhalte automatisch ausgeführt werden.
http://www.erweiterungen.de/detail/NoScript/
 
Zuletzt bearbeitet:
danke für deine ausführliche Hilfe, aber ich habe ihn jetzt anderweitig losbekommen. Zunächst erst mal Opera verwendet, dann auf Firefox 2.0 gewartet. Profil mit MozBackup gesichert (natürlich ohne den Cache ;) ) Profil gelöscht, CC Cleaner drüberlaufen lassen, 2.0 installiert und Profil wieder hergestellt. und alles ist wunderbar.

P.S. Wie oft sollte man denn das Java-Dingens updaten? Muss ich das komplett de- und dann wieder neuinstallieren oder gibts da ne update-funktion?

danke
 
Hab seit vorhin nen "Backdoor.IRC:Aladinz.L" drauf.
Wie kreig ich das scheissding weg?
Es hat meine Hosts-Datei zerschossen =/
Könnte jemand bitte den richtigen Inhalt der Datei Posten?
Mein Hijackthis-logfile sieht so aus:

Logfile of HijackThis v1.99.1
Scan saved at 21:23:28, on 02.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\svchost.exe
F:\Programme\Stardock\Object Desktop\ThemeManager\wbload.exe
C:\WINDOWS\Explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\HDD Thermometer\HDD Thermometer.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Tools\Winamp\winamp.exe
C:\Dokumente und Einstellungen\PuTeNsChNiTzEl\Desktop\#Root\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [] C:\WINDOWS\scvhost.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [RSD_HDDThermo] F:\Programme\HDD Thermometer\HDD Thermometer.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Download all with Free Download Manager - file://G:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://G:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://G:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\PuTeNsChNiTzEl\Startmenü\Programme\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4871/mcfscan.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WB - F:\Programme\Stardock\Object Desktop\ThemeManager\fastload.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - E:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe

O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

MFG Miggi
 
Zuletzt bearbeitet:
Die 'scvhost.exe' befindet sich üblicherweise im System32- Verzeichnis (c:\Windows\System32). Suche nach der Datei im Windowsverzeichnis (c:/Windows). Laut deinem Log wurde die Datei von deinem Virenscanner bereits desinfiziert.

Deaktiviere die Systemwiederherstellung und boote in den abgesicherten Modus.
http://www.bsi.bund.de/av/texte/wiederher.htm

Fixe mit HiJackThis in deinem Log folgende Einträge
>O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS\scvhost.exe
>O4 - HKLM\..\Run: [] C:\WINDOWS\scvhost.exe
>O4 - HKLM\..\Run: [ICQ Lite] C:\WINDOWS\scvhost.exe
>O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe
>O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\scvhost.exe
>O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS\scvhost.exe
>O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\scvhost.exe
>O4 - HKLM\..\RunServices: [Update Checker] C:\WINDOWS\scvhost.exe
>O4 - HKLM\..\RunServices: [msconfig] C:\WINDOWS\scvhost.exe
>O4 - HKLM\..\RunServices: [icq lite] C:\WINDOWS\scvhost.exe
>O4 - HKLM\..\RunServices: [AntiVir] C:\WINDOWS\scvhost.exe
>O4 - HKLM\..\RunOnce: [Windows Update] C:\WINDOWS\scvhost.exe
>O4 - HKLM\..\RunOnce: [msconfig] C:\WINDOWS\scvhost.exe
>O4 - HKLM\..\RunOnce: [icq lite] C:\WINDOWS\scvhost.exe
>O4 - HKLM\..\RunOnce: [Update Checker] C:\WINDOWS\scvhost.exe
>O4 - HKLM\..\RunOnce: [AntiVir] C:\WINDOWS\scvhost.exe
>O4 - HKLM\..\RunOnce: [] C:\WINDOWS\scvhost.exe

Damit sollte die Infektion beseitigt sein. Boote erneut und verifiziere das Ergebnis (Virenscan mit aktuellen Signaturen + neues HiJackThis Log)
http://www.hijackthis.de/

>O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\PuTeNsChNiTzEl\Startmenü\Programme\IMVU\Run IMVU.lnk (file missing)

Kennst du dieses Programm? Brauchst du es? Wenn nein, dann weg damit!

>O20 - Winlogon Notify: WB - F:\Programme\Stardock\Object Desktop\ThemeManager\fastload.dll
>O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - E:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe

Kennst du dieses Programm? Brauchst du es? Wenn nein, dann weg damit!

>O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

Veraltete Java- Version - aktuallisieren
https://www.computerbase.de/downloads/systemtools/java-se-runtime-environment/

Dein Windows hat nicht das aktuelle Patchlevel - Windowsupdate durchführen oder Updatepack saugen.
http://download.winboard.org/details.php?file=489
http://download.winboard.org/details.php?file=42

Deine Version des Internet Explorer ist nicht aktuell
http://www.microsoft.com/germany/windows/ie/default.mspx

oder (besser) alternativen Browser verwenden
http://www.mozilla-europe.org/de/
http://www.opera.com/products/desktop/?htlanguage=de/

Du wurdest imo über dein Messengerprogramm infiziert. Überdenke die Praxis Dateien via Messenger zu tauschen.

Dein Log verweist auf ein in D-Land, in seinem vollen Funktionsumfang, illegalem Programm. Editiere doch dein Log. Net das dir jemand böses will.

Du verwendest keine Firewall. Gehe jetzt davon aus, das du hinter einem Router sitzt? Wenn nein, aktiviere die Windowsfirewall in deinem Sicherheitscenter. Oder lade dir eine deiner Wahl. Meine Freeware- Empfehlung:
http://www.agnitum.com/products/outpostfree/download.php

Ggf. solltest du bedenken, das du nur mit einer Neuaufsetzung wieder zu einem vertrauenswürdigem System kommst.
 
Zuletzt bearbeitet:
Schonmal danke für deine Antwort :)
Was meinst du mit illegalem Programm? also welches meinst du?
Ich sehe da nicht wirklich eins, oder ich hab Tomaten auf den Augen :D

Habe jetzt erstmal deine Tipps befolgt und es scheint vorbei zu sein :)

>O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\PuTeNsChNiTzEl\Startmenü\Programme\IMVU\Run IMVU.lnk (file missing)

Kennst du dieses Programm? Brauchst du es? Wenn nein, dann weg damit!
Zum Vergrößern anklicken....

Jop, kenn ich. Ist ein 3D Messenger.

>O20 - Winlogon Notify: WB - F:\Programme\Stardock\Object Desktop\ThemeManager\fastload.dll
>O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - E:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe

Kennst du dieses Programm? Brauchst du es? Wenn nein, dann weg damit!
Zum Vergrößern anklicken....

Also die fastload.dll ist für meinen aktuellen Xp-Style.
Der raysat_3dsmax8server ist von 3Dsmax. Das ist ein Programm zum modellieren in 3D.
Hab die Demo davon, die brauchte ich wegen nem Tutorial wie man in Oblivion sein eigenes Schwert macht.

Um Java und Windows werd ich mich dann gleich sofort kümmern :)
Ich verwende keinen IE. Nur FF^^
Und Router ham wir :)

Eine Frage noch : Ist es normal das die scvhost 7mal im Taskmanager vorkommt? 4mal als System, 2mal als netzwerk und einmal als Lokaler Dienst?

MFG Miggi
 
>Was meinst du mit illegalem Programm? also welches meinst du?

Alcohol120% - Ist zwar in D-Land frei verkäuflich aber ohne zusätzliches Update zur Umgehung der Kopierschutzmechanismen nix wert. Diese muss man sich eben von den Britsh Virgian Islands oder so besorgen...

Zum Thema sicherheitsrelevantes System: Ich habe ca. 30GB legale Mp3 auf der Platte lümmeln und auf externe Platte gesichert. Ich hätte aber keine Lust mit diesen MP3 irgendwann in Erklärungsnotstände zu geraten, nur weil jemand meint auf meiner Kiste herumzustöbern. Deshalb 100% Virenfrei und Spass dabei...

>Ich verwende keinen IE. Nur FF

Sehr löblich! Dennoch ist ein Update auf den IE7 empfehlenswert, da dieser auch den Dateiexplorer stellt und tief ins Betriebssystem integriert ist. Bei einem Besuch der Windowsupdateseite wird er zwischenzeitlich nachinstalliert.
http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=de

>Und Router ham wir

Wenn mehrere Computer ein Netzwerk hinter einem Router bilden, würde ich stets die Windows-Firewall mitlaufen lassen. So kann sich ein Netzwerkvirus (z.B. Sasser, Lovesan, usw.) im lokalen Netz nicht weiterverbreiten. Und die frisst kein Heu.

>Ist es normal das die scvhost 7mal im Taskmanager vorkommt?

Ja, die scvhost.exe ist eine 'Startdatei'.

>"Svchost.exe" ist ein generischer Hostprozessname für Dienste, die aus Dynamic-Link Libraries (DLLs) heraus ausgeführt werden.
http://support.microsoft.com/kb/314056/de

Bei mir sie derzeit 6x aktiv. Die scvhost.exe befindet sich im c:\Windows\System32- Verzeichnis.
 
Aso, Alcohol..ne dieses besagte Update hab ich net. Hatte Alcohol auch nur mal zu testzwecken installiert. Hab die Logdatei jetzt geändert und Alcohol ist deinstalliert.
Die Windowsfirewall ist auch wieder in Betrieb, aber so wie es aussieht werde ich doch meinen Pc neumachen, sobald ich eine Antwort in diesem Thread von mir bekommen hab :)
Dann werd ich auch alle Updates installieren :)
Vielen Dank für die hilfe.
Was mich jedoch stutzig macht ist das Dateisymbol der scvhost.exe
Jedoch springt weder Antivir noch a-squared oder Nod32 auf diese Datei an...alles schon probiert...
Kann es sein, dass nur das Symbol geblieben ist?
Werde wohl um eine Neuinstall nicht rumkommen :(

MFG Miggi
 

Anhänge

  • scvhostsym.JPG
    scvhostsym.JPG
    7,1 KB · Aufrufe: 571
Zuletzt bearbeitet:
Opps, da ist wohl etwas was nicht hingehört. Möglicherweise habe ich da was übersehen. Sorry :o

Beachte scvhost.exe und svchost.exe. Vorsichthalber füge ich einen Screenshot mit der orig. Datei mit bei. Vergleiche bitte Dateigröße und Speicherort.

Scanne deine scvhost.exe, z.B. auf http://virusscan.jotti.org/de/ und poste das Ergebnis. Würde mich net wundern, einen der Übertäter gefunden zu haben. Ich habe keine solche Datei auf meinem System und das Googeln bringt das File mit Trojanern in Verbindung. Wahrscheinlich gehört die Datei gelöscht.

Das deine Virenscanner nicht anspringen, könnte darauf hindeuten, das sie kompromitiert sind und nicht mehr verläßlich laufen.

Versuche die Datei umzubenennen (z.B. *.old) und boote neu. Schauen wir was passiert.

Manchmal kommt man um eine Neuinstallation herum, indem man das eine Reparaturinstallation durchführt. Hat mir bei div. Zerkonfigurationen mehrfach das Windows gerettet.
http://www.wintotal.de/Tipps/Eintrag.php?TID=911
 

Anhänge

  • svchost.png
    svchost.png
    24,2 KB · Aufrufe: 576
Also ich hab jetzt mal geguckt im Taskmanager is net die SCVhost sondern die svchost 7mal am laufen. Gutes zeichen oder?
Die SCVhost hab ich gelöscht.
SVChost hat selbe Dateigröße und Speicherort :)
Die Inetseite hatte wirklich was gefunden.

MFG Miggi
 
Ja, ein gutes Zeichen.

Du hast mehrere Virenscanner installiert?! Entscheide dich für einen. Verschiedene Virenscanner stehen sich mit ihren aktiven Virenwächtern oft gegenseitig auf den Füßen und behindern sich. Hier ist imo weniger mehr. Der NOD32 ist imo empfehlenswert. A-squared besitzt als Free- Version keinen aktiven Virenwächter und kann auf der Platte bleiben.

Versuche dein Ergebnis zu überprüfen. Deinstalliere den Virenscanner, lösche dessen Programmverzeichnis und installiere ihn anschließend neu, aktuallisiere die Virensignaturen und mache einen Scan jeder Datei. Erstelle nochmal ein HiJackThis Log und analysiere es auf http://www.hijackthis.de/.
 
hi, ich bins wieder ^^ und diesmal ist es (hoffentlich) nicht so schlimm...

ich habe gerade gemütlich king of queens geguckt, als plötzlich ein unheimlicher ladevorgang beginnt, alles hängt kurz und die maus ruckelt kurze zeit. ich dachte mir gleich, dass da was nicht stimmt und gucke im taskmanager nach... UI.EXE... kommt mir seltsam vor und ich beende den prozess recht schnell.

jetzt habe ich mich ein wenig schlau gemacht und herausgefunden, dass UI.exe entweder ein scannertreiber sein kann (bei mir recht wahrscheinlich, scanner angeschlossen und oft benutzt) oder auch ein virus, der sogenannte W32/Mytob-FA. okay, lasse eben antivir (mit neuester version), spybot und spysweeper durchlaufen und alle finden nichts bedrohliches.

dann habe ich bei der normalen windows-suche nach "ui.exe" gesucht und voilà! er findet eine *.PF-datei in c:/windows. auch habe ich danach nachgelesen, dass *.PF-dateien so etwas wie überreste/absicherungen von abgebrochenen porzessen/programmen (oder so etwas in der art) sind.

gut und schön, jetzt gibt es aber ein problem: ich habe leider auch gelesen, dass die *.PF-dateien das programm von dem sie stammen, wieder neustarten können und das eben bei einem neustart vom rechner. gehe ich auf nummer sicher, wenn ich die *.PF-dateien mit killbox lösche? und gibt es eine möglichkeit zu erkennen ob ein virus danach auf meinem rechner ist?

außerdem finde ich es seltsam, dass ich überhaupt diesen wurm bekommen habe... angeblich wird der per e-mail oder IRC verschickt... keine e-mail bekommen und IRC nichts geschickt bekommen...!? kann das sein?

PS. mir wurde hier schon einmal so toll geholfen, als es einmal um spyware ging (das ding hat mich damals eine woche gekostet :mad:) und mir wurde damals schon gut geholfen... auf fb natürlich! ;) seit dem bin ich immer sehr vorsichtig, wenn es um so etwas geht...
 
@sc00ty
Um herauszufinden, ob irgendein Schadcode auf das Internet zugreifen möchte, solltest du erst einmal ein HiJackThis Log machen. Analysieren kannst Du das Log anschließend auf
http://www.hijackthis.de/.

Ich aber denke nicht, das du dir eine Bazille eingfangen hast, da du ja sagst du hättest keine Mail mit Anhang bekommen. Selbst habe ich auch PF-Dateien. Sie befinden sich alle im Windows/Prefetch Ordner.
http://www.helmrohr.de/Guides/Prefetching.htm
 
ich wusste doch, dass ich was vergessen hatte...

Logfile of HijackThis v1.99.1
Scan saved at 01:20:38, on 04.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [] C:\WINDOWS\Gtwatch.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Miranda IM] C:\Programme\Miranda IM\miranda32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O12 - Plugin for .exe: C:\Programme\Opera\PLUGINS\NPLeechGet.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{358E86D9-5FA4-410D-94B7-F4F91297F10D}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8F43A6C-A2E4-43D0-B68B-FE29B2D91B5E}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{358E86D9-5FA4-410D-94B7-F4F91297F10D}: NameServer = 192.168.1.1
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\m8po0i73e8.dll (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Zum Vergrößern anklicken....

die analyse: http://www.hijackthis.de/#anl

was ich seltsam dabei finde, ist der iPodService!? ich habe keinen iPod und es lässt sich auch nicht löschen und beenden!? ansonsten gibt es eig keine probleme, oder? auch bei der analyse gab es nichts beunruhigendes, da ipod als sicher eingestuft wurde... mir gefällt das gar nicht...
 
iPodService ist meistens bei iTunes dabei.
Also wenn du das installiert hast, weisst du woher iPodService kommt :)

MFG Miggi
 
okay, also iPodService bin ich nun los geworden und jetzt gibt es eigentlich nur noch ein problem...

ich habe heut morgen den rechner neu gestartet und im taskmanager war folgendes: DWLGTI.EXE (nach kurzer google-suche finde ich eig nur infos über trojaner) und es war wieder die UI.EXE dabei, obwohl ich die *.PF-datei davon mit killbox gelöscht habe...? wie bekomme ich das wieder weg?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Bellringer
Viren, Würmer, Malware Scanner
Antworten
10
Aufrufe
2.843
kernel panic
K
Mr. Sputnik
Viren/Würmer und Netzwerke
Antworten
11
Aufrufe
1.416
darkii
darkii
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz