gehoco

Hallo! Ich habe mir vermutlich ein Schadprogramm eingefangen, das mal wieder die svchost.exe zurechtgebogen hat. Und zwar erscheint nach jedem Hochfahren des PC ein Symbol "ERROR" in der unteren Leiste (läßt sich da auch nicht löschen) und öffnet dann in schöner Regelmäßigkeit das Fenster einer Webside namens "pc-codec-pack" auf der dann irgendeine Aktualisierung von Media-Was-weiß-ich-Zeug angeboten wird (zum Sonderpreis von 19,99 $) :motz: . Ich krieg das Ding nur weg, wenn ich im Task-Manager bei der svchost32.exe eine Systemunterbrechung mache. Aber wie gesagt, nach jedem Hochfahren geht der gleiche Mist von vorne los. Was kann ich da machen ?( ? Beste Grüße!

PolishStyler

Hi

zuallererst mal eine logfile mit hijackthis posten

Leonixx

Hallo,

damit hast du dir auf jeden Fall ein Backdoor Trojaner eingefangen. Wie schon empfohlen erstmal ein HJT Logfile posten. Anschließend Combofix anwenden wie im Link in meiner Signatur. Ebenfalls das Logfile hier posten.

Gruss

gehoco

Anhang 9882Hallo und besten Dank. Hab ich mich doch tatsächlich da durchgefunden und die Logfile angehängt. Bis jetzt hab ich weiter nix gemacht - würde also die Spezialisten bitten, mir die nächsten Schritte zu erläutern (da ich als Angehöriger der Generation 50 + ja noch mit der mechanischen Schreibmaschine aufgewachsen bin und da gabs nur Rost und verbogene Typen, aber keine Trojaner). :thumbsup: Viele Grüße!

Angehängte Dateien

Logfile.txt (11,0 KB, 13x aufgerufen)

Leonixx

Hallo,

Generation 50+ ist in Ordnung, bin auch schon Generation 40+

Zunächst mal zum Hijackthis Logfile. Soweit ist es augenscheinlich in Ordnung. Was für mich hier aber verdächtig erscheint, das der IE zweimal erscheint. Hattest du den Internet Explorer zweimal gestartet bzw. offen? Zwei Prozesse sind verdächtig und deuten manchmal auf Virenbefall hin.

C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe

Aussagekräftiger wäre ein Combofix Logfile, da es tiefer ins System eingreift, um die Schädlinge zu enttarnen. Wenn du dich an die Anleitung in meiner Signatur hälst, kann nichts passieren. Ist nicht so schwer, wie es vielleicht aussieht. Sollte danach das Internet nicht mehr funktionieren, dann gehst du im Systemtray auf Lanverbindung mit Rechtsklick und klickst auf reparieren. Dann funktioniert alles wieder. Kommt aber sehr selten vor.

Gruss

gehoco

Also bewußt hatte ich den Internet-Explorer nicht zweimal gestartet. War auch tatsächlich nur einmal offen. Das mit Conmbofix hab ich mir durchgelesen und ausgedruckt. Werde ich aber erst am Donnerstag machen können, da ich morgen unterwegs bin und heute noch was arbeiten muß. Melde mich dann am Donnerstag wieder mit der Combofix-Logfile. Besten Dank erstmal und viele Grüße!

gehoco

Hallo! Wunderbar, hat bestens geklappt mit dem Combofix. Logfile hängt unten dran. Kann ich eigentlich das Combofix jetzt drauflassen oder beißt sich das mit meinem Symatec-Antivirus? Beste GrüßeAnhang 9889

Angehängte Dateien

log.txt (15,4 KB, 8x aufgerufen)

Leonixx

Hi,

so jetzertle.
Bitte diese Datei mal bei Virutotal hochladen, auswerten und Ergebnis posten. www.virustotal.com

c:\windows\system32\lsasrv.dll (eventuell auch Sasser Wurm)

Diese ganzen Registry Einträge wurden von dem Trojaner verändern. Du musst alle Werte wieder auf 0 setzen. Damit wurde dein Sicherheitssystem ausgehebelt.
Start, Ausführen, Regedit eingeben, dann durch diese Ordner im linken Fenster navigieren. Einträge stehen dann im letzten Ordner im rechten Fenster.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001 (hier den Wert wieder auf dword:00000000 ändern)
"UpdatesDisableNotify"=dword:00000001 (hier den Wert wieder auf dword:00000000 ändern)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001 (hier den Wert wieder auf dword:00000000 ändern)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001 (hier den Wert wieder auf dword:00000000 ändern)

Dieser Registry Eintrag wurde schon gelöscht. Winmedia32 ist typisch für Trojan.W32.YABE.\r
HKCU-Run-winmedia32 - c:\dokumente und einstellungen\Hofmann\Anwendungsdaten\svchost32.ex e

Ansonsten sehe ich nichts weiter. Combofix hat anscheinend Teile des Trojaners gelöscht.

Wichtig, dieser Trojaner hat höchstwahrscheinlich deine Passwörter aufgezeichnet und an Dritte verschickt. Ändere alle Passwörter.

Gruss

gehoco

Hallo und besten Dank! Hab anliegend das Ergebnis von Virustotal. Werde mich jetzt an die Reparatur der Registry machen. Und dann ist erst mal Weekend. Anhang 9894

Angehängte Dateien

VirusTotal - Kostenloser online Viren- und Malwarescanner - Ergebnis.txt (23,0 KB, 21x aufgerufen)