Mal wieder svchost

Dieses Thema im Forum "Viren, Würmer, Spyware" wurde erstellt von gehoco, 20.04.2009.

  1. gehoco

    gehoco Neuer Benutzer

    Dabei seit:
    20.04.2009
    Beiträge:
    5
    Zustimmungen:
    0
    [font='Arial, Helvetica, sans-serif']Hallo! Ich habe mir vermutlich ein Schadprogramm eingefangen, das mal wieder die svchost.exe zurechtgebogen hat. Und zwar erscheint nach jedem Hochfahren des PC ein Symbol "ERROR" in der unteren Leiste (läßt sich da auch nicht löschen) und öffnet dann in schöner Regelmäßigkeit das Fenster einer Webside namens "pc-codec-pack" auf der dann irgendeine Aktualisierung von Media-Was-weiß-ich-Zeug angeboten wird (zum Sonderpreis von 19,99 $) :motz: . Ich krieg das Ding nur weg, wenn ich im Task-Manager bei der svchost32.exe eine Systemunterbrechung mache. Aber wie gesagt, nach jedem Hochfahren geht der gleiche Mist von vorne los. Was kann ich da machen ?( ? Beste Grüße! :) [/font]
     
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 PolishStyler, 20.04.2009
    PolishStyler

    PolishStyler Drift-King

    Dabei seit:
    21.07.2007
    Beiträge:
    3.091
    Zustimmungen:
    0
    Ort:
    Köln
    Hi

    zuallererst mal eine logfile mit hijackthis posten
     
  4. #3 Leonixx, 20.04.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Hallo,

    damit hast du dir auf jeden Fall ein Backdoor Trojaner eingefangen. Wie schon empfohlen erstmal ein HJT Logfile posten. Anschließend Combofix anwenden wie im Link in meiner Signatur. Ebenfalls das Logfile hier posten.

    Gruss
     
  5. gehoco

    gehoco Neuer Benutzer

    Dabei seit:
    20.04.2009
    Beiträge:
    5
    Zustimmungen:
    0
    Hier kommt die Logfile (wie ich hoffe ...)

    [font='Arial, Helvetica, sans-serif'] Den Anhang 9882 betrachten Hallo und besten Dank. Hab ich mich doch tatsächlich da durchgefunden und die Logfile angehängt. Bis jetzt hab ich weiter nix gemacht - würde also die Spezialisten bitten, mir die nächsten Schritte zu erläutern (da ich als Angehöriger der Generation 50 + ja noch mit der mechanischen Schreibmaschine aufgewachsen bin und da gabs nur Rost und verbogene Typen, aber keine Trojaner). :thumbsup: Viele Grüße![/font]
     

    Anhänge:

  6. #5 Leonixx, 21.04.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Hallo,

    Generation 50+ ist in Ordnung, bin auch schon Generation 40+ ;)

    Zunächst mal zum Hijackthis Logfile. Soweit ist es augenscheinlich in Ordnung. Was für mich hier aber verdächtig erscheint, das der IE zweimal erscheint. Hattest du den Internet Explorer zweimal gestartet bzw. offen? Zwei Prozesse sind verdächtig und deuten manchmal auf Virenbefall hin.

    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Internet Explorer\iexplore.exe

    Aussagekräftiger wäre ein Combofix Logfile, da es tiefer ins System eingreift, um die Schädlinge zu enttarnen. Wenn du dich an die Anleitung in meiner Signatur hälst, kann nichts passieren. Ist nicht so schwer, wie es vielleicht aussieht. Sollte danach das Internet nicht mehr funktionieren, dann gehst du im Systemtray auf Lanverbindung mit Rechtsklick und klickst auf reparieren. Dann funktioniert alles wieder. Kommt aber sehr selten vor.

    Gruss
     
  7. gehoco

    gehoco Neuer Benutzer

    Dabei seit:
    20.04.2009
    Beiträge:
    5
    Zustimmungen:
    0
    [font='Arial, Helvetica, sans-serif']Also bewußt hatte ich den Internet-Explorer nicht zweimal gestartet. War auch tatsächlich nur einmal offen. Das mit Conmbofix hab ich mir durchgelesen und ausgedruckt. Werde ich aber erst am Donnerstag machen können, da ich morgen unterwegs bin und heute noch was arbeiten muß. ;) Melde mich dann am Donnerstag wieder mit der Combofix-Logfile. Besten Dank erstmal und viele Grüße! :) [/font]
     
  8. gehoco

    gehoco Neuer Benutzer

    Dabei seit:
    20.04.2009
    Beiträge:
    5
    Zustimmungen:
    0
    Combofix Logfile

    [font='Arial, Helvetica, sans-serif']Hallo! Wunderbar, hat bestens geklappt mit dem Combofix. Logfile hängt unten dran. Kann ich eigentlich das Combofix jetzt drauflassen oder beißt sich das mit meinem Symatec-Antivirus? Beste Grüße Den Anhang 9889 betrachten [/font]
     

    Anhänge:

    • log.txt
      Dateigröße:
      15,4 KB
      Aufrufe:
      17
  9. AdMan

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  10. #8 Leonixx, 23.04.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Hi,

    so jetzertle.
    Bitte diese Datei mal bei Virutotal hochladen, auswerten und Ergebnis posten. www.virustotal.com

    c:\windows\system32\lsasrv.dll (eventuell auch Sasser Wurm)

    Diese ganzen Registry Einträge wurden von dem Trojaner verändern. Du musst alle Werte wieder auf 0 setzen. Damit wurde dein Sicherheitssystem ausgehebelt.
    Start, Ausführen, Regedit eingeben, dann durch diese Ordner im linken Fenster navigieren. Einträge stehen dann im letzten Ordner im rechten Fenster.

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusDisableNotify"=dword:00000001 (hier den Wert wieder auf dword:00000000 ändern)
    "UpdatesDisableNotify"=dword:00000001 (hier den Wert wieder auf dword:00000000 ändern)

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001 (hier den Wert wieder auf dword:00000000 ändern)

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001 (hier den Wert wieder auf dword:00000000 ändern)

    Dieser Registry Eintrag wurde schon gelöscht. Winmedia32 ist typisch für Trojan.W32.YABE.\r
    HKCU-Run-winmedia32 - c:\dokumente und einstellungen\Hofmann\Anwendungsdaten\svchost32.exe

    Ansonsten sehe ich nichts weiter. Combofix hat anscheinend Teile des Trojaners gelöscht.

    Wichtig, dieser Trojaner hat höchstwahrscheinlich deine Passwörter aufgezeichnet und an Dritte verschickt. Ändere alle Passwörter.

    Gruss
     
  11. gehoco

    gehoco Neuer Benutzer

    Dabei seit:
    20.04.2009
    Beiträge:
    5
    Zustimmungen:
    0
    [font='Arial, Helvetica, sans-serif']Hallo und besten Dank! Hab anliegend das Ergebnis von Virustotal. Werde mich jetzt an die Reparatur der Registry machen. Und dann ist erst mal Weekend. :) Den Anhang 9894 betrachten [/font]
     
Thema: Mal wieder svchost
Besucher kamen mit folgenden Suchen
  1. svchost 11 mal

Die Seite wird geladen...

Mal wieder svchost - Ähnliche Themen

  1. Nach Installation von Aufrüstset: Computer piepst 5 Mal und fährt nicht hoch

    Nach Installation von Aufrüstset: Computer piepst 5 Mal und fährt nicht hoch: Hallo, letzte Woche hatte ich ein Problem mit dem Computer, ich ging stark davon aus, dass es der Arbeitsspeicher war. Der Computer ist schon...
  2. DHL - Transportschaden - geht mal gar nicht

    DHL - Transportschaden - geht mal gar nicht: Hallo, ich hatte ja schon den einen oder anderen unschönen Vorfall mit DHL, aber was die nun gemacht haben passt auf keine Kuhhaut. Folgendes;...
  3. Es ist wieder mal Zeit.... :confused:

    Es ist wieder mal Zeit.... :confused:: Hallo Leuz.. Es ist wieder mal soweit und ich würde gerne mein Pc entweder aufrüsten falls das geht oder halt wenn es sein muss einen neuen...
  4. Neuer PC - Hauptsächlich für Office, aber ich möchte auch mal zocken können...

    Neuer PC - Hauptsächlich für Office, aber ich möchte auch mal zocken können...: Hallo zusammen, ich habe derzeit nur ein Laptop welches nun auch schon wieder über 3 Jahre alt ist und es war auch damals, als ich es gekauft...
  5. neuen PC erst mal ohne Graka

    neuen PC erst mal ohne Graka: hi forum, kann ich das Gigabyte H87-HD3-Board zusammen mit dem i5-4570 ohne Graka betreiben?