Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Virenbekämpfung, Hilfe erwünscht!

Spasstiger / 11 Antworten / Baumansicht Nickles

Ich hab mir per Kazaa einen hässlichen Virus angeschafft (trotz mehrmaliger Kontrolle mit Virenscanner). Jetzt schmarotzt er in meinem System und kostet mich den letzten Nerv.
Der Virus wirkt sich dahingehend aus, dass nach dem Einloggen in Windows XP ganz kurz ein Bildschirm mit der Schrift "Update" aufblinkt, der Bildschirm den Anzeigemodus umschaltet (Auflösung und Wiederholfrequenz sind aber vorher wie nachher gleich) und ich jede wichtige Windows-Instanz nicht mehr verwenden kann. Der Taskmanager blinkt nach Drücken von STRG+ALT+ENTF nur kurz auf und verschwindet sofort wieder. Das gleiche im Reg-Editor und im MSConfig. Im abgesicherten Modus geht alles.
Ich hab natürlich die aktuellen Virendefinitionsdateien für meinen Virenscanner Bit Defender drauf. Also mal im abgesicherten Modus über die Platte laufen lassen. Und es wurde tatsächlich etwas gefunden, der eine Virus verstecke sich in einer dxgl.dll, die ich sofort löschen lies. Der andere war in einer svchost32.exe, die ich auch löschte, da ich nur die svchost.exe kenne. Der Virus hieß irgendwas mit IRC (leider existiert keine Log-Datei), also muss der Virus was mit dem Internet Relay Chat zu tun haben.
Wieder normal gebootet und nun zeigt sich der Virus schonmal offensichtlicher, die oben genannten Probleme bestehen aber weiterhin. Es kommt über dem "Update"-Fenster folgende Fehlermeldung:


Das Update-Fenster selbst sieht so aus:

Zum Vergrößern für das ganze Fenster bitte auf das Bild klicken.

Tatsächlich handelt es sich um ein Chat-Fenster, dass nun wohl aufgrund der fehlenden Dateien oder auch einfach nur wegen meiner Firewall keine Verbindung herstellen kann.

Wie bekomme ich dieses dämliche Programm von der Festplatte? Ich kann den Dateinamen nicht ausfindig machen, im abgesicherten Modus find ich auch in MSConfig keinen Eintrag. Der Autostart ist genauso leer. Es ist extrem beunruhigend, so ein Teil auf der Platte zu haben und nicht vernünftig mit Windows arbeiten zu können. Mein Virenscanner schweigt inzwischen wie ein Fisch, meldet sozusagen "Friede, Freude, Eierkuchen".

bei Antwort benachrichtigen
Schweinebuckel Spasstiger „Virenbekämpfung, Hilfe erwünscht!“
Optionen

#Im abgesicherten Modus funktioniert alles'. (Und der Scanner findet auch nichts mehr)

Dann nehme ich doch stark an, daß das Virus tot, aber das System jetzt zerschossen ist. Wahrscheinlich hat das Virus Deine svchost.exe so ruiniert, daß sie jetzt keine .dlls mehr starten kann.

Siehe dieses:


Svchost (1) Svchost.exe

(Microsoft) Service Host – Generic Host Process for Win32 Services. Windows 2000/XP only. SVCHOST is a generic process which acts as a host for processes that run from DLLs rather than EXEs. At startup SVCHOST checks the Services portion of the Registry to construct a list of DLL-based services that it needs to load, and then loads them. There can be many instances of SVCHOST running, as there will be one instance of SVCHOST for every DLL-based service or grouping of services (the grouping of services is determined by the programmers who wrote the services in question). Under Windows XP you can find out what DLL-based services SVCHOST is running by typing Tasklist /SVC at a Command Prompt (MS-DOS Prompt), while under Windows 2000 you need to use the TLIST –s command from a Command Prompt (MS-DOS Prompt).

Recommendation :
An integral part of the operating system, leave alone – multiple instances of SVCHOST is a normal occurrence. If you experience SVCHOST errors, the problem is most likely not with SVCHOST but with the DLLs it is hosting

ABER VORSICHT:
Svchost (2) SVCHOST.EXE

(???) Many viruses masquerade themselves as SVCHOST to escape detection. Some have names that are similar, such as SCCHOST, while others actually drop a program file called SVCHOST in the Windows or Windows System directory.

Recommendation :
The first recommendation is a simple one : always have a good antivirus product which is regularly updated (automatically preferably) and always renew your updates subscription when it expires. To detect if you have a virus that calls itself SVCHOST, first see if it shows up in Starter – if it does, then it is almost certain you have a virus. Secondly, if you have Windows 95/98/ME rather than WinNT4/2000/XP, then it is almost certain you have a virus. Thirdly, go to "Control Panel \ Administrative Tools \ Services" and look for any of the following services – if you find any of them, then you probably have a virus.

Ich würde mir eine neue svchost.exe auf den Rechner kopieren. Wenn es dann noch immer nicht geht, hilft wohl nur die Neuinstallation.
bei Antwort benachrichtigen
Schweinebuckel Spasstiger „Virenbekämpfung, Hilfe erwünscht!“
Optionen

#Im abgesicherten Modus funktioniert alles'. (Und der Scanner findet auch nichts mehr)

Dann nehme ich doch stark an, daß das Virus tot, aber das System jetzt zerschossen ist. Wahrscheinlich hat das Virus Deine svchost.exe so ruiniert, daß sie jetzt keine .dlls mehr starten kann.

Siehe dieses:


Svchost (1) Svchost.exe

(Microsoft) Service Host – Generic Host Process for Win32 Services. Windows 2000/XP only. SVCHOST is a generic process which acts as a host for processes that run from DLLs rather than EXEs. At startup SVCHOST checks the Services portion of the Registry to construct a list of DLL-based services that it needs to load, and then loads them. There can be many instances of SVCHOST running, as there will be one instance of SVCHOST for every DLL-based service or grouping of services (the grouping of services is determined by the programmers who wrote the services in question). Under Windows XP you can find out what DLL-based services SVCHOST is running by typing Tasklist /SVC at a Command Prompt (MS-DOS Prompt), while under Windows 2000 you need to use the TLIST –s command from a Command Prompt (MS-DOS Prompt).

Recommendation :
An integral part of the operating system, leave alone – multiple instances of SVCHOST is a normal occurrence. If you experience SVCHOST errors, the problem is most likely not with SVCHOST but with the DLLs it is hosting

ABER VORSICHT:
Svchost (2) SVCHOST.EXE

(???) Many viruses masquerade themselves as SVCHOST to escape detection. Some have names that are similar, such as SCCHOST, while others actually drop a program file called SVCHOST in the Windows or Windows System directory.

Recommendation :
The first recommendation is a simple one : always have a good antivirus product which is regularly updated (automatically preferably) and always renew your updates subscription when it expires. To detect if you have a virus that calls itself SVCHOST, first see if it shows up in Starter – if it does, then it is almost certain you have a virus. Secondly, if you have Windows 95/98/ME rather than WinNT4/2000/XP, then it is almost certain you have a virus. Thirdly, go to "Control Panel \ Administrative Tools \ Services" and look for any of the following services – if you find any of them, then you probably have a virus.

Ich würde mir eine neue svchost.exe auf den Rechner kopieren. Wenn es dann noch immer nicht geht, hilft wohl nur die Neuinstallation.
bei Antwort benachrichtigen
Spasstiger Schweinebuckel „ Im abgesicherten Modus funktioniert alles . Und der Scanner findet auch nichts...“
Optionen

Ich hab auch mal den Onlinescanner von Symantec drüber laufen lassen, der fand nochmal stolze 15 Viren, davon 13 in einem Ordner namens kazaabackup. Natürlich wieder alle infizierten Dateien gelöscht, aber dieses "Update"-Programm startet immer noch. Ich werd mir mal eine neue svchost.exe besorgen, sollte ja im Netz auf seriösen Seiten zu finden sein.

bei Antwort benachrichtigen
Spasstiger Nachtrag zu: „Virenbekämpfung, Hilfe erwünscht!“
Optionen

Verdammt, wo bekomme ich eine neue svchost.exe her? Im Netz wurde ich per Google nicht fündig. Hab die Home Edition von Windows XP mit Service Pack 1. Evtl. ist auch meine Explorer.exe beschädigt, das Programm "Process Explorer" meldete jedenfalls das Update-Fenster als explorer.exe und zwar die im Windows-Verzeichnis. Seltsamerweise meldet mir keine Virenscanner mehr irgendwelche Viren. Eine Systemwiederherstellung hab ich auch schon versucht mit einem Wiederherstellungspunkt von gestern früh, allerdings waren dann die Viren plötzlich wieder drauf. Deshalb wird der Wiederherstellungspunkt gleich dran glauben müssen. Leider habe ich keine älteren Punkte, weil ich der Systemwiederherstellung nicht sonderlich viel Speicher zugewiesen habe.
Wäre nett, wenn mir einer helfen könnte, Dateien bitte an mail-to-fish@gmx.de schicken.

bei Antwort benachrichtigen
Spasstiger Nachtrag zu: „Virenbekämpfung, Hilfe erwünscht!“
Optionen

Also, ich hab explorer.exe und svchost.exe im abgesicherten Modus durch garantiert funktionierende Versionen ersetzt. Der Fehler besteht aber weiterhin. Einen Virus habe ich laut Norton Anti Virus und Bit Defender nicht mehr drauf.
Das Problem äußert sich darin - um mich nochmals zu wiederholen -, dass Windows-Instanzen wie Taskmanager, Registry, MSConfig, etc. beim Aufruf nur kurz aufblinken und wieder verschwinden. Im abgesicherten Modus scheint alles normal zu funktionieren.
Das oben gezeigt "Update"-Fenster blinkt inzwischen nur kurz auf.
Wie soll ich jetzt weiter vorgehen, ohne Windows nochmals drüber installieren zu müssen?
Eigentlich hatte ich vor, in absehbarer Zeit meine Festplatte leerzuräumen (durch Backup), eine Low-Level-Formatierung vorzunehmen und dann ein nagelneues, sauberes System drauf zu machen. Deshalb hab ich keinen Bock, ein ohnehin verhunztes Windows nochmals zu retten.

bei Antwort benachrichtigen
the_mic Spasstiger „Also, ich hab explorer.exe und svchost.exe im abgesicherten Modus durch...“
Optionen

dein systemwiederherstellungspunkt ist verseucht, drum hast du dir den virus dort nochmals eingefangen.

am besten entfernst du das virus, danach machst du eine reparaturinstallation (du hast hoffentlich *keine* recovery-cd?). dadurch müssten eigentlich alle beschädigten dateien repariert werden.

cat /dev/brain > /dev/null
bei Antwort benachrichtigen
matthew76 Spasstiger „Virenbekämpfung, Hilfe erwünscht!“
Optionen

Mein Tipp,
du hast per Virenscanner schon viel zu viel Schaden angerichtet, womöglich sogar DLL`s gelöscht die für win Lebensnotwendig sind.

Wenn dein Virenscanner schon 15 neue Viren gefunden hat dann ist das ein Zeichen dafür das dein Systam vin Viren und Trojanern verseucht ist.

Formatier am besten mal alles neu und leg dir dann mal nen ordentlichen Virenscanner an.

mfg

bei Antwort benachrichtigen
Spasstiger matthew76 „Mein Tipp, du hast per Virenscanner schon viel zu viel Schaden angerichtet,...“
Optionen

Über das was gelöscht wird, hab immer noch ich die Kontrolle und fast alle Viren steckten in einem Kazaa-Quarantäne-Ordner, der von Kazaa's Virenscanner angelegt wird. Die Viren waren allesamt Exe-Dateien. Die 15 neuen Viren wurden vom Norton Anti Virus entdeckt, der andere Scanner scheint trotz c't-Tipp nicht der Beste zu sein.
Also, 13 von diesen neuen Viren waren im Kazaa-Ordner. Einer war eine dll-Datei, die mit Sicherheit keine Systemdatei war und einer steckte in einer Exe-Datei mit dem Namen Funny..., also ganz offensichtlich keine Systemdatei. Außerdem bestehen die Probleme ja schon von Anfang an. Ich vermute, dass alle Windows-Systemdateien intakt sind, da die Probleme im abgesicherten Modus nicht auftreten. Außerdem läuft ja im Hintergrund dieses ominöse "Update"-Programm, dessen Ursprung ich nicht feststellen kann und es auch nicht zu beenden ist. Ich denke, dass dieses Programm meine Windows-Instanzen sofort nach dem Öffnen wieder schließt. Wenn Systemdateien beschädigt wären, könnte ich den Taskmanager ja gar nicht öffnen. Ich habe aber immer ca. eine halbe Sekunde Zugriff darauf und kann in dieser "Zeit" auch darin rumklicken.
Ein Workaround wäre es, vorrübergehend einen alternativen Taskmanager zu benutzen, aber das ist keine Dauerlösung.
Kennt denn niemand diesen Virus/Wurm, was auch immer? Ich meine diese "Update"-Kacke, um die es ja eigentlich geht.
Über rasche Hilfe würde ich mich sehr freuen.

bei Antwort benachrichtigen
Philosoph Spasstiger „Virenbekämpfung, Hilfe erwünscht!“
Optionen

Salut.

Ich vermute mal wie im Posting zuvor geschrieben wurde, daß deine Systemwiederherstellungspunkt-Dateien (neues Wort soeben erfunden :-) bereits verseucht ist. Nun wird sich der Virus wieder weiter ausbreiten...

Lasse nochmals einen aktuellen Scanner über die Festplatte laufen. Danach neustarten und nochmal scannen. Sollte dann das System sauber sein, würde ich sofort in die SHELL springen und Windows frisch von CD reparieren. Zuvor kannst du auch die Dateisignaturprüfung über die gesamte HD prüfen lassen. Start - Programme- Zubehör - Systemprogramme. Dann den Eintrag Systeminformationen anklicken. Nun sollte sich ein Programmfenster öffnen. Wähle hier im Menü: EXTRAS - WINDOWS - Dateisignaturbestätigung.
Ich vermute, daß der Virus auch einige Systemdateien zerstört hat.

Ich hoffe, ich konnte etwas helfen. :-)

Mit besten Grüßen und überhaupt,

Thomas.

bei Antwort benachrichtigen
Philosoph Nachtrag zu: „Salut. Ich vermute mal wie im Posting zuvor geschrieben wurde, daß deine...“
Optionen

Achja, eine Frage noch:
Welchen Virus hast du nun? Geben die Scanner keine weitere genaue Auskunft darüber?

bei Antwort benachrichtigen
Spasstiger Nachtrag zu: „Virenbekämpfung, Hilfe erwünscht!“
Optionen

Ok, Leute, danke für eure zahlreichen Tipps. Ich hab versucht, Windows per Installations-CD zu reparieren, dies ging aber gründlich in die Hose, da der Virus weiterhin wütete und sogar der RAS-Dienst am Arsch war, so dass ich nicht mehr ins Netz konnte.
Letztendlich hab ich dann Windows neuinstalliert und die alte Installation löschen lassen. Jetzt sitz ich endlich vor einem sauberen System, das auch nicht mehr überladen ist. Es muss schon Ewigkeiten hergewesen sein, dass mein XP-Ordner kleiner als 1 GB war ;-). Und noch nie hab ich so sehr auf Sicherheit geachtet wie jetzt. Bevor ich online gegangen bin, kam erst mal ein Sicherheitspatch und eine Firewall drauf. Jetzt steht noch die Installation eines Virenscanner und des Service Pack 1 an, das ich aber erst runterladen muss (Gott sei Dank hab ich DSL!).

bei Antwort benachrichtigen