Viren, Spyware, Datenschutz 11.242 Themen, 94.691 Beiträge

Verfolgung starten Optionen

Virenbekämpfung, Hilfe erwünscht!

Spasstiger / 11 Antworten / Flachansicht Nickles

Ich hab mir per Kazaa einen hässlichen Virus angeschafft (trotz mehrmaliger Kontrolle mit Virenscanner). Jetzt schmarotzt er in meinem System und kostet mich den letzten Nerv.
Der Virus wirkt sich dahingehend aus, dass nach dem Einloggen in Windows XP ganz kurz ein Bildschirm mit der Schrift "Update" aufblinkt, der Bildschirm den Anzeigemodus umschaltet (Auflösung und Wiederholfrequenz sind aber vorher wie nachher gleich) und ich jede wichtige Windows-Instanz nicht mehr verwenden kann. Der Taskmanager blinkt nach Drücken von STRG+ALT+ENTF nur kurz auf und verschwindet sofort wieder. Das gleiche im Reg-Editor und im MSConfig. Im abgesicherten Modus geht alles.
Ich hab natürlich die aktuellen Virendefinitionsdateien für meinen Virenscanner Bit Defender drauf. Also mal im abgesicherten Modus über die Platte laufen lassen. Und es wurde tatsächlich etwas gefunden, der eine Virus verstecke sich in einer dxgl.dll, die ich sofort löschen lies. Der andere war in einer svchost32.exe, die ich auch löschte, da ich nur die svchost.exe kenne. Der Virus hieß irgendwas mit IRC (leider existiert keine Log-Datei), also muss der Virus was mit dem Internet Relay Chat zu tun haben.
Wieder normal gebootet und nun zeigt sich der Virus schonmal offensichtlicher, die oben genannten Probleme bestehen aber weiterhin. Es kommt über dem "Update"-Fenster folgende Fehlermeldung:


Das Update-Fenster selbst sieht so aus:

Zum Vergrößern für das ganze Fenster bitte auf das Bild klicken.

Tatsächlich handelt es sich um ein Chat-Fenster, dass nun wohl aufgrund der fehlenden Dateien oder auch einfach nur wegen meiner Firewall keine Verbindung herstellen kann.

Wie bekomme ich dieses dämliche Programm von der Festplatte? Ich kann den Dateinamen nicht ausfindig machen, im abgesicherten Modus find ich auch in MSConfig keinen Eintrag. Der Autostart ist genauso leer. Es ist extrem beunruhigend, so ein Teil auf der Platte zu haben und nicht vernünftig mit Windows arbeiten zu können. Mein Virenscanner schweigt inzwischen wie ein Fisch, meldet sozusagen "Friede, Freude, Eierkuchen".

bei Antwort benachrichtigen
Schweinebuckel Spasstiger „Virenbekämpfung, Hilfe erwünscht!“
Optionen

#Im abgesicherten Modus funktioniert alles'. (Und der Scanner findet auch nichts mehr)

Dann nehme ich doch stark an, daß das Virus tot, aber das System jetzt zerschossen ist. Wahrscheinlich hat das Virus Deine svchost.exe so ruiniert, daß sie jetzt keine .dlls mehr starten kann.

Siehe dieses:


Svchost (1) Svchost.exe

(Microsoft) Service Host – Generic Host Process for Win32 Services. Windows 2000/XP only. SVCHOST is a generic process which acts as a host for processes that run from DLLs rather than EXEs. At startup SVCHOST checks the Services portion of the Registry to construct a list of DLL-based services that it needs to load, and then loads them. There can be many instances of SVCHOST running, as there will be one instance of SVCHOST for every DLL-based service or grouping of services (the grouping of services is determined by the programmers who wrote the services in question). Under Windows XP you can find out what DLL-based services SVCHOST is running by typing Tasklist /SVC at a Command Prompt (MS-DOS Prompt), while under Windows 2000 you need to use the TLIST –s command from a Command Prompt (MS-DOS Prompt).

Recommendation :
An integral part of the operating system, leave alone – multiple instances of SVCHOST is a normal occurrence. If you experience SVCHOST errors, the problem is most likely not with SVCHOST but with the DLLs it is hosting

ABER VORSICHT:
Svchost (2) SVCHOST.EXE

(???) Many viruses masquerade themselves as SVCHOST to escape detection. Some have names that are similar, such as SCCHOST, while others actually drop a program file called SVCHOST in the Windows or Windows System directory.

Recommendation :
The first recommendation is a simple one : always have a good antivirus product which is regularly updated (automatically preferably) and always renew your updates subscription when it expires. To detect if you have a virus that calls itself SVCHOST, first see if it shows up in Starter – if it does, then it is almost certain you have a virus. Secondly, if you have Windows 95/98/ME rather than WinNT4/2000/XP, then it is almost certain you have a virus. Thirdly, go to "Control Panel \ Administrative Tools \ Services" and look for any of the following services – if you find any of them, then you probably have a virus.

Ich würde mir eine neue svchost.exe auf den Rechner kopieren. Wenn es dann noch immer nicht geht, hilft wohl nur die Neuinstallation.
bei Antwort benachrichtigen
Im abgesicherten Modus funktioniert alles . Und der Scanner findet auch ... Schweinebuckel
Ich hab auch mal den Onlinescanner von Symantec drüber laufen lassen, der ... Spasstiger
Verdammt, wo bekomme ich eine neue svchost.exe her? Im Netz wurde ich per ... Spasstiger
Also, ich hab explorer.exe und svchost.exe im abgesicherten Modus durch ... Spasstiger
dein systemwiederherstellungspunkt ist verseucht, drum hast du dir den virus ... the_mic
Mein Tipp, du hast per Virenscanner schon viel zu viel Schaden angerichtet, ... matthew76
Über das was gelöscht wird, hab immer noch ich die Kontrolle und fast alle ... Spasstiger
Salut. Ich vermute mal wie im Posting zuvor geschrieben wurde, daß deine ... Philosoph
Achja, eine Frage noch: Welchen Virus hast du nun? Geben die Scanner keine ... Philosoph
Ok, Leute, danke für eure zahlreichen Tipps. Ich hab versucht, Windows per ... Spasstiger