Viren, Spyware, Datenschutz 11.245 Themen, 94.699 Beiträge

Seltener Trojaner in svchost.exe gefunden - Hilfe bitte!!

The Path / 19 Antworten / Flachansicht Nickles

Hallo,


hab gerade Norton AntiVirus laufen lassen. Er hat meine svchost.exe in Quarantäne gestellt, kann sie aber nicht reparieren.


Auf Kaspersky hat eine Untersuchung folgenden Befall ergeben:


SVCHOST.exe - packed with PE-Pack
SVCHOST.exe Infiziert: TrojanDownloader.Win32.Delf.br


Was hab ich mir da eingefangen und vor allem, was ist nun zu tun?
Ich kann die Datei sicher nicht so einfach löschen, sie wird ja bestimmt gebraucht :-p...
Kann ich irgendwo eine "frische" herunterladen, oder was sonst ist zu tun? Muss ich mir um mein BIOS Sorgen machen?


Ich habe ein Asus P4PE mit Intelchipsatz und Windows 98SE, IE5.5 und gehe mit einem 56K Modem ins Netz...


Bitte um schnelle Hilfe, bin nämlich eigentlich mitten im Umzug...


Ach ja, hier noch mein HijackThis-Log:


Logfile of HijackThis v1.97.7
Scan saved at 19:01:44, on 27.07.04
Platform: Windows 98 SE (Win9x 4.10.2222B)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PQSC\PROGRAM\CPCTRAY.EXE
C:\PROGRAMME\ANALOG DEVICES\SOUNDMAX\SMTRAY.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\WINCOM511\WINCMD32.EXE
C:\TEMP\HIJACKTHIS\HIJACKTHIS.EXE


R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://search-all.net/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search-all.net/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search-all.net/sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.freenet.de/
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [SecondChance] C:\PQSC\PROGRAM\CPCTray.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NVMCTRAY.DLL,NvTaskbarInit
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_all.htm
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38046.2234143519
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab


Irgendwas Auffälliges?


Thanx,


The Path


 

bei Antwort benachrichtigen
Mario32 T-Rex „Und hier noch was zu sp.html :...“
Optionen

hallo T-rex, guter Link, aber hättest du damit nicht noch etwas warten Können, "DER WEG" ist doch grade am umziehen und hat es eilig. Dabei sind solche oneklick tools wie dort beschrieben als ersatz für gesunden menschenverstand nur hinderlich :-(

und schau dir mal das datum der hilfe an. die gibt es schon seit mehr als 8 wochen, warum sollte der DAU es jetzt so einfach gemacht bekommen?

@The Path lies das und schäm dich!!!

Zum Zeitpunkt dieses Berichts ist die für diese Form des Browser Hijackers verantwortliche Lücke des Internet Explorers von Microsoft noch nicht geschlossen. Eine Reinfektion ist also jederzeit möglich. Deshalb und auch weil weitere bekannte Lücken des Internet-Explorers bisher ungepatcht sind , wird der Umstieg auf einen alternativen Browser dringend empfohlen.
Mozilla, Mozilla Firefox oder Opera bieten mindestens den gleichen Surfkomfort wie der Internet Explorer bei einem Mehr an Sicherheit.

Ein regelmäßiges Windowsupdate ist zusätzlich unerläßlich.

DerBilk, 14.05.04




bei Antwort benachrichtigen
@henning Mario32
@garf... Mario32