Nickles › Forum › Internet › Viren, Spyware, Datenschutz

Viren, Spyware, Datenschutz 11.245 Themen, 94.699 Beiträge

Seltener Trojaner in svchost.exe gefunden - Hilfe bitte!!

The Path am 27.07.2004, 00:00 / 19 Antworten / Flachansicht

Hallo,

hab gerade Norton AntiVirus laufen lassen. Er hat meine svchost.exe in Quarantäne gestellt, kann sie aber nicht reparieren.

Auf Kaspersky hat eine Untersuchung folgenden Befall ergeben:

SVCHOST.exe - packed with PE-Pack
SVCHOST.exe Infiziert: TrojanDownloader.Win32.Delf.br

Was hab ich mir da eingefangen und vor allem, was ist nun zu tun?
Ich kann die Datei sicher nicht so einfach löschen, sie wird ja bestimmt gebraucht :-p...
Kann ich irgendwo eine "frische" herunterladen, oder was sonst ist zu tun? Muss ich mir um mein BIOS Sorgen machen?

Ich habe ein Asus P4PE mit Intelchipsatz und Windows 98SE, IE5.5 und gehe mit einem 56K Modem ins Netz...

Bitte um schnelle Hilfe, bin nämlich eigentlich mitten im Umzug...

Ach ja, hier noch mein HijackThis-Log:

Logfile of HijackThis v1.97.7
Scan saved at 19:01:44, on 27.07.04
Platform: Windows 98 SE (Win9x 4.10.2222B)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PQSC\PROGRAM\CPCTRAY.EXE
C:\PROGRAMME\ANALOG DEVICES\SOUNDMAX\SMTRAY.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\WINCOM511\WINCMD32.EXE
C:\TEMP\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://search-all.net/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search-all.net/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search-all.net/sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.freenet.de/
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [SecondChance] C:\PQSC\PROGRAM\CPCTray.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NVMCTRAY.DLL,NvTaskbarInit
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_all.htm
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38046.2234143519
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab

Irgendwas Auffälliges?

Thanx,

The Path

      Berutzt Du zum surfen wirklich noch IE? Falls ja, wundert mich das nicht... yoursweetsixsixsix 27.07.2004, 00:00
    
      Bitte um schnelle Hilfe, bin nämlich eigentlich mitten im Umzug... ... Mario32 27.07.2004, 00:00
    
      Internat.exe ist die Eingabegebietsschemaleiste oder wie das Ding heißt, ... Spacebast 29.07.2004, 00:00
    
      ein Keylogger bei Google gefunden. cbuddeweg 27.07.2004, 00:00
    
      Ergänzung zur frage was zu tun ist: Wenn der Hinweis von cbuddeweg, das es ... Mario32 27.07.2004, 00:00
    
      Und hier noch was zu sp.html : ... T-Rex 27.07.2004, 00:00
    
      Horizont zwischen kopf und brett... Mario32 27.07.2004, 00:00
    
      @ Mario - Ich dachte Du hättest Dich gebessert, aber nein, Du kannst es ... PegaPX 27.07.2004, 00:00
    
      PLONK Dich selber oder schieb es Dir dahin wo es bei Dir am dunkelsten ist, ... PegaPX 28.07.2004, 00:00
    
      1.Ach ja, Armer Path, er hatte ein kleines Problem und kommt hier rein um ... Prosseco 28.07.2004, 00:00
    
      @mario32: Diesesmal finde ich Deine Kommentare auch mehr als unpassend. Hat ... idefix1968 28.07.2004, 00:00
    
        Mario32 idefix1968 „@mario32: Diesesmal finde ich Deine Kommentare auch mehr als unpassend. Hat...“
      
        28.07.2004, 00:00 Optionen
      
        Man muß aber dazu sagen, daß trotzdem ca. 1% der Seiten unter alternativ Browsern nicht funktionieren. Und nun? Soll man dann die Seite nicht aufrufen? Man "muß" also ab und zu in den IE. Und wenn man sich vernünftig schützt. z.B. zusätzlich mit Firewall...

        Hallo Henning,

        In gesamt sicht gebe ich dir recht, aber das was oben zitiert muss ich korrigieren. (sorry)

        Nicht die anderen Browser sind per definition die alternative sondern der IE. Weil DER HAT ZWAR DEN HÖCHSTEN Marktanteil, aber das hat nix damit zu tun, das er deshalb auch der anerkannte genormte (iso?) standart zur darstellung von internetseiten ist.

        Es ist der IE der nicht den Vorschriften entspricht und deshalb ist DER die Alternative zum Standardkompatiblen Seitenbetrachter.

        Er hat auch nur aufgrund seiner Bundles Praxis so einen hohen Marktanteil und nicht weil sicherer besser oder benutzerfreundlicher als "w3c consortium comliant Browser" wie es die anderen sind.

        Dein Argument zu sagen weil seiten mit den "vorschriftsmäßigen" Browsertypen nicht gehen, muss man den IE nehmen zäumt das Problem doch von der falschen seite auf:

        Wenn dir als user einer Seite deren Betreiber durch schlechte Seitenprogammierung einen Bestimmten Browser aufzwingen will, ist doch der seitenbetreiber das Problem, weil er sich anmaßt dir ein bestimmtes produkt vorzuschreiben. Wenn dir der Türsteher in der Disco unbedingt eine bestimmte Schuhsorte vorschreiben will und du hast diese Sorte nun mal nicht an gehst du doch auch woanders hin und schleimst dich doch nicht bei ihm ein indem du mit den Passenden schuhen wiederkommst, oder?

        So seh ich das! Mit Ausnahme der MS eigenen updateseite sollte man der demokratie willen grundsätzlich auf den besuch von seiten verzichten die dich zu einem nicht konformen Browser "zwingen" wollen.

        P.S. Es gibt defakto nur einen einzigen Grund ein MS Betrienssystem zu benutzten: Du bist ein Fanatischer COMPUTERSPIELESPIELER und willst immer die Neuesten Games zocken die frisch beim Händler im Regal stehen. Dafür ist MS notwendig. FÜR ALLE ANDEREN Anwendungsbereiche gibt es (ggfs)preiswertere, und mit Sicherheit sicherere Betriebssysteme.

        Und das ist jetzt keine AntiMSJünger-Radikalismus These sondern Tatsache. Und ja, Ich nutzte auch MS: Zum zocken meines Lieblingsgames ,für das es (leider) keine Linux Portierung gibt, und zum Posten hier auf Nickles mit der selben HDD. Dabei aber nicht den IE nutzend! Siehe copy and pasten des Nickles what is my ip?

        http://www.nickles.de/tools/info.php3

        User-Agent: Mozilla/5.0 (Windows; U; Win98; de-DE; rv:1.6) Gecko/20040206 Firefox/0.8

        IP: 83.xxx.xxx.xxx, 217.xxx.xxx.xxx 
      
             bei Antwort benachrichtigen
        
      ...dass ca. 1 der Seiten unter alternativ Browsern nicht funktionieren. Und ... Olaf19 28.07.2004, 00:00
    
      Ca. 1 der Seiten nicht abrufbar? :0 Oje! ich habe vielleicht monatlich einen ... a76 29.07.2004, 00:00
    
      ...ich weiß echt nicht was ihr euch alle aufregt! ein kleinwenig ... GarfTermy 28.07.2004, 00:00
    
      @garf... Mario32 28.07.2004, 00:00
    
      Prrrsssst..., so so Windows 98 SE mit der svchost.exe. Unbedingt ... Teletom 28.07.2004, 00:00
    
      @mario32: In den letzten Postings gebe ich Dir recht :- Ja... MS versucht ... idefix1968 28.07.2004, 00:00
    
      @ mario32 Wenn ich denn zu rüffeln wäre, wenn es angebracht erscheint, ... PegaPX 28.07.2004, 00:00