3 von 5
3
Merkwürdige Internetstörung
Geschrieben: 23 November 2010 09:31 PM   [ Ignorieren ]   [ # 31 ]
Jr. Member
Total Beiträge  67
Beigetreten  2009-07-29

da gibt es mehrere Möglichkeiten, der einfachste ist der abgesicherte Modus. hier sollte sie nicht mitgestartet werden.

Du kannst auch versuchen die SVCHOST.EXE im Taskmanager zu beenden, die wird mit hoher wahrscheinlichkeit unter Deinem nutzeraccount ausgeführt (alle anderen svchost.exe werden unter system bzw. Lokaler Dienst ausgeführt.)

Ansonsten kannste in der Registry mal gucken was so alles mitgestartet wird.

regedit: HKLM/Software/Microsoft/Windows/CurrentVersion/Run
regedit: HKCU/Software/Microsoft/Windows/CurrentVersion/Run

wenn du dort einen Eintrag auf diese Datei findest, kannst du den wert getrost löschen.

Profil
 
 
Geschrieben: 23 November 2010 09:41 PM   [ Ignorieren ]   [ # 32 ]
Member
Total Beiträge  167
Beigetreten  2010-09-23

ne svchost.exe die außerhalb von system32 läuft is unschön.

sie einfach beenden is nun wirklich keine lösung!^^

hinter der svchost.exe is sehr gern malware versteckt

http://www.malwarebytes.org/mbam.php
runterladen installieren, updaten, vollständigen systemscan machen und mal den log posten dann schauen wir mal weiter^^


ich möcht anmerken das ich kein großer fan von virenbeseitigiung bin, da man nie 100% sicher sein kann das alles weg ist.

 Signatur 

“....und das Handtuch nicht vergessen!”

Profil
 
 
Geschrieben: 23 November 2010 09:53 PM   [ Ignorieren ]   [ # 33 ]
Jr. Member
Total Beiträge  57
Beigetreten  2010-10-27

Den Log von Scanner oder den anderen?

 Signatur 

Wissen=Macht=Energie=Materie=Masse

Profil
 
 
Geschrieben: 23 November 2010 09:55 PM   [ Ignorieren ]   [ # 34 ]
Member
Total Beiträge  167
Beigetreten  2010-09-23

beides wäre klasse

 Signatur 

“....und das Handtuch nicht vergessen!”

Profil
 
 
Geschrieben: 23 November 2010 09:56 PM   [ Ignorieren ]   [ # 35 ]
Jr. Member
Total Beiträge  67
Beigetreten  2009-07-29

ich hab ihm ja nicht dazu geraten diese nur zu beenden wink Ich habe Ihm den Weg gezeigt wie er den Prozess, welcher auf die exe zugreift, beendet um sie dann zu beenden.
/EDIT: LÖSCHEN!!!


Was Du Dir noch mal raussuchen kannst ist der Prozessexplorer von sysinternals
http://technet.microsoft.com/de-de/sysinternals/bb896653.asp...

Profil
 
 
Geschrieben: 23 November 2010 10:00 PM   [ Ignorieren ]   [ # 36 ]
Jr. Member
Total Beiträge  57
Beigetreten  2010-10-27

Also als ich die exen im Taskmanager löschen wollte, kam ein Fenster, welches ich nicht schließen konnte.Darin stand,dass der pC gleich neu gestartet wird. Danach waren die exen wieder da. Das Ding ist ,dass ich von sowas überhaupt keine Ahnung habe. Ich hatte noch nie nen Wurm und hab noch nie einen gelöscht. Darum brauch ich leider ne idiotensichere Anleitung für Anfänger damit ich weiß was ich machen muss.^^
Vielen Dank nochmal für eure Hilfe.

 Signatur 

Wissen=Macht=Energie=Materie=Masse

Profil
 
 
Geschrieben: 23 November 2010 10:05 PM   [ Ignorieren ]   [ # 37 ]
Member
Total Beiträge  167
Beigetreten  2010-09-23

hachja wenns da nur eine pauschal lösung,abgesehen von einer neu installation, geben würde würden viele ITs kein geld mehr verdienen^^

probier erstmal mit mbam, poste die beiden logs, dann werden im zweifelsfall weitere schritte folgen^^

 Signatur 

“....und das Handtuch nicht vergessen!”

Profil
 
 
Geschrieben: 23 November 2010 10:05 PM   [ Ignorieren ]   [ # 38 ]
Jr. Member
Total Beiträge  67
Beigetreten  2009-07-29

Abgesicherter Modus:

Rechner Runterfahren. Neu Starten - Nach Deinem Biosprompt die F8 Taste drücken (ruhig öfter nach einander)

irgendwann erscheint ein Dosfenster wo du mit den Pfeiltasten den Abgesicherten Modus auswählen kannst.

Im Abgesicherten Modus solltest du die Datei und die Autorun geschichten löschen können.

Profil
 
 
Geschrieben: 23 November 2010 10:07 PM   [ Ignorieren ]   [ # 39 ]
Jr. Member
Total Beiträge  67
Beigetreten  2009-07-29
pornflakes - 23 November 2010 10:05 PM

hachja wenns da nur eine pauschal lösung,abgesehen von einer neu installation, geben würde würden viele ITs kein geld mehr verdienen^^

probier erstmal mit mbam, poste die beiden logs, dann werden im zweifelsfall weitere schritte folgen^^

naahhh wer will denn da gleich aufgeben?

Das is nur ein Wurm, das is nichmal was großartig Gefährliches - es nervt nur.

Profil
 
 
Geschrieben: 23 November 2010 10:12 PM   [ Ignorieren ]   [ # 40 ]
Member
Total Beiträge  167
Beigetreten  2010-09-23

ich sage nur das es keine pauschallösung gibt, nicht das ich aufgeben will, da hast du mich wohl falsch verstanden.

 Signatur 

“....und das Handtuch nicht vergessen!”

Profil
 
 
Geschrieben: 23 November 2010 10:33 PM   [ Ignorieren ]   [ # 41 ]
Jr. Member
Total Beiträge  67
Beigetreten  2009-07-29

ich hoffe jetzt nicht das er alle svchost.exe’n löscht….

Profil
 
 
Geschrieben: 23 November 2010 10:45 PM   [ Ignorieren ]   [ # 42 ]
Jr. Member
Total Beiträge  57
Beigetreten  2010-10-27

@ gine: welche soll ich denn löschen?!?


Malwarebytes’ Anti-Malware 1.46
http://www.malwarebytes.org

Datenbank Version: 5177

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

23.11.2010 22:43:41
mbam-log-2010-11-23 (22-43-41).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 244892
Laufzeit: 50 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\svchost.exe (Backdoor.Bot) -> No action taken.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Windows\shell.exe (Trojan.Shell) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Windows\shell.exe) Good: (Explorer.exe) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{DAD2205F-0AA9-4216-9820-4650F4621C89}\RP113\A0039542.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\stor.cfg (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\svchost.exe (Backdoor.Bot) -> No action taken.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Windows\shell.exe (Trojan.Shell) -> No action taken.
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\dwm.exe (Trojan.Agent) -> No action taken.

 Signatur 

Wissen=Macht=Energie=Materie=Masse

Profil
 
 
Geschrieben: 23 November 2010 10:49 PM   [ Ignorieren ]   [ # 43 ]
Jr. Freak
Total Beiträge  3497
Beigetreten  2009-07-15
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5177

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

23.11.2010 22:43:41
mbam-log-2010-11-23 (22-43-41).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 244892
Laufzeit: 50 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\svchost.exe (Backdoor.Bot) -> No action taken.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Windows\shell.exe (Trojan.Shell) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Windows\shell.exe) Good: (Explorer.exe) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{DAD2205F-0AA9-4216-9820-4650F4621C89}\RP113\A0039542.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\stor.cfg (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\svchost.exe (Backdoor.Bot) -> No action taken.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Windows\shell.exe (Trojan.Shell) -> No action taken.
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\dwm.exe (Trojan.Agent) -> No action taken. 

Ein wenig abseits, aber der Übersichtlichkeit halber solltest du, wenn du Code postest, auch [ code ] vor dem Codetext bzw. [ /code ] nachher schreiben (ohne Leerzeichen zwischen den eckigen Klammern)

 Signatur 

  ▲
▲ ▲

Sämtliche von mir veröffentlichte Beiträge unterliegen der WTFPL!

Profil
 
 
Geschrieben: 23 November 2010 10:51 PM   [ Ignorieren ]   [ # 44 ]
Jr. Member
Total Beiträge  67
Beigetreten  2009-07-29

Keine Dateien aus ../system32/ !!!

alles was unter Anwendungsdaten im Userprofil liegt:

C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\svchost.exe (Backdoor.Bot) -> No action taken.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Windows\shell.exe (Trojan.Shell) -> No action taken

und in der registry

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Windows\shell.exeGood: (Explorer.exe) -> No action taken
Profil
 
 
Geschrieben: 23 November 2010 10:54 PM   [ Ignorieren ]   [ # 45 ]
Jr. Member
Total Beiträge  67
Beigetreten  2009-07-29

Achso - ich geh nu schlafen! Das sollte aber zumindest ersteinmal Deinen Rechner wieder cleanen!

Denk dran nach dem löschen die Proxyeinstellungen wieder rückgängig zu machen, sonst klappt warscheinlich garkein Inet mehr wink

Profil
 
 
   
 
Bildschirmarbeiter - lustige Bilder, lustige Videos, Ebay-Auktion, Flashgames Bildschirmarbeiter - lustige Bilder, lustige Videos, Ebay-Auktion, Flashgames