Trojaner oder schlimmer? Mit HJT Logfile...

Hallo zusammen,

nachdem ich gemerkt habe, dass hier anscheinend viele User unterwegs sind, die sich gut auskennen und ich auf dem Gebiet Malware/Trojaner etc. nicht wirklich fit bin, hoffe ich, dass Ihr mir helfen könnt.

Seit ein paar Tagen ist meine Internetverbindung extrem schlecht (M.Net 18MBit). Downloads funktionieren zwar super schnell, aber das normale Surfen dauert ewig. Ich befürchte fast, dass ich irgendwohin umgeleitet werde - manche websiten lassen sich gar nicht öffnen, andere sehr langsam.


Ich habe bereits den CrapCleaner ausgeführt und im Abgesicherten Modus AdAware laufen lassen. AntiVir hat 2 Trojaner gefunden und entfernt. Da das aber nichts gebracht hat, poste ich hier mal mein HJT Logfile - vielleicht kann mir jemand von Euch sagen, was nicht stimmt.

Vielen Dank schonmal im Voraus,


Blanko

 

online checken lassen, Ergebnis hier posten

Code:

C:\WINDOWS\system32\drivers\svchost.exe

btw wieso sind immer noch soviele XP Systeme mit falschen SP am laufen, seid ihr nicht fähig upzudaten?

 

Und warum sagt du uns nicht was genau AntiVir gefunden hat ?.
Wenn es ein ZLOB ist kannst du gleich formatieren.

 

Stimmt, hätte ich gleich machen können. Hier die Funde - hab gerade gemerkt, dass es zweimal der gleiche Trojaner ist.

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3YBXJH91\hyta[1].jpg
[FUND] Ist das Trojanische Pferd TR/Agent.AKBZ

C:\WINDOWS\Temp\A50E8F78.exe
[FUND] Ist das Trojanische Pferd TR/Agent.AKBZ


Bzgl. "svchost.exe" - online checken lassen ist leider nicht möglich, da z.B. hijackthis.de eine der Seiten ist, die bei mir nicht mehr angezeigt werden. Das meintest Du doch mit Online checken lassen, oder?
Eine Google-Suche ergab das hier (aber ich vermute fast, dass Dir der Prozess bekannt ist, denn er scheint sehr üblich zu sein).

"Bei der Datei svchost.exe handelt es sich um einen Windows-Systemprozess. Dieser läuft ständig im Hintergrund und es ist auch völlig normal, dass mehrere Instanzen des Prozesses ausgeführt werden (er taucht dann mehrmals im Taskmanager auf). Der Prozess hat die Aufgabe, Dienste, die in DLL-Dateien (Dynamic Link Libraries) einbettet sind, auszuführen."

Bzgl. SP3 - ich nutze den Rechner nur selten - die Updates, die Windows automatisch installiert nehme ich selbstverständlich mit, aber das SP3 habe ich tatsächlich erst letzte Woche bemerkt, als der Rechner anfing zu zicken. Doch bevor ich das Ding aufspiele, wollte ich halt sichergehen, dass mein System nicht während dem Update versagt und ich mir alles zerschieße...

Vielen Dank auf jeden Fall schonmal für Eure schnelle Hilfe!!!

Blanko

 

jotti oder virustotal

 

Das Ding hier ist sehr schädlich, also den Eintrag fixen und diese
svchost.exe löschen. Aber nur die die im Verzeichnis "drivers" liegt.

O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe

Zu beachten ... alle Arbeiten (fixen, löschen) im "Abgesicherten Modus" bei deaktivierter Systemwiederherstellung.. siehe hier..

Bundesamt für Sicherheit in der Informationstechnologie (BSI)

Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP)

http://www.bsi.de/av/texte/wiederher_xp.htm

Vermutlich auch schädlich ..

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

hat dort nichts zu suchen, fixen mit HiJackThis und löschen "winstall.exe".

 

Auf die Gefahr hin, Dich in den Wahnsinn zu treiben - ich komm auf die Seiten nicht drauf, ehrlich! Firefox (v3.0.1) zeigt folgendes
"Verbindung fehlgeschlagen - Firefox kann keine Verbindung zu dem Server unter virusscan.jotti.org aufbauen. Obwohl die Website gültig erscheint, konnte keine Verbindung aufgebaut werden."

Opera (v9.51) meldet entweder "leere Seite" oder ich lande auf einer Handy-Klingelton Seite. (http://redirect.clickshield.net/jump2/?affiliate=3038&subid=86797&terms=virustotal)

Ich vermute mal, dass da wirklich ein übles Programm sämtliche Seiten, die mit seiner Bekämpfung zu tun haben, blockiert.


Habt Ihr irgendwelche Ideen was ich - außer neu aufsetzen - da noch machen kann?

Danke!

Blanko

 

Danke Wolfgang77 - hab Dein Post gerade erst gesehen, als ich mein anderes schon geschrieben hab. Ich mach mich gleich ans Werk und melde mich ob's geklappt hat!

Danke!

 

Hab die Dateien wie beschrieben im abgesichterten Modus gefixt. Jetzt komme ich auf einmal auf auf jotti und virustotal wieder drauf

Vielen Dank Euch beiden!!!

Gruß,

Blanko

 

jez muss ich aber doof sterben, wollt wissen, was es genau ist

aber wenigstens ist dein Sys vorerst sauber

klick in meine Signatur, und arbeite trotzdem nochmals alles durch

 

Was meinst Du
[ ] a: falschen SP, oder
[ ] b: alten SP

 

ok ich meinte das veraltete

 

Nun, Winstall.exe scheint recht verbreitet zu sein, was ich so aus meiner Eigenrecherche gelernt hab. Deswegen wird wohl der "svchost" das wahre Übel gewesen sein.

Danke nochmal!

Gruß,

Blanko