svchost.exe Trojaner? Keylogger?

[»ℜενι∉ω™]

hast du mit kaspersky schon den suchlauf gestartet???? das musst du manuell tun


-Untersuchung
-wichtige bereiche
-vollständige untersuchung

wenn er da nix findet biste eig virenfrei


kleiner tip es gibt tools die lesen deinen momentanen windows 7 key aus...den notierst du dir....lade dir auf der ms website windows 7 enterprise...is kostenlos 120 tage test oder so ^^

bei der installation gibste den windows 7 code von dir ein und er installiert deine windows 7 version

[AntiFrogster,Megax321]

Quote:

Originally Posted by »ℜενι∉ω™

hast du mit kaspersky schon den suchlauf gestartet???? das musst du manuell tun


-Untersuchung
-wichtige bereiche
-vollständige untersuchung

wenn er da nix findet biste eig virenfrei


kleiner tip es gibt tools die lesen deinen momentanen windows 7 key aus...den notierst du dir....lade dir auf der ms website windows 7 enterprise...is kostenlos 120 tage test oder so ^^

bei der installation gibste den windows 7 code von dir ein und er installiert deine windows 7 version

Ok, Kaspersky läuft. Danke!

Aber diese ganzen komischen Prozesse nerven. Wie kann man die entfernen? Wenn ich die schliesse erscheint irgend so eine komische Fehlermeldung und der PC startet sich neu...

[Diablo_]

Ihr habt das nicht so richtig verstanden oder? Er ist mit einem R.A.T infiziert und sollte neu aufsetzen.

Neu aufsetzen geht so:

1.) Lege die CD ein und starte den PC neu.

2.) Während des Neu-startens drückst du DEL oder F12 oder F2 um in's BIOS zu gelangen.

3.) Damit von der CD gestartet wird, muss man die Reihenfolge auswählen von was zuerst gebootet werden soll.

 Spoiler

Hier sieht man schön, dass dort steht "First Boot Device - CD ROM". Das bedeutet das von der CD gestartet wird. Das sieht bei jedem BIOS anders aus. Nun muss man gucken wie man die CD an die erste Stelle setzt. Pfeiltasten oder durch drücken der "1".

4.) Fertig. Nun auf "Speichern und beenden" Bzw. "Save and Quit" drücken und der PC startet von der CD.

5.) Man kommt jetzt in das Recovery-Menü wo man diverse Optionen hat. Wir wollen neu aufsetzen. Daher heißt die Option "Windows installieren" oder dergleichen. <-- Das wählen wir aus.

6.) Jetzt klärt sich alles von alleine. Das alte Windows wird entfernt und neu aufgespielt. Man wird im Verlauf noch diverse Sachen gefragt: "Uhrzeit einstellen", "Computer-Name" etc...


Deine Windows 7 Version kannst du dir hier runterladen:


Home Premium 32-Bit



Home Premium 64-Bit



Professional 32-Bit



Professional 64-Bit




Mit einem dieser Tools:











Fehlt dir nurnoch der Rohling.

Grüße

[AntiFrogster,Megax321]

Ah ok danke Diablo.
Kann man dieses R.A.T auch ohne neu aufsetzen weg kriegen? Kaspersky hat bei der Systemprüfung nichts gefunden.

[.Energy]

Bei mir war der Prozess imemr so 300 CPU Speicher obwohl ich den immer gelöscht habe kam er wieder ich glaub das war ein Trojaner habe nun PC formatiert ist nun auf 30 CPu gegangebn.

[Diablo_]

Quote:

Originally Posted by AntiFrogster,Megax321

Ah ok danke Diablo.
Kann man dieses R.A.T auch ohne neu aufsetzen weg kriegen? Kaspersky hat bei der Systemprüfung nichts gefunden.

Das ist immer so eine Sache die man schlecht einschätzen kann. Ich würde dir nicht empfehlen, irgendwelche Löschungen vorzunehmen.

Man kann sich nämlich nicht zu 100% drauf verlassen, und du willst dir doch sicher sein oder?

@ .Energy

Das ist normal, dass die Datei sich wieder öffnet, du hast einfach die originale Datei immer wieder beendet, aber ist ja egal.

Grüße

[PoroToxic]

Quote:

Kaspersky hat bei der Systemprüfung nichts gefunden.

ich kenne mich mit viren "verschlüsseln" bwz trojaner verschlüsseln recht gut aus und wenn man einen trojaner öfter verschlüsselt erkennt ihn fast garkein antiviren system mehr kannste ja mal bei youtube gucken da ist auch ein video wo die zeigen das sie öfter einen virus verschlüsseln und immer weniger viren programme diesen erkennen

Also ich würde den pc neu aufsetzen

[Diablo_]

Wenn du übrigens Hilfe brauchst, trotz' meiner Anleitung, kannst du gerne fragen.

Wenn du willst auch per PN.

Grüße

[Es19]

Sorry, aber hier TDSSKiller benutzen? Wozu?! Es ist, wie bei Kaspersky selbst auch angegeben wird, ein Tool zur Erkennung von Rootkits der TDSS Familie.
Es gibt nicht einmal Anzeichen einer Rootkit-Infektion, schon gar nicht mit TDSS. Blödsinn.

Diablo hat es zum Glück richtig erkannt, mal wieder irgendein RAT, wie sie meistens hier verbreitet werden. Neu aufsetzen angesagt.

[»ℜενι∉ω™]

schau mal in den hijack report...ist nicht das einzigste problem :/

[MrSm!th]

Quote:

Originally Posted by Diablo_

Hi,

du kannst eigentlich direkt neu aufsetzen und beim nächsten Mal besser aufpassen. Dateien bitte nur mit Linux CD retten.

grüße

Man kann auch ruhig ein anderes Live OS nutzen, solange man nichts ausführt.

[AntiFrogster,Megax321]

Ok danke Diablo, ich werde mich ggf. bei dir melden

Was ich allerdings sehr komisch finde ist, dass kein Programm von Kaspersky bis Malewarebytes nichts aufspüren kann.
Vielleicht will mir nur jemand Angst machen?

[.SkyneT.]

Quote:

Originally Posted by PoroToxic

ich kenne mich mit viren "verschlüsseln" bwz trojaner verschlüsseln recht gut aus und wenn man einen trojaner öfter verschlüsselt erkennt ihn fast garkein antiviren system mehr kannste ja mal bei youtube gucken da ist auch ein video wo die zeigen das sie öfter einen virus verschlüsseln und immer weniger viren programme diesen erkennen

Also ich würde den pc neu aufsetzen

Das würd ich mal gerne sehen wie du einen Datei mit dem
selben Crypter, (Verschlüssler) mehrfach cryptest....
Danach ist die Datei ziemlich sicher im Eimer

Bei nem RAT hilft eigentlich nur mehr aufsetzten.
Hatte selber welche, mitdenen ich absichtlich meine Virtual Machine
(Windows 7) infiziert habe. Die meisten Virenscanner hatten
Probleme ihn zu entfernen, obowhl er erkannt wurde. (Jedesmal konnte sich der RAT vor dem löschen an einem anderen Ort festsetzen)

MfG SkyneT

[MrSm!th]

Dass die Datei dann im Eimer ist, bezweifel ich, es bringt nur keinen Mehr-Erfolg, da auch viele Krypo-Signaturen erkannt werden.

Das Festsetzen hat auch nichts mit dem RAT als solches zutun, das heißt schließlich nur RemoteAdministrationTool, das ist auch nichts anderes als Team Viewer.
Dieses Festsetzen hat so gut wie jede Malware so an sich

Es ist aber durchaus möglich, das sicher zu entfernen. Wenn es bekannt ist und man weiß, wo es gespeichert ist (und dass keine Systemdateien modifiziert sind), kann man mit einem anderen (Live-)OS einfach die Dateien löschen und dann die Autostarteinträge löschen.
Dafür muss man dann aber wirklich alle Reste löschen ;O Und meistens gibts doch noch irgendwo etwas, das man übersehen hat, deshalb ist der wirklich sichere Weg immer Neuaufsetzen.

Ach ja, VMs schützen auch nicht immer vor Malware. Es gibt auch einige Exploits in manchen VMs, die auch schon von einigen Viren ausgenutzt wurden.

[Diablo_]

Quote:

Originally Posted by MrSm!th

Man kann auch ruhig ein anderes Live OS nutzen, solange man nichts ausführt.

Ja, aber ein Linux basierendes System eignet sich sehr gut und ist für solche Fälle sehr bekannt. Man kann auch ein anderes Live OS benutzen.

Quote:

Originally Posted by AntiFrogster,Megax321

Ok danke Diablo, ich werde mich ggf. bei dir melden

Was ich allerdings sehr komisch finde ist, dass kein Programm von Kaspersky bis Malewarebytes nichts aufspüren kann.
Vielleicht will mir nur jemand Angst machen?

Warum das denn? Derjenige der dir das geschickt hat, weiß doch garnicht ob er dir damit überhaupt Angst gemacht hat und kann sich daran auch nicht erfreuen, denn er merkt es ja nicht, wenn er keine Kontrolle hat.

Glaub' mir, du bist infiziert. Die Programme finden vieleicht nichts, weil sie eventuel manipuliert werden.

Grüße