Zum Inhalt springen

Virus unter Win2000 (svchost,lsass,system)


geizhals

Empfohlene Beiträge

Hallo,

hab Win2000 SP4 und n ekelhaften Virus drauf.

Im normalen Modus geht alles flüssig bis ich mich per DFÜ in DSL einwähl (RASPPPOE) dann schnippt die svchost.exe auf 99% Prozauslastung und nix geht mehr bzw nur sehr zäääh.

Antivir findet den Virus Worm.Rbot in der TFTP3233 oder ähnlich. Wenn man länger online bleibt kommt dann auch noch n Trojaner dazu Agent.ADA.

Wenn ich jetzt wie üblich in den Abgesicherten Modus gehen will um den Virus zu kicken steht das System bei 99% Auslastung und man kommt garnich vom fleck.

Per Hijack kann ich nix ungewöhnliches entdecken in den RUNs von der Registry ist auch nix.

Wie bekomm ich den Mist wieder los? Was is das? Nerv!!!!

Danke vielmals.

Link zu diesem Kommentar
Auf anderen Seiten teilen

So der Avast Scanner und Cleaner haben nix gebracht bzw. gefunden genauso wie Stinger, Trendmicro, Kaspa...

Hier is meine Hijack Log was mir komisch vorkommt is die GEARSec im System32 Ordner.

Ist der C:\WINNT\System32\dmadmin.exe was normales oder gehört der auch nicht dahin?

Logfile of HijackThis v1.99.1

Scan saved at 01:18:11, on 02.08.2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\System32\SCardSvr.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\GEARSec.exe

C:\WINNT\system32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Programme\AVPersonal\AVGUARD.EXE

C:\Programme\AVPersonal\AVWUPSRV.EXE

C:\Programme\AVPersonal\AVGNT.EXE

G:\antispy\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE

O23 - Service: Apache2 - Unknown owner - C:\Programme\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\System32\GEARSec.exe

O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINNT\LogWatNT.exe

O23 - Service: MySql - Unknown owner - C:/Programme/mysql/bin/mysqld-nt.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hallo,

habe die Nacht über Stinger im abgesichertem Modus laufen lassen weil das System ausgelastet war. Am morgen hat Stinger nix angezeigt daher ging ich davon aus das er auch nix gefunden hatte.

Nach einem Neustart funktionierte der Abgesicherte Modus normal und die svchost.exe lief auch als ich mich im normalen Modus ins DSL eingewählt hatte.

Habe gestern noch die Windows Dienste GearSec (überbleibsel von Davideo), den Event Log Watch und den WMDM PMSP Service deaktiviert geh davon aus das ich diese Dinger nich brauche.

Etwa hat der Virus heut sein freien Tag oder Stinger hat ihm den Gahr ausgemacht. Falls sich noch was ergibt meld ich mich wieder.

Danke & Gruß!

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hier die Auswertung Deines Logfiles: http://www.hijackthis.de/logfiles/bd0d036a1ae8e49fbb7b5ccccdcaedec.html (bis 5.8.05 verfuegbar)

Zusammenfassung:

Wahrscheinlich kommen Deine Viren ueber Sicherheitsluecken des Systems/IE rein, sobald Du online gehst

Abhilfe:

Nutze ein garantiert virenfreies Medium, lade die aktuellen Virensignaturen und scanne damit das System

Z.B. das von der ct-Redaktion entwickelte knoppicillin (lag der ct 20/04 bei)

Danach sofort Windowsupdates durchfuehren.

--> Regelmaessig Windowsupdates inkl. IE durchfuehren

Dafuer den Dienst Automatische Updates nutzen. Dieser wird gern aus Paranoia nicht genutzt oder von - in einigen Zeitschriften hochgelobten - Tools ausgeschaltet, ohne den Benutzer ueber die Folgen zu informieren.

Wie aktuell ist Dein staendig laufender Apache, sind dort die aktuellen Patches eingespielt? Nein -> Ausschalten, solange Du im Internet surfst

Wie siehts aus mit Benutzerrechten, surfst Du mit dem Administrator-Konto? Ja -> Zum Surfen einen separaten Benutzer mit eingeschraenkten Rechten (nicht mehr als Benutzerrechte) nutzen

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...