PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : WinXP - svchost.exe trojaner - wie entfernen ?


Gast
2008-09-16, 10:28:35
hi, hab seit heute probs mit meiner internetverbindung (seiten öffnen sich nur sehr langsam). hab daraufhin ein logfile von hijackthis erstellt wo mir angezeigt wird, dass ich einen trojaner auf dem rechner habe:

1. C:\windows\system32\drivers\svchost.exe
Der angebliche Systemprozess läuft nicht im System32 Ordner und ist deshalb als schädlich einzustufen.
Prozess läuft nicht im System32 Ordner

2. O4 - HKCU\..\Run: [SVCHOST.EXE] C:\windows\system32\drivers\svchost.exe
Unbedingt fixen! Added by the ZAPCHAS-V TROJAN! Note - this is not the legitimate svchost.exe process which is always located in the System (9x/Me) or System32 (NT/2K/XP) folder and should not normally figure in Msconfig/Startup! This file is located in a...

Wie entferne ich das teil ordnungsgemäss ?

danke!

Gast
2008-09-16, 13:56:33
hm könnte auch gut sein, dass es sich wirklich um svchost handelt. wenn aber der rechner nicht mehr 100% läuft empfehle ich neu zu installieren. würde zumindest ich machen, wenn ich merke das mein system verseucht ist. gruß

Ric
2008-09-16, 13:58:35
Wie entferne ich das teil ordnungsgemäss ?

Ein aktueller Virenscanner hilft da ungemein weiter.

dariegel
2008-09-16, 14:12:55
Troj/Zapchas-V ist ein Trojaner für die Windows-Plattform.

Troj/Zapchas-V läuft kontinuierlich im Hintergrund und stellt einen Backdoorserver zur Verfügung, der einem remoten Eindringling den Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen ermöglicht.

Sobald Troj/Zapchas-V installiert wird, werden folgende Dateien erstellt:

<System>\drivers\aliases.ini
<System>\drivers\control.ini
<System>\drivers\join.txt
<System>\drivers\mad.exe
<System>\drivers\mirc.ico
<System>\drivers\mirc.ini
<System>\drivers\nicks.txt
<System>\drivers\perform.ini
<System>\drivers\popups.ini
<System>\drivers\remote.ini
<System>\drivers\script.ini
<System>\drivers\servers.ini
<System>\drivers\sup.bat
<System>\drivers\sup.reg
<System>\drivers\svchost.exe
<System>\drivers\users.ini

Die Datei script.ini wird auch erkannt als Troj/Zapchas-V. Die Datei svchost.exe ist eine Version der mIRC-Chatanwendung. Die anderen Dateien sind an sich nicht gefährlich und können einfach gelöscht werden.

Die folgenden Registrierungseinträge können erstellt werden, um den mIRC-Client beim Systemstart auszuführen:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
svchost.exe
<System>\drivers\svchost.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
system32
<System>\drivers\svchost.exe

http://www.sophos.de/security/analyses/viruses-and-spyware/trojzapchasv.html

Vielleicht hilft Dir das weiter. Gesperrte Dateien evtl. im abgesicherten Modus oder per Unlocker (http://ccollomb.free.fr/unlocker/) löschen.

Gast
2008-09-16, 15:21:04
probiere mal combofix.