Hallo

seit wenigen Minuten meldet AntiVir folgenden Trojanerbefall:

C:\WINDOWS\system32\drivers\svhost.exe
Ist das Trojanische Pferd TR/Agent.NYS.35

Wie kriege ich den Scheiß wieder weg? Im Internet habe ich noch nichts brauchbares dazu gefunden. Hat jemand von euch auch seit kurzem diesen Befall??

System: Windows XP

Gruß
Johannes

Löschen.
Im von dir angegebenen Ordner haben .exe nichts zu suchen. Jedenfalls wärs mir neu.

Wenn er meckert, dass auf die Datei zugegriffen wird, gehe in den abgesichteren Modus und versuchs dort.

Am sichersten ist's mit BartPE (+Virenscanner) oder Knoppichillin zu booten und dann säubern zu lassen. Ob es jetzt für den Virus eine Säuberungstool direkt gibt, weiß ich nicht.

Versuch mal Fsecure Blacklight

Das ist ein Anti-Rootkit und kostenlos.

Sonst kann ich dir SuperAntiSpyware empfehlen. Hatte auch vor 3 Wochen einen heftigen hartnäckigen Trojaner den F-Secure und co. nicht entfernen konnten. Aber mit SuperAntiSpyware gings dann :) (is auch kostenlos)

http://www.superantispyware.com/

Danke für eure Beiträge. Ich habe erst jetzt wieder Zeit, mich um dieses Problem zu kümmern. Ich versuche eure Tipps und melde mich dann hoffentlich erfolgreich wieder.

Es scheint schwieriger zu sein, als ich dachte. Wo kann ich denn BartPE oder Knoppilicin mit einem aktuellen Virenscanner runterladen?

Ich habe eben versucht, die betroffene Datei im abgesicherten Modus zu entfernen, aber es ging einfach nicht. Er meckerte irgendwas mit 'schreibgeschützt' oder so. Das Programm SUPERAntiSpyware stürzt während des Tests einfach ab.

Fsecure Blacklight scheint kostenpflichtig zu sein, oder?

Ich hoffe, ihr habt nen Rat.

Also wenn es so schlimm ist, dann bleibt dir nichts anderes übrig als alles platt zu machen... ich zumindestens würde da auf Nummer sicher gehen und es so machen...

Es scheint schwieriger zu sein, als ich dachte. Wo kann ich denn BartPE oder Knoppilicin mit einem aktuellen Virenscanner runterladen?
c'T für 3,30€ kaufen, da ist gerade knoppicillin 7 mit 3 Virenscannern drauf. Runterladen kann man sich nur veraltete Versionen ohne Virenscanner

Danke, mach ich, sei laut.

Also Ausgabe 26/08.
Ich sehe gerade, es gibt schon eine neue Ausgabe. Wenn du die 26/08 nirgends mehr findest, kannst du sie für 3,30€ auch bestellen:
https://www.heise.de/abo/ct/hefte.shtml

mmm...

RescueCD runterladen und brennen.
Gibt es von Kaspersky, Avira und F-Secure für umsonst, Avast und AVG wollen dafür Geld haben:
http://www.askvg.com/download-free-bootable-rescue-cds-from-kaspersky-bitdefender-avira-f-secure-and-others/

So sieht das Teil von Avira nachher aus:
http://www.raymond.cc/blog/archives/2008/06/28/free-avira-antivir-rescue-system-cd-to-clean-unremovable-virus/

@sei laut, ich war eben im Laden und und auf der aktuellen ct stand nichts von Knoppicillin. Sollte da nicht eine CD dabei sein?

Ich versuche es jetzt mit dem von Lokadamus gemachten Vorschlag.

@sei laut, ich war eben im Laden und und auf der aktuellen ct stand nichts von Knoppicillin. Sollte da nicht eine CD dabei sein?

Ich versuche es jetzt mit dem von Lokadamus gemachten Vorschlag.

Zu Spät, Ausgabe verpasst. Nimm irgendein,

i r g e n d e i n,

egal, welches

Linux zum Datei löschen. Da gibts dann kein "schreibgeschützt".

(Der Running-Gag schlechthin - du kanst mit Windows nicht auf bestimmte Windows-Ordner so mirnichtsdirnichts zugreifen. Mit Linux kein Problem, das ignoriert die Zuordnungen! - sicher ist sicher!)

Zuerst mal meine dienstliche und private Meinung: Rechner plätten und Windows frisch aufspielen. Anschließend ein Image von der Installation machen.
Grund: Sollte das System mit einem Kernelmodus Rootkit verseucht sein, wird man es im laufenden Windowsbetrieb nur mit der größten Anstrengung säubern können und selbst dann ist es fraglich, dass alles an Schadroutinen gefunden wurde.

Etwas, was dir evtl. viel besser vorkommt:

Benutze mal

-GMER
-System Virginity Verifier von Joanna Rutkowska
-Rootkit Revealer von Mark Russinovich

und schau dir das System mal genauer an und versuch dich an einer Reinigung.

Gruß und viel Erfolg,
TC

Danke für eure Hilfe. Ich habe es eben versucht, die infizierte Datei über ein Linux (KNOPPIX) zu löschen. Es kam aber immer nur die Fehlermeldung "Error: could not delete file ...".

Nach einem Plätten und Neuaufsetzen des Systems stellt sich für mich folgende Frage: Wie kann man die Wahrscheinlichkeit eines weiteren Viren- (Trojaner-) -befalls möglichst weit eindämmen?

Ich verwende AntiVir als Antivirusprogramm und die einfache XP Firewall + Firefox. Gibt es noch weitere wichtige Sachen, die ich beim nächsten Mal beachten sollte?

Ich versuch es jetzt mit den Vorschlägen von The Cell und Lokadamus.

Wenn du das System schon geplättet hast dann helfen die die Tips von The Cell und Lokadamus nicht mehr, denn die sind so weit ich das sehe für die Säuberung / Verifizierung des Systems. Also nicht unbedingt was für den Alltagsgebrauch.

Tips zum Vermeiden einer erneuten Infizierung:
- System immer up to date halten (Windows Updates, Softwareupdates nicht vergessen, wie z.B. PDF-Viewer der vom Browser aus erreichbar ist oder heruntergeladene Dateien anzeigen soll)
- Firefox + NoScript + AdBlock
- NICHT ALS ADMIN ARBEITEN!!!!!!!!!!!
(Sorry für die Großschrift, aber das ist mit der wichtigste Tip überhaupt

Und weil wir schon so schön dabei sind:
Den verdammten Sticky lesen den verdammt nochmal jeder ignoriert:
http://www.forum-3dcenter.org/vbulletin/showthread.php?t=163074

Danke für eure Hilfe. Ich habe es eben versucht, die infizierte Datei über ein Linux (KNOPPIX) zu löschen. Es kam aber immer nur die Fehlermeldung "Error: could not delete file ...".

Nach einem Plätten und Neuaufsetzen des Systems stellt sich für mich folgende Frage: Wie kann man die Wahrscheinlichkeit eines weiteren Viren- (Trojaner-) -befalls möglichst weit eindämmen?

Ich verwende AntiVir als Antivirusprogramm und die einfache XP Firewall + Firefox. Gibt es noch weitere wichtige Sachen, die ich beim nächsten Mal beachten sollte?

Ich versuch es jetzt mit den Vorschlägen von The Cell und Lokadamus.

Oh, da gibt es einige Punkte, die zu beachten sich durchaus lohnt.

Hier ist mal ein guter Startpunkt: http://www.microsoft.com/germany/athome/security/default.mspx

Ansonsten die üblichen Ratschläge:

-Wenn möglich als normaler Anweder (Benutzer) seine täglichen Dinge verrichten.
-Wenn möglich, nicht auf alles klicken, das nicht bei 3 auf dem Baum ist.
-Merkregel 1: Umsonst ist der Tod. Und nichtmal mehr der.
-Merkregel 2: Keiner will dir irgendwas schenken. Auch nicht, wenn du irgendwas installierst.
-Merkregel 3: Du bist nie der "glückliche" Gewinner auf irgendeiner Webseite.

Ob man den Firefox über den IE 7 stellt, darüber kann man streiten. Ich mag den Firefox sehr, vor allem wegen der Erweiterungen, man kann aber auch mit dem IE7 das Zwischennetz erforschen, wenn man sein Gehirn ein wenig einschaltet.

Viele Grüße,
TC