frage zu infeziert

[pussy]

Hi, ich wollte mir für The Witcher ein crack suchen dann bin ich bei gulli drauf gekommen das das image von Gamecopyworld mit DTPro Advanced v4.10.0218 geht. Also hab ich mir das geladen und da war ein Virus anscheident drine glaub.ich denke es war Shark jetzt habe ich anti-shark laufen lassen dann stand starten sie pc jetzt neu. hab ich auch gemacht dann guck ich habe ich 4mal oder so den prozessor Svchost.exe ich glaube das is zuviel lasse grade Kaspersky laufen der hat ein stealer gefunden ... . dann hab ich auch schon XoftSpySE laufen lassen der hat auch Shark gefunden und gelöscht was. jetzt gucke ich über cmd-netstat-n die ips und dann is das Oben fangen die ips mit 127.0.0.1..... an und unten die letzten 3 sind 192.168.178..... und bei Remoteadresse steht da 209.85.135.99:80


und da ich schon mir öfter sachen über trojaner angeguckt habe mit port 80 immer und so frag ich mich was ich noch tun kann damit ich den wixxer loswerde

[rob00n]

209.85.135.99 ist google.

Wenn dein AV ihn entfernt hat und auch keine Verbindungen mehr auftauchen müsste er weg sein.

Wenn du ganz sicher sein willst: Formatieren. ^^

[mbeezy]

Alle Webapplikationen schließen und nochmal schauen, welche Verbindungen offen sind. Dass du mehrere svchost.exe hast ist normal, hängt mit diversen Windows-Diensten zusammen. Glaube man hat 6 oder 7 (?) davon, sofern man bestimmte Dienste nicht ausschaltet.

Kannst du nochmal den Link zur genauen Seite geben, wo du dir den "Crack" runtergeladen hast? Dann kann man das Teil untersuchen und daraufhin besser sagen, welches Programm das wegbekommen sollte.



€dit: Generell würde ich dir Sunbelt Counter Spy v2 oder AVG Anti-Spyware 7.5 empfehlen.

[Iaa_1]

kann dir spybot search & destroy empfehlen

[L-UniX!]

also die 209.85.135.99 sieht zwar etwas verrückt aus, aber es ist google...
sämtliche dienste, die das protokoll http ansprechen, lauschen automatisch auf port 80 / 81, es sei denn man verbietet dem dienst den verbindungsaufbau nach außen. einige dienste sprechen auch port 8080 an, der alte http-port. die svchost.exe ist ein prozess für dienstgruppierungen, unter dem unterschiedliche dll's laufen. beim booten von winXP / winNT / winVista wird unter "HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion SvcHost" geprüft, welche dienste zu einer dienstgruppierung zusammengefasst werden sollen. das sind zumindest immer dhcp, local service, terminal service, rpcss, dns, http (-filter)...
die 192.168.0.178 wird aus deinem netz kommen, könnte natürlich auch deine ip sein
localhost muss ich, denke ich mal, wohl nicht näher erläutern......

soweit sollte das problem gegessen sein....nimm nod32 / f-secure / safe'n'sec / spybot , ggf. ad-aware und schieß den mist von der platte.

hast du denn keine firewall vorgeschaltet?? oder nen paketfilter??

[BiTV]

Wenn "svchost.exe" mehrmals da ist, ist kein Problem.
Solange unter Benutzername im Taskmanager bei svchost.exe nicht dein Benutzername steht, also zb BiTV etc.