Infizierter Windows Systemdienst mit Namen "gb"

#0
31.08.2007, 18:34
...neu hier

Beiträge: 6
#1 Hi Kollegen!

Ich hab hier einen Rechner einer Bekannten (XP mit SPII)stehen.
Das Teil ist offensichtlich mit Schadsoftware infiziert.
Ausser einer Sanduhr passierte nach dem Systemstart nicht viel, weder Taskmanager noch das Startmenue noch sonst irgendwas ließen sich aufrufen.

Zu erst habe ich Knoppcillin mit aktualisierten Scannern drüber laufen lassen.
Alle drei enthaltenen Scanner haben keinen Fund gemeldet!

Nach einem Neustart habe ich erstmal alle Autostarteinträge rausgeschmissen.
Unter den Diensten fand ich dann noch einen merkwürdigen Eintrag mit dem Namen "gb"
Dahinter verbirgt sich der Befehl "svchost.exe -k netsvcs". Diesen Dienst habe ich deaktiviert.

Das Tool "wwdc.exe" meldet eine verseuchte svchost.exe. Der benutzte virtuelle Speicher sei mit 42052K unter den gewöhnlichen Werten.

Mit dem deaktivierten Dienst verhält sich der Rechner momentan wieder normal (bisher noch ohne Internetzugang).
Nun habe ich eine aktuelle Version von Bitdefender 2008 eingespielt. Auch hier gibt es wieder keinen Fund.
Momentan lasse ich gerade Blacklight von F-Secure drüber laufen.

Edit: Blacklight findet auch nichts.
Wenn ich den Dienst "gb" jetzt versuche zu starten, kommt eine Fehlermeldung, dass das Modul nicht geladen werden konnte.
Ich hoffe mal, die Sache hat sich damit erledigt. Der Rechner macht im Moment auf jeden Fallen keine Mucken.

Was kann man noch tun (ausser einer Neuinstallation)?
Dieser Beitrag wurde am 31.08.2007 um 19:10 Uhr von kleiner editiert.
Seitenanfang Seitenende
02.09.2007, 12:49
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Scanne mit CureIt! von DrWeb http://www.drweb-online.com/de/cure_it.asp?rpid=
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: