Hi Leute

Ich habe seitdem ich Win 2000 Profesional installiert habe ein Problem. Mein Recher ist total verseucht! Ich glaube ich habe alle Trojaner, Würmer,... die es gibts . Naja fast! Mit von der Partie sind so alte Bekannte wie ISTbar oder ISTsvc und deren mitbringsel. Dessweiter habe ich das Problem mit dem Prozess "svchost.exe", das ja auch schon das ein oder andere mal hier besprochen wurde.
Ich habe nicht so die Ahnung von PCs und suche desswegen nach einer einfachen Lösung!
Kann ich nicht einfach formatieren?
Neue Festpaltte kaufen?
Oder ist das dadurch nicht beseiteigt?

Ich hoffe jemand kann mir hierbei helfen.
vielen dank schonmal.

mfg Marv

Vorgehensweise

Da alle Virenscanner Probleme mit Trojanern und Spyware haben, grundsätzlich mit Trojanerscanner zusätzlich prüfen: Spybot Search&Destroy und a² (emisoft).

Dannach checken mit HijackThis und MSConfig.

Dann Systemwiederherstellung deaktivieren (nur bei Windows XP) und im abgesicherten Modus booten. Nochmal Spybot und a² drüber laufen lassen und mit HijackThis überprüfen/fixen. Wenn keine Fehler mehr, neu booten und die Systemwiederherstellung wieder aktivieren.

Eine Garantie, dass der Schädling weg ist, hast du aber nicht. Hier hilft nur Formatieren und Neuinstallation der Festplatte. Angesichts der Vielzahl von Infektionen auf deinem Rechner wahrscheinlich die beste Lösung.

Du solltest dir aber mal grundlegende Gedanken machen, warum du den Schädling bekommen hast und entsprechende Vorsorgemaßnahmen ergreifen (Stichwort 10 goldene Regeln).

Infos und Downloads zum Thema findest du auf meiner Webpage

Die von big_surfer angeführten Sachen würde ich versuchen wenn du irgentwas auf deinem Computer nicht verlieren willst (bestimmte Programme oder so) ansonsten würde ich alles wichtige auf einem Datenträger (DVD zB) speichern und formatieren!

mfG
Sword

Hallo,

Zitat:

Zitat von marv-ist-scharf

Kann ich nicht einfach formatieren?

Ja, das kannst du, denn dies wäre auch gleichzeitig der sicherste Weg um die Vertrauenswürdigkeit deines System wieder herzustellen.
Siehe den Link in meiner Signatur.

Zitat:

Neue Festpaltte kaufen?

Wäre natürlich auch ein Weg, aber was machst du dann mit der alten?

Alternativ könntest du uns erstmal mit genaueren Infos versorgen, damit wir auch abschätzen können, wie es um dein System bestellt ist ->

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Logfile of HijackThis v1.99.1
Scan saved at 17:29:12, on 06.03.2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Antivir\AVGUARD.EXE
D:\Antivir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
D:\Antivir\AVGNT.EXE
C:\WINNT\System32\filess.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Marvin1\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [AVGCtrl] "D:\Antivir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NTFSS MICROSOFT SYSTEM] filess.exe
O4 - HKLM\..\RunServices: [RSPC Driver] svjb.exe
O4 - HKLM\..\RunServices: [NTFSS MICROSOFT SYSTEM] filess.exe
O4 - HKCU\..\Run: [RSPC Driver] svjb.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [NTFSS MICROSOFT SYSTEM] filess.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F080752A-4749-4B9D-B4B8-A9DA9841D4BC}: NameServer = 217.237.150.225 217.237.150.141
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Antivir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Antivir\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe

OK, kurz und schmerzlos:

Aufgrund deines nicht vorhandenen Patchverhaltens und anderen fehlenden Absicherungsmassnahmen, ist dein System mit mehreren Würmern mit Backdoor Funktionalität durchseucht.
Darum solltest du schnellstmöglich dein System neu aufsetzen und an deinem Patch-, Surf- und Downloadverhalten arbeiten.
Hilfe zum Neuaufsetzen findest du in meiner Signatur.

So ich hab jetzt grad mal formatiert
und alles neu gemacht! doch nach der ersten verbindung ins internet, startete sich sofort wieder svchost.exe

das kann doch nicht sein!!!

@ marv-ist-scharf

das kann schon sein schau mal hier

Poste trotzdem mal ein neues Logfile.