Moinsen, erstmal die Entschuldigung dafür, dass ich mein f**** Problem in den falschen Bereich gepostet habe.

Ich hoffe, man nimmt mir deswegen jetzt nicht allzu übel, dass ich hier einen neuen Beitrag poste.

Zuersteinmal: Ich hatte den Trojan-Spy.HTML.Smitfraud.c oder s.ä. auf meinem System drauf. Habe darüber einige Interessante Beiträge in diesem Forum gefunden.
Dafür erstmal einen passiven Dank ausgesprochen...was für ein Glück, dass es noch mehr mit dem gleichem Problem gab.

Jetzt aber zu dem eigentlichem Problem, welches ich jetzt noch habe: Immer wenn ich mein PC neu starte oder ins Internet will, meldet sich mein svhost?!? Das Teil sucht min. 4-mal nach verschiedenen IP's und versucht ins Internet zu gelangen. Wenn ich das mit meiner Firewall unterbinde, gelange ich nicht ins Internet. Zusätzlich werde ich trotz der Bereinigung des Systems den Button "Your system is infected" in der Taskleiste nicht los. Deshalb poste ich euch nochmal eine neue HijackThis-File:

Logfile of HijackThis v1.99.1
Scan saved at 14:44:26, on 05.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\intel32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\System32\intel32.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O14 - IERESET.INF: START_PAGE_URL=h**p://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/14bb73a6...dxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D65CF32-ADFB-411C-8962-5A71F5990A16}: NameServer = 195.50.140.252 145.253.2.81
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\System32\netddeclnt.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Wäre echt cool, wenn mir jemand sagen könnte, was immer noch nicht mit dem System stimmt.

MfG
commodusreal

Kleines Update zum Stand der Dinge:

1. Ich habe kein Problem mit sv-host sondern mit svchost. Dieses seltsame etwas, welches ich nicht einmal kenne, versucht auf's Internet zuzugreifen.

2. Zweitens: Ich habe gestern mit Antivir gescannt und habe den Trojaner intel32 oder so ähnlich gefunden, sowie ein Backdoor-Programm. Beide sind jetzt gelöscht und somit ist der Button in der Taskleiste auch verschwunden.

Aber letztenendes besteht mein Problem mit svchost immer noch.
Wäre nett, wenn mir jemand eine Antwort darauf geben könnt, was es mit diesem svchost auf sich hat.

MfG
commodusreal

Da ein Backdoor auf deinem System war, ist das System kompromittiert; Dies bedingt eine Neuinstallation. Beachte hierbei diese Anleitung

Gibt es nicht auch eine andere Möglichkeit als die Neuaufsetzung des Systems???

Ich habe keine Windows XP-CD zuhause, die wurde damals beim Neukauf nicht mehr mitgeliefert. Und wenn ich mir von jemand anders eine besorge, dann gibt es doch wieder nur Probleme mit dem CD-KEy.

Ich meine, kann ich meinen PC nicht so bereinigen, dass er zwar theoretisch zugänglich für andere ist, aber ich dieses mit meiner Firewall (Zonelabs) unterbinde???

Wäre nett, wenn mir jemand noch andere Möglichkeiten als die Neuaufsetzung geben könnte.

MfG
commodusreal

Zitat:

Ich habe keine Windows XP-CD zuhause, die wurde damals beim Neukauf nicht mehr mitgeliefert.

Vielleicht - OEM-Version-, aber du hast du sicherlich eine Recovery CD die mitgeliefert wurde?

Zitat:

dass er zwar theoretisch zugänglich für andere ist, aber ich dieses mit meiner Firewall (Zonelabs) unterbinde?

Nein, eine PFW kann dies nicht verhindern, siehe den Beitrag 'Personal Firewalls'.

Zitat:

Zitat von Cidre

Vielleicht - OEM-Version-, aber du hast du sicherlich eine Recovery CD die mitgeliefert wurde?

Meint ihr wirklich, dass die Recovery-CD reicht, um dass System neu aufzusetzen???

Ich war immer der Meinung, dass die nur benötigt wird, wenn ich schwerwiegende Fehler im System habe, aber nicht bei einer Neuaufsetzung.

Und wie führe ich so eine Neuaufsetzung grob umrissen mit einer Recovery-CD durch??? Genauso wie mit einer normalen WinXP-CD???

MfG
commodusreal

eventuell wärs ne möglichkeit, die datei wpa.dbl im ordner c:\windows\system32 auf ne andere partition, diskette oder cd zu sichern und dann wenn alle treiber installiert sind zurück in c:\windows\system32 zu kopieren (sind die aktivierungsdaten drin)
um ne Neuinstallation kommste aber nicht rum.
Hinweis: das hier ist kein illegaler tipp, sondern völlig legal, da die datei nur funktioniert, wenn genau die gleiche hardware drin ist. (und wenn man da was ändert, wirds erst illegal )

Zitat:

Durch das Sichern der wpa.dbl des laufenden Systems und Rückkopieren derselben auf die neue Installation kann man die erneute Aktivierung umgehen

Auch wenn der Tipp seit Jahren durch sogenannte "Fach"-Zeitschriften geistert, bleibt er doch trotzdem falsch. Dieses Verfahren funktionierte in einer der Beta-Versionen von XP, aber mit der engültigen, im Handel erhältlichen eben nicht. Es gibt jedoch einen Fall, wo das sichern und Rückkopieren der wpa.dbl tatsächlich vor einer erneuten Aktivierung schützt: Wenn man eine Reparaturinstallation durchführen muss, bei der unter anderem die wpa.dbl ersetzt wird.

Quelle: http://www.derfisch.de/Populare-Fals...n-zu-XP.html#1