Hallo,

letzte woche hat sich ein lustiger hacker bei mir eingeschleust.
So kam dann auf einmal ein kleines Chatfenster, wo es (God genannt) mich (als Looser gekennzeichnet).
Er fragte mich dann auch, was ich mit Norten Antivirus machen will, bespannte mich über meine webcam.....

Habe das System mit mehrern Antivirusprogrammen und antispywareprogrammen gereinigt, doch seitdem kommt bei jedem Windows start 5 mal die fehlermeldung, dass scvhost.exe einen fehler verursacht hat.

Wäre super, wenn mir da jemand helfen könnte:

Logfile of HijackThis v1.99.1
Scan saved at 23:01:50, on 05.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe
D:\Programme\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe
D:\Programme\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe
D:\Programme\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe
D:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
D:\Programme\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe
D:\WINDOWS\system32\pctspk.exe
D:\Programme\Panda Software\Panda Platinum 2005 Internet Security\AVENGINE.EXE
D:\Programme\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe
D:\Programme\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\wdfmgr.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\Programme\Panda Software\Panda Platinum 2005 Internet Security\apvxdwin.exe
D:\WINDOWS\Explorer.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe
D:\Programme\Panda Software\Panda Platinum 2005 Internet Security\SRVLOAD.EXE
D:\WINDOWS\system32\rundll32.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\Winamp\winampa.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\cFos\cFosDNT.exe
D:\Programme\Java\jre1.5.0_04\bin\jusched.exe
D:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
D:\Programme\ScanSoft\PaperPort\Config\Ereg\REMIND32.EXE
D:\Programme\Panda Software\Panda Platinum 2005 Internet Security\WebProxy.exe
D:\Programme\iPod\bin\iPodService.exe
C:\Programme\Trillian\trillian.exe
D:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
D:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe
D:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\FlashGet\flashget.exe
D:\Dokumente und Einstellungen\manu\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
F0 - system.ini: Shell=Explorer.exe d:\windows\system32\msiexec16.exe
F1 - win.ini: run=d:\windows\system32\msiexec16.exe
F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=D:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=D:\WINDOWS\system32\scvhost.exe
O2 - BHO: PreispiratenSearchURL - {0B660087-931C-4056-A04F-0423890E40B6} - D:\Programme\Preispiraten\Preispiraten2\PPSearchURL.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll
O2 - BHO: metaspinner GmbH - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - D:\Programme\Preispiraten\Preispiraten2\IEButtonPPInterface.dll
O2 - BHO: N.Cs4 - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - D:\WINDOWS\system32\wsock32.sys (file missing)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] "D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [GLSetIT32] d:\windows\system32\msiexec16.exe
O4 - HKLM\..\Run: [Generic Host Process] D:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [cFosDNT] D:\Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [SCANINICIO] "D:\Programme\Panda Software\Panda Platinum 2005 Internet Security\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "D:\Programme\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\RunServices: [GLSetIT32] d:\windows\system32\msiexec16.exe
O4 - HKLM\..\RunServices: [Generic Host Process] D:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "D:\Programme\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe"
O4 - HKCU\..\Run: [Google Desktop Search] "D:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [PPWebCap] D:\PROGRA~1\ScanSoft\PAPERP~1\PPWebCap.exe
O4 - Startup: reminder-ScanSoft Product Registration.lnk = D:\Programme\ScanSoft\PaperPort\Config\Ereg\REMIND32.EXE
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://d:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://d:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - D:\\Programme\\Preispiraten\\Preispiraten2\\preispiraten.html
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://d:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Verweisseiten - res://d:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://d:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Preispiraten 2.5 - {2638A03E-1669-43BE-8119-B47087629A7F} - D:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {02AA9E0F-B4EB-4BE9-A769-FD09543FEEC2} (UniInstaller Class) - http://www.webcamnow.com/fs5/voice/voice-installer.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.co...haringctrl.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADD35F0B-2CF0-42C1-BD4C-7D056C8A8042}: NameServer = 217.237.149.161 217.237.151.225
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - D:\Programme\AVPersonal\AVGUARD.EXE (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Panda Antispam Server Service (PASSRV) - Unknown owner - D:\Programme\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - D:\Programme\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - D:\Programme\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe
O23 - Service: Panda Pavkre (Pavkre) - Panda Software - D:\Programme\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe
O23 - Service: Panda PavProt (PavProt) - Panda Software - D:\Programme\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - D:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - D:\Programme\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - D:\WINDOWS\system32\pctspk.exe
O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - D:\Programme\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - D:\Programme\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - D:\WINDOWS\D:\WINDOWS\system32\svchost.exe (file missing)

was?! der kontrolliert deine webcam und kennt deine av-software ohne dass du ihm diese sagst?
vergisses das system zu bereinigen, dein system ist 100% kompromittiert!
neuaufsetzen nach cidres anleitung die übrigens in seiner signatur steht wäre sinnvoller.
aber es gibt jetz 2 möglichkeiten:
nummer 1: du zeigst den typen jetzt an indem du mal eben einen gewissen anruf tätigst und ne anzeige gegen die ip-addresse (Start -> ausführen -> cmd -> netstat -an)
das auf der rechten seite sollte der angreifer sein (beende zuvor alle browser und internetprogs)
ein screenshot mit den meldungen wäre nicht schlecht. falls du anzeigen willst am besten gleich mal die polizei anrufen (ich würde so handeln, ob das richtig ist weiß ich nicht) und dann die sachlage schildern. es handelt sich hier um belästigung. am pc dann aber nichts verändern und alles so lassen - möglichst den hacker im glauben lassen das du nichts dagegen machst btw machen kannst.
oder
nummer 2: du setzt dein system neu auf und beachtest die Anleitung

meine angaben zu nummer 1 sind recht dürftig, ich denke hier können dir die anderen regulars auch noch was zu sagen.

Nicht schlecht!!
Aber er hat recht !!Anzeigen!
Grün Weiss hilft in solchen Fällen!

Moin,
sieht aus wie der hier http://www.sophos.de/virusinfo/analy...2agobotox.html.
Da würd ich sagen hilft nur eins System neu aufsetzen. Ändere alle deine Passwörter wenn der Rechner wieder clean ist

Gruß
riesurf

@riesurf wie bereits von mir als möglichkeit 2 gepostet
thx für die backdoorergänzung

hier 2 Screenshots von dem Chatfenster des Hackers:

http://www.free-webspace.biz/Manuel9010/nr1.JPG

http://www.free-webspace.biz/Manuel9010/nr2.JPG

Habe seitdem allerdings ausser der scvhost.exe keine Probleme gehabt....

wow! das ist kriminalität pur!

Zitat:

du sollst das telefon weglegen

Sowas ist ja mal richrig übel !!
Wenn ich mir das vorstelle ,das ich bespann werde von nem anderen USER1
Hammerhart!
Weisst denn du wo du den Wurm her hast??
Würde mich echtmal interresieren!
Hatte so was ähnliches
Habe ihn durch die Mc Afee Firewall aufspühren können und hatte seine IP aus Holland + Adresse!
Anzeige hab ich auch gemacht!

ich hatte das Betriebssystem einen Tag vorher komplett neu aufgesetzt, dann war ich im Urlaub und mein Bruder war am PC; welcher leider noch keine Firewall oder Virenprogramme drauf hatte...

bei der cmd sagt er mir:

Proto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1045 0.0.0.0:0 ABHÖREN
TCP 84.139.76.78:1048 64.12.28.184:5190 HERGESTELLT
TCP 84.139.76.78:1049 207.46.4.30:1863 HERGESTELLT
TCP 84.139.76.78:1050 64.12.25.116:5190 HERGESTELLT
TCP 84.139.76.78:1053 205.188.248.139:5190 HERGESTELLT
TCP 84.139.76.78:1726 64.12.31.176:5190 HERGESTELLT
TCP 127.0.0.1:1844 127.0.0.1:31595 SCHLIESSEN_WARTEN
TCP 127.0.0.1:4664 0.0.0.0:0 ABHÖREN
TCP 127.0.0.1:6083 0.0.0.0:0 ABHÖREN
TCP 127.0.0.1:31595 0.0.0.0:0 ABHÖREN
TCP 127.0.0.1:31595 127.0.0.1:1808 WARTEND
TCP 127.0.0.1:31595 127.0.0.1:1811 WARTEND
TCP 127.0.0.1:31595 127.0.0.1:1835 WARTEND
TCP 127.0.0.1:31595 127.0.0.1:1838 WARTEND
TCP 127.0.0.1:31595 127.0.0.1:1844 FIN_WARTEN_2
TCP 169.254.102.112:139 0.0.0.0:0 ABHÖREN
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:1025 *:*
UDP 0.0.0.0:1034 *:*
UDP 0.0.0.0:1103 *:*
UDP 0.0.0.0:4500 *:*
UDP 84.139.76.78:123 *:*
UDP 84.139.76.78:1900 *:*
UDP 127.0.0.1:123 *:*
UDP 127.0.0.1:1026 *:*
UDP 127.0.0.1:1056 *:*
UDP 127.0.0.1:1577 *:*
UDP 127.0.0.1:1900 *:*
UDP 127.0.0.1:18001 *:*
UDP 127.0.0.1:18002 *:*
UDP 169.254.102.112:123 *:*
UDP 169.254.102.112:137 *:*
UDP 169.254.102.112:138 *:*
UDP 169.254.102.112:1900 *:*

TCP 169.254.102.112:139 0.0.0.0:0 ABHÖREN
das ist gar nich gut!
Am besten Sytem neu aufsetzen!

Du wirst von jeder Seite abgehört!
Habe das gleiche problem noch heute!!
Versuche TuneUp 2006 oder Spybot!
Leere deinen Internet Cache lasse mal im Abgesicherten laufen mit antiVir6
u poste mit Hi Jack nochmal!

Hast du in letzer Zeit irgendwelche Anhänge/Cracks etc geöffnet? Evtl. von einem "Freund"? Das scheint mit kein Bot zu sein, sondern irgendein Rat (wahrscheinlich eine Optix-Variante).

Wenn du wirklich Anzeige erstatten willst:
Hast du schon formatiert? Wenn nein, lass' es, und trenne den Rechner durch Ziehen den Netzwerkkabels vom Netz.

Den Rechner habe ich noch nicht formatiert und arbeite schon wieder 2 wochen damit, da ich wie gesagt eine menge antivirenprogramme drüber laufen lassen, welche acuh allerhand an trojanischen pferden, viren etc fanden und desinfizierten.
Habe nun eine neue Firewall drauf, aber bin mir halt trotzdem nicht so sicher, dass nicht irgendwas hängen geblieben ist, da ja auch noch die scvhost.exe fehlermeldung kommt...

Cracks o.ä. habe ich (glaub ich ) nicht in der zeit geöffnet

Wie gesagt:
Wenn du Anzeige erstatten willst: Rechner physikalisch vom Netz trennen.
Wenn du keine Anzeige erstatten willst: Rechner vom Netz trennen und neu aufsetzen. Dennoch wäre es ratsam, vorher ein Backup des verseuchten Systems zu machen.
-> http://oschad.de/wiki/index.php/Kompromittierung

reicht es denn, wenn ich ohne zu formatieren ein neues system aufsetze, dann über den arbeitsplatz die alte partition formatiere? muss ja sonst nen riesen backup machen.....

Zitat:

Zitat von manuel9010

reicht es denn, wenn ich ohne zu formatieren ein neues system aufsetze, dann über den arbeitsplatz die alte partition formatiere? muss ja sonst nen riesen backup machen.....

Nein, das reicht nicht.
Du *musst* gar kein Backup machen, aber als Beweismittel kann es u.U. nützlich sein, s. auch den Artikel zur Kompromittierung.