Ich habe mir einen Plaggeits eingehandelt welcher permanent auf dem Bildschirm einen svchost.exe prozess (schwarzers Prozessfenster) öfnet und nach 2 sekunden wider schliesst und neu öffnet. So ist ein arbeiten unmöglich, da das aktive Window immer wechselt.

Wer kennt dieses Problem?

Vielen Dank im voraus.

Servus!
Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier! Wichtig dabei: Entpacke HJT in ein eigenes Verzeichnis (zB. C:\HJT). Nicht im Temporärordner laufen lassen!
stupormundi

hier die HJT Datei

So ist es einfacher zum ansehen!
Logfile of HijackThis v1.99.1
Scan saved at 12:41:48, on 05.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\NPDTray.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Programme\IBM\Messages By IBM\ibmmessages.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\sysldr32.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\VPC32.EXE
E:\EDV-Daten\Trojaner\HijackThis.exe
C:\WINDOWS\svchost.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {B75F75B8-93F3-429D-FF34-660B206D897A} - C:\WINDOWS\system32\zolker011.dll (file missing)
O2 - BHO: ZToolbar Activator Class - {FFF5092F-7172-4018-827B-FA5868FB0478} - C:\WINDOWS\system32\ztoolb011.dll (file missing)
O3 - Toolbar: ZToolbar - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - C:\WINDOWS\system32\ztoolb011.dll (file missing)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [NPDTray] C:\PROGRA~1\ThinkPad\UTILIT~1\NPDTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [BatSrv] C:\WINDOWS\batserv2.exe
O4 - HKLM\..\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\system32\intell32.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Firewallclient-Konnektivitätsmonitor.LNK = C:\Programme\Microsoft Firewall Client\ISATRAY.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O21 - SSODL: System - {7F804E31-D930-48FF-AE35-BB2055E5C9A9} - C:\WINDOWS\system32\winsock32.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

@msporting
Keine Updates nach der Installation von SP2, ergo mindestens 3 Trojaner+1 Backdoor. Bitte der Anleitung zum Neuafsetzen aus meiner Sig folgen.

Bin ich froh, dass das nicht mein Logfile war ...
@msporting: Stimme Rene-gad iÜ zu!
stupormundi

OK Ihr habt mich überzeugt. ich bin bereits daran den Rechner neu aufzusetzen.

Ich habe zuvor noch einige Kunstgriffe versucht und hatte vor einer halben Stunde das Gefühl alle Plaggeister weggeputzt zu haben. Aber plötzlich und ohne Zugang zum Internet hat sich wider einer reaktiviert.?
Mein Problem war eindeutig der backdoor.Trojan.

Danke für die Hilfe.

So mein Rechner läuft wider

Es war übrigens nicht so wie Rene-gad vermutet hatte, dass auf meinem Rechner keine Sicherheiten eingestellt waren. Der Windows Update wurde bis und mit Dezember immer am 10. Des Monats gemacht. Auf dem Rechner befindet sich Symantec Internet security, Microsoft AntiSpyware und aus meiner Sicht eine seriöse Wartung und Einstellung in punkto Sicherheit.

So gesehen eine Warnung an alle. Dieser backdoor.Trojan kann jeden befallen, und eine Säuberung ist sehr schwirig.

@msporting

Zitat:

Es war übrigens nicht so wie Rene-gad vermutet hatte, dass auf meinem Rechner keine Sicherheiten eingestellt waren. Der Windows Update wurde bis und mit Dezember immer am 10. Des Monats gemacht.

Dann sollte in deinem Log diese Zeile vorhanden sein:

Zitat:

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v?.windowsupdate.microsoft.com/v?consumer/V?Controls/en/x86/client/

wobei statt Fragezeichen eine 5 oder 6 steht.

Zitat:

Auf dem Rechner befindet sich Symantec Internet security, Microsoft AntiSpyware und aus meiner Sicht eine seriöse Wartung und Einstellung in punkto Sicherheit.

Kein Programm erhöht die Sicherheit eines PCs, sondern stellt ein Risiko mehr dar . Wenn PC falsch konfiguriert ist und der User auf alles Buntes draufklckt... Weiter kannst du hier nachlesen.

Zitat:

Dieser backdoor.Trojan kann jeden befallen

Falsch. Frag mal stupormundi, hoerni26 oder auch jemanden aus Kompetenz-Team, ob er mal einen Backdoor gehabt hast? Um so mehr ha(tte)st du mehrere Trojaner, die nicht vom klaren Himmel an den PC kommen, sondern von den unvorsichtigen User installiert.

@rene-gad

kurz zu dem backdoor trojaner..
ich hatte also selber noch nie einen.
da ich mein system immer warte und ordentlich absichere.
wartung und absicheren ist das a und o.
ach ja und einen sicheren browser verwenden in meinem fall mozilla

@hoerni26

Zitat:

ich hatte also selber noch nie einen.

Das meinte ich doch ...