|
Plagegeister aller Art und deren Bekämpfung: BDS/Ciadoor.13.3 und BDS/Cia.121Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
25.04.2006, 13:44 | #1 |
| BDS/Ciadoor.13.3 und BDS/Cia.121 Hallo!! Also ich habe mir diese tollen Backdoor-Viren BDS/Ciadoor.13.3 und BDS/Cia.121 und noch den Trojaner TR/Dorp.Delf.RC Diese Namen habe ich vom Avira Antivir Scanner bekommen in den Dateien E:\Windows\System32\scvhost.exe E:\Windows\System32\wsock32.sys Ich habe beide Dateien im abgesicherten Modus mit beendeten explorer und mit einem Shredder. Danach habe ich nach einigen Infos in Google gesucht, und daraufhin folgende Ordner in der Registry gelöscht: HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run\Generic Host System "E:\Windows\System32\scvhost.exe" HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run-\Generic Host System "E:\Windows\System32\scvhost.exe" HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\RunServices\Generic Host System "E:\Windows\System32\scvhost.exe" Außerdem habe ich HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell = Explorer.exe, E:\Windows\System32\scvhost.exe" in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell = explorer.exe" umgeändert. Ich glaube es hieß Generic Host System, weiß es aber leider nicht mehr genau. Ich habe auf jeden Fall den kompletten Computer auf allen Festplatten nach Viren durchsuchen lassen, einmal mit einem Suchprogramm das man über cd vorm booten von Windows laufen lassen kann, und jedesmal wurde nichts gefunden. Trotzdem habe ich noch einige Einträge die sich nicht entfernen lassen, weil sie sofort nach dem löschen wieder erstellt werden, auch wenn ich in abgesicherten modus lösch, kommen sie wieder. HKEY_USERS\S-1-5-21-1078081533-1935655697-682003330-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows\ load=E:\Windows\System32\scvhost.exe und run=E:\Windows\System32\scvhost.exe HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows load=E:\Windows\System32\scvhost.exe und run=E:\Windows\System32\scvhost.exe Beim Starten von Windows kommt dann logischerweise 4x die Meldung dass die Datei nicht gestartet werden konnte. Außerdem werden trotzdem noch Prozesse wie z.b. avwin.exe oder sched.exe beendet, ich kann sie aber manuell neustarten. Bitte helft mir was ich noch machen muss damit letzteres nicht passiert! Hier noch den HijackThis Log-File: Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 14:40:42, on 25.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\Explorer.EXE E:\WINDOWS\system32\spoolsv.exe E:\WINDOWS\system32\oodag.exe E:\WINDOWS\system32\ZoneLabs\vsmon.exe E:\Programme\Internet\D-Link USB Utility\AirCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe E:\Programme\Internet\ZoneAlarm Security Suite\zlclient.exe E:\Programme\Tools\PCBooster\pcbooster.exe E:\Programme\Tools\SpybotSearch-Destroy\TeaTimer.exe E:\PROGRA~1\Tools\AdAware\Ad-Watch.exe C:\Programme\Internet Explorer\iexplore.exe E:\Programme\AntiVir PersonalEdition Classic\avguard.exe E:\Programme\Internet\ICQ5\ICQLite.exe E:\Programme\Tools\J River Media Center 11\Media Center.exe E:\WINDOWS\regedit.exe E:\WINDOWS\Explorer.EXE C:\Programme\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = e:\WINDOWS\pchealth\helpctr\System\panels\blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = f:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm F3 - REG:win.ini: load=E:\WINDOWS\system32\scvhost.exe F3 - REG:win.ini: run=E:\WINDOWS\system32\scvhost.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Tools\Acrobat Reader 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Tools\SpybotSearch-Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Tools\Java 1.5.0_06\bin\ssv.dll O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-f7ed0776fb27} - e:\programme\internet\steganos internet anonym 2006\sia2006iep.dll O4 - HKLM\..\Run: [D-Link Air USB Utility] E:\Programme\Internet\D-Link USB Utility\AirCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [Zone Labs Client] E:\Programme\Internet\ZoneAlarm Security Suite\zlclient.exe O4 - HKLM\..\Run: [PC Booster] E:\Programme\Tools\PCBooster\pcbooster.exe O4 - HKLM\..\Run: [Generic Host Process] E:\WINDOWS\system32\scvhost.exe O4 - HKLM\..\Run: [SpybotSnD] "E:\Programme\Tools\SpybotSearch-Destroy\SpybotSD.exe" O4 - HKLM\..\RunServices: [Generic Host Process] E:\WINDOWS\system32\scvhost.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Tools\SpybotSearch-Destroy\TeaTimer.exe O4 - HKCU\..\Run: [AWMON] "E:\PROGRA~1\Tools\AdAware\Ad-Watch.exe" O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O8 - Extra context menu item: Save with Download Manager... - file://E:\Programme\Tools\J River Media Center 11\DMDownload.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Tools\Java 1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Tools\Java 1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\Internet\ICQ5\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\Internet\ICQ5\ICQLite.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - E:\WINDOWS\system32\ZoneLabs\isafe.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: O&O Defrag - O&O Software GmbH - E:\WINDOWS\system32\oodag.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Programme\Tools\Alcohol 120\Alcohol 120\StarWind\StarWindService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\Tools\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - E:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - E:\Programme\Internet\RealVNC\WinVNC4.exe" -service (file missing) MfG Lucas |
25.04.2006, 13:50 | #2 |
| BDS/Ciadoor.13.3 und BDS/Cia.121 Hallo cold.lucas
__________________Leider kann ich Dir bei einem Backdoor-Befall nur das Neuaufsetzen des Systems empfehlen und danach alle Passwörter neu zu generieren. Gute Anleitung ist in meiner Signatur verlinkt. |
25.04.2006, 13:57 | #3 | |
> MalwareDB | BDS/Ciadoor.13.3 und BDS/Cia.121 Hallo,
__________________die Hilfe kann hier nur in der Form erfolgen, als das man Dir zum Neuaufsetzten rät. Du hast einen Backdoorbefall und die Symptome sollten Dir zeigen, dass er nicht so einfach zu löschen ist Zitat:
In meiner Signatur findest Du eine Anleitung zum Neuaufsetzen , setzte diese gewissenhaft um und ändere dannach alle Zugangsdaten. edit: Man der Rene schon wieder, da muss man mal aufs WC und postet dann weiter und schon ist man nur der zweite /edit Gruß Schrulli
__________________ |
25.04.2006, 14:35 | #4 |
| BDS/Ciadoor.13.3 und BDS/Cia.121 Solche Ratschläge sind zwar gut gemeint aber ich wills wenigstens versuchen.. immer sofort aufzugeben mit dem satz: "Leider kann ich Dir nur das Neuaufsetzen des Systems empfehlen" Ich wills wenigstens versuchen.. das is doch keine hilfe dieser ratschläge... ich bräuchte nur z.b. ein programm das mir zeigt welche dateien welche änderungen in der registry vornehmen, wie z.b. zonealarm (das schaut aber nur in run-ordner un dmeldet nur dort meldungen) und ich wüsste schonmal welches programm mir die run und load einträge immer wieder einträgt.. und es ist ja nicht weiter schlimm das mein antivirenscanner ausgeschaltet wird, da scvhost.exe nicht mehr läuft kann ich ihn problemlos wieder starten, das is nur etwas nervig! Also bitte vernünftige Tipps geben! danke |
25.04.2006, 14:39 | #5 | ||
> MalwareDB | BDS/Ciadoor.13.3 und BDS/Cia.121 Hallo, Zitat:
Zitat:
Gruß Schrulli
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
25.04.2006, 14:41 | #6 |
| BDS/Ciadoor.13.3 und BDS/Cia.121 Hallo, hier wirst Du leider nur "unvernünftige" Tipps bekommen! Deshalb: http://de.wikipedia.org/wiki/Backdoor http://www.mathematik.uni-marburg.de...c-removal.html http://www.mathematik.uni-marburg.de...ompromise.html dartus
__________________ --> BDS/Ciadoor.13.3 und BDS/Cia.121 |
25.04.2006, 14:43 | #7 |
| BDS/Ciadoor.13.3 und BDS/Cia.121 wieso seit ihr denn so aggro drauf?? [Zitat] Frag Dich doch einfach mal, warum der Virenscanner ausgeschaltet wird und vergiss die eine Datei di Du finden solltest/durftest. [/Zitat] Damit die scvhost.exe die nicht mehr existiert vernünftig arbeiten kann und nicht vom virenscanner gefunden werden kann?! [Zitat] Für mich definierst Du vernüftig falsch, Du hättest gerne ein rundes viereck [/Zitat] was definier ich falsch? danke lucas |
25.04.2006, 14:46 | #8 |
> MalwareDB | BDS/Ciadoor.13.3 und BDS/Cia.121 Hallo, niemand ist hier "Aggro" , wenn Du aber hilfesuchend in ein Forum kommst und die Dir gegebenen Antworten sind nicht die erwarteten, dann brauchst Du diese nicht abzukanzeln. Es handelt sich bei den von Rene-Gad, dartus und mir gegeben Ratschlägen um die einzig richtige Wahl. Noch mal die Frage: "Wer schaltet Dein Virenprogramm ab? Du nicht, aber die Antwort steht im ersten Post Warum sollten Dir drei verschieden Regulars unvernüftige Antworten geben? Denk drüber nach und dann sehen wir weiter. Gruß Schrulli
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
25.04.2006, 14:57 | #9 | |
| BDS/Ciadoor.13.3 und BDS/Cia.121Zitat:
Nun mal eine kleine Erläuterung die zum besseren Verständnis beitragen könnte. Angenommen du bist ein böhzer Hacker und schreibst gerade einen Trojaner. Dir stehen etwa etwaige ungefixte Sicherheitslücken in Windows zur Verfügung - dazu noch Tausende Systemdateien die du umschreiben könntest - total nach belieben. Was machst du? Du wirst sicherlich nicht den gesammten Code in eine offensichtliche Datei verfrachten - nein .. du würdest hunderte Systemdateien in Serie umschreiben um diese irgendwie zusammen nutzen zu können (so ists übrigens auch öfters). Wenn du alle Trojaner-Atkionen rückgängig machen willst, bräuchtest du garantiert mehrere Wochen dazu. Außerdem Unterscheiden wir zwischen Trojanern und anderen einfachen Viren, ergo wird nicht immer der Rat zum Neuaufsetzen gegeben - nur bei Backdoors! mfg, Markus |
25.04.2006, 15:15 | #10 |
| BDS/Ciadoor.13.3 und BDS/Cia.121 Also Das mit unvernüftig war anscheinend ein Fehler zu schreiben.. Aber ich will hier Hilfe bekommen und nicht einfach nur den Rat zum Neuaufsetzen des Systems. Es kann zwar sein dass das das einfachste wäre, aber ich möchte einfach den Virus stück für stück rückgängig machen. Und danke Markus für deinen Beitrag, wieso hier jeder zum Neuaufsetzen rät, ansonsten hätt ichs etz nachgefragt. Jedenfalls habe ich mit einem netten Tool, das ich nach 30 minuten googlen gefunden hab, herausgefunden dass das tool von adaware "ad-watch" die einträge mit load und run jedesmal neu hinein gesetzt hat. (das tool: http://www.wintotal.de/softw/?id=78 ). Ich habe ad-watch beendet und ich konnte die einträge ohne Probleme löschen. Ich bräuchte nur noch Hilfe beim Herausfinden der 100.000 systemdateien die verändert wurden, und ob evtl. ein einfaches drüberspielen von windows aushilft. mfg lucas p.s.: bitte anderen benuzter im falle eines backdoor-befalls wenigstens die Wahl zwischen langer Arbeit zum entfernen oder noch längerer arbeit zum sichern lassen. |
25.04.2006, 15:25 | #11 | |
| BDS/Ciadoor.13.3 und BDS/Cia.121Zitat:
Hier wird nicht zum Neuaufsetzen geraten weil keiner Lust auf die Arbeit hat, sondern weil niemand mit ausreichender Sicherheit sagen kann, ob der Rechner nach einer scheinbar Entlausung nun wirklich sauber ist oder nicht. Ein einfaches Drüberbügeln von Windows bringt es da auch nicht. Ich werde Dir nicht helfen und auch sonst wird hier aus dem Board wohl keiner bereit sein, an einer Backdoorinfektion rumzufrickeln. |
25.04.2006, 15:30 | #12 | |
Administrator > Competence Manager | BDS/Ciadoor.13.3 und BDS/Cia.121Zitat:
Gute Idee...
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. Geändert von [Gc]Sunny (25.04.2006 um 15:46 Uhr) |
25.04.2006, 21:23 | #13 |
| BDS/Ciadoor.13.3 und BDS/Cia.121 Ich habe Windows drüber installiert, Antivirus neu installiert und den internet-treber. Jetzt geht wieder alles einwandfrei und keinerlei Meldungen dass scvhost.exe nicht gefunden werden kann, keine automatischen Eintragungen in die Registry, der AntiVirus geht auch wieder. Außerdem meldet die Firewall keine Aktivitäten außer von Windows-Dateien. Thema ist damit beendet auch wenn jetzt wahrscheinlich noch 3-5 Beiträge kommen dass man das system nicht als sauber bezeichen kann und dass es unabdingbar is dass ich das System neu aufsetzte. Der Thread hier hat nichts gebracht außer dass alle rummaulen und alle nur sagen: gib auf, probier es nicht aus, wir haben immer recht, blabla Wenn ich nochmal Viren-Probleme habe werde ich hier bestimmt nicht nachfragen, es wird doch eh nur empfohlen zu formatieren. |
25.04.2006, 22:00 | #14 | |
> MalwareDB | BDS/Ciadoor.13.3 und BDS/Cia.121 Hallo, wie ich schon bemerkte, bist Du ein wenig unentschlossen. Wenn Du eh besser weißt, was für Deinen Rechner das Beste ist, dann brauchst Du hier (und auch in keinem anderen Forum) einen Thread zu erstellen. Es geht hier immer noch um eine Diskussion und noch mal, man muss auch akzeptieren können, selbst wenn es nicht schmeckt. Stickwort schmecken Zitat:
Jeder macht für sich selbst aus, wie wertvoll ihm seine Daten sind, da kann Dir keiner was, will auch keiner, jeder spricht hier nur Ratschläge aus, andere machen andere Vorschläge, aber in Deinem Fall gibt es halt nur eine Empfehlungsrichtung. Wenn mir der Automechaniker meiner Wahl sagt, die Bremsscheiben sind runter sag ich auch nicht: "ach mach mal mit der Drahtbürste rüber, dann gehn die wieder. 1) Kenn ich mich da nicht aus und 2) Vertraue ich ihm da, besonders da es um sicherheitsrelevante Dinge geht. Gruß Schrulli
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
25.04.2006, 22:11 | #15 |
| BDS/Ciadoor.13.3 und BDS/Cia.121 Beim nächsten Patienten tippe ich keine x Zeilen mehr, sondern nur noch ein kurzes *plonk* BTW: Wieviel Platz ist im Killfile? |
Themen zu BDS/Ciadoor.13.3 und BDS/Cia.121 |
abgesicherten modus, antivir, avira, bho, booten, browser, computer, entfernen, excel, festplatte, generic host, generic host process, google, hijack, hijackthis, internet explorer, media center, registry, scan, sched.exe, security, security suite, server, software, starten, system, trojaner, träge, tuneup utilities, usb, windows, windows xp |