Hallo!!

Also ich habe mir diese tollen Backdoor-Viren BDS/Ciadoor.13.3 und BDS/Cia.121 und noch den Trojaner TR/Dorp.Delf.RC

Diese Namen habe ich vom Avira Antivir Scanner bekommen in den Dateien E:\Windows\System32\scvhost.exe
E:\Windows\System32\wsock32.sys

Ich habe beide Dateien im abgesicherten Modus mit beendeten explorer und mit einem Shredder.

Danach habe ich nach einigen Infos in Google gesucht, und daraufhin folgende Ordner in der Registry gelöscht:

HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run\Generic Host System "E:\Windows\System32\scvhost.exe"
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run-\Generic Host System "E:\Windows\System32\scvhost.exe"
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\RunServices\Generic Host System "E:\Windows\System32\scvhost.exe"

Außerdem habe ich
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell = Explorer.exe, E:\Windows\System32\scvhost.exe"
in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell = explorer.exe"
umgeändert.
Ich glaube es hieß Generic Host System, weiß es aber leider nicht mehr genau.

Ich habe auf jeden Fall den kompletten Computer auf allen Festplatten nach Viren durchsuchen lassen, einmal mit einem Suchprogramm das man über cd vorm booten von Windows laufen lassen kann, und jedesmal wurde nichts gefunden.

Trotzdem habe ich noch einige Einträge die sich nicht entfernen lassen, weil sie sofort nach dem löschen wieder erstellt werden, auch wenn ich in abgesicherten modus lösch, kommen sie wieder.

HKEY_USERS\S-1-5-21-1078081533-1935655697-682003330-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows\
load=E:\Windows\System32\scvhost.exe
und
run=E:\Windows\System32\scvhost.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
load=E:\Windows\System32\scvhost.exe
und
run=E:\Windows\System32\scvhost.exe

Beim Starten von Windows kommt dann logischerweise 4x die Meldung dass die Datei nicht gestartet werden konnte.
Außerdem werden trotzdem noch Prozesse wie z.b. avwin.exe oder sched.exe beendet, ich kann sie aber manuell neustarten. Bitte helft mir was ich noch machen muss damit letzteres nicht passiert!

Hier noch den HijackThis Log-File:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 14:40:42, on 25.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\oodag.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\Programme\Internet\D-Link USB Utility\AirCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
E:\Programme\Internet\ZoneAlarm Security Suite\zlclient.exe
E:\Programme\Tools\PCBooster\pcbooster.exe
E:\Programme\Tools\SpybotSearch-Destroy\TeaTimer.exe
E:\PROGRA~1\Tools\AdAware\Ad-Watch.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\Internet\ICQ5\ICQLite.exe
E:\Programme\Tools\J River Media Center 11\Media Center.exe
E:\WINDOWS\regedit.exe
E:\WINDOWS\Explorer.EXE
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = e:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = f:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
F3 - REG:win.ini: load=E:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=E:\WINDOWS\system32\scvhost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Tools\Acrobat Reader 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Tools\SpybotSearch-Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Tools\Java 1.5.0_06\bin\ssv.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-f7ed0776fb27} - e:\programme\internet\steganos internet anonym 2006\sia2006iep.dll
O4 - HKLM\..\Run: [D-Link Air USB Utility] E:\Programme\Internet\D-Link USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Zone Labs Client] E:\Programme\Internet\ZoneAlarm Security Suite\zlclient.exe
O4 - HKLM\..\Run: [PC Booster] E:\Programme\Tools\PCBooster\pcbooster.exe
O4 - HKLM\..\Run: [Generic Host Process] E:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [SpybotSnD] "E:\Programme\Tools\SpybotSearch-Destroy\SpybotSD.exe"
O4 - HKLM\..\RunServices: [Generic Host Process] E:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Tools\SpybotSearch-Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AWMON] "E:\PROGRA~1\Tools\AdAware\Ad-Watch.exe"
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Save with Download Manager... - file://E:\Programme\Tools\J River Media Center 11\DMDownload.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Tools\Java 1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Tools\Java 1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\Internet\ICQ5\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\Internet\ICQ5\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - E:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: O&O Defrag - O&O Software GmbH - E:\WINDOWS\system32\oodag.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Programme\Tools\Alcohol 120\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\Tools\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - E:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - E:\Programme\Internet\RealVNC\WinVNC4.exe" -service (file missing)
         

Herzlichen Dank für Hilfe!

MfG

Lucas

Hallo cold.lucas
Leider kann ich Dir bei einem Backdoor-Befall nur das Neuaufsetzen des Systems empfehlen und danach alle Passwörter neu zu generieren.
Gute Anleitung ist in meiner Signatur verlinkt.

Hallo,

die Hilfe kann hier nur in der Form erfolgen, als das man Dir zum Neuaufsetzten rät. Du hast einen Backdoorbefall und die Symptome sollten Dir zeigen, dass er nicht so einfach zu löschen ist

Zitat:

Außerdem werden trotzdem noch Prozesse wie z.b. avwin.exe oder sched.exe beendet, ich kann sie aber manuell neustarten.

Was brauchst Du noch als Hinweis, dass es so nicht klappt?

In meiner Signatur findest Du eine Anleitung zum Neuaufsetzen , setzte diese gewissenhaft um und ändere dannach alle Zugangsdaten.

edit: Man der Rene schon wieder, da muss man mal aufs WC und postet dann weiter und schon ist man nur der zweite /edit

Gruß

Schrulli

Solche Ratschläge sind zwar gut gemeint aber ich wills wenigstens versuchen..

immer sofort aufzugeben mit dem satz:
"Leider kann ich Dir nur das Neuaufsetzen des Systems empfehlen"

Ich wills wenigstens versuchen.. das is doch keine hilfe dieser ratschläge...
ich bräuchte nur z.b. ein programm das mir zeigt welche dateien welche änderungen in der registry vornehmen, wie z.b. zonealarm (das schaut aber nur in run-ordner un dmeldet nur dort meldungen) und ich wüsste schonmal welches programm mir die run und load einträge immer wieder einträgt..

und es ist ja nicht weiter schlimm das mein antivirenscanner ausgeschaltet wird, da scvhost.exe nicht mehr läuft kann ich ihn problemlos wieder starten, das is nur etwas nervig!

Also bitte vernünftige Tipps geben!

danke

Hallo,

Zitat:

Zitat von cold.lucas.

und es ist ja nicht weiter schlimm das mein antivirenscanner ausgeschaltet wird, da scvhost.exe nicht mehr läuft kann ich ihn problemlos wieder starten, das is nur etwas nervig!

Frag Dich doch einfach mal, warum der Virenscanner ausgeschaltet wird und vergiss die eine Datei die Du finden solltest/durftest.

Zitat:

Also bitte vernünftige Tipps geben!

Für mich definierst Du vernüftig falsch, Du hättest gerne ein rundes viereck

Gruß

Schrulli

Hallo,

hier wirst Du leider nur "unvernünftige" Tipps bekommen!
Deshalb:
http://de.wikipedia.org/wiki/Backdoor
http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html

dartus

wieso seit ihr denn so aggro drauf??

[Zitat]
Frag Dich doch einfach mal, warum der Virenscanner ausgeschaltet wird und vergiss die eine Datei di Du finden solltest/durftest.
[/Zitat]

Damit die scvhost.exe die nicht mehr existiert vernünftig arbeiten kann und nicht vom virenscanner gefunden werden kann?!

[Zitat]
Für mich definierst Du vernüftig falsch, Du hättest gerne ein rundes viereck
[/Zitat]

was definier ich falsch?

danke

lucas

Hallo,

niemand ist hier "Aggro" , wenn Du aber hilfesuchend in ein Forum kommst und die Dir gegebenen Antworten sind nicht die erwarteten, dann brauchst Du diese nicht abzukanzeln.
Es handelt sich bei den von Rene-Gad, dartus und mir gegeben Ratschlägen um die einzig richtige Wahl.

Noch mal die Frage: "Wer schaltet Dein Virenprogramm ab? Du nicht, aber die Antwort steht im ersten Post

Warum sollten Dir drei verschieden Regulars unvernüftige Antworten geben?
Denk drüber nach und dann sehen wir weiter.

Gruß

Schrulli

Zitat:

Warum sollten Dir drei verschieden Regulars unvernüftige Antworten geben?

Machen wir 4 draus

Nun mal eine kleine Erläuterung die zum besseren Verständnis beitragen könnte.

Angenommen du bist ein böhzer Hacker und schreibst gerade einen Trojaner. Dir stehen etwa etwaige ungefixte Sicherheitslücken in Windows zur Verfügung - dazu noch Tausende Systemdateien die du umschreiben könntest - total nach belieben. Was machst du?

Du wirst sicherlich nicht den gesammten Code in eine offensichtliche Datei verfrachten - nein .. du würdest hunderte Systemdateien in Serie umschreiben um diese irgendwie zusammen nutzen zu können (so ists übrigens auch öfters).

Wenn du alle Trojaner-Atkionen rückgängig machen willst, bräuchtest du garantiert mehrere Wochen dazu.

Außerdem Unterscheiden wir zwischen Trojanern und anderen einfachen Viren, ergo wird nicht immer der Rat zum Neuaufsetzen gegeben - nur bei Backdoors!

mfg,
Markus

Also

Das mit unvernüftig war anscheinend ein Fehler zu schreiben..
Aber ich will hier Hilfe bekommen und nicht einfach nur den Rat zum Neuaufsetzen des Systems. Es kann zwar sein dass das das einfachste wäre, aber ich möchte einfach den Virus stück für stück rückgängig machen.

Und danke Markus für deinen Beitrag, wieso hier jeder zum Neuaufsetzen rät, ansonsten hätt ichs etz nachgefragt.

Jedenfalls habe ich mit einem netten Tool, das ich nach 30 minuten googlen gefunden hab, herausgefunden dass das tool von adaware "ad-watch" die einträge mit load und run jedesmal neu hinein gesetzt hat. (das tool: http://www.wintotal.de/softw/?id=78 ). Ich habe ad-watch beendet und ich konnte die einträge ohne Probleme löschen.

Ich bräuchte nur noch Hilfe beim Herausfinden der 100.000 systemdateien die verändert wurden, und ob evtl. ein einfaches drüberspielen von windows aushilft.

mfg

lucas

p.s.: bitte anderen benuzter im falle eines backdoor-befalls wenigstens die Wahl zwischen langer Arbeit zum entfernen oder noch längerer arbeit zum sichern lassen.

Zitat:

Zitat von cold.lucas.

p.s.: bitte anderen benuzter im falle eines backdoor-befalls wenigstens die Wahl zwischen langer Arbeit zum entfernen oder noch längerer arbeit zum sichern lassen.

Du hast die Problematik nicht verstanden! Nach einem Backdoorbefall kann niemand mehr mit Sicherheit sagen, ob das System sauber ist oder nicht. Die Personen die unter Umständen zwischenzeitlich Zugriff auf den Rechner hatten (Backdoor) können nette Rootkittechniken angewendet haben (und schon wird kein Virenscanner mehr etwas sehen - Du übrigens auch nicht). Vllt sind auch nur Systemdateien manipuliert wurden was in Kombination mit einem abgeschalteten Dateischutz verheerend sein kann.

Hier wird nicht zum Neuaufsetzen geraten weil keiner Lust auf die Arbeit hat, sondern weil niemand mit ausreichender Sicherheit sagen kann, ob der Rechner nach einer scheinbar Entlausung nun wirklich sauber ist oder nicht.

Ein einfaches Drüberbügeln von Windows bringt es da auch nicht.

Ich werde Dir nicht helfen und auch sonst wird hier aus dem Board wohl keiner bereit sein, an einer Backdoorinfektion rumzufrickeln.

Zitat:

Zitat von cold.lucas.

p.s.: bitte anderen benuzter im falle eines backdoor-befalls wenigstens die Wahl zwischen langer Arbeit zum entfernen oder noch längerer arbeit zum sichern lassen.

Jepp, das machen wir auch in Zukunft! Wir verbringen pro Tag in etwa..mhhhh..lass mich überlegen, 5 Stunden, !einem! absoluten Computer"noob" zu erklären wie er jeden einzelnen Clienten eines Trojaners findet, und das auch noch umsonst, kostenlos, für nichts, nada, niente! Und dann kriegt es der support-Suchende nicht mal auf die Reihe, so wie es hier schon mehr als oft vorgekommen ist bei Hilfestellungen, das die "Ratschläge" nicht befolgt werden oder einfach schlicht ignoriert werden!

Gute Idee...

Ich habe Windows drüber installiert, Antivirus neu installiert und den internet-treber.
Jetzt geht wieder alles einwandfrei und keinerlei Meldungen dass scvhost.exe nicht gefunden werden kann, keine automatischen Eintragungen in die Registry, der AntiVirus geht auch wieder.
Außerdem meldet die Firewall keine Aktivitäten außer von Windows-Dateien.
Thema ist damit beendet auch wenn jetzt wahrscheinlich noch 3-5 Beiträge kommen dass man das system nicht als sauber bezeichen kann und dass es unabdingbar is dass ich das System neu aufsetzte. Der Thread hier hat nichts gebracht außer dass alle rummaulen und alle nur sagen: gib auf, probier es nicht aus, wir haben immer recht, blabla
Wenn ich nochmal Viren-Probleme habe werde ich hier bestimmt nicht nachfragen, es wird doch eh nur empfohlen zu formatieren.

Hallo,

wie ich schon bemerkte, bist Du ein wenig unentschlossen. Wenn Du eh besser weißt, was für Deinen Rechner das Beste ist, dann brauchst Du hier (und auch in keinem anderen Forum) einen Thread zu erstellen.
Es geht hier immer noch um eine Diskussion und noch mal, man muss auch akzeptieren können, selbst wenn es nicht schmeckt.
Stickwort schmecken

Zitat:

Ich habe Windows drüber installiert

schmeckt mir gar nicht und über kurz oder lang wirst Du wohl in wieder in einem Forum landen und fragen und es dann doch besser wissen.
Jeder macht für sich selbst aus, wie wertvoll ihm seine Daten sind, da kann Dir keiner was, will auch keiner, jeder spricht hier nur Ratschläge aus, andere machen andere Vorschläge, aber in Deinem Fall gibt es halt nur eine Empfehlungsrichtung.
Wenn mir der Automechaniker meiner Wahl sagt, die Bremsscheiben sind runter sag ich auch nicht: "ach mach mal mit der Drahtbürste rüber, dann gehn die wieder. 1) Kenn ich mich da nicht aus und 2) Vertraue ich ihm da, besonders da es um sicherheitsrelevante Dinge geht.

Gruß

Schrulli

Beim nächsten Patienten tippe ich keine x Zeilen mehr, sondern nur noch ein kurzes

*plonk*


BTW: Wieviel Platz ist im Killfile?