Hallo
Ich hatte vor kurzem Probleme mit scvhost.exe! Der Pc lief aber nach dem Angriff nur ungefähr 5 Stunden und habe ihn auch dann wieder herunter bekommen. Beim scannen mit Hij ist mir mal nichts aufgefallen aber ich bin auch nicht so gut um da was heraus zu lesen. Ebenso habe ich ein Escan durchgeführt und da mehrere Probleme gefunden wo ich um eure Hilfe bitte.

Hij:

Logfile of HijackThis v1.99.1
Scan saved at 20:58:09, on 01.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Dokumente und Einstellungen\****\Desktop\hijackthis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3B9FEE73-2F09-B466-C0D0-E7C180AC3424} - (no file)
O2 - BHO: (no name) - {605C1BD5-B2D7-B03E-96E9-FC274479ACE8} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1150654477468
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Gatewaydienst auf Anwendungsebene (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

und Escan

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.9
Sprache: German
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "prutect Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with bonzibuddy Spyware/Adware (msagent.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with bonzibuddy Spyware/Adware (spchapi.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\nkit.dll infiziert von "Backdoor.Win32.Nucleroot.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\rootkit.dll//UPX infiziert von "Backdoor.Win32.Nucleroot.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{5388C338-6703-41E3-B7D3-1232BBA8F0B2}\RP388\A0085032.exe//data0079 infiziert von "Trojan.Win32.Obfuscated.fk" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{5388C338-6703-41E3-B7D3-1232BBA8F0B2}\RP394\A0087290.dll infiziert von "Backdoor.Win32.Nucleroot.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{5388C338-6703-41E3-B7D3-1232BBA8F0B2}\RP394\A0087295.exe//UPX infiziert von "Backdoor.Win32.Nucleroot.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\nkit.dll infiziert von "Backdoor.Win32.Nucleroot.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\rootkit.dll//UPX infiziert von "Backdoor.Win32.Nucleroot.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\D.Demmer\Lokale Einstellungen\Temp\NeroDemo12071\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\Diverses\Lustich\prolangeweile.exe markiert als "not-virus:BadJoke.Win32.VB.ai". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\D.Demmer\Eigene Dateien\diverses\nero7.5.9.1_29.03.2007_ppo\installation\redist\tts\msagent.exe
Offending file found: C:\Dokumente und Einstellungen\D.Demmer\Eigene Dateien\diverses\nero7.5.9.1_29.03.2007_ppo\installation\redist\tts\spchapi.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKLM\Software\ptech !!!
Offending Key found: HKCU\\magnet !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in E\Shell\AutoRun\command: E:\Setupx.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\D.Demmer\Eigene Dateien\Diverses\ICQ Lite\288892011\P_252644850\WoW.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\Alcohol Soft\Alcohol 120\DevSupp.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\System Volume Information\_restore{5388C338-6703-41E3-B7D3-1232BBA8F0B2}\RP375\A0082282.rbf nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\System Volume Information\_restore{5388C338-6703-41E3-B7D3-1232BBA8F0B2}\RP375\A0082283.rbf nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\System Volume Information\_restore{5388C338-6703-41E3-B7D3-1232BBA8F0B2}\RP377\A0082861.rbf nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\System Volume Information\_restore{5388C338-6703-41E3-B7D3-1232BBA8F0B2}\RP377\A0082862.rbf nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 93537
Gefundene Viren: 16
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 24
Dauer des Scans bisher: 00:59:43
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 20:48:29,67
Batchende: 20:48:39,84



Bitte helf mir mein System wieder sauber zu bekommen ohne eine Neuaufsetzung des Systems.

Mit freundlichen Grüßen

Ich bin wirklich kein Freund von Neuaufsetzen, aber bei dieser Eintragung sollte man dies machen:
C:\WINDOWS\rootkit.dll .../... Backdoor.Win32.Nucleroot.a"
Vor allen Dingen dreist, die DLL so zu benennen

HJT schlägt anscheinend immer seltener an, das mit den Rootkits wird zunehmend bedrohlicher.
http://www.trojaner-board.de/12154-a...sicherung.html

Ansonsten warte bitte auf Rat von Experten hier im Forum......

Ja ok dann warte ich noch was,trotzdem danke...Den backdoor scvhost habe ich ja auch entfernt bekommen. Zwar mühsam aber es ging. Hoffe dies auch so zu schaffen.

Zitat:

Zitat von Tekker

Ja ok dann warte ich noch was,trotzdem danke...Den backdoor scvhost habe ich ja auch entfernt bekommen. Zwar mühsam aber es ging. Hoffe dies auch so zu schaffen.

Oki, ist Deine Entscheidung und ein freies Board hier. Wollte nur höflich sein, ich kann auch Fehler machen. Gebe deshalb Anfrage weiter an nochdigger,irrlicht,GE Sunny,MightyMarc etc....

Ich würde formatieren, jedoch vorher aus Interesse noch ein wenig rumprobieren.


Du hast mehrere Rootkits auf dem Computer, was sie verbergen, will ich nicht wissen. Ich würde auf jedenfall meinen PC mit dem Blacklight (Testversion)
scannen und alles gefundene löschen. Das Programm sucht nach Rootkits.

Download



Bevor du mit Blacklight scannst:


Rechtsklick auf Arbeitsplatz -> Eigenschaften -> Systemwiederherstellung -> haken bei Systemwiederherstellung deaktivieren setzen, neustarten und mit F8 beim booten in dem abgesicherten Modus starten. Dann mit Blacklight scannen.


Wie gesagt, ich würde auf jedenfall Formatieren. Aber ein Versuch kann nicht schaden, allerdings möchte ich dafür auch nicht garantieren, da ich nicht weiß, was die Schädlinge in der Zeit so bei dir treiben.

Zitat:

Zitat von Tekker

Ja ok dann warte ich noch was,trotzdem danke...Den backdoor scvhost habe ich ja auch entfernt bekommen. Zwar mühsam aber es ging. Hoffe dies auch so zu schaffen.

Du bist im (Irr-)glauben, das Teil entfernt zu haben, vllt. hast du sogar diese Schadkomponente entfernt, aber nicht dessen Auswirkungen!
Du solltest neu aufsetzen, das System ist völlig im Eimer!

@Win32/Jeefo:
Wozu hier noch weitere unnötige Analysen anstellen? Der Worst Case ist bereits bestätigt, ein Bereinigen führt eh zu nichts, da kann man das Aufdecken weitere Schädlinge sich ersparen. Des weiteren sollte der Rechner _umgehend_ physikalisch vom Netz getrennt werden!

Hallo,
um es mal ironisch auszudrücken...

Intressiert es dich wirklich wie der Hund hieß, in dessen Haufen du reingetreten bist ?

Wenn deine Neugierde so unstillbar ist,kann man sicher noch etwas Licht ins Dunkel bringen....
Es würde aber immer enden mit dem Satz "setz neu auf!"....da beißt die Maus keinen Faden ab.
Wozu also Zeit verschwenden und deinem eventuellen Gast ermöglichen, dich von deiner eigenen Kiste auszusperren ?
Irrlicht

Trotzdem schonmal danke für die Hilfe. Werde wohl dann evtl am Wochenende mal mein System neu aufsetzen. Dazu habe ich nur noch eine Frage: Wenn ich meine Daten herunterbrenne die mir wichtig sind könnte darinnen der Virus auch mitgebrannt werden? Oder ist der lediglich nur in den Windows Dateien zu finden. Und wie kann ich mich richtig absichern vor so etwas? Ich habe lediglich nur Antivir am laufen sonst nichts was mich schützen könnte. Will dann nun endlich alles mal richtig machen.

Danke für die Hilfe.

Mit freundlichem Gruß

Tekker

Hallo,
die Worte hör`ich wohl.allein mir fehlt der Glaube......

Gehe nach dieser Anleitung vor.Möglichst punktgenau abarbeiten.
Tip : Seite läßt sich auch drucken......

http://www.trojaner-board.de/12154-a...sicherung.html



Dann liest du das ,so oft bis man dich des Nachts wecken kann und du alle Gebote fehlerfrei runterbeten kannst...

SIDES - Computersicherheit für Privatanwender : Checkliste


Dann suchst du diese Seite auf und beschäftigst dich mit den vorgeschlagenen Einstellungen.Auch weiteres Schmökern dort ist erlaubt...

heise Security - c't-Browsercheck

Wenn du da durch bist,gelesen und gehandelt hast,kannst du dich als fit für`s Netz bezeichnen..........
Irrlicht