Ich hatte vor längerer Zeit einige Viren die ich mit einer eScan Trial Version gelöscht habe. Jedoch wurden anscheinend nicht alle Viren gelöscht und nun habe ich gestern ganz zufällig einen Computer namens Joans im Netzwerk gefunden. Ich konnte sogar auf ihn zu greifen. Schon davor war mir aufgefallen das meine Firewall ständig down war und sobald ich sie an machte sie auch schon wieder aus war.

Also habe ich mir noch mal eScan runtergeladen und gescannt. eScan hat einen Prozess gefunden der in der winsock32.sys datei war. Irgendein Backdoor. Den genauen Namen weiß ich nicht mehr und eScan findet ihn auf einmal nicht mehr obwohl ich ihn nicht gelöscht habe.

In einem anderen Forum habe ich auch darüber gelesen und es stand da das es fast unmöglich wäre ihn zu löschen weil er sich im gesamten System breit macht ... Wenn das wirklich nicht mehr geht wüsste ich trotzdem gerne ob ich meine Dateien auf einer anderen Partition (ich habe 2 eine mit Windows und eine ohne) irgenwie sichern kann ohne das ich den Virus mit drauf habe?

Hoffe auf schnelle antwort denn ich habe immer weniger Zugriff auf meinen PC ich schreibe jetzt schon auf einem anderen PC.

m fg
KillingFrenzy

Entschuldigt den doppelpost aber eScan hat die Datei nun wieder gefunden und gelöscht. Sie heißt Backdoor.Win32.Ciadoor13". Doch gelöscht wurde die schon oft soll heißen sie ist immer wieder da. Zudem wurde der Virus "Trojan-PSW.Win32.VB.km" gefunden...

Hoffe das hilft etwas bei der bekämpfung

Hi,

wichtig ist es die Systempartition zu formatieren und neu zu installieren. Wenn auf der anderen Partition wirklich nur Daten liegen (also keinerlei Programme), dann ist sie relativ ungefährlich. Nach Neuinstallation ist es aber dennoch zu empfehlen, sie sorgfältig scannen zu lassen bevor Du sie wieder nutzt.

Du kannst ja noch mal ein HijackThis reinstellen, allerdings deine bisherigen Beschreibungen lassen mich stark vermuten, dass das nichts mehr helfen wird. Dazu diese Datei runterladen und in einen eigenen Ordner entpacken, nicht aus dem Zip-Ordner starten. Jetzt benenne die Datei Hijackthis.exe um in HJT.exe. Dieser Schritt ist erforderlich geworden, da es Malware gibt, die das Programm ansonsten erkennt und sich vor ihm versteckt. Nun HJT.exe starten, auf "Scan" klicken und das Log hier posten.

Gruß, Karl

Logfile of HijackThis v1.99.1
Scan saved at 15:10:55, on 20.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\mom.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Intel Audio Studio\IntelAudioStudio.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Winamp\winampa.exe
C:\Programme\A4Tech\Mouse\Amoumain.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\QuickTime\qttask.exe
D:\Programme\FlashGet\FlashGet.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Wave Systems Corp\Common\DataServer.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\programme\steam\steam.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\Intel\AMT\LMS.exe
C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE
C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAgent.exe
C:\Programme\NTRU Cryptosystems\NTRU Hybrid TSS v1.05\bin\tcsd_win32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\eScan\mwavscan.exe
C:\PROGRA~1\eScan\vista\ScanningProcess.exe
C:\PROGRA~1\eScan\vista\ScanningProcess.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\hjt\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Programme\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Programme\FlashGet\getflash.dll
O4 - HKLM\..\Run: [IntelAudioStudio] "C:\Programme\Intel Audio Studio\IntelAudioStudio.exe" TRAY
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [WheelMouse] C:\Programme\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [Flashget] D:\Programme\FlashGet\FlashGet.exe /min
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [MailScan Dispatcher] C:\PROGRA~1\eScan\LAUNCH.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1168538686125
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DataSvr - Wave Systems Corp. - C:\Programme\Wave Systems Corp\Common\DataServer.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: Intel(R) Active Management Technology LMS Service (LMS) - Intel - C:\Programme\Intel\AMT\LMS.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE
O23 - Service: NTRU Hybrid TSS v1.05 TCSD (tcsd_win32.exe) - Unknown owner - C:\Programme\NTRU Cryptosystems\NTRU Hybrid TSS v1.05\bin\tcsd_win32.exe

Zitat:

C:\WINDOWS\system32\scvhost.exe

Das ist allerdings, wie schon befürchtet, hinüber. Einfach mal wieder neu installieren

Was ist hinüber?

Soll ich alles neu installieren oder kann ich meine D Partition noch retten? Sind einige Sachen drauf die ich nicht so gerne verliere ... Filme und einige Spiele^^

Schon mal danke für die Hilfe KarlKarl.

mfg
KillingFrenzy

Datei C:\WINDOWS\system32\wsock32.sys infiziert von "Backdoor.Win32.Ciadoor.13" Virus. Aktion vorgenommen: Datei gelöscht.
Datei C:\Program Files\firefox.exe markiert als not-a-virus:PSWTool.Win32.FirePass.a. Keine Aktion vorgenommen.
Datei C:\Program Files\Steamdown_P10_client.exe infiziert von "Trojan-PSW.Win32.VB.km" Virus. Aktion vorgenommen: Datei gelöscht.
Datei C:\Programme\TightVNC\VNCHooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.b. Keine Aktion vorgenommen.
Datei C:\Programme\TightVNC\WinVNC.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.h. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{618DD313-BA63-4B9F-98A3-06A7FDCDC1F8}\RP225\A0119802.sys infiziert von "Backdoor.Win32.Ciadoor.13" Virus. Aktion vorgenommen: Datei gelöscht.
Datei C:\System Volume Information\_restore{618DD313-BA63-4B9F-98A3-06A7FDCDC1F8}\RP226\A0119830.sys infiziert von "Backdoor.Win32.Ciadoor.13" Virus. Aktion vorgenommen: Datei gelöscht.
Datei C:\System Volume Information\_restore{618DD313-BA63-4B9F-98A3-06A7FDCDC1F8}\RP226\A0119833.exe//UPX infiziert von "Trojan-PSW.Win32.Steam.f" Virus. Aktion vorgenommen: Datei gelöscht.
Datei C:\System Volume Information\_restore{618DD313-BA63-4B9F-98A3-06A7FDCDC1F8}\RP226\A0119905.sys infiziert von "Backdoor.Win32.Ciadoor.13" Virus. Aktion vorgenommen: Datei gelöscht.
Datei C:\System Volume Information\_restore{618DD313-BA63-4B9F-98A3-06A7FDCDC1F8}\RP226\A0119920.sys infiziert von "Backdoor.Win32.Ciadoor.13" Virus. Aktion vorgenommen: Datei gelöscht.
Datei C:\System Volume Information\_restore{618DD313-BA63-4B9F-98A3-06A7FDCDC1F8}\RP226\A0120059.sys infiziert von "Backdoor.Win32.Ciadoor.13" Virus. Aktion vorgenommen: Datei gelöscht.
Datei C:\System Volume Information\_restore{618DD313-BA63-4B9F-98A3-06A7FDCDC1F8}\RP226\A0120308.sys infiziert von "Backdoor.Win32.Ciadoor.13" Virus. Aktion vorgenommen: Datei gelöscht.
Datei C:\System Volume Information\_restore{618DD313-BA63-4B9F-98A3-06A7FDCDC1F8}\RP226\A0122325.exe infiziert von "Trojan-PSW.Win32.VB.km" Virus. Aktion vorgenommen: Datei gelöscht.
File D:\BlackHackerDVD\ChrisControl-v1.7.exe//PE_Patch.UPX//UPX//psexec.exe//UPX markiert als "not-a-virus:RiskTool.Win32.PsKill.k". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
Datei D:\BlackHackerDVD\dialupass2\dialupass.exe//UPX markiert als not-a-virus:PSWTool.Win32.Dialupass.f. Keine Aktion vorgenommen.
Datei D:\BlackHackerDVD\mspass\mspass.exe//PE_Patch.UPX//UPX markiert als not-a-virus:PSWTool.Win32.Messen.110. Keine Aktion vorgenommen.
Datei D:\BlackHackerDVD\ophcrack an Resch (192.168.123.160)\win32_tools\LsaExt.dll markiert als not-a-virus:PSWTool.Win32.PWDump.d. Keine Aktion vorgenommen.
Datei D:\BlackHackerDVD\ophcrack an Resch (192.168.123.160)\win32_tools\pwservice.exe markiert als not-a-virus:PSWTool.Win32.PWDump.d. Keine Aktion vorgenommen.
Datei D:\BlackHackerDVD\ophcrack an Resch (192.168.123.160)\win32_tools\samdump.dll markiert als not-a-virus:PSWTool.Win32.PWDump.2. Keine Aktion vorgenommen.
Datei D:\BlackHackerDVD\ophcrack-win32-installer-2.3.4.exe//data0036 markiert als not-a-virus:PSWTool.Win32.PWDump.d. Keine Aktion vorgenommen.
Datei D:\Downloads\steam serial generator\steam serial generator.exe infiziert von "Backdoor.Win32.Bifrose.aes" Virus. Aktion vorgenommen: Datei gelöscht.
Datei D:\Downloads\steam.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.VB.are" Virus. Aktion vorgenommen: Datei gelöscht.
Datei D:\Downloads\steamdown\firefox.exe markiert als not-a-virus:PSWTool.Win32.FirePass.a. Keine Aktion vorgenommen.
Datei D:\Downloads\steamdown\Steamdown_P10_client.exe infiziert von "Trojan-PSW.Win32.VB.km" Virus. Aktion vorgenommen: Datei gelöscht.
Datei D:\Games\Warcraft III\support\Layout\cheat cs.exe markiert als not-virus:BadJoke.Win32.Badgame. Keine Aktion vorgenommen.
File D:\System Volume Information\_restore{618DD313-BA63-4B9F-98A3-06A7FDCDC1F8}\RP226\A0122326.exe//PE_Patch.UPX//UPX//psexec.exe//UPX markiert als "not-a-virus:RiskTool.Win32.PsKill.k". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
Datei D:\System Volume Information\_restore{618DD313-BA63-4B9F-98A3-06A7FDCDC1F8}\RP226\A0122327.exe infiziert von "Backdoor.Win32.Bifrose.aes" Virus. Aktion vorgenommen: Datei gelöscht.
Datei D:\System Volume Information\_restore{618DD313-BA63-4B9F-98A3-06A7FDCDC1F8}\RP226\A0122328.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.VB.are" Virus. Aktion vorgenommen: Datei gelöscht.
Datei D:\System Volume Information\_restore{618DD313-BA63-4B9F-98A3-06A7FDCDC1F8}\RP226\A0122329.exe infiziert von "Trojan-PSW.Win32.VB.km" Virus. Aktion vorgenommen: Datei gelöscht.
Datei D:\System Volume Information\_restore{618DD313-BA63-4B9F-98A3-06A7FDCDC1F8}\RP226\A0122331.exe markiert als not-a-virus:PSWTool.Win32.FirePass.a. Keine Aktion vorgenommen.

Das hat eScan gefunden!

@KillingFrenzy

Zitat:

Das hat eScan gefunden!

Solcher Backdoor-Betrieb sieht man nicht jeden Tag. Empfehlung von KarlKarl ist Gold wert .

naja...Das einfachste wäre halt in irgendein Computerfachgeschäft zu gehen (wo die auch reparatur anbieten) und das die dass dann überprüfen...aber hab Mitleid mit deiner armen Brieftasche^^
ich überprüf grad auch meinen PC 5 trojaner 21 TrackingCookie und 4 backdoor
wünscht mir viel spass die ganze *piiiieeeep* zu entfernen^^