Hallo liebe Trojaner-Board-Mitglieder,

ich habe seit einiger Zeit Probleme mit meinem Rechner (AMD 2400+, 768 MB RAM, Win XP Pro SP2 etc.):

1. größere Downloads mit Firefox oder IE7 sorgen für 90% CPU-Auslast oder mehr
2. ab und an hat eine von fünf laufenden svchost.exe eine Auslast von 98%, kommt aber sehr selten vor
3. beim Upload von Daten via FTP-Client auf den Webspace werden Dateien trotz 100% nicht vollständig übertragen (z.B. nur 13 KB anstatt 15KB)

Weil ich bisher keine Lösung gefunden habe habe ich die Anleitung von MightyMarc gefunden, die ich dann befolgt habe.
Die Auswertung durch find.bat findet Ihr im Anhang.

Weiterhin findet Ihr auch noch das Logfile von HijackThis im Anhang. Die Auswertung hat mir aber keine schadhaften Dateien angezeigt, war alles im grünen Bereich.

Es wäre großartig, wenn mir jemand helfen könnte.

Besten Gruß,
funkyice

Hi,

höchstwahrscheinlich ist dein System kompromittiert! Einige Einträge im eScan-Logfile deuten stark darauf hin:

Zitat:

Datei C:\WINDOWS\scvhost.temp infiziert von "Backdoor.Win32.Ciadoor.cl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\systemtool\server1.exe infiziert von "Backdoor.Win32.Ciadoor.cl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\system\TuneUp Utilities 2007\KeyGen.exe//data.rar/server1.exe infiziert von "Backdoor.Win32.Ciadoor.cl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Hast du dir mal einen Keygenerator "besorgt" und ausgeführt?
Werte bitte die oben fettgedruckten Dateien bei Virustotal nacheinander aus und poste alle Ergebnisse.

Mach auch bitte mal einen check mit Blacklight und poste das Logfile davon.

Hi Cosinus,

das hatte ich mir auch schon fast gedacht und bin nun neugierig, wie ich mich davon befreien kann ohne das System neu aufsetzen zu müssen...

Anbei das Logfile von dem "Blacklight"-Scan. Wurde nichts gefunden...

LG
Basti

Okay. Werte wie schon erwähnt noch die Dateien online bei Virustotal aus.

Sorry, habs gerade erst gecheckt, was ich machen soll.

Du solltest nicht das Blacklight-Logfile auswerten!
Gemeint waren diese Dateien:

C:\WINDOWS\scvhost.temp
C:\Programme\systemtool\server1.exe
D:\system\TuneUp Utilities 2007\KeyGen.exe

So, anbei Screens von den Antworten!

Okay, nun haben wir die Bestätigung, dein System ist definitiv kompromittiert und muss neu aufgesetzt werden, da unbefugte Vollzugriff auf deinen Rechner haben konnten und wohl immer noch haben.

Folge dem Link neu aufsetzen in meiner Signatur.

Servus,

da bin ich wieder, mit neu installiertem Windows!
Allerdings bin ich total unzufrieden mit einem eingeschränkten Konto, ich kann dort nichtmal die Firewall aktivieren, weil mir die Rechte fehlen. Weiß auch nicht ob darum nicht ein zu großer Wind gemacht wird. Denke solange man normal im Web surft, kann man dies auch mit Admin-Konto tun, oder?

Mit diesen Programmen alla "RunAsPc" und Co. komme ich nicht zurecht!

Habe nun mein Admin-Konto, hab Kaspersky Anti-Vir installiert und alle unnötigen Dienste deaktiviert.
Aber Kasperksy fragt ständig, selbst wenn ich den Firefox starte oder den Explorer ob irgendwelche Dateien etwas machen dürfen. Kennt jemand die optimalen Einstellungen für das Programm?

Wäre für weitere Tipps dankbar, Deinen Link zum Neuaufsetzen habe ich natürlich befolgt.

Gruß,
funkyice

Zitat:

Allerdings bin ich total unzufrieden mit einem eingeschränkten Konto, ich kann dort nichtmal die Firewall aktivieren, weil mir die Rechte fehlen.

Das gehört auch eher zur Administration und das sollte kein normaler User machen dürfen, auch Sicherheitsgründen nicht. Die meisten Menüs in der Systemsteuerung bzw. Verwaltung lassen sich aber über das Kontextmenü als anderer User ausführen, eben. z.B. den Administrator. Machmal hilft auch ein gedrückthalten der Shift-Taste wenn nach dem Rechtsklick der Dialog "Ausführen als.." nicht erscheint.

Zitat:

Weiß auch nicht ob darum nicht ein zu großer Wind gemacht wird. Denke solange man normal im Web surft, kann man dies auch mit Admin-Konto tun, oder?

Dann fragmal die Linux-Community
Die meisten Schädlinge unter Windows sind im Umlauf weil eben die allermeisten User unter Win nur mit Adminrechten unterwegs sind. Ein falscher Klick hier oder da, der Virenscanner ist nicht angesprungen und schon haste den Salat...