Hallo!

Seit einiger Zeit erlebe bei meinem 6 Jahre alten Windows 2000 Laptop vermehrt Abstürze verschiedener Programme bzw. des ganzen Rechners z.B. kompletter Absturz, wenn ich die LAN/Internetverbindung abschalte, oder heute z.b. sogar von Notepad Seit längerem tritt auch den Fehler auf dass SVCHost einen Fehler hat und beendet wird.
Ich habe gestern verschiedene Scans vorgenomen
AVG=kein Virus
AVG Anti-Spyware = kein Virus
AD-Aware= hat einen Possible Browser Hijack attempt festgestellt den ich in Quarantäne gesteckt habe
Malwarebytes = Kein Virus

Anschliessend wieder Fehler

Hier mein HijackThis Logfile
vielleicht könnt Ihr mir ja weiterhelfen....wär nett...

Logfile of HijackThis v1.99.1
Scan saved at 07:29:04, on 27.04.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFREE.EXE
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
F:\trans von C\Internetkopien\Download\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://login.yahoo.com/config/login_verify2?.intl=de&.src=ym
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: AltaVista Toolbar - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINNT\DOWNLO~1\CONFLICT.1\ALTAVI~1.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: AltaVista Toolbar - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINNT\DOWNLO~1\CONFLICT.1\ALTAVI~1.DLL
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFREE.EXE"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: D-Link AirPlus.lnk = C:\Programme\D-Link AirPlus\AirPlus.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Add Feed To Tristana RSS Reader - res://C:\Programme\Tristana RSS Reader\Reader.exe/AddContent.js
O8 - Extra context menu item: AltaVista Suche - file://C:\Programme\ALTAVISTA Toolbar\Cache\SelectedContextSearch.htm
O8 - Extra context menu item: Übersetzen - file://C:\Programme\ALTAVISTA Toolbar\Cache\SelectedContextTranslation.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoLite\Translator.lnk
O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoLite\Translator.lnk
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE (file missing)
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} (AltaVista Toolbar) - http://toolbar.altavista.com/static/toolbar/altavista.cab?r=1081516422
O17 - HKLM\System\CCS\Services\Tcpip\..\{A92CA821-73DA-4B0E-801D-8BC44DA1FABF}: NameServer = 85.255.116.137,85.255.112.23
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7C07CDF-F9BA-4D6A-92D9-4281C5194974}: NameServer = 85.255.116.137,85.255.112.23
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.137 85.255.112.23
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.137 85.255.112.23
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.137 85.255.112.23
O20 - Winlogon Notify: scsiusr4 - scsiusr4.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\System32\drivers\CDAC11BA.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe

Hi,

ACHTUNG:
Du hast einen Rootkit+Trojaner auf Deinem Rechner:
scsiusr4.dll -> scsiusr4.dll - Program Information

und Deine gesamte Internetverbindungen werden über die Ukraine umgeleitet,
daher keinerlei Aktionen wo ein Passwort etc. gebraucht wird (z.B. Homebanking, eBay, Mail etc. eventuell solltest Du vielleicht sogar Konten etc. sperren lassen)!!!!!!
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.137 85.255.112.23 ->
inetnum: 85.255.112.0 - 85.255.127.255
netname: UkrTeleGroup
descr: UkrTeleGroup Ltd.

Du hast nun die Option den Rechner zu sichern, Anzeige zu erstatten oder
eine Beseitigung zu versuchen (neu aufsetzen wäre wahrscheinlich das Beste);

Falls Du Dich für das letztere entscheidest:
Führe Combofix aus poste das LOG:
Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

Hallo

es sieht leider nicht besonders gut aus für deinen Rechner, da du über eine Umleitung in der Ukraine surfst

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{A92CA821-73DA-4B0E-801D-8BC44DA1FABF}: NameServer = 85.255.116.137,85.255.112.23
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7C07CDF-F9BA-4D6A-92D9-4281C5194974}: NameServer = 85.255.116.137,85.255.112.23
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.137 85.255.112.23
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.137 85.255.112.23
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.137 85.255.112.23

organisation: ORG-UL25-RIPE
org-name: UkrTeleGroup Ltd.
org-type: LIR
address: UkrTeleGroup Ltd.
Mechnikova 58/5
65029 Odessa
Ukraine

dazu kommt vermutlich dieser Freund
Troj/Haxdoor-DD Trojan - Sophos security analysis
der Backdoor und Rootkittechniken nutzt.
Einzig sinnvolle Lösung ist du folgst dieser Anleitung
http://www.trojaner-board.de/51262-a...sicherung.html
Ändere nach der Neuinstallation oder von einem sauberen Rechner unbedingt alle deine Pass- und Kennwörter.

EDIT: Moin Chris

MFG

Frage zum Neuaufsetzen:
Wie kann ich vermeiden, bei der Datensicherung den Virus mitzukopieren?

Sichere nur Dateien die nicht ausführbar sind. Also keine die [url)http://www.trojaner-board.de/71715-kritische-dateiendungen.html]hier[/url] gelistet sind.

Und bevor du sie wieder aufspielst solltest du alle Dateien mit einem guten Virenscanner durcharbeiten. eScan/MWAV oder Kaspersky bieten sich dafür an.

In der Liste stehet aber auch "doc", von denen habe ich tausende auf dem Rechner, die ich auch weiter benötige

Zitat:

In der Liste stehet aber auch "doc"

Jap. Die sind unsicher!

Du kannst di Texte aber dennoch sichern. Öffne die einzelnen Dateien ganz normal in Word. Kopiere den Text (Strg.+A) und füge ihn eine einfach Textdatei ein.
Rechte Maustaste->ne->Textdokument->Strg.+V
Die Datei sollte dann die Endung .txt haben und sauber sein. Trotzdem alles vor dem Neuaufspielen überprüfen!

Äh... gibt es da nicht evtl. eine einfachere Methode? Das ist eine ungeheure Menge an Dateien....

Hi,

@undoreal Moin-Moin ;o)...
Brenn die Dinger getrennt auf CD, über die die kannst Du dann jede Menge Virenscanner jagen und wenn die OK sagen... (Restrisiko bleibt natürlich);
Zusätzliche Makros etc. in Word und Konsorten ausschalten...
(Makro-Viren sind z.Z. nicht ganz so aktuell, daher sollten die meisten Scanner die alten Teile kennen...).

chris