So hallo erstmal , dass wird mein erster Beitrag und zugleich mein Erstes Problem.
Na ja vorweg ich heiße Servan und bin sage und schreibe 14 Jahre alt.
"Beobachte" euer Forum schon ne ganze weile und muss sagen einfach nur super
Habe auch schon fleißig gegoogelt und gesucht im board , jedoch waren die Lösungswege ... ne sie führten nicht zu einem ... ergebnis

Kommen wir aber zu meinem Kleinen/Großen ?! Problem.
Ich habe erst mal ein hijackthis-log gemacht und folgendes wurde als " Kritisch" oder Wurm/Trojaner erkannt.
Ich bin mir sicher das es ein Trojaner ist , da der Prozess " svhost.exe " perfekt als Tarnung überkommt.

Ich kann auch keine Prozesse im Taskmanager beenden , sei es der Windows Media Player
oder andere. Folgender Fehler kommt dann : „ Der Vorgang konnte nicht beendet werden. Zugriff Verweigert.

Versuche ich irgend ein Programm zu Installieren wie „ WinPcap „
kommt folgender Fehler : „ Error opening file for writing. C:\WINDOWS \system32\wpcap.dll
Und halt „ Ingore „ Wiederholen und Abbrechen „ ... Auswahl



-----> O4 - HKCU\..\Policies\Explorer\Run: [ctfmon] C:\WINDOWS\svhost.exe

Joa , bei Virus Total Scann geht sehr schlecht da svhost nicht zu finden ist ( ka warum , versteckt ist es auch nicht )


Folgender Eintrag ist auch sehr fraglich meiner Meinung :

O4 - HKLM\..\RunOnce: [RunOnceEx] Rundll32 C:\WINDOWS\system32\iernonce.dll,RunOnceExProcess
Unbekannt



.> Kann eine gute Tarnung sein , jedoch leider clean ... trotzdem bin ich mir sicher das es nicht clean ist...
Habe SpyboatSearch&Destroy und der blockt ständig das sich RunOnceEx als Startup einträgt...


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by SPEEDPORTW501V

-> ein blöder vb wurm , jedoch nicht weiterhin gefährlich -.-


Meine frage :

lässt sich das alles noch fixen ? oder muss ich formatieren.
Alle pw´s habe ich schnell gechanged nachdem ich eine ff_log im C/ gefunden hab mit meinem ganzen pw´s und Benutzernamen -.-
Habe mir wohl auch einen PW-Stealer eingefangen gehabt .S



Falls doch noch den ganzen log benötigt wird :

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:35:46, on 28.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe
C:\Programme\TeamViewer3\TeamViewer_Host.exe
C:\Programme\VMware\VMware Player\vmware-authd.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Winpooch\Winpooch.exe
C:\Programme\RocketDock\RocketDock.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\cmd.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by SPEEDPORTW501V
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: VMN Toolbar - {A057A204-BACC-4D26-8287-79A187E26987} - C:\Programme\vmntoolbar\vmntoolbar.dll
O3 - Toolbar: VMN Toolbar - {A057A204-BACC-4D26-8287-79A187E26987} - C:\Programme\vmntoolbar\vmntoolbar.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Winpooch] C:\Programme\Winpooch\Winpooch.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunOnce: [RunOnceEx] Rundll32 C:\WINDOWS\system32\iernonce.dll,RunOnceExProcess
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Policies\Explorer\Run: [ctfmon] C:\WINDOWS\svhost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\PROGRA~1\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\PROGRA~1\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} - http://messenger.zone.msn.com/DE-AT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1203340643859
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader5.cab?nocache=20080115-1
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9A5A8FBC-4C97-4CE7-8E8C-67146750D682}: NameServer = 212.19.48.14
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: Steganos VPN Starter Service (SVPNStarter) - Unknown owner - C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe
O23 - Service: TeamViewer 3 (TeamViewer) - Unknown owner - C:\Programme\TeamViewer3\TeamViewer_Host.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

--
End of file - 6307 bytes

Zitat:

Zitat von Servan

Joa , bei Virus Total Scann geht sehr schlecht da svhost nicht zu finden ist

Wechsle in die Wiederherstellungskonsole (erst lesen, dann loslegen; Du benötigst eine Windows CD und das Passwort für den Account <Administrator>; wenn keines vergeben ist, einfach ENTER drücken).
Dort angekommen gibst Du folgendes ein (jede Zeile mit ENTER bestätigen):

Code: Alles auswählenAufklappen

ATTFilter

cd %systemroot%
attrib -R -A -S -H svhost.exe
ren svhost.exe intimfeind.bak
dir intim*
exit
         

Die erste Zeile ist nur zur Sicherheit (eigentlich solltest Du eh dort landen). Mit der zweiten Zeile entfernst Du eventuell störende Atrribute. Die dritte Zeile benennt die Datei um und mit der vierten kontrollierst Du, ob das auch funktioniert hat. Mit exit verlässt Du die Konsole wieder.

Danach solltest Du die Datei intimfeind.bak hochladn können.

%ComSpec%