Hi Ho wie ich durch eigen recherche bereits festgestellt habe bin ich mit einem dummen ding verseucht!!!

svdhost.exe

Er verursacht scheinbar das ich meinen Sicherheitscenter unter Vista nicht mehr aktivieren kann.
wie kann ich es entfernen? hier mein Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:32:50, on 27.06.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\ANWENDUNGEN\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\ANWENDUNGEN\ADBOE CS3 SUITE\Acrobat 8.0\Acrobat\acrotray.exe
C:\ANWENDUNGEN\OFFICE\Office12\GrooveMonitor.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\anwendungen\antivir personaledition classic\avcenter.exe
C:\DOWNLOADS\ANWENDUNGEN\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Personalisierte Startseite
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer bereitgestellt von Dell
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ANWEND~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ANWENDUNGEN\OFFICE\Office12\GrooveShellExtensio ns.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\ANWENDUNGEN\ADBOE CS3 SUITE\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\ANWEND~1\FASHFX~1\IEFlash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\ANWENDUNGEN\ADBOE CS3 SUITE\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "c:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [avgnt] "C:\ANWENDUNGEN\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\ANWENDUNGEN\ADBOE CS3 SUITE\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\ANWENDUNGEN\OFFICE\Office12\GrooveMonitor. exe"
O4 - HKLM\..\Run: [Windows Sound] svdhost.exe
O4 - HKLM\..\RunServices: [Windows Sound] svdhost.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - Startup: OneNote 2007 Screen Clipper and Launcher.lnk = C:\ANWENDUNGEN\OFFICE\Office12\ONENOTEM.EXE
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ?
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\ANWENDUNGEN\ADBOE CS3 SUITE\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\ANWENDUNGEN\ADBOE CS3 SUITE\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\ANWENDUNGEN\ADBOE CS3 SUITE\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\ANWENDUNGEN\ADBOE CS3 SUITE\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\ANWENDUNGEN\ADBOE CS3 SUITE\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ANWEND~1\OFFICE\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\ANWENDUNGEN\ADBOE CS3 SUITE\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\ANWENDUNGEN\ADBOE CS3 SUITE\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\ANWENDUNGEN\ADBOE CS3 SUITE\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ANWEND~1\OFFICE\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ANWEND~1\OFFICE\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ANWEND~1\OFFICE\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ANWEND~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ANWEND~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://xy.de
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://xy/.de
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ANWENDUNGEN\OFFICE\Office12\GrooveSystemService s.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\ANWENDUNGEN\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\ANWENDUNGEN\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\ANWENDUNGEN\NERO 7\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: stllssvr - Unknown owner - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)

--
End of file - 9561 bytes

Bitte um schnelle Hilfe

Danke Randy

Wurde dieser Trojaner hier noch nich bekämpft?
SVDHOST.EXE

Bitte brauch schleunigst Hilfe!!!!!

Siehe oben Log file.

Danke Danke Danke

Halli hallo RandyGarcia und

Zitat:

Bitte brauch schleunigst Hilfe!!!!!

Wir machen ja schon so schnell und gut es geht aber wohnen tuen wir noch nicht im TB.

Du hast dir den W32/Sdbot-NI eingefangen. Das ist ein richtig schöner Backdoor Bot.

Trenne deinen Rechner unverzüglich von Netz und ändere von einem anderen Rechner aus alle deine Passwörter und Zugansaccounts. Insb. natürlich e-Bay, PayPal, online-Banking usw.

Danach musst du neuaufsetzten. Wenn du mit dieser Geschichte durch bist empfehle ich dir dringend dein OS immer aktuell zu halten!! Vista ohne SP1 ist nicht wirklich gut zum Surfen!

Bereinigung nach einer Kompromitierung

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzten des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzten nicht ganz genau befolgst ist das Neuaufsetzten sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

hier mein Log von der MBR!

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: error reading MBR
kernel: error reading MBR

Danke für die tolle Hilfe heir!

Hallo

Du hast auch AntiVir dauf. Laß mal AntiVir Deine Bootsektoren prüfen und poste anschließend den Bericht hier.

Da jeder x-beliebiger Trojaner jeden nur denkbaren Dateinamen haben kann, muß es nicht unbedingt genau der gleiche sei, den undoral erwähnt hast. Werte die Datei SVDHOST.EXE daher mal bei virustotal.com aus und poste die Ergebnisse.

Hier der Report der Bootsektorenprüfung mit AntiVir.

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 28. Juni 2008 13:47

Es wird nach 1365397 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows Vista
Windowsversion: (plain) [6.0.6000]
Boot Modus: Normal gebootet
Benutzername: Randy
Computername: DIGIVECTORS

Versionsinformationen:
BUILD.DAT : 8.1.0.308 16478 Bytes 28.05.2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 16.04.2008 08:15:13
AVSCAN.DLL : 8.1.1.0 57601 Bytes 16.04.2008 08:15:13
LUKE.DLL : 8.1.2.9 151809 Bytes 16.04.2008 08:15:14
LUKERES.DLL : 8.1.2.0 12545 Bytes 16.04.2008 08:15:14
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 11:51:56
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 10:52:29
ANTIVIR2.VDF : 7.0.5.2 2048 Bytes 24.06.2008 10:52:30
ANTIVIR3.VDF : 7.0.5.17 102912 Bytes 27.06.2008 10:44:20
Engineversion : 8.1.0.59
AEVDF.DLL : 8.1.0.5 102772 Bytes 16.04.2008 08:15:14
AESCRIPT.DLL : 8.1.0.44 278907 Bytes 21.06.2008 10:24:03
AESCN.DLL : 8.1.0.22 119157 Bytes 21.06.2008 10:24:02
AERDL.DLL : 8.1.0.20 418165 Bytes 25.04.2008 19:27:54
AEPACK.DLL : 8.1.1.6 364918 Bytes 21.06.2008 10:24:01
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 21.06.2008 10:23:57
AEHEUR.DLL : 8.1.0.32 1274231 Bytes 21.06.2008 10:23:56
AEHELP.DLL : 8.1.0.15 115063 Bytes 30.05.2008 11:40:43
AEGEN.DLL : 8.1.0.29 307573 Bytes 21.06.2008 10:23:51
AEEMU.DLL : 8.1.0.6 430451 Bytes 08.05.2008 11:44:08
AECORE.DLL : 8.1.0.31 168310 Bytes 06.06.2008 19:56:33
AVWINLL.DLL : 1.0.0.7 14593 Bytes 16.04.2008 08:15:13
AVPREF.DLL : 8.0.0.1 25857 Bytes 16.04.2008 08:15:13
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVREG.DLL : 8.0.0.0 30977 Bytes 16.04.2008 08:15:13
AVARKT.DLL : 1.0.0.23 307457 Bytes 16.04.2008 08:15:13
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 16.04.2008 08:15:13
SQLITE3.DLL : 3.3.17.1 339968 Bytes 16.04.2008 08:15:14
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 16.04.2008 08:15:14
NETNT.DLL : 8.0.0.1 7937 Bytes 16.04.2008 08:15:14
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 16.04.2008 08:15:11
RCTEXT.DLL : 8.0.32.0 86273 Bytes 16.04.2008 08:15:11

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: BootSectorTest
Konfigurationsdatei..............: C:\ProgramData\AntiVir PersonalEdition Classic\TEMP\AVCENTER_486624df\6543d693.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: aus
Durchsuche Registrierung.........: aus
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 28. Juni 2008 13:47

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!


Ende des Suchlaufs: Samstag, 28. Juni 2008 13:47
Benötigte Zeit: 00:03 min

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
0 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
0 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
0 Hinweise

Ok. Im Bootsektor scheint sich also nichts eingenistet zu haben. Was ist mit der Auswertung der svdhost.exe ?