Hi

ich habe irgendwie zu befürchten das ich ein Virus u.a Wurm habe. Und zwar die svchosting.exe ich bekomme sie nicht weg auch nicht aim abgesicherten Modus.
Mein Viren Programm, Addware findet wirklich nichts. Immer wenn ich mein SPiel Online Spiele habe ich derbe Ping Schwankungen min 500er.
Hier ist mal meine HijackThis Log

Logfile of HijackThis v1.98.2
Scan saved at 17:26:51, on 04.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchosting.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\D-Tools\daemon.exe
D:\Programme\Winamp\winampa.exe
D:\Programme\NN-Script\mirc.exe
D:\Programme\AVPersonal\INETUPD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Basti\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.microsoft.com/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.microsoft.com/intl/de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.microsoft.com/germany/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.microsoft.com/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.com/search/search.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.microsoft.com/access/allinone.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [Microsoft AUT Update] MSlti32.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\RunServices: [Start Upping] svchostes.exe
O4 - HKLM\..\RunServices: [Generic Host Process] schost.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\Run: [Steam] D:\Games\Steam\Steam.exe -silent
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] svchosting.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096669275419
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B9A764F-0764-4764-9E27-BB1079408602}: NameServer = 217.237.150.225 217.237.150.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{3B9A764F-0764-4764-9E27-BB1079408602}: NameServer = 217.237.150.225 217.237.150.141

Bitte um Hilfe

Danke

Du hast zumindest einen aktiven ...bot. Teste bitte diese Datei C:\WINDOWS\System32\svchosting.exe hier http://www.kaspersky.com/scanforvirus und sage, was gefunden wurde.

sorry ich habe die datei jetzt gelöscht und nun beim windows start fragte er eben nach der Datei.
Sorry hätte gerne gewusst was das war. Bzw "noch" ist weil er fragt ja nach der.

Das kommt daher, das in der Registrierung verweise auf den Dateinamen eingetragen sind, und windows sie nicht mehr finden kann.
Fix mal folgendes:
O4 - HKLM\..\RunServices: [Microsoft AUT Update] MSlti32.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\RunServices: [Start Upping] svchostes.exe
O4 - HKLM\..\RunServices: [Generic Host Process] schost.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] svchosting.exe

starte neu und nutze mal eScan . Sag, ob es noch etwas gefunden hat(und was genau). Das Problem ist, das wir nicht genau sagen koenne, was es gewesen ist. Wenn wir mal nicht vom Totalgau ausgehen, solltest du zumindest alle Passwoerter wechseln, die Windowsfirewall aktivieren und dein Windows aktualisieren. Davon ausgehend, das der Scanner nichts mehr findet.

http://www.sophos.de/virusinfo/analyses/w32forbotj.html

W32/Forbot-J ist ein Netzwerkwurm mit IRC-Backdoor-Funktionalität.

Damit er automatisch beim Start von Windows aktiviert wird, kopiert sich der Wurm in die Datei svchosting.exe im Windows-Systemordner und fügt folgende Einträge zur Registrierung hinzu:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Win32 USB Driver
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Win32 USB Driver
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32 USB Driver
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Win32 USB Driver
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Win32 USB Driver

Sobald der Wurm installiert ist, verbindet er sich mit einem vorkonfigurierten IRC-Server und wartet auf weitere Anweisungen. Aufgrund dieser Anweisungen kann der Wurm die folgenden Aktionen ausführen:

• Überfluten eines anderen Computers
• Umleiten von Ports
• Start eines HTTP-Proxyservers
• Start eines FTP-Proxyservers
• Start eines SOCKS4-Proxyservers
• Übertragen von Dateien
• Stehlen von CD-Schlüsseln
• Suchen nach weiteren infizierbaren Computern

W32/Forbot-J versucht, sich auf andere Computer verbreiten, die entweder für die LSASS-Schwachstelle anfällig sind (siehe MS04-011) oder mit der Troj/Optix Backdoor infiziert sind.

Naja, das und dieses

Name: [Microsoft AUT Update]
Status: X
File: MSlti32.exe

W32/Rbot-X worm http://www.sophos.com/virusinfo/analyses/w32rbotx.html
http://castlecops.com/startuplist-4796.html



laesst wohl auf "totalgau" schliessen.

ja da findet er 2 Viren leider kann ich sie nicht löschen weil eScan nur eine Trial ist damit kann ich nicht die dinger löscher :/

Dann hast du die falsche Version von E-Scan heruntergeladen, mach es genauso, wie im Link beschrieben.

Edit: Grade im anderen Thread gelesen, das wäre jetzt geändert und die neue Version würde nur noch scannen? Das wäre natürlich bitter.

Bei der freien Version von Escan ist es genau anders herum, diese Version kann nur loeschen oder umbenennen! Normales scannen ist nicht moeglich.

Aber das ist in deinem Fall das geringste Problem. Du solltest zusaetzlich zu den von mir genannten Sachen(Windowsupdate/Passwort aendern usw) noch eine Neuinstallation ins Auge fassen, Sichere Deine Daten und setze dein System neu auf, denn du weisst ja nicht, was die "Viren" alles bei dir veraendert haben. Mache am besten diesen Schritt undd sichere Das neue System besser ab. Sorry, aber besseres kannich dir nicht raten.

Da muss ich wohl MountainKing rechtgeben. Das hat man tatsaechlich geaendert. Nun ist nur noch scannen moeglich.

Hast du das mal gecheckt (ich kanns im Moment nicht)?


A. Scans and provides reports of your system hardisk for any malicious contents. You can select the drive which you want to scan.
B. Check illegal dialers program running in memory and inform the user.
C. Inform users of any background illegal sniffers or tools like spywares, adware, keylogger etc. running in memory.

D. The Utility can be added to the start up ensuring that the system is scanned and cleaned everytime it boots.
E. All the disinfections are reported in the form of a log file.
F. The utility is regularly updated on our servers ensuring that it can fight the nastiest attacks.


Da steht ja "disinfections", das kann ja eigentlich dann nicht stimmen, wenn er nur scannt?

ehm ich hatte ja erst formatiert ich denke ich machs halt nochmal hatte probleme mit winxp update usw da war ich lange im internet ohne welchen updates und sp.
dann habe ich alles gescannt gelöscht usw naja nun malsehen vllt tu ich mal system neuaufsetzen.

Wenn du neu installierst, beachte bitte die nachfolgenden Schritte, damit du die XP-eigenen Sicherheitslücken bis zu deren Behebung durch die Patches überdecken kannst:


1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.microsoft.com/germany/ms/...windowsxp.mspx)
4.) Ebenfalls VOR dem Onlinegang unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) keine alten Passworte wiederverwenden, sondern alle neu anlegen