Trojaner-Board - Help needed -.-

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Help needed -.- (https://www.trojaner-board.de/12965-help-needed.html)

svchost.exe problem

Hi Leute,

hab nen dickes fettes Problem. bin mir nicht sicher ob das nen reines windows problem is oder doch eher nen trojaner problem -.-
also wie folgt :
Ich krieg regelmässig die Meldung windows system32 error und dann geht bei mir nichts mehr. kann nicht mehr in den task manager internet geht dann nicht mehr etc. muss dann regelmässig neustarten.

Verursacher des Problems ist eine songenannte "svchost.exe" datei.
ich weiss, dass es eine svchost.exe als windows system datei gibt. die ist es allerdings nicht.
denn ich habe komischerweise im taskmanager immer 5 mal svchost.exe laufen. allerdings gehören da nur 4 rein wenn ich richtig informiert bin...
die falsche svchost.exe installiert sich immer wieder trotz löschen etc in den ordner windows / prefetch und eigene dateien lokale einstellungen temp. kann das teil löschenwie ich will. 3 minuten später is es wieder da. nichts hilft.

virenscan mit trendmirco panda soft und nortin hat rein gar nichts gebracht. addaware se auch nicht. ich bin am ende. -.- was nun ?? -.-

danke schon jetzt

erstelle ein hijackthis log wie es auf http://www.trojaner-board.de/51130-a...ijackthis.html steht und poste es.

keine ahnung was das da is aber hier der "hihack" report:

Logfile of HijackThis v1.99.0
Scan saved at 17:34:13, on 29.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Atguard\iamserv.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Diablo II\Diablo II.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\PowerArchiver\POWERARC.EXE
C:\DOKUME~1\Sascha\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: Shell=
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\en-us\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\en-us\msntb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: ChatSpace Java Client 2.1.0.88L - http://216.65.197.84:8080/Java/cs4msl088.cab
O16 - DPF: ConferenceRoom Java Client - http://irc.d2jsp.org:8000/java/cr.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.blizzard.com/support/includes/cabs/si.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game14.zylomgames.com/activex/zylomloader.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.comp...bio5_1_6_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E65F69F-987C-4D5C-9C1E-020DCC40FB6E}: NameServer = 217.65.24.98
O23 - Service: BrSplService - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: CA ISafe - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: WRQ IAM - WRQ, Inc. - C:\Programme\Atguard\iamserv.exe
O23 - Service: MySql - Unknown - C:/apacheprogramm/bin/mysqld-opt.exe (file missing)
O23 - Service: Sicherheitskontenverwaltung - Realtek Semiconductor Corporation - (no file)
O23 - Service: SmartLinkService - - (no file)
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Win Dump Eventlog - Unknown - C:\WINDOWS\wdumpevt.exe (file missing)

wobei ich vor dem hijack die falsche svchost.exe per prozesstruktur beenden gekilled hatte

ich sehe schon dinge die gefixt werden sollen..

also führe das aus:
1.escan
-lade dir escan runter und gehe genau nach dieser anleitung vor

2.einträge löschen
-fixe mit hijackthis diese einträge:
F2 - REG:system.ini: Shell=
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.blizzard.com/support/includes/cabs/si.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game14.zylomgames.com/activex/zylomloader.cab
O23 - Service: MySql - Unknown - C:/apacheprogramm/bin/mysqld-opt.exe (file missing)
O23 - Service: Sicherheitskontenverwaltung - Realtek Semiconductor Corporation - (no file)
O23 - Service: SmartLinkService - - (no file)
O23 - Service: Win Dump Eventlog - Unknown - C:\WINDOWS\wdumpevt.exe (file missing)

3.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues hijackthis log

arf hilfe. ich bin absoluter noob in den dingen -.- wird nen bissl dauern fang jetz an -.-

@MyFunnnnChars
mehr infos zur svchost.exe
http://www.neuber.com/taskmanager/de...chost.exe.html
chaosman

oh mann ich hab nen echtes problem -.- hier das mwav teil :

File C:\WINDOWS\System32\d2kbpn.exe infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\notepad.exe infected by "Trojan.Win32.Dialer.by" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Dokumente\csrsss.exe infected by "Backdoor.Win32.Agobot.xf" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Dokumente\fensvc32.exe infected by "Backdoor.Win32.Agobot.wn" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Dokumente\install.exe infected by "Trojan-Proxy.Win32.Agent.cw" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Dokumente\MSlti64.exe infected by "Backdoor.Win32.Agobot.vm" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Dokumente\uninstall.exe infected by "Worm.Win32.Dedler.r" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Sascha\Eigene Dateien\Meine empfangenen Dateien\esheep.exe tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken.
File C:\Dokumente und Einstellungen\Sascha\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XWBMB8D\a375aa[1].js infected by "Trojan-Downloader.JS.Small.af" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Sascha\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CTG78RGV\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Sascha\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHQF4D6B\Bridge-c139[1].cab infected by "not-a-virus:AdWare.WinAD.p" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Sascha\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHWTE349\AdStatKeep[1].exe infected by "not-a-virus:AdWare.WinAD.k" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\run.exe infected by "Trojan.Win32.Zapchast" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\AdStatServX.dll infected by "not-a-virus:AdWare.WinAD.p" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\d2kbpn.exe infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\notepad.exe infected by "Trojan.Win32.Dialer.by" Virus. Action Taken: No Action Taken.

neuer hijack :

Logfile of HijackThis v1.99.0
Scan saved at 20:06:45, on 29.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\Atguard\iamserv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\PowerArchiver\POWERARC.EXE
C:\DOKUME~1\Sascha\LOKALE~1\Temp\HijackThis.exe
C:\WINDOWS\System32\svchost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\en-us\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\en-us\msntb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: ChatSpace Java Client 2.1.0.88L - http://216.65.197.84:8080/Java/cs4msl088.cab
O16 - DPF: ConferenceRoom Java Client - http://irc.d2jsp.org:8000/java/cr.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.comp...bio5_1_6_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E65F69F-987C-4D5C-9C1E-020DCC40FB6E}: NameServer = 217.65.24.98 212.80.224.161
O23 - Service: BrSplService - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: CA ISafe - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: WRQ IAM - WRQ, Inc. - C:\Programme\Atguard\iamserv.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

damit bin ich am ende meiner kraft und nerven. gibt es IRGENDeine andere möglichkeit ausser format c? -.-

@MyFunnnnChars
du kannst die dialers auf diskette zweck beweismittel speichern,
danach müßt du wohl oder übel neu aufsetzen(format C)

du hast mehrere backdoors im system
Backdoor.Win32.Agobot.xf"
Backdoor.Win32.Agobot.wn
Backdoor.Win32.Agobot.vm

deswegen neu aufsetzen, hier eine hilfe stellung
http://trojaner-board.de/showthread.php?t=12154

sry
chaosman

alles mach ich mit bloss bitte bitte bitte kein neuaufsetzen. das würde mich mit allem 5 tage kosten -.-
alles andere geht klar aber BITTE kein neuaufsetzen. will die teile einfach nur runter haben. ich weiss das dann andere teile beschädigt sein können, aber das ist für mich nicht so schlimm.
die kiste muss bloss noch 3 monate laufen dann kommt format c und das teil wird verscherbelt. aber so lange BITTE irgendne andere möglichkeit -.-
thx

-> Über die Entfernung von Schädlingen
Bedenke, dass du auch eine Gefahr für andere Internetuser bist!

sry, aber du wirst von mir jedenfalls keine anderen ratschläge mehr hören. dein system ist eine gefahr für das internet, solange windows nicht neuinstalliert wurde. du könntest auch einfach nur windows neu drüber installieren, ohne format c: allerdings ist dann die sicherheit nicht gewährleistet.

Also da ich nun erst mal dank deiner hilfe weiss, was ich überhaupt habe, hat mir google nun geholfen.
hab hier nen removal gezogen :
http://www3.ca.com/securityadvisor/n...aspx?CID=40387
nun ist die frage, wie krieg ich die dialer runter?
und hab ich ausser den dialern und den 3 backdoors noch mehr drauf?? thx