Trojaner-Board - Sorry für F**** Problem mit PC...neues Problem mit SV-Host

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Sorry für F**** Problem mit PC...neues Problem mit SV-Host (https://www.trojaner-board.de/19554-sorry-f-problem-pc-neues-problem-sv-host.html)

Sorry für F**** Problem mit PC...neues Problem mit SV-Host

Moinsen, erstmal die Entschuldigung dafür, dass ich mein f**** Problem in den falschen Bereich gepostet habe. :heulen:

Ich hoffe, man nimmt mir deswegen jetzt nicht allzu übel, dass ich hier einen neuen Beitrag poste.

Zuersteinmal: Ich hatte den Trojan-Spy.HTML.Smitfraud.c oder s.ä. auf meinem System drauf. Habe darüber einige Interessante Beiträge in diesem Forum gefunden.
Dafür erstmal einen passiven Dank ausgesprochen...was für ein Glück, dass es noch mehr mit dem gleichem Problem gab. :lach:

Jetzt aber zu dem eigentlichem Problem, welches ich jetzt noch habe: Immer wenn ich mein PC neu starte oder ins Internet will, meldet sich mein svhost?!? Das Teil sucht min. 4-mal nach verschiedenen IP's und versucht ins Internet zu gelangen. Wenn ich das mit meiner Firewall unterbinde, gelange ich nicht ins Internet. Zusätzlich werde ich trotz der Bereinigung des Systems den Button "Your system is infected" in der Taskleiste nicht los. Deshalb poste ich euch nochmal eine neue HijackThis-File:

Logfile of HijackThis v1.99.1
Scan saved at 14:44:26, on 05.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\intel32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\System32\intel32.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O14 - IERESET.INF: START_PAGE_URL=h**p://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/14bb73a6...dxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D65CF32-ADFB-411C-8962-5A71F5990A16}: NameServer = 195.50.140.252 145.253.2.81
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\System32\netddeclnt.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Wäre echt cool, wenn mir jemand sagen könnte, was immer noch nicht mit dem System stimmt.

MfG
commodusreal

Kleines Update zum Stand der Dinge:

1. Ich habe kein Problem mit sv-host sondern mit svchost. Dieses seltsame etwas, welches ich nicht einmal kenne, versucht auf's Internet zuzugreifen.

2. Zweitens: Ich habe gestern mit Antivir gescannt und habe den Trojaner intel32 oder so ähnlich gefunden, sowie ein Backdoor-Programm. Beide sind jetzt gelöscht und somit ist der Button in der Taskleiste auch verschwunden.

Aber letztenendes besteht mein Problem mit svchost immer noch.
Wäre nett, wenn mir jemand eine Antwort darauf geben könnt, was es mit diesem svchost auf sich hat.

MfG
commodusreal

Da ein Backdoor auf deinem System war, ist das System kompromittiert; Dies bedingt eine Neuinstallation. Beachte hierbei diese Anleitung

Neuaufsetzung des Systems...muss das sein???

Gibt es nicht auch eine andere Möglichkeit als die Neuaufsetzung des Systems???

Ich habe keine Windows XP-CD zuhause, die wurde damals beim Neukauf nicht mehr mitgeliefert. Und wenn ich mir von jemand anders eine besorge, dann gibt es doch wieder nur Probleme mit dem CD-KEy.

Ich meine, kann ich meinen PC nicht so bereinigen, dass er zwar theoretisch zugänglich für andere ist, aber ich dieses mit meiner Firewall (Zonelabs) unterbinde???

Wäre nett, wenn mir jemand noch andere Möglichkeiten als die Neuaufsetzung geben könnte.

MfG
commodusreal

Zitat:

Ich habe keine Windows XP-CD zuhause, die wurde damals beim Neukauf nicht mehr mitgeliefert.

Vielleicht - OEM-Version-, aber du hast du sicherlich eine Recovery CD die mitgeliefert wurde?

Zitat:

dass er zwar theoretisch zugänglich für andere ist, aber ich dieses mit meiner Firewall (Zonelabs) unterbinde?

Nein, eine PFW kann dies nicht verhindern, siehe den Beitrag 'Personal Firewalls'.

eventuell wärs ne möglichkeit, die datei wpa.dbl im ordner c:\windows\system32 auf ne andere partition, diskette oder cd zu sichern und dann wenn alle treiber installiert sind zurück in c:\windows\system32 zu kopieren (sind die aktivierungsdaten drin)
um ne neuinstallation kommste aber nicht rum.
Hinweis: das hier ist kein illegaler tipp, sondern völlig legal, da die datei nur funktioniert, wenn genau die gleiche hardware drin ist. (und wenn man da was ändert, wirds erst illegal ;) )

Zitat:

Durch das Sichern der wpa.dbl des laufenden Systems und Rückkopieren derselben auf die neue Installation kann man die erneute Aktivierung umgehen

Auch wenn der Tipp seit Jahren durch sogenannte "Fach"-Zeitschriften geistert, bleibt er doch trotzdem falsch. Dieses Verfahren funktionierte in einer der Beta-Versionen von XP, aber mit der engültigen, im Handel erhältlichen eben nicht. Es gibt jedoch einen Fall, wo das sichern und Rückkopieren der wpa.dbl tatsächlich vor einer erneuten Aktivierung schützt: Wenn man eine Reparaturinstallation durchführen muss, bei der unter anderem die wpa.dbl ersetzt wird.

Quelle: http://www.derfisch.de/Populare-Fals...n-zu-XP.html#1

achja stimmt ja.. das ging ja nur damals in der beta... schade

naja egal, da musste wohl oder übel ne version kaufen oder anderweitig "besorgen" ;)

Zitat:

Zitat von Cidre

Vielleicht - OEM-Version-, aber du hast du sicherlich eine Recovery CD die mitgeliefert wurde?

Meint ihr wirklich, dass die Recovery-CD reicht, um dass System neu aufzusetzen???

Ich war immer der Meinung, dass die nur benötigt wird, wenn ich schwerwiegende Fehler im System habe, aber nicht bei einer Neuaufsetzung.

Und wie führe ich so eine Neuaufsetzung grob umrissen mit einer Recovery-CD durch??? Genauso wie mit einer normalen WinXP-CD???

MfG
commodusreal

Zitat:

Meint ihr wirklich, dass die Recovery-CD reicht, um dass System neu aufzusetzen?

Ja, reicht völlig aus, um dein System wieder in den Auslieferungszustand zu versetzen.

Zitat:

Genauso wie mit einer normalen WinXP-CD?

Ja, CD einlegen, Bootreihenfolge ändern und los geht's.
Ob die anschließende Installation voll automatisch erfolgt oder noch einige Interaktionen deinerseits Bedarf, kann ich dir leider nicht sagen.

Hm... Na dann, thanks!

Habe nur noch eine Frage: Welche Empfehlung gebt ihr um ein paar Dateien zu sichern, die ich unbedingt brauche und sichern muss?

Soll ich sie auf einer CD sichern und dann später erstmal mit nem Virenscanner rübergehen? Nützt das auch bei Backdoors?

Oder hängen sich Backdoors überhaupt nicht an MP3- und Office-Dateien??

MfG
commodusreal

Backdoors auf USB-Stick????

So ganz nebenbei, kann ich die dateien auch auf einem USB-Stick speichern und dann hinterher scannen, ob noch irgendwelche Backdoors drauf sind oder sollte ich lieber ne CD-wählen???

Oder wie gesagt, hängen sich Backdoors nicht an JPG-, MP3- und Office-Dateien???

MfG
commodusreal

Du kannst die Daten auf einen USB-Stick oder auf einer CD/DVD sichern, sofern es sich nicht um ausführbare Dateien handelt.

Bevor du diese wieder ins System integrierst, solltest du sie, wie von Lutz beschrieben, gegenprüfen.

Nach der Neuaufsetzung

So dala, da bin ich wieder. Mit einem frischen, neu-aufgesetztem System.

Jetzt habe ich allerdings doch noch ein paar Fragen:

1. Wo bekomme ich die voll Funktionsfähige Freeware Version von E-Scan her? Unter Google bekomme ich immer nur die eingeschränkte Version oder reicht die auch aus um die gesicherten Dateien auf meinem USB-Stick zu scannen?

2. Ich habe meinen PC erstmal grob mit Antivir und Zonelabs geschützt, aber gibt es bessere Programme und wie mache ich meinen PC nun endgültig gegen Angriffe sicher???

3. Nachdem ich gestern meinen PC mit der Firewall geschützt habe, kamen gleich 3 Zugriffe auf meinem PC, die geblockt wurden. Da ich gestern zum Downloaden von Antivir und Zonelabs ungeschützt ins Internet musste, stellt sich für mich die Frage, ob es in diesen 5 ungeschützten Minuten nicht schon Zugriffe auf meinen PC gab? Abgesehen vertraue ich dem ganzen Neuaufsetzen mit der Recovery-CD nicht so ganz, deswegen poste ich nochmal eine HijackThis-File. Wäre nett, wenn sich jemand das mal angucken könnte und mir dann die hoffentlich die gute Nachricht geben kann, das mein System clean ist:

Logfile of HijackThis v1.99.1
Scan saved at 16:44:42, on 15.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de/content/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.club-vaio.sony-europe.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=h**p://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Zunächst einmal ist dein System wieder nicht aktuell?
Wo ist Service Pack 2?
Desweitern solltest du schon bemerkt haben, das eine Firewall dich nicht schützt.
Warum befolgst du Anleitungen und Hilfestellungen nicht, die dir gegeben werden?
Du solltest dein System vor der ersten Internetverbindung richtig konfigurieren!