Trojaner-Board - wsock32.sys keine rechte mehr, kann nicht regedit aufrufen,kein task......

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - wsock32.sys keine rechte mehr, kann nicht regedit aufrufen,kein task...... (https://www.trojaner-board.de/26679-wsock32-sys-keine-rechte-mehr-regedit-aufrufen-kein-task.html)

wsock32.sys keine rechte mehr, kann nicht regedit aufrufen,kein task......

HI LEUTE,, bitte HILFT mir,, bin euch sehr sehr DANKBAR.
Ich kann nicht sooviele sachen nochmal neu installieren hoffentlich gibt es ne alternativ lösung. Die ich es auch so erledigen kann.

Obwohl ich als administrator gelogt bin, kann ich fast nichts mehr machen, ausser zu arbeiten, keine rechte in regedit, keine rechte für task, keine rechte für systemwiederhestellung..... u.s.w

Bei jedem neustart immer wieder durch virus tool "wsock32.sys" obwohl ich es auch jedesmal lösche...... "NERF"

BEDANK MICH SEHR SEHR

ich hab ein auswertung. die ist auch aktuell.

Logfile of HijackThis v1.99.1
Scan saved at 23:28:42, on 09.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\LiveUpdate\LiveUpdateInstaller.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\MI6841~1\MSSQL\binn\sqlservr.exe
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\Registry.exe
C:\WINDOWS\system32\r_server.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MI6841~1\MSSQL\binn\sqlagent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\acer\epm\epm-dm.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Acronis\TrueImageEnterprise\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.359\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:3128/proxy.kenins
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: N.Cs4 - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - C:\WINDOWS\system32\wsock32.sys (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageEnterprise\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1DE5B53-6E0D-4D62-AE5A-97A3BA712497}: NameServer = 192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Acronis Remote Agent (AcronisAgent) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Agent\agent.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: LiveUpdateInstaller - Sage Software - C:\Programme\Gemeinsame Dateien\Sage KHK Shared\LiveUpdate\LiveUpdateInstaller.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Sage Registrierungsdienst (Registry) - Sage KHK Software - C:\Programme\Gemeinsame Dateien\Sage KHK Shared\Registry.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing)

Anm.
--------------------------
Aktive Links entfernt!

Gruß Cidre
Admin TB

Das schaut nach mindestens einem Backdoor-Trojaner aus:

Ciadoor

Wobei die scvhost.exe auch nicht gesund aussieht. Was meinen die alten Herrschaften dazu?

Hallo,

da sind min. 2 in dem System. Die "scvchost.exe" ist eine neue Bot-Varinate.

Daher mein Rat deswegen
http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html
http://en.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Botnet

Neuinstallation nach folgender Anleitung:
http://www.trojaner-board.de/showthread.php?t=12154

dartus

Leute ich bedanke mich rechtherzllich,,, ist so eine misst, gibt es keinen tool oder so,,, der mir das ganze weghaut

Wenn Du die Links von Dartus aufmerksam studiert hast, würdest Du diese Frage nicht stellen und umgehend die Anweisungen zum Neuaufsetzen gewissenhaft durchführen.:crazy:

Ja hab schon natürlich durchgelesen,
das heisst für mich also das ich nur neu aufspielen muss alles, und kein anderer wahl mehr gibt.

Dank euch allen;)

Echt neuaufspielen soll der ärmste ...????? Wenn er in seinem PC eine 80 GB Platte hat, wo noch 40 GB frei sind, na ja, ok. Ich würde so etwas nie akzeptieren, da wär ich ja blöd von meinem halben Terabyte an HDD-Space sind 0,4 TB in Gebrauch, ich bin doch nicht wahnsinnig und würde 400 GB neuaufspielen. Selbst der Verlust der Registry, die so groß ist wie bei manch anderen das gesamte root:/Windows/ Verzeichnis würde viele Monate Neu-Installation bedeuten.

Ich hatte auch das Problem mit diesem Troj/Ciadoor-G, auch ich konnte die Registry nicht aufrufen. Zum Glück hatte ich HiJackthis, finde dort wirklich unter Punkt

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1,

gut, erst hat mein Antivirusprogramm gedacht, da will ein verbotenes Programm die Registry ändern und ließ HiJackThis den Punkt nicht fixieren - automatischer Schutz aus - HiJackThis haut diesen Punkt in der Registry raus und schon hatte ich Zugriff auf die Registry und konnte alle anderen Punkte beheben:

HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
sollte den Eintrag "%SystemRoot%\system32\svchost.exe -k netsvcs" haben
die Punkte fixiert:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe

Dann noch diese Mistkerle gelöscht
X:\WINDOWS\system32\7X9eRXc4pY.ini (**kann beliebig heißen, siehe unten)
X:\WINDOWS\system32\wsock32.sys
X:\WINDOWS\system32\scvhost.exe
X:\WINDOWS\system32\ckl009.dat

Läßt sich irgendein Teil nicht löschen, dann ist irgendein Task vorhanden, der wie z.B. bei mir den wsock32.sys als handle hatte, so kein Zugriff auf Wsock32.sys - nix mit löschen, meinen Taskmanager (eigentlich der Process Explorer, der statt des MS eigenen Taskmanagers bei mir im Einsatz ist) nach dem handle wsock32.sys suchen lassen, siehe da, es war der iexplorer.exe, der zwar kein sichtbares Fenster hatte, still brav im Hintergrund lief und das Löschen verhinderte. Den Prozeß gekillt, dann wsock32.sys gekillt. Und die blöde *.ini Datei fand ich dadurch, dass ich im Explorer nach Datum sortieren ließ, derTrojan war frisch und so war die ini schnell gefunden. Sonst einfach im Windows-Ordner alle *.ini suchen lassen, dieser Trojan erzeugt so dämliche Namen, dass man sie schnell erkennt (kann man ja in ein Rar-file vorher als Duplikat sichern, falls man denkt, es wäre eine wichtige Datei (übrigens- diese *.ini in Hexeditor betrachtet, schaut so gar nicht nach ini aus!)

Neustart

HiJackThis laufen lassen - nix ungewöhnliches

Nach den verdächtigen Dateien gesucht -nix mehr zu sehen, waren komplett in der Hölle gelandet! Troj/Ciadoor-G ade!

@ FCNMuc: Danke für Deine Wortspende, aber die Regulars MightyMarc, dartus und felix1 geben nicht unisono aus Jux und Tollerei den Tipp zum neu Aufsetzen! Es ist vollkommen wurscht ob Du ein System mit 10 Gig oder einen Großrechner wie in Fort Meade betreibst - die Art des Befalls ist der Schlüssel - und die ist hier eindeutig!

Auch Dir würde die Anleitung von Cidre mal nicht schaden :D

stupormundi

Stupormundi (ist doch richtig, grad erst deine Antwort gelesen und schon Deinen Nick vergessen, Krankheitsbedingt - darüber aber keine weitere Info- ist es wirklich so, dass ich froh sein kann, wenn ich mir ein einziges Passwort merken kann, hab ich die Bankcard eine Woche nicht gebraucht, dann kann ich fast sicher sein, die Karte wird eingezogen, weil ich auch nach dem dritten Versuch die PIN nicht mehr rekonstruieren konnte ... habe aber keinen Alz!!)
Magst schon recht haben, hab mir alle diese Links angeschaut ... fand einen Vergleich mit dem Rotlichtviertel, den ich bei mir jetzt nicht auf Pornos beziehe, stimmt schon, wenn man wie ein "Messie" krank ist, alles, auch das unnötigste zu sammeln, weil man es vielleicht ein Mal gebrauchen könnte oder weil man einfach sammelsüchtig ist, dann muß ich halt mit der Gefahr von Viren/Trojanern/etc Befall leben, bin nämlich ein "Softie", jede Software muss her, selbst eine wie "Stich-o-matic", die für PC-verbundene PC Nähmaschinen allerlei Zeug fabriziert - was 's gibt. muss her, egal, ob irgendjemand irgendwo behauptet, er habe von "Klumpo-taugt-nix-pro-2006" die neueste Version 6.2, ich habe schon 6.3. Krankhaft? Behandlungsbedürftig? Sicher für manche Psychologen, kommt bei mir aber an Stelle x+10 hoch 3, solange ich nur meinen PC damit schade, daraus keinen praktischen Nutzen ziehe (Verwendung/Verbreitung/o.ä.), sehe ich keinen Handlungsbedarf - egal was § XYZ Abs 2 dazu meint. Höchste Priorität sind die Krankheiten, die ich oben nicht benannt habe, die mich selbst in höchstem Maße selbst gefährden oder die durch meine stärker werdene soziale Isolation andere beeinträchtigt .. so nennt mein Therapeut zum "Softie" Verhalten: eine für meine seelische Verfassung derzeitige nötige "Kompensation", die dann von selbst verschwindet, wenn die Hauptsymptomatik behandelt wurde .....

und mag der Trojaner mein System nicht mehr vertrauenswürdig gemacht haben sollte, es ist für mich schon ein riesiges Erfolgserlebnis, wenn dieser dumme Virus werkeln kann, was er will, michaber nicht von meiner Registry fernhält (war fast schon eine Doktorarbeit, herauszufinden, welche Teile der Registry wichtiger sind als andere, diese zu exportieren, den export mit quersummenprogramme zu sichern, auf CD sichern und mind, 1/woche zu kontrollieren, ebenso die wichtigsten Systemfiles (jeweils neu nach Patches durch MS) Dass ich nicht die ganze Registry oder die Schlüssel HLM\System\Software und davon abhängiges wie HCR quersumme, ist ja wohl klar, da ändert sich stündlich ne Menge!!

Zusatz (nachträglich hinzugefügt)

Meine Passwörter anderen bekannt .. na und schon .. Konto so gut wie leer, eh jede Art von Dispo oder Überziehung von mir aus untersagt ... Spam ... unerwünschte Files (siehe u.a. eine dieser Links, wo jemand Angst ahtte, weil seine Eltern was entdeckt hatten (dachte mir: der Schreiber ist dann eh ein Kind .. hat dann nur was von gleichaltrigen ... da kann ihm nicht einmal jemand was, wenn er selbst aktiv wird...) ... die entsprechneden Atteste meiner Ärzte sind griffbereit ... Rechner waren schon weg ... komplett wiederbekommen ... kein Verfahren ... solche Probleme sind gemessen an den anderen in der Größe von Elektronen