|
Trojaner BDS/Ciadoor.13.312 in der Datei wsock32.sys Hi Leuts! Ich hab seit heute das Problem das ich diesen Plagegeist nicht ganz weg kriege. Der PC muckte heut rum das ich den Task-Manager aufgrund einer Admin-Deaktivierung nicht nutzen könnte und in den Systemwiederherstellungsmodus kam ich auch nicht da er aufgrund von Gruppenrichtlinien deaktiviert war,hab die beiden Sachen wieder aktivieren können aber beim Neustart wird jetzt immer noch 1mal die Meldung angezeigt das er svchost.exe nicht laden kann,vorher hatte ich die Meldung 3mal... :-( Antivir hatte den Schädling angeblich löschen können.... Dieser Plagegeist soll angeblich mehrere Systemprogramme deaktivieren.Da meine Wiederherstellung deaktiviert war,sind wohl auch alle Systempunkte gelöscht worden,kann nicht mal damit mein Problem beheben. Ich glaub trotzdem das das System noch nicht sauber ist...Vielleicht ist ja einer mal so lieb und schaut aufs Logfile: Logfile of HijackThis v1.99.1 Scan saved at 00:08:41, on 13.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\LckFldService.exe C:\WINDOWS\system32\oodag.exe D:\Anwendungen\Alcohol120\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\SYSTEM32\Ati2evxx.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\rundll32.exe D:\Sicherheit\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\Logitech\Video\CameraAssistant.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE D:\Internet\ICQLite\ICQLite.exe D:\Anwendungen\Winamp\Winamp.exe D:\Anwendungen\Skype\Phone\Skype.exe C:\Programme\Mozilla Firefox\firefox.exe D:\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe D:\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe D:\Sicherheit\AntiVir PersonalEdition Classic\sched.exe D:\Internet\Downloads\HijackThis.exe F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [avgnt] "D:\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Zone Labs Client] D:\Sicherheit\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Programme\Logitech\Video\CameraAssistant.exe O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Programme\Logitech\Video\InstallHelper.exe /inspect O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Internet\ICQLite\ICQLite.exe -trayboot O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\ANWEND~1\Office\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Internet\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Internet\ICQ\ICQ.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Internet\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Internet\ICQLite\ICQLite.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{D51B91C2-ED93-43EB-9245-4932BA8E9BCB}: NameServer = 192.168.181.1 O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Sicherheit\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - D:\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing) O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Anwendungen\Alcohol120\Alcohol 120\StarWind\StarWindService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Anwendungen\TuneUp2006\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
Guten Morgen, es sollte sich wohl um diesen Freund handeln. Da er Backdoor Funktionen hat....bleibt Dir wohl nur ein Neuaufsetzen Deinens Systems, wenn Dir die Sicherheit ein wenig wichtig ist! Alles wichtige zum Neuafsetzen findest du in meiner SIG! Folge der Anleitung genau......dann ist Dir schon viel geholfen! Gruß Mellosun PS: Der Relevante Eintrag: F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe Kannst du, wenn du willst, bei Virustotal und Jotti auswerten lassen. Link in meiner SIG! |
Hallo Mellosun! Es handelt sich wirklich um den Ciadoor Trojaner bei mir mit genau diesen Symptomen,er deaktiviert einige Systemprogramme und so. Ich hab ein erneutes Logfile checken lassen und is nix mehr drin. Kann ich mir denn eigentlich nun sicher sein das er clean ist? Ich weiß,vernünftigerweise sollte man neu aufsetzen.. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:18 Uhr. |
Copyright ©2000-2025, Trojaner-Board