Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Hilfe ! Mein Pc ist total infiziert! (https://www.trojaner-board.de/30892-hilfe-pc-total-infiziert.html)

DarkStorm91 26.07.2006 16:00
Hilfe ! Mein Pc ist total infiziert!
 
Als ich wieder mal wie jeden Tag eine Runde Warcraft spielen wollte, brach meine Internetverbindung ab. Etwas später reagierte mein System nicht mehr und ich startete mein System neu(XP Pro).
Zuerst bekam ich keinen Sound mehr.
Jedesmal wenn ich meinen Internetanbieter (Software zum einloggen ins Internet) anklicke und das Fenster erscheint, gehen die Desktopsymbole weg und kommen kurze Zeit wieder.. Das Einwählen dauert länger als vorher.

Als ich im task manager nach sah, sah ich dass explorer auf 99 % CPU Auslastung aus ist und kurz darauf verschwunden ist... mit dem explorer.exe Befehl funktioniert es nicht mehr !!
Ich bitte um Hilfe !!!

Euer Darki

Darthshoot 26.07.2006 16:14
Bitte ein Logfile. Außerdem ist es schwer sowas als Funktion in ne Maleware reinzubauen. Und es macht auch keinen Sinn. Erst recht macht es keinen Sinn, für einen Trojaner der was spioniert die Internetverbindung abzubrechen. Auch nicht für Viren mit Worm-Funktio oder Würmer.
Diese Sachen die du hast, habe ich auch öfters und p.s. du solltest mal die Temperatur messen lassen. Da gibts ein Programm für. Ich weiß aber net mehr wie das hieß sorry.

DarkStorm91 26.07.2006 16:23
Ich habe letztens ein Programm benutzt (Als mein Computer letztens infiziert war) aber dessen Namen ich vergessen habe!

Man installiert es und beim rebooten werden alle Infektionen autom. gelöscht...

Kennst Du das vllt ?

Zusätzlich wollte ich noch hinzufügen, dass Es bei vielen Bilddateien flimmert !!! Kann es an Java liegen ? Habe bereits die neueste Version

Darthshoot 26.07.2006 16:31
Nein. Aber das ist ja auch ein Witz. Ich empfehle dir AntiVir von Avira PERSONAL!! Nicht die Freeware. Außerdem könntest du nen Backdoor draufhaben. Bitte Logfile posten.

P.S. Infektionen sollten augenblicklich gelöscht werden, sobald sie entdeckt wurden. Nicht erst nach einem Booten. Bis da hin haben halbwegs gute Trojaner schon längst ihre Registryeinträge erneuert...
Außerdem kann man garnicht alle Malewar finden, wegen unbekannten und neuen dubiosen Files zum Beispiel. Oder noch doller.. vielleicht hat dein Trojaner (wenn du nun einen hast) schon was an deinem Programm rummanipuliert? Könnte sein. Ist zwar unwarscheinlich, aber sowas gibts. Das nennt man dann Anti Anti-Virus. Nett gell?

DarkStorm91 26.07.2006 16:38
Wo kriege ich den Logfile her ?

Darthshoot 26.07.2006 16:53
Das Programm heißt HIJack This und du kannst es hier in diesem Forum bekommen.

DarkStorm91 26.07.2006 16:58
Danke erstmal ^^ Hier ist der gewünschte Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 17:57:40, on 26.07.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\alg.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\Programmmm\Anti\ewido anti-malware\ewidoctrl.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\a-squared Anti-Malware\a2guard.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\rundll32.exe
D:\Programme\Wlan\wlm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\UAService7.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
D:\Programme\Firefox\firefox.exe
D:\Spiele\Starcraft\BWLauncher.exe
D:\SPIELE\STARCRAFT\starcraft.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\TEMP\Rar$EX00.396\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://bwscp.bw.funpic.de/index.php?site=news
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
R3 - URLSearchHook: (no name) - {C32767B5-D776-F7FF-0107-893A87577791} - (no file)
R3 - URLSearchHook: (no name) - {917662B7-D020-F3FD-0107-893A875722C1} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\scvvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\System32\scvvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\System32\scvvhost.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\System32\scvvhost.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\System32\scvvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: in/mit BitSpirit runterladen - D:\Programme\Bit Spirit\bsurl.htm
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{79B1B0D6-B43C-4047-B01A-D1B4075DD471}: NameServer = 217.237.151.33 217.237.149.225
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: winjjq32 - winjjq32.dll (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: ewido security suite control - ewido networks - C:\Programmmm\Anti\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: NBService - Nero AG - D:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe

Darthshoot 26.07.2006 17:07
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\System32\scvvhost.exe

Das ist definitiv als gefährlich einzustufen. Es ist ein Backdoor, deshalb PC neu aufsetzen.

DarkStorm91 26.07.2006 17:15
system neu machen doer die datei löschen ?

Yopie 26.07.2006 17:21
Zitat:
Zitat von DarkStorm91
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Keine Sicherheitsupdates. Direkte Folge deines Fehlverhaltens: Backdoorbefall (ForBot), erkennbar an z.B.
Zitat:
F3 - REG:win.ini: load=C:\WINDOWS\System32\scvvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\System32\scvvhost.exe
Einzige Lösung: Siehe Signatur. (ACK @ Darthshoot)

Gruß :daumenhoc
Yopie

DarkStorm91 26.07.2006 17:23
Und wie ^^ udn wo ^^

Yopie 26.07.2006 17:24
Backdoor entfernen: http://www.trojaner-board.com/showthread.php?t=12154

Halte dich an die Anleitung, auch wenn du meinst, du kennst das alles schon.

Gruß :daumenhoc
Yopie

DarkStorm91 26.07.2006 17:25
Danke an alle die mir geholfen haben !! Danke !!!!!


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:55 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19