Hallo..freu mich dass es dieses Board gibt und hoffe ihr könnt mir helfen...

Gab eine Datei die ich ausm Internet heruntergeladen hab, die mir verdächtig vorkam aber ich hab sie ausgeführt, nachdem mir mein AntiVir nichts negatives dazu zu berichten hatte. Nachdem ich sie ausgeführt habe, bemerkte ich, dass sich nix tut aber dass der PC im Hintergrund rödelt. Darauf hab ich ihn sofort ganz abgeschaltet. Sprich es könnte sein, dass ich da irgendwas abgebrochen bzw. vielleicht sogar verhindert habe. Nach dem Hochfahren verhält sich das Ganze so, dass mein Taskmanager nicht erreichbar ist, dass ich mein AntiVir z.B. nicht updaten kann, die Firewall nicht (wieder)aktivieren kann,keinen Onlinescanner durchführen kann usw.

Sofort nach dem Hochfahren kommt die Meldung: "svchost.exe hat ein Problem festgestellt und muss sofort beendet werden"...es wirkt sich aber sonst nicht aus. Ich kann normal surfen es wird nicht mehr als sonst (merklich) upgeloaded wenn ich im internet bin.

Mein HijackThis Log-File hab ich im "abgesicherten-modus gemacht und als Administrator angemeldet...Zugriff auf den Taskmanager hab ich da aber auch nicht.. Das sieht so aus:


Logfile of HijackThis v1.99.1
Scan saved at 00:02:56, on 20.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\***\Desktop\ANTI_SPY_VIRUS\HIJACK this\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: N.Cs4 - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - C:\WINDOWS\system32\wsock32.sys
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - d:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [OpwareSE2] "D:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MacroMachine BootMark] d:\Programme\Tronan\MacroMachine\BootMark.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RemoteControl] d:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - Global Startup: Microsoft Maus.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - d:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - d:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - h**p ://w* w.cult3d.com/download/cult.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h** p://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://w* *.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - h**p://w* w.nullsoft.com/nsv/embed/nsvplayx_vp6_mp3.cab
O16 - DPF: {D87BE747-157C-49BD-A392-A68B75A54947} (HotTeleClient Control) - h**p://w *w.hottelephone.com/HotTeleClient.CAB
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - h* *p://asp06.photoprintit.de/microsite/6391/defaults/activex/ImageUploader3.cab
O16 - DPF: {FEE1002D-90A5-4A5D-AABE-01803FFBCF7A} (pCastPanel Class) - h** p://ps.itv.mop.com/dn/files/pCastCtl_1.0.0.80_20060123.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm (IrCOMM2kSvc) - Jan Kiszka - C:\WINDOWS\system32\ircomm2k.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe



Ich bin nicht der Experte aber es soll wohl irgendwie ein BACKDOOR sein..wurde mir gesagt..

Vielen Dank im Voraus....

Hallo,

also dein System ist ziemlich verseucht..
Daher würde ich dir raten das System nach Anleitung in meiner Signatur komplett neu aufzusetzen.
Alles andere wäre nur rumdoktoren und würde nix bringen.
Folge der Anleitung und in Zukunft sollte dir sowas erspart bleiben..

hallo..habe festgestellt (dank eScan) dass es sich bei:

system32/wsock32.sys und /svchost.exe

um einen BACKDOOR.win32.CIADOOR.13 handelt.


Wollte eigentlich auf euere Antworten warten, war aber zu ungeduldig und so hab ich nach Anleitung aus einem anderen Thread aus diesem Forum die beiden dateien versucht zu löschen. Svchost.exe mit killbox. (eScan fand auch noch eine Signatur eines 2. Backtürchens. Die datei hab ich auch so gelöscht.)

Darauf ist der PC abgesturzt und nach dem hochfahren zeigt er die Desktopsymbole nicht und die untere Leiste nicht. Bin grade am Versuchen die Windowsinstallation zu REPARIEREN mit der winxp-cd. Das Ganze steckt aber jetzt schon sehr lange in der Geräteinstallation. Das Neuaufsetzen ist das Letzte was ich will. Also wenn mir jemand sonst irgendwie helfen kann wär ich euch sehr dankbar.

Hallo,

von uns gibt hier keiner den rat das System neuaufzusetzen wenn es nicht dringend nötig wäre.
Bei einem Trojaner mit Backdoor funktion haben 3 die gewalt über dein System.
Setz dein System nach der Anleitung komplett neu auf..
Das spart dir Zeit und nerven.
Vor allem nun Rechner vom Netz und damit anfangen.

kann mir jemand bitte bitte wenigstens mit diesem problem helfen, dass sich windows bei der reparatur bei 34% der geräteinstallation aufhängt...hab schon ganz viel gegoogelt und nichts vernünftiges gefunden...möchte wenigstens noch einmal rein damit ich meine wichtigen daten sichern kann wenn ich schon neu aufsetzen soll..irgendjemand??..

Hallo,
warum die Reparaturinstallation einfach aufhört kann ich dir nicht sagen, aber vielleicht kommst du mit einer Knoppix CD noch an deine Daten ran (dann brauchst du Laufwerk und Brenner).


Grüße Wildone