Hatte nicht schon jemand geschrieben, dass das System im Eimer und nicht zu bereinigen ist?

Zitat:

Zitat von cosinus

@Khain.:
Eine weitere Analyse ist eigentlich nicht erforderlich, da das System kompromittiert ist und neu aufgesetzt werden musst!

tja, die nacht ist lang, da kann man mal nachhelfen. oft wird gesagt das system ist müll. teilweise ist aber diese aussagen zu schnell gefasst.

Zitat:

Zitat von TRYTOHELPYOU

tja, die nacht ist lang, da kann man mal nachhelfen. oft wird gesagt das system ist müll. teilweise ist aber diese aussagen zu schnell gefasst.

Wenn diese Datei

C:\windows\scvhost.exe

anwesend ist, gehört das System aber neuaufgesetzt!

Nö,

handelt sich um den Wurm W32/Rbot-EK. Denn bekommst so weg.



du folgst dieser Anweisung:

Dieser Bereich erläutert sein Verhalten

W32/Rbot-EK ist ein Netzwerkwurm und eine Backdoor für die Windows-Plattform.
W32/Rbot-EK ermöglicht einem bösartig gesinnten Anwender Fernzugriff auf den infizierten Computer via IRC.

Damit er automatisch beim Start von Windows aktiviert wird, kopiert sich W32/Rbot-EK als scvhost.exe in den Windows-Systemordner und erstellt die folgenden Registrierungseinträge:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Windows Firewalll
= scvhost.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Windows Firewalll
= scvhost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows Firewalll
= scvhost.exe

W32/Rbot-EK beendet die folgenden Prozesse, sofern sie vorhanden sind:

i11r54n4.exe
irun4.exe
d3dupdate.exe
rate.exe
ssate.exe
winsys.exe
winupd.exe
SysMonXP.exe
bbeagle.exe
Penis32.exe
teekids.exe
MSBLAST.exe
mscvb32.exe
sysinfo.exe
PandaAVEngine.exe
wincfg32.exetaskmon.exe
zonealarm.exe
navapw32.exe
navw32.exe
zapro.exe
msblast.exe
netstat.exe
msconfig.exe
regedit.exe

W32/Rbot-EK verbreitet sich, indem er Netzwerkfreigaben und Microsoft SQL Server mit einfachen Kennwörtern, Schwachstellen im Windows-Betriebssystem und Backdoors, die von anderen Würmern und Trojanern geöffnet wurden, ausnutzt.

Patches für die Betriebssystem-Schwachstellen, die von W32/Rbot-EK ausgenutzt werden, stehen von Microsoft zur Verfügung unter:
MS04-011
MS03-026
MS03-007



Dieser Bereich erläutert, wie Sie diesen Virus desinfizieren.

Sie müssen außerdem die folgenden Registrierungseinträge bearbeiten, sofern sie vorhanden sind. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung.


Umbenennen des Registrierungseditors

* Gehen Sie im Windows Explorer auf den Windows-Ordner (normalerweise C:\Windows oder C:\Winnt), klicken Sie mit der rechten Maustaste auf Regedit.exe und erstellen Sie eine Kopie der Datei.

* Benennen Sie die Kopie von Regedit.exe um in Regedit.com.

* Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit.com" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.



Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.


Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:


HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

Windows Firewalll = scvhost.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

Windows Firewalll = scvhost.exe


Löschen Sie die Einträge, sofern sie existieren.


Jeder Benutzer hat einen Registrierungsbereich namens HKEY_USERS\[Codeziffer des Benutzers]\. Suchen Sie für jeden Benutzer den Eintrag:


HKCU\[Codeziffer]\Software\Microsoft\Windows\CurrentVersion\Run\

Windows Firewalll = scvhost.exe


Löschen Sie den Eintrag, sofern er existiert.


Schließen Sie den Registrierungseditor.

* Laden Sie die oben erwähnten Microsoft-Patches herunter und installieren Sie diese. Aktualisieren Sie Einzel-Computer mit allen notwendigen Sicherheits-Patches auf
href="http://windowsupdate.microsoft.com" target="_blank">Windows
update.

* Überprüfen Sie Ihre Administratorkennwörter und die Sicherheit in Ihrem Netzwerk.

Aha, sehr intressant. Wer garantiert Dir, dass keine weiteren Manipulationen am System vorliegen?
Backdoors, und der Rbot gehört dazu, bekommst Du nur sicher weg, wenn das System neuaufgesetzt wird. Nach einer manuellen Bereinigung mag zwar der offensichtliche Schädling weg sein, da aber durch die Hintertür Dritte Zugriff auf das System hatten, ist es nicht mehr vertrauenswürdig. => Neuaufsetzen.

ich hab dir ja nur ein möglichkeit aufgezeigt. Es

ist alles möglich

PAAAAARRRRRRRRRTTTTTTTTTTTYYYYYYY


Klar, nur bei diesen Viren solltest du auch darauf achten, dass Sie sich nicht in deinen Flashspeicher oder Grafikspeicher frisst.


wenn du dann wieder online gehst. viel spaß....

Zitat:

Zitat von TRYTOHELPYOU

ich hab dir ja nur ein möglichkeit aufgezeigt. Es
ist alles möglich

Bereinigungen bei Backdoorbefall funktionieren einfach nicht zuverlässig. Schau Dir mal diesen MS-Technet-Artikel genauer an...

Zitat:

Klar, nur bei diesen Viren solltest du auch darauf achten, dass Sie sich nicht in deinen Flashspeicher oder Grafikspeicher frisst.

Grafikspeicher?
Prinzipiell sollte man davon ausgehen, dass alle Daten manipuliert sein könnten, wenn eine Hintertür offen war bzw. ist!

Zitat:

wenn du dann wieder online gehst. viel spaß....

Deswegen sichert man opimalerweise keine Dateien mehr vom kompromittierten System oder allenfalls nur reine Datendateien aber keine ausführbaren.
Und dass man ein neuaufgesetztes System VOR der ersten Internetverbindung absichert, sollte ja wohl klar sein.

ich habe meinen computer auch mit ad.firstadsolution infiziert und bin fast am verweifeln. jedes mal wenn ich meinen firefox starte wird im ie ein fenster mit nerviger werbung gezeigt.

Logfile of HijackThis v1.99.1
Scan saved at 23:36:10, on 11.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\MSI\System Control Manager\MGSysCtrl.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\PROGRA~1\MICROS~2\wcescomm.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\MICROS~2\rapimgr.exe
c:\progra~1\intern~1\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Download\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MGSysCtrl] C:\Programme\MSI\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [trusttonssecondcoal] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dvd base trust tons\Error Start.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~2\wcescomm.exe"
O4 - HKCU\..\Run: [Support1] C:\DOKUME~1\ADMINI~1\ANWEND~1\ERRORS~1\HTMCHIN.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1162495979031
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

@wonka,

bitte eröffne für dein Problem einen neuen Beitrag, da hier sonst keiner mehr einen Durchblick hat, wo hier was hingehört.

Gruß
Sunny