Hallo,

bin neu hier und hab ein problem:

ich glaub ich hab mir nen wurm eingefangen! Ich weis aber nicht welchen. Jedenfalls kommt es vor (wenn ich ne zeit lang im internet bin), dass LSA-Shell (Export Version) beendet werden muss. Kurz darauf folgt dann meistens noch die meldung, dass "services.exe" beendet werden musste. Einmal kam es auch vor, dass "LEXPPS.exe" oder andere prozesse (wie z.b. "Generic Host Process for Win32 Services"), die bis vor einigen tagen noch keine probleme gemacht haben, beendet werden müssen.

Nunja darauf folgt dann das bekannte schild mit dem zwang zum herunterfahren und dem countdown von 1:00 min.

Hab mir schon ein paar threats zu dem thema durchgelesen, die waren jedoch meistens zu sasser und von 2004...

bitte helft mir ich will auf keinen fall datenverlust erleiden

mfg samsh

PS: ich habe WinXP mit SP2

************************

Logfile of HijackThis v1.99.1
Scan saved at 18:59:57, on 18.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SEC\MagicTune3.6\GammaTray.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\T-Online\T-Online_Software_6\Browser\browser.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\***\Desktop\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Give4Free Plugin Installer - {208E7E77-507A-4649-B0C9-D39E9049C7A2} - C:\Programme\Give4Free Plugin\ibho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Windows Services] "C:\Programme\svchosts.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Color Calibration.lnk = ?
O4 - Global Startup: MagicTune 3.6.lnk = ?
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{16C26E45-615C-4963-9E93-A4201E82EF07}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{16C26E45-615C-4963-9E93-A4201E82EF07}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Hallo samsh,

lade bitte die fettgedruckten Dateien bei VirusTotal hoch und poste das Scanergebnis inkl. Dateigröße:

C:\Programme\Give4Free Plugin\ibho.dll

C:\Programme\svchosts.exe

Link zu VirusTotal:

VIRUSTOTAL - Free Online Virus and Malware Scan

Gruß

Danke erstmal für die schnelle Hilfe. =)

also der scan hat folgendes ergeben:

bei "svhosts.tbe" (ka warum das keine .exe is)

Authentium 4.93.8 06.16.2007 Not scanned (encrypted)
Fortinet 2.85.0.0 06.18.2007 W32/Peerad.A!tr
Microsoft 1.2607 06.18.2007 password protected
NOD32v2 2336 06.18.2007 error - password-protected file

denke mal da is ein wurm gefunden worden oder? Soll ich den jetzt einfach löschen?

Der Prozess "svchosts.exe" taucht bei mir im Taskmanager 7 mal (!) auf



bei "ibho.dll"



mfg samsh

edit: hab in C:\Programme noch mehr verdächtige dateien gefunden:

wunauclt.exe
wunauclt.tbe
wunauclt.zip
serial.tde
serial.zip

hab mal nach denen gegoogelt da kam nur was über trojaner/viren/backdoor/etc

ich check die grad mal in VirusTotal durch das dauert nur wegen der warteschlange so....

So ich hab jetzt die anderen dateien auch durchgecheckt:

serial.tde

Authentium 4.93.8 06.18.2007 Not scanned (encrypted)
Avast 4.7.997.0 06.18.2007 Win32:Peerad
Fortinet 2.85.0.0 06.18.2007 W32/Small.DUI!tr.dldr

wunauclt.exe

AntiVir 7.4.0.32 06.18.2007 DR/Padonak.A
Avast 4.7.997.0 06.18.2007 Win32:Trojan-gen. {VC}

serial.zip

Authentium 4.93.8 06.18.2007 Not scanned (encrypted)
Avast 4.7.997.0 06.18.2007 Win32:Peerad
Fortinet 2.85.0.0 06.18.2007 W32/Small.DUI!tr.dldr
Microsoft 1.2607 06.18.2007 password protected
NOD32v2 2336 06.18.2007 error - password-protected file

ach ja und eine neue auswirkung hab ich auch: jetz bekomm ich einmal pro stunde nen bluscreen:

****************************

stop: c0000 21a {schwerer Systemfehler}

Systemprozess Windows Logon Process wurde unerwartet beendet. Status 0x0000005
(0x00000000 0x00000000)

Das System wurde heruntergefahren.

****************************

dann kommt nach dem neustart per knopfdruck die meldung, dass winlogon.exe beendet werden musste (die zeit bezieht sich dabei glaub ich auf die zeit zu der der bluescreen kam).

Hallo,
ich hege die sehr starke Vermutung das es sich um diesen Freund handelt :

W32/Sdbot-LM - Wurm - Sophos Bedrohungsanalyse
Unter "Erläuterung" weiterlesen
Damit sieht es sehr duster aus ....
Ein Neuaufsetzen wäre mehr als zwingend angebracht.....
Irrlicht

mit Neuaufsetzen meinst du doch eine Neuinstallation von Windows oder?

gibts nich ne andere möglichkeit? zumal ich die unter "Erläuterung" beschriebenen Registryeinträge nicht habe!

Zitat:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Synchronization Manager = svchosts.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Microsoft Synchronization Manager = svchosts.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Synchronization Manager = svchosts.exe

ich hab da nur einen eintrag mit svchost.exe unter HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ :

Windows Services REG_SZ "C:\Programme\svchosts.exe"

und

Zitat:

Jeder Benutzer hat einen Registrierungsbereich namens HKEY_USERS\[Codeziffer des Benutzers]\. Suchen Sie für jeden Benutzer den Eintrag:

HKCU\[Codeziffer]\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Synchronization Manager = svchosts.exe

der eintrag ist bei mir auch nicht vorhanden!

Zitat:

W32/Sdbot-LM kopiert sich als SVCHOSTS.EXE in den Windows-Systemordner

die "wurmdatei" ist bei mir aber in C:\Programme
die svchosts.exe in WINDOWS\System32 scheint laut VirusTotal in Ordnung zu sein (nehme mal an, dass das die originale .exe is)

Zitat:

Dieser Wurm speichert außerdem Tastenfolgen des Anwenders in einer Datei namens KEYLOG.TXT im Windows-Systemordner

die is bei mir auch nicht vorhanden.

was genau soll ich denn nun machen? die verdächtige svchosts.exe (oder wie sie bei mir heist svchosts.tbe) mit den anderen eintlarvten dateien einfach löschen und den registryeintrag entfernen?