Mahlzeit,
bin neu hier im Forum, deswegen erst einmal einen guten tag an alle Mitglieder.

Habe seit ungefähr 2 Wochen das Problem, das mein Computer bestimmt 5 Minuten braucht um auf die Benutzeroberfläche von XP zu gelangen.

Ich habe mal ein Logfile erstellt und bitte Euch da mal rüber zu fliegen und nach fehlern zu gucken. Vielen Dank im vorraus.

Gruß Shibbie


Logfile of HijackThis v1.99.1
Scan saved at 11:50:58, on 29.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\scvhost.exe
C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
d:\FRITZ!DSL\IGDCTRL.EXE
D:\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\WINDOWS\system32\svchost.exe
D:\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
d:\FREEDO~1\fdm.exe
C:\Dokumente und Einstellungen\Shibbie\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = w*w.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -

C:\PROGRA~1\ICQTOO~1\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\scvhost.exe
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} -

C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame

Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -

C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} -

C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - d:\Free Download

Manager\iefdm2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -

C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [AVP] "D:\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [] C:\WINDOWS\scvhost.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://d:\Free Download

Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://d:\Free Download

Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://d:\Free Download

Manager\dllink.htm
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - D:\Kaspersky Internet

Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren -

res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://d:\Free Download

Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} -

D:\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} -

C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} -

C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network

Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} -

%windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\ICQ6\ICQ.exe
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - d:\Free Download

Manager\FUM\fumiebtn.dll
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=w*w.google.de
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) -

h**p://w*w.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} -

C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame

Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} -

C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: D:\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} -

C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Lavasoft\Ad-Aware

2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe (file missing)
O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Programme\Gemeinsame

Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - d:\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - D:\Kaspersky Internet

Security 7.0\avp.exe" -r (file missing)
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation -

C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame

Dateien\InterVideo\DeviceService\DevSvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame

Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation -

C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - D:\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame

Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner -

C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - d:\SiSoftware

Sandra Lite XI.SP4a\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - d:\SiSoftware

Sandra Lite XI.SP4a\RpcSandraSrv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

Hallo

sieht nicht gut aus...
Hast du noch Zugriff auf den Taskmanager (STRG-ALT-Entf.) und auf die Systemregistrierung (Start -> Ausführen -> regedit)?

Mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.

Lass bitte die diese Datei :

C:\WINDOWS\scvhost.exe

hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 33 AntiVirus Engine, Last Update(070917)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Hallo zurück,
danke dir nochdigger für deine mühen. habe wie du gesagt hast die datei mal checken lassen. hier kommen nun die ergebnisse.

AhnLab-V3 2007.9.29.0 2007.09.28 -
AntiVir 7.6.0.18 2007.09.28 BDS/VB.bkc.74
Authentium 4.93.8 2007.09.29 -
Avast 4.7.1043.0 2007.09.29 Win32:VB-BLW
AVG 7.5.0.488 2007.09.29 BackDoor.Generic8.LUC
BitDefender 7.2 2007.09.29 MemScan:Backdoor.VB.BKC
CAT-QuickHeal 9.00 2007.09.29 -
ClamAV 0.91.2 2007.09.29 -
DrWeb 4.33 2007.09.29 -
eSafe 7.0.15.0 2007.09.29 -
eTrust-Vet 31.2.5169 2007.09.27 -
Ewido 4.0 2007.09.29 -
FileAdvisor 1 2007.09.29 -
Fortinet 3.11.0.0 2007.09.29 BDoor.ASB!tr.bdr
F-Prot 4.3.2.48 2007.09.29 -
F-Secure 6.70.13030.0 2007.09.29 -
Ikarus T3.1.1.12 2007.09.29 MemScanBackdoor.VB.BKC
Kaspersky 7.0.0.125 2007.09.29 -
McAfee 5130 2007.09.28 BackDoor-ASB
Microsoft 1.2803 2007.09.29 Backdoor:Win32/VB.ANP
NOD32v2 2559 2007.09.29 -
Norman 5.80.02 2007.09.28 -
Panda 9.0.0.4 2007.09.29 Trj/Downloader.MDW
Prevx1 V2 2007.09.29 -
Rising 19.42.50.00 2007.09.29 -
Sophos 4.21.0 2007.09.29 -
Sunbelt 2.2.907.0 2007.09.28 Backdoor.Unidentified.gen
Symantec 10 2007.09.29 Backdoor.Trojan
TheHacker 6.2.6.073 2007.09.28 W32/Behav-Heuristic-064
VBA32 3.12.2.4 2007.09.27 -
VirusBuster 4.3.26:9 2007.09.28 -
Webwasher-Gateway 6.0.1 2007.09.28 Trojan.VB.bkc.74


weitere Informationen
File size: 1633879 bytes
MD5: f3163317cbcfab5ef3178b26eaba4ba3
SHA1: 64eb17f6335ffbeeb3af8a80901c5a14d73bc53a
packers: Themida

Ich hoffe es ist nicht alles verloren. Übrigens in den Taskmanager und in die Registry komme ich ohne Probleme.

Vielen Dank

Hallo

Zitat:

Übrigens in den Taskmanager und in die Registry komme ich ohne Probleme.

na dann ist vielleicht eine neue/andere Variante

Zitat:

Ich hoffe es ist nicht alles verloren.

Na es ist nicht so, dass das Leben nu aus ist, aber guck was dein neuer Mitbewohner alles kann

Zitat:

Zitat von McAfee

Remote Access Functionality

Once running on the victim machine, the server component opens a TCP socket accepting commands sent from the client component (eg. port 5888).

The client component offers many functions to the hacker, including:

* File manager. (Upload, download, edit, execute, delete, rename etc)
* Process manager (Browse, kill)
* Windows (Retrieve window list, hide, rename etc)
* Retrieve screen capture
* Control webcam
* Retrieve cached passwords
* Keylogger (start, stop, retrieve log etc)
* Power off
* View clipboard contents
* Opening specific websites with the browser
* Retrieve system information
* etc etc

BackDoor-ASB
Betrachte dein System als kompromittiert sowie deine Pass- und Kennwörter als bekannt.
Ich rate dir setze dein System schnellstens neu auf.
Eine Infektion mit einer Backdoor bekommt man nur wirklich sicher in den Griff, wenn das System neu aufgesetzt wird.
Neuaufsetzen des Systems und anschliessende Absicherung!
Ändere nach der Neuinstallation alle deine Pass- und Kennwörter.

MFG

Hallo nochdigger,
ich danke dir für die Informationen und werde mein system schnellstens neu aufsetzen.
Werde die links befolgen damit sowas nicht mehr passiert.

Gruß
Shibbie