|
Sorry für F**** Problem mit PC...neues Problem mit SV-Host Moinsen, erstmal die Entschuldigung dafür, dass ich mein f**** Problem in den falschen Bereich gepostet habe. :heulen: Ich hoffe, man nimmt mir deswegen jetzt nicht allzu übel, dass ich hier einen neuen Beitrag poste. Zuersteinmal: Ich hatte den Trojan-Spy.HTML.Smitfraud.c oder s.ä. auf meinem System drauf. Habe darüber einige Interessante Beiträge in diesem Forum gefunden. Dafür erstmal einen passiven Dank ausgesprochen...was für ein Glück, dass es noch mehr mit dem gleichem Problem gab. :lach: Jetzt aber zu dem eigentlichem Problem, welches ich jetzt noch habe: Immer wenn ich mein PC neu starte oder ins Internet will, meldet sich mein svhost?!? Das Teil sucht min. 4-mal nach verschiedenen IP's und versucht ins Internet zu gelangen. Wenn ich das mit meiner Firewall unterbinde, gelange ich nicht ins Internet. Zusätzlich werde ich trotz der Bereinigung des Systems den Button "Your system is infected" in der Taskleiste nicht los. Deshalb poste ich euch nochmal eine neue HijackThis-File: Logfile of HijackThis v1.99.1 Scan saved at 14:44:26, on 05.07.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\System32\intel32.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\drivers\KodakCCS.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\System32\intel32.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O14 - IERESET.INF: START_PAGE_URL=h**p://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/14bb73a6...dxIE601_de.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6D65CF32-ADFB-411C-8962-5A71F5990A16}: NameServer = 195.50.140.252 145.253.2.81 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\System32\netddeclnt.exe (file missing) O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Wäre echt cool, wenn mir jemand sagen könnte, was immer noch nicht mit dem System stimmt. MfG commodusreal |
Kleines Update zum Stand der Dinge: 1. Ich habe kein Problem mit sv-host sondern mit svchost. Dieses seltsame etwas, welches ich nicht einmal kenne, versucht auf's Internet zuzugreifen. 2. Zweitens: Ich habe gestern mit Antivir gescannt und habe den Trojaner intel32 oder so ähnlich gefunden, sowie ein Backdoor-Programm. Beide sind jetzt gelöscht und somit ist der Button in der Taskleiste auch verschwunden. Aber letztenendes besteht mein Problem mit svchost immer noch. Wäre nett, wenn mir jemand eine Antwort darauf geben könnt, was es mit diesem svchost auf sich hat. MfG commodusreal |
Da ein Backdoor auf deinem System war, ist das System kompromittiert; Dies bedingt eine Neuinstallation. Beachte hierbei diese Anleitung |
Neuaufsetzung des Systems...muss das sein??? Gibt es nicht auch eine andere Möglichkeit als die Neuaufsetzung des Systems??? Ich habe keine Windows XP-CD zuhause, die wurde damals beim Neukauf nicht mehr mitgeliefert. Und wenn ich mir von jemand anders eine besorge, dann gibt es doch wieder nur Probleme mit dem CD-KEy. Ich meine, kann ich meinen PC nicht so bereinigen, dass er zwar theoretisch zugänglich für andere ist, aber ich dieses mit meiner Firewall (Zonelabs) unterbinde??? Wäre nett, wenn mir jemand noch andere Möglichkeiten als die Neuaufsetzung geben könnte. MfG commodusreal |
Zitat:
Zitat:
|
eventuell wärs ne möglichkeit, die datei wpa.dbl im ordner c:\windows\system32 auf ne andere partition, diskette oder cd zu sichern und dann wenn alle treiber installiert sind zurück in c:\windows\system32 zu kopieren (sind die aktivierungsdaten drin) um ne neuinstallation kommste aber nicht rum. Hinweis: das hier ist kein illegaler tipp, sondern völlig legal, da die datei nur funktioniert, wenn genau die gleiche hardware drin ist. (und wenn man da was ändert, wirds erst illegal ;) ) |
Zitat:
|
achja stimmt ja.. das ging ja nur damals in der beta... schade naja egal, da musste wohl oder übel ne version kaufen oder anderweitig "besorgen" ;) |
Recovery-CD Zitat:
Ich war immer der Meinung, dass die nur benötigt wird, wenn ich schwerwiegende Fehler im System habe, aber nicht bei einer Neuaufsetzung. Und wie führe ich so eine Neuaufsetzung grob umrissen mit einer Recovery-CD durch??? Genauso wie mit einer normalen WinXP-CD??? MfG commodusreal |
Zitat:
Zitat:
Ob die anschließende Installation voll automatisch erfolgt oder noch einige Interaktionen deinerseits Bedarf, kann ich dir leider nicht sagen. |
Hm... Na dann, thanks! Habe nur noch eine Frage: Welche Empfehlung gebt ihr um ein paar Dateien zu sichern, die ich unbedingt brauche und sichern muss? Soll ich sie auf einer CD sichern und dann später erstmal mit nem Virenscanner rübergehen? Nützt das auch bei Backdoors? Oder hängen sich Backdoors überhaupt nicht an MP3- und Office-Dateien?? MfG commodusreal |
Backdoors auf USB-Stick???? So ganz nebenbei, kann ich die dateien auch auf einem USB-Stick speichern und dann hinterher scannen, ob noch irgendwelche Backdoors drauf sind oder sollte ich lieber ne CD-wählen??? Oder wie gesagt, hängen sich Backdoors nicht an JPG-, MP3- und Office-Dateien??? MfG commodusreal |
Du kannst die Daten auf einen USB-Stick oder auf einer CD/DVD sichern, sofern es sich nicht um ausführbare Dateien handelt. Bevor du diese wieder ins System integrierst, solltest du sie, wie von Lutz beschrieben, gegenprüfen. |
Nach der Neuaufsetzung So dala, da bin ich wieder. Mit einem frischen, neu-aufgesetztem System. Jetzt habe ich allerdings doch noch ein paar Fragen: 1. Wo bekomme ich die voll Funktionsfähige Freeware Version von E-Scan her? Unter Google bekomme ich immer nur die eingeschränkte Version oder reicht die auch aus um die gesicherten Dateien auf meinem USB-Stick zu scannen? 2. Ich habe meinen PC erstmal grob mit Antivir und Zonelabs geschützt, aber gibt es bessere Programme und wie mache ich meinen PC nun endgültig gegen Angriffe sicher??? 3. Nachdem ich gestern meinen PC mit der Firewall geschützt habe, kamen gleich 3 Zugriffe auf meinem PC, die geblockt wurden. Da ich gestern zum Downloaden von Antivir und Zonelabs ungeschützt ins Internet musste, stellt sich für mich die Frage, ob es in diesen 5 ungeschützten Minuten nicht schon Zugriffe auf meinen PC gab? Abgesehen vertraue ich dem ganzen Neuaufsetzen mit der Recovery-CD nicht so ganz, deswegen poste ich nochmal eine HijackThis-File. Wäre nett, wenn sich jemand das mal angucken könnte und mir dann die hoffentlich die gute Nachricht geben kann, das mein System clean ist: Logfile of HijackThis v1.99.1 Scan saved at 16:44:42, on 15.07.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de/content/index.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.club-vaio.sony-europe.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: START_PAGE_URL=h**p://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
Zunächst einmal ist dein System wieder nicht aktuell? Wo ist Service Pack 2? Desweitern solltest du schon bemerkt haben, das eine Firewall dich nicht schützt. Warum befolgst du Anleitungen und Hilfestellungen nicht, die dir gegeben werden? Du solltest dein System vor der ersten Internetverbindung richtig konfigurieren! |
Jaja, ist ja okay, man muss ja nicht gleich pampig werden... :( Ich gebe ja zu, dass ich vergessen habe das SP2 zu installieren und den Rat ein eingeschränktes Benutzerkonto zu erstellen missachtet habe, weil es ja nicht unbedingt nötig ist oder??? (Ich weiss, die Kritiker werden jetzt wieder sagen: "Wenn er sowie so alles besser weiss, warum fragt er dann") Aber letztenendes sind die anderen Tipps zum Neuaufsetzen eines Systems ja nicht gleich so heavy, dass sie mein System absolut sicher machen. Oder brauche ich nach dem befolgen dieser Tipps eine Firewall nicht mehr? Dann stellt sich die Frage, warum diese überhaupt angeboten werden? Ein weiterer Verkaufstrick der Industrie??? Also, gehen wir mal davon aus, ich installiere jetzt SP2 und befolge alle anderen Ratschläge (abgesehen von dem eingeschränktem Benutzerkonto vielleicht hole ich das auch noch nach), welcher Virenscanner ist denn der Beste??? Und welche Programme sollte man unbedingt auch auf seinem System haben (Spybot vielleicht)??? MfG commodusreal |
Zitat:
Zitat:
http://www.ntsvcfg.de/#_pfw |
Nochmal bitte einmal nachgucken Nun gut, ich habe alles (abgesehen von dem eingeschränktem Benutzerkonto) so ausgeführt wie es beschrieben wurde und poste nochmals meine HijackThis-File. Abschließend möchte ich noch fragen, welcher Virenscanner denn der bessere ist: E-Scan oder Antivir XP??? Also, ich hoffe, man kann mir die positve NAchricht geben, dass mein System clean ist und möchte all meinen Helfern für die Mühe danken: Logfile of HijackThis v1.99.1 Scan saved at 13:06:20, on 17.07.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de/content/index.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.club-vaio.sony-europe.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=h**p://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121512228484 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
Hallo, laut dem HJT Log-File sollte dein System jetzt sauber sein. Allerdings ist das eingeschränkte Benutzerkonto wirklich von Nöten, da hierdurch das Installieren der Malware erheblich erschwert wird, sprich der Nährboden wird so kurzerhand entzogen. Wenn du dein Surf-, Patch- und Downloadverhalten unter Kontrolle hast, kurz gesagt Klickeritis (nervöser Zeigefinger), dann sollte AntiVir völlig ausreichend sein. |
Danke Okay, ich werde mir die Sache mit dem eingeschränktem Benutzerkonto nochmals überlegen. Also, nochmals danke an alle, die mir hier auf irgendeine Art und Weise geholfen haben. MfG commodusreal |
Ach, ich kann einfach keine Ruhe geben. Ich habe derzeit das Problem, dass meine WinXP Firewall trotz Aktivierung nicht anspringt. Gibt es irgendwas, was ich bei der Aktivierung beachten muss, damit sie automatisch startet??? Oder sollte ich doch nochmal eine HJT-File posten? MfG commodsureal |
Hätte ich fast vergessen, ich brauche ja keine Firewall mit den neuen Einstellungen. Stellt sich nur die Frage, ob sich das auch auf die Win-Firewall bezieht? Oder kann ich die auch nach den neuen Einstellungen weglassen? MfG commodusreal |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:34 Uhr. |
Copyright ©2000-2025, Trojaner-Board