Pc-Gamer

...der trojaner heißt backdoor.ciadoor.13

.der trojaner ist in der datei C:\windows\system32\wsock32.sys unterwegs und ich kann mit Avg den trojaner zwar löschen aber er regeneriert sich automatisch bei jeder entfernung =(


MFG Gamer

wolfheart

Hey PC-Gamer,

jetzt gehst Du mal etwas systematischer vor:

- Du deaktivierst Deine Systemwiederherstellung und gehst in den abgesicherten Modus.
Das geht so:
http://www.bsi.de/av/texte/wiederher_xp.htm
- dann läßt Du Dein Antivirenprogramm (ich empfehle Kaspersky)
http://www.kaspersky.com/de/downloads?chapter=146440558
und Spybot und Adaware mal Deine Festplatte checken.
Hier die Link's zu Spybot
http://www.chip.de/downloads/c1_downloads_13001443.html
und Adaware
http://www.chip.de/downloads/c1_downloads_13000824.html
- Und wenn Du willst, dann auch noch dieses Programm unter diesem Link laden und auch checken lassen, was auf Deinem System zu finden ist
http://www.emsisoft.de/de/software/free/
- das was gefunden wird löschen
- dann Neustart
- Systemwiederherstellung unbedingt wieder aktivieren

Wichtig ist die Sache mit der Systemwiederherstellung. Wenn Du die nicht deaktivierst und dann infizierte Dateien löschst, dann werden manchmal von der Systemwiederherstellung zusammengebastelt, weil die denkt es wären defekte Dateien!

Zusätzlich kannst Du auch noch auf Hijackthis.de gehen
http://www.hijackthis.de/de und downloade das Programm (Rechts oben unter Direktdownload).
Entpacke es in einen EIGENEN Ordner(Nicht aus der Zip Datei starten!) z.B
C:\Programme\Hijackthis .

Starte die Anwendung .Geh auf "Do a system scan and save a logfile". Diesen Logfile kopierst Du komplett und sendest uns den hier rein.
Etwas ausführlicher steht es hier drin, wie es geht
HijackThis - Die echte Anleitung

Pc-Gamer

danke wolfheart für deine tipps und ich bin mir sicher das sie funktionieren nur es gibt ein problem... und zwar dieser sch..... trojaner blockiert so mein system so das ich bei "rechte Maustaste auf Arbeitsplatz, Eigenschaften wählen." keine system wiederherstellung habe. da steht nur allgemein, computername, hardware, erweitert, automatische updates und remote.. wie löse ich das problem? danke schon mal im vorauß

MFG pc-gamer

wolfheart

Hey,

also die Systemwiederherstellung erreichst Du auch so:
- Start
- Alle Programme
- Zubehör
- Systemprogramme
- Systemwiederherstellung
die klickst Du an. Und auf der ersten Seite die sich öffnet, siehst Du links unten Systemwiederherstellungseinstellungen. Das anklicken und es öffnet sich die Registerkarte für die Deaktivierung

mfsto

Hm das sieht nicht so gut aus..

Poste ma ein Hijackthis Logfile:

Geh auf www.hijackthis.de und downloade das Programm (Unter Direktdownload).
Nenne die Hijackthis Download exe in ABC um.
Entpacke es in einen EIGENEN Ordner(Nicht aus der Zip Datei starten!) z.B
C:\Programme\ABC .

Starte die Anwendung .Geh auf "Do a system scan and save a logfile"
und poste das vollständige Logfile in Code-Tags.


Mfg

Pc-Gamer

der hat sich von alleine deaktiviert *g* ich haeb nichts gemacht

das steht da

Die System wiederherstellung wurde aufgrund einer gruppenrichtlinie deaktiviert. Wenden Sie sich an den domänadministrator, um die systemwiederherstellung zu aktivieren

ich habe nichts gemacht das ist fakt und es ist fakt

ICH BIN ADMINISTRATOR, WEIL EINZIGSTER BENUTZER
Task manager wurde auch deaktiviert, ich kann ihn zwar wieder aktivieren mit hilfe von einem thread bei einem anderen thema aber er deakwtiviert sich wieder beim system start und ... sagen wir mal wenn ich in den abgesicherten modus gehe. dann noch die viren lösche. wie soll ich dann die systemwiederherstellung aktivieren ?

und ich habe gerade einen scan mit avg gemacht und er hat fest gestellt ich habe noch einen trojaner und zwar hier drin:

HKU\S-1-5-21-1801674531-1035525444-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{E14DCE67-8FB7-4721-8149-179BAA4D792C}


ich habe richtige verzweiflung ?(

ich bin aber überzeugt das ihr mir weiter helfen könnt

mfsto

[quote]Original von Pc-Gamer
Ja ich auch ,deswegen poste ma das Logfile
Wie eben beschrieben..
Damit kann ich mir ein Überblick machen ,was auf deinem Pc alles läuft und somit den Schädling ausfindig machen..

Mfg

Pc-Gamer

hier der logfile =)

Logfile of HijackThis v1.99.1
Scan saved at 17:18:37, on 01.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\E_S00RP1.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\internet explorer\iexplore.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\TuneUp Utilities 2007\ProcessManager.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Engin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

MFG pc-gamer achja danke für alles ohne euch wäre mein pc ein schrottplatz

mfsto

Hmmm das sieht gar nicht gut ..Der Virus wütet echt überall:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe


Lass die scvhost.exe mal beim Onlinescanner scannen:
http://virusscan.jotti.org/de/
Poste anschließend das vollständige Ergebnis des Scans in code-Tags!

Muss wohl der Ciadoor sein..


Um die Datei sichtbar zu machen:
http://freenet-homepage.de/rene-gad/invisible.html

Das wird bestimmt nicht einfach , die Datei zu entfernen , da sie sich ziemlich "ausgebreitet" hat..Die Formatierung wäre wohl die beste Möglichkeit . Aber wir schaun ma ,was sich noch machen lässt.


Mfg

Ostseesand

Hi,

da hast du ein üblen trojaner aufgenackt.

fixe mal die einträge mit dem hijackthis, die rot markiert sind.
wie das geht steht hier---->klick

wenn du dich mit der registry auskennst, schau dir auch noch folgende einträge unter folgendem schlüssel an:
das ist bei deisem trojaner angebracht.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
stehen dort verweise die dir komisch vorkommen?