Hi,
ich sitze gerade am Laptop meines Bruders und wir haben folgendes Problem:
Und zwar sind Taskmanager+Regedit deaktiviert und bei Hijack wird der Prozess "scvhost" angezeigt, der auf den Trojaner CIA hinweißt per googlen.
Nun weiß ich nicht wie ich die Registry+Taskmager aktiviert kriege und den Trojaner vom Laptop bekomme.
Also den taskmanager+ die Registry kriege ich ja aktiviert,aber ebend nach einem Neustart ist wieder beides Deaktiviert:(

Hijack-log:

Logfile of HijackThis v1.99.1
Scan saved at 15:45:13, on 02.07.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINNT\system32\pctspk.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.903\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINNT\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINNT\system32\scvhost.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINNT\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINNT\system32\scvhost.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129902664262
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{53F691FC-A803-4D77-BAE7-2328955EBF98}: NameServer = 192.168.***.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{53F691FC-A803-4D77-BAE7-2328955EBF98}: NameServer = 192.168.***.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{53F691FC-A803-4D77-BAE7-2328955EBF98}: NameServer = 192.168.***.1
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

Was kann ich machen?:(

PS: Ich habe WinNT

EDIT: gibt es ein Befehl wie "msconfig" auch für win2000 / winNT??

Hallo, ich verschiebe deinen Beitrag mal in die richtige Rubrik.

Hallo, bitte noch:

Cleanup!
http://www.stevengould.org/downloads/cl ... anUp40.exe
--> Bebilderte Anleitung ( http://virus-protect.org/cleanup.html )

-------------------

Datfinbad
- abarbeiten und alle 4 Logs in den Thread kopieren (mit Pfad)
Die letzten 3 Monate reichen
http://virus-protect.org/datfindbat.html

1. Doppel-klick DATFINDBAT
2. Es oeffnet sich der Texteditor. Speichern als system32.txt
3. auf das Command Fenster klicken und beliebige Taste druecken
4. Es oeffnet sich der Texteditor. Speichern als Temp.txt.
5. Wiederhole Schritt 3 und speichere als WINDOWS.txt.
6. Wiederhole Schritt 3 und speichere als C.txt.
7. Poste ALLE Logs hier in diesen Thread

------------------

Hi,
werde nach un nach edieren.


Bin gerade bei Cleanup beim Einstellen. Ich kann "Delete Prefetch files nicht makieren/kein Häkchen setzen,weil es grau unterlegt ist*?*

Ich werde jetzt trotzdem erst einmal Cleanup starten+pc neustarten.

MfG

PS:Wie gesagt, ich werde nach und nach edieren.

EDIT: Wenn ich versuche "DatFinBad" zu öffnen,dann erscheint eine Meldung:

"Die Eingabeauforderung wurde durch den Administrator deaktiviert."

Hi!

oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINNT\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINNT\system32\scvhost.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINNT\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINNT\system32\scvhost.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe

***************************************

KILLBOX
Anleitung: (bebildert)
http://yourhighness.eddys-domain.de/killbox.html
- Delete File on Reboot -- anhaken
- reinkopieren:

C:\WINNT\system32\scvhost.exe
internat.exe (suche auf dem PC nach dem Pfad)

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----
klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

****************************************

Counterspy
Anleitung: http://virus-protect.org/counterspy.html
Download : http://www.sunbelt-software.com/CounterSpy-Download.cfm

* Klicke: "Run a Spyware Scan Now"
* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab...
falls du einen Beitrag in einem Sicherheitsforum eroeffnet hast)

Hier der Report:


Spyware Scan Details
Start Date: 02.07.2006 20:52:52
End Date: 02.07.2006 21:02:47
Total Time: 9 mins 55 secs

Detected spyware

Alien Spy RAT more information...
Status: Deleted

Infected files detected
c:\winnt\system32\server.exe

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Winexess
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Winexess


Ciadoor Backdoor more information...
Status: Deleted

Infected files detected
C:\WINNT\system32\wsock32.sys


FTH2004 Trojan more information...
Details: FTH2004 is a trojan which helps user to gain access on to the remote machine through client.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools 1


MiniMO Trojan more information...
Details: MiniMO is a complete Remote Administration Tool.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools 1


Trojan.Vxgame Trojan more information...
Details: Vxgame is a trojan that silently downloads additional malware from the internet and alters the system's security settings by disabling the Windows firewall.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr 1


CSRSS Hijack Hijacker more information...
Details: CSRSS Hijack is an adware application that installs a side bar search hijacker and changes the user's default home page.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools 1


Chode.GM Worm.Generic more information...
Details: Chode.GM is a worm spread via MSN and AOL Instant Messenger.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools 1


Toxic-cv Trojan more information...
Details: Toxic-cv is a trojan tool which disables your registry, Msconfig command,disables anti-virus & firewalls,disable task manager etc.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system DisableRegistryTools 1


KeySpy BR Commercial Key Logger more information...
Details: KeySpy BR is a small powerful computer monitoring software.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system DisableTaskMgr 1


GunnSpy v0.52 Backdoor more information...
Details: GunnSpy is a Backdoor Trojan that steals the user information and mail it to a pre-defined e-mail address.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\NirSoft\MessenPass


The KamiKrazy RAT more information...
Details: The KamiKrazy is a backdoor trojan that remotely connects the user's PC via client and server.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system disabletaskmgr 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system disableregistrytools 1

Der Wurm hat deine Registry geaendert. Mache bitte noch nen Onlinescan mit Panda. Dann gibt es gleich noch ne reg datei. mfg

Onlinescans
http://virus-protect.org/onlinescan.html

Lade Dir folgendes VBScript runter, speichere es irgendwo und oeffne es:

regtools.vbs'
http://www.dougknox.com/security/scripts/regtools.vbs

Speicher diesen code in einer Textdatei und nenne diese taskmgr.vbs. Oeffne diese...

Code: Alles auswählen

'Enable/Disable Task Manager
'By PatheticCockroach - based on an idea by Doug Knox
'© 2005 MPAM Rebooted - http://patheticcockroach.com
'This code may be freely distributed/modified as long as it remains free of charge

Option Explicit
'Declare variables
Dim WSHShell, rr, rr2, MyBox, val, val2, ttl, toggle
Dim jobfunc, itemtype

On Error Resume Next

Set WSHShell = WScript.CreateObject("WScript.Shell")
val = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
val2 = "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
itemtype = "REG_DWORD"
jobfunc = "Task Manager is now "
ttl = "Result"

'reads the registry key value.
rr = WSHShell.RegRead (val)
rr2 = WSHShell.RegRead (val2)

toggle=1
If (rr=1 or rr2=1) Then toggle=0

If toggle = 1 Then
   WSHShell.RegWrite val, 1, itemtype
   WSHShell.RegWrite val2, 1, itemtype
   Mybox = MsgBox(jobfunc & "disabled.", 4096, ttl)
Else
   WSHShell.RegDelete val
   WSHShell.RegDelete val2
   Mybox = MsgBox(jobfunc & "enabled.", 4096, ttl)
End If

Eigentlich sollte nach einem Backdoor befall der PC formatiert und neu eingerichtet werden. Ausserdem alle Passwoerter geandert werden...

http://www.trojaner-board.de/showthread.php?t=28771

mfg

OK,danke für die HilfE!!!

Info:
http://virus-protect.org/artikel/dienst ... 32sys.html

**
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html