scvhoost.exe erscheint immer wieder

#0
01.07.2005, 12:57
...neu hier

Beiträge: 10
#1 Hallo...seit einigen Tagen geht bei zonealarm ein Fenster auf wo "scvhost.exe" auf das Internet Zugriff haben möchte...Ich habe es schon versucht manuell im abgesicherten Modus zu entfernen... scannen im abgesicherten Modus zeigt überhaupt kein Ergebnis(Antivir)...was mache ich falsch und wie werde ich diesen Vertreter wieder los????
Seitenanfang Seitenende
01.07.2005, 15:00
Member

Beiträge: 291
#2 svchost.exe oder scvhost.exe? Bei Prozesssen ist die genaue Schreibweise extrem wichtig. Poste am besten mal ein HijackThis Log. Eine Erklärung zu HijckThis findest du hier: http://hjt.klaffke.de/. Kopiere dann bitte die VOLLSTÄNDIGE Log Datei hier ins Forum.
Seitenanfang Seitenende
01.07.2005, 15:02
Ehrenmitglied
Avatar Argus

Beiträge: 6028
Seitenanfang Seitenende
01.07.2005, 15:11
...neu hier

Themenstarter

Beiträge: 10
#4 hallo und danke für die schnelle Antwort...ich hoffe ich habe es richtig gemacht....
Logfile of HijackThis v1.99.1
Scan saved at 15:10:31, on 01.07.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\scvhost.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Du mich auch\Desktop\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\windows\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [MSConfig] C:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Personal Computer] scvhost.exe
O4 - HKLM\..\RunServices: [Personal Computer] scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Personal Computer] scvhost.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Office10\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\Office10\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBB5102F-E40F-429D-AAC3-860E269963CA}: NameServer = 145.253.2.196 195.50.140.250
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
Seitenanfang Seitenende
01.07.2005, 15:17
Member

Beiträge: 291
#5 Deaktiviere die Systemwiederherstellung und fixe dann mit HijackThis:
C:\WINDOWS\System32\scvhost.exe
O4 - HKLM\..\Run: [Personal Computer] scvhost.exe
O4 - HKLM\..\RunServices: [Personal Computer] scvhost.exe
O4 - HKCU\..\Run: [Personal Computer] scvhost.exe

und starte dann den Rechner neu. Jetzt sollte sich C:\WINDOWS\System32\scvhost.exe mit Killbox löschen lassen. Dann noch mal HijackThis Log posten.

Danach Systemwiederherstellung wieder aktivieren. Außerdem SP2 installieren und IE aktualisieren.
Seitenanfang Seitenende
01.07.2005, 15:22
...neu hier

Themenstarter

Beiträge: 10
#6 Hmm...leider weiß ich nicht was du mit fixen meinst...Killbox habe ich mir gerade runtergeladen....ist es wichtig den IE zu aktualisieren,weil ich ihn nicht nutze....er geht immer in Verbindung mit dem Online Butler vob arcor auf??

Ich habe gefunden was "fixen" bedeutet....Mache mich jetzt mal an die arbeit....dankeschön
Dieser Beitrag wurde am 01.07.2005 um 15:44 Uhr von Schattenriss editiert.
Seitenanfang Seitenende
01.07.2005, 15:49
Member
Avatar Malkesh

Beiträge: 669
#7 Fixen: HijackThis ausführen -> "do a system scan only" -> dann vor den Einträgen welche du "fixen" möchtest ein Häkchen setzen (sie also auswählen) -> abschließend "Fix Checked" drücken.

Anleitung zu HijackThis:
http://board.protecus.de/t9391.htm
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
01.07.2005, 16:12
...neu hier

Themenstarter

Beiträge: 10
#8 Logfile of HijackThis v1.99.1
Scan saved at 16:13:59, on 01.07.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Dokumente und Einstellungen\Du mich auch\Desktop\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\windows\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [MSConfig] C:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Office10\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\Office10\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
Seitenanfang Seitenende
01.07.2005, 18:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Hallo@Schattenriss

Start -- Ausführen -- cmd -- kopiere nur die Einträge der letzten 40 Tage aus dem sich öffnenden Editor raus

einzeln reinkopieren;)dann öffnet sich der Editor)

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.07.2005, 10:04
...neu hier

Themenstarter

Beiträge: 10
#10 Hallo Sabina....

Hier die die Kopien_:

04.07.2005 09:19 889 vsconfig.xml
04.07.2005 09:19 2.184 wpa.dbl
30.06.2005 10:51 108.600 FNTCACHE.DAT
29.06.2005 14:12 3.808 qtplugin.log
29.06.2005 14:10 157.696 rmoc3260.dll
29.06.2005 14:10 25.088 prefscpl.cpl
29.06.2005 14:10 278.528 pncrt.dll
29.06.2005 14:10 6.656 pndx5016.dll
29.06.2005 14:10 5.632 pndx5032.dll
28.06.2005 12:48 2.957 jupdate-1.5.0_01-b08.log
28.06.2005 12:15 1.260 VBRunTme.LOG
28.06.2005 12:06 0 TFTP264
28.06.2005 12:06 179.200 scvhost.exe

28.06.2005 12:05 4.212 zllictbl.dat
28.06.2005 11:52 39.992 perfc009.dat
28.06.2005 11:52 311.604 perfh009.dat
28.06.2005 11:52 723.744 PerfStringBackup.INI
28.06.2005 11:52 48.156 perfc007.dat
28.06.2005 11:52 316.594 perfh007.dat
28.06.2005 11:05 25.065 wmpscheme.xml
28.06.2005 10:58 261 $winnt$.inf
28.06.2005 10:55 2.951 CONFIG.NT
28.06.2005 10:55 16.832 amcompat.tlb
28.06.2005 10:55 23.392 nscompat.tlb
28.06.2005 10:54 488 WindowsLogon.manifest
28.06.2005 10:54 488 logonui.exe.manifest
28.06.2005 10:54 749 wuaucpl.cpl.manifest
28.06.2005 10:54 749 sapi.cpl.manifest
28.06.2005 10:54 749 nwc.cpl.manifest
28.06.2005 10:54 749 cdplayer.exe.manifest
28.06.2005 10:54 749 ncpa.cpl.manifest
28.06.2005 10:52 21.740 emptyregdb.dat
28.06.2005 10:50 0 h323log.txt
03.06.2005 05:44 67.336 zlcommdb.dll
03.06.2005 05:44 75.528 zlcomm.dll
03.06.2005 05:43 100.096 vsxml.dll
03.06.2005 05:43 354.056 vsutil.dll
03.06.2005 05:43 71.432 vsregexp.dll
03.06.2005 05:43 198.408 vspubapi.dll
03.06.2005 05:43 108.296 vsmonapi.dll
03.06.2005 05:43 124.680 vsinit.dll
03.06.2005 05:42 279.656 vsdatant.sys
03.06.2005 05:42 75.528 vsdata.dll
03.06.2005 05:16 50.864 vsutil_loc0407.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 60CB-D470

Verzeichnis von C:\DOKUME~1\DUMICH~1\LOKALE~1\Temp

04.07.2005 09:57 16.384 ~DF8879.tmp
04.07.2005 09:19 5.669 jusched.log
02.07.2005 12:48 16.384 ~DF3265.tmp
02.07.2005 12:23 4 PMShared
01.07.2005 17:42 16.384 ~DF2C5D.tmp
01.07.2005 17:42 16.384 ~DF8BE2.tmp
01.07.2005 16:07 16.384 ~DFBEBD.tmp
01.07.2005 16:07 16.384 ~DF140A.tmp
01.07.2005 16:07 52 kb.log
01.07.2005 15:52 16.384 ~DFDC3F.tmp
01.07.2005 15:52 16.384 ~DF23FA.tmp
01.07.2005 14:14 16.384 ~DFCE86.tmp
01.07.2005 14:14 16.384 ~DFE8C9.tmp
01.07.2005 13:45 1.909 MWAV.LOG
01.07.2005 13:45 573 mwXface.log
01.07.2005 12:41 16.384 ~DF365F.tmp
01.07.2005 12:12 1.656 java_install_reg.log
01.07.2005 11:29 272.609.280 fna00792.bin
01.07.2005 11:12 16.384 ~DFB900.tmp
01.07.2005 11:12 16.384 ~DFB122.tmp
01.07.2005 02:10 16.384 ~DFD116.tmp
30.06.2005 22:52 2.607 k4011kavgferx.ABI
30.06.2005 01:31 16.384 ~DFEC4B.tmp
29.06.2005 23:31 3.527 Office XP Professional mit FrontPage Setup(0001).txt
29.06.2005 23:31 6.206.764 Office XP Professional mit FrontPage Setup(0001)_Task(0001).txt
29.06.2005 23:29 45.792 offcln10.log
29.06.2005 18:44 16.384 ~DF40C7.tmp
29.06.2005 16:29 16.384 ~DF1BF2.tmp
29.06.2005 15:13 16.384 ~DFC5A0.tmp
29.06.2005 15:05 16.384 ~DF1142.tmp
29.06.2005 15:05 16.384 ~DFB70D.tmp
29.06.2005 13:41 16.384 Perflib_Perfdata_35c.dat
29.06.2005 13:40 16.384 ~DF23F6.tmp
29.06.2005 12:59 16.384 ~DF4486.tmp
29.06.2005 12:59 16.384 ~DF3B5E.tmp
29.06.2005 12:53 5.089.036 tmp-7.xpi
28.06.2005 22:43 16.384 ~DF1653.tmp
28.06.2005 19:32 352.971 gtb1.tmp
28.06.2005 17:54 16.384 ~DF12C7.tmp
28.06.2005 16:25 16.384 ~DF2D3.tmp
28.06.2005 14:09 16.384 ~DF17B4.tmp
28.06.2005 13:51 16.384 ~DF3ED0.tmp
28.06.2005 13:51 16.384 ~DF1B17.tmp
28.06.2005 12:48 23.568 java_install.log
28.06.2005 12:46 6.022 jinstall.cfg
28.06.2005 12:46 80.554 tmp-6.xpi
28.06.2005 12:40 16.384 ~DFA1B.tmp
28.06.2005 12:40 16.384 ~DFAA53.tmp
28.06.2005 12:36 80.554 tmp-5.xpi
28.06.2005 12:35 80.554 tmp-4.xpi
28.06.2005 12:34 80.554 tmp-3.xpi
28.06.2005 12:34 80.554 tmp-2.xpi
28.06.2005 12:32 80.554 tmp-1.xpi
28.06.2005 12:31 514.569 tmp.xpi

28.06.2005 12:07 16.384 ~DF8129.tmp
28.06.2005 11:35 16.384 ~DF5871.tmp
24.06.2005 11:14 63.153 virus019.avc
24.06.2005 11:14 50.153 troj017.avc
24.06.2005 11:14 3.808 daily-ex.avc
24.06.2005 11:14 75.191 virus008.avc


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 60CB-D470

Verzeichnis von C:\WINDOWS

04.07.2005 09:19 0 0.log
04.07.2005 09:19 2.048 bootstat.dat
02.07.2005 12:48 11.294 SchedLgU.Txt
02.07.2005 12:23 595 win.ini
02.07.2005 12:15 227 system.ini
01.07.2005 17:41 14 popcinfo.dat
01.07.2005 15:59 398.198 ntbtlog.txt
30.06.2005 01:31 216 wiadebug.log
30.06.2005 01:31 50 wiaservc.log
29.06.2005 23:31 400 ODBC.INI
29.06.2005 16:27 4.689 svcpack.log
29.06.2005 16:25 248.698 setupapi.log
29.06.2005 14:28 1.409 QTFont.for
29.06.2005 14:28 54.156 QTFont.qfn
29.06.2005 14:13 629 aolback.exe.lnk
29.06.2005 14:10 23.508 wmsetup.log
29.06.2005 14:10 316.640 WMSysPr9.prx
29.06.2005 14:08 335 nsreg.dat
29.06.2005 12:54 99.970 UninstallFirefox.exe
29.06.2005 12:54 4.338 mozver.dat
28.06.2005 13:11 5.168 Codec Pack - All In 1 Setup Log.txt
28.06.2005 11:43 92 CMISETUP.INI
28.06.2005 11:43 26 CMCDPLAY.INI
28.06.2005 11:43 0 Wininit.ini
28.06.2005 11:43 2.444 Ascd_tmp.ini
28.06.2005 11:38 74.784 DirectX.log
28.06.2005 11:05 820 OEWABLog.txt
28.06.2005 11:04 721.681 setuplog.txt
28.06.2005 10:59 8.192 REGLOCS.OLD
28.06.2005 10:58 173.541 setupact.log
28.06.2005 10:58 4.382 imsins.log
28.06.2005 10:58 10.175 tsoc.log
28.06.2005 10:58 1.246 setuperr.log
28.06.2005 10:58 7.871 ntdtcsetup.log
28.06.2005 10:58 15.975 comsetup.log
28.06.2005 10:58 47.977 iis6.log
28.06.2005 10:55 0 control.ini
28.06.2005 10:55 299.552 WMSysPrx.prx
28.06.2005 10:55 4.161 ODBCINST.INI
28.06.2005 10:55 240 Windows Update.log
28.06.2005 10:54 749 WindowsShell.Manifest
28.06.2005 10:53 1.060 sessmgr.setup.log
28.06.2005 10:53 11.537 FaxSetup.log
28.06.2005 10:53 821 msgsocm.log
28.06.2005 10:53 1.065 ocmsn.log
28.06.2005 10:53 12.817 ocgen.log
28.06.2005 10:52 37 vbaddin.ini
28.06.2005 10:52 36 vb.ini
28.06.2005 10:52 128 DtcInstall.log
28.06.2005 10:51 10.030 msmqinst.log
28.06.2005 10:48 0 Sti_Trace.log
28.06.2005 10:46 1.348 regopt.log


Verzeichnis von C:\ ???????????????????


Danke für eure Hilfe...Schattenriss
Seitenanfang Seitenende
04.07.2005, 12:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Hallo@Schattenriss

Das fehlt (andere ist doppelt)

Verzeichnis von C:\

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

----------------------------------------------------------------------------

KillBox
http://www.bleepingcomputer.com/files/killbox.php
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip

Anleitung: (bebildert)
http://virus-protect.org/killbox.html

Delete File on Reboot (anhaken)

C:\WINDOWS\system32\TFTP264
C:\WINDOWS\system32\scvhost.exe
C:\DOKUME~1\DUMICH~1\LOKALE~1\Temp\gtb1.tmp
C:\DOKUME~1\DUMICH~1\LOKALE~1\Temp\tmp-7.xpi
C:\DOKUME~1\DUMICH~1\LOKALE~1\Temp\tmp-6.xpi
C:\DOKUME~1\DUMICH~1\LOKALE~1\Temp\tmp-5.xpi
C:\DOKUME~1\DUMICH~1\LOKALE~1\Temp\tmp-4.xpi
C:\DOKUME~1\DUMICH~1\LOKALE~1\Temp\tmp-3.xpi
C:\DOKUME~1\DUMICH~1\LOKALE~1\Temp\tmp-2.xpi
C:\DOKUME~1\DUMICH~1\LOKALE~1\Temp\tmp-1.xpi
C:\DOKUME~1\DUMICH~1\LOKALE~1\Temp\tmp.xpi


und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

#"you want to reboot" auf "yes" gehen dann kommt eventuell die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process", in diesem Fall muss man selbst den PC booten.

Tools/Programme zur Reinigung der Browser
CCleaner----- lösche alle *temp-Dateien ------
http://virus-protect.org/temp.html

Dann mache onlinescans (2 oder 3 + berichte)

http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.07.2005, 13:19
...neu hier

Themenstarter

Beiträge: 10
#12 Hallo Sabina...


hier erstmal die fehlende Kopie:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 60CB-D470

Verzeichnis von C:\

04.07.2005 13:08 0 sys.txt
04.07.2005 12:40 402.653.184 pagefile.sys
04.07.2005 10:05 4.723 system.txt
04.07.2005 10:02 11.406 systemtemp.txt
04.07.2005 10:00 91.118 system32.txt
02.07.2005 12:15 216 boot.ini
01.07.2005 13:45 2 AVPCallback.log
28.06.2005 13:11 7.482.480 Codecs6026_allin1.exe
28.06.2005 10:55 0 IO.SYS
28.06.2005 10:55 0 AUTOEXEC.BAT
28.06.2005 10:55 0 CONFIG.SYS
28.06.2005 10:55 0 MSDOS.SYS
18.08.2001 12:00 4.952 bootfont.bin
18.08.2001 12:00 224.032 ntldr
18.08.2001 12:00 45.124 NTDETECT.COM
15 Datei(en) 410.517.237 Bytes
0 Verzeichnis(se), 7.320.297.472 Bytes frei



Uns der Scan hat das ergeben:

Incident Status Location

Virus:W32/Gaobot.FRY.worm Disinfected C:\WINDOWS\system32\scvhost.exe
Possible Virus. No disinfected E:\System Volume Information\_restore{4C2FE999-C5EF-40A9-90E1-50409DEF44E4}\RP62\A0031965.EXE

....-;(((

Schattenriss
Seitenanfang Seitenende
04.07.2005, 14:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 versuche es mit der Killbox zu loeschen, ansonsten musst du die Systemwiederherstellung deaktivieren (und dann wieder aktivieren)

http://virus-protect.org/Systemwiederherstellung.html
------------------------------------------------------------------------------------------------------------------------------------------------------------------

E:\System Volume Information\_restore{4C2FE999-C5EF-40A9-90E1-50409DEF44E4}\RP62\A0031965.EXE


ansonsten duerfte nun alles wieder palletti sein ;)

Damit du hier nicht"Dauerkunde" wirst--> mache unbedingt die WindowsUpdates--> lade SP2
http://virus-protect.org/nachneuinst.html

(es ist mir ein Raetsel, wie du dich ins Net traust, ohne die Sicherheitsupdates)

wende das Tool an:
http://virus-protect.org/windsdoorcleaner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.07.2005, 14:21
...neu hier

Themenstarter

Beiträge: 10
#14 Hallo Sabina


Vielen Dank.....öööhmm...ich lade mir die Updates runter....


Schattenriss
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: