scvhost.exe nerviges Problem

#0
08.04.2006, 20:31
...neu hier

Beiträge: 8
#1 Hi,
habe ein große Problem mit diesem MIst Ding von scvhost.exe.
Ich bekomme dieses ding mit den vereschiedensten Virenscanner nicht los ua. Antivir und F-Prot Antivir.
Außerdem sag mir mein rechner was davon das ich etwas umstellen muss wenn ich unter Ausführen regedit eingebe.
Mein hijackthis ist:
Logfile of HijackThis v1.99.1
Scan saved at 20:26:09, on 08.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FSI\F-Prot\fpavupdm.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FSI\F-Prot\F-StopW.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\LimeWire\LimeWire.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ANDR~1\LOKALE~1\Temp\Rar$EX01.328\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe

O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\FSI\F-Prot\fpavupdm.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

könnt ihr mir dabei vielleicht helfen? Wäre echt nett.
mfg
waland
Seitenanfang Seitenende
08.04.2006, 22:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 waland

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

PC neustarten

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.04.2006, 12:06
...neu hier

Themenstarter

Beiträge: 8
#3 Danke für die schnelle antwort. Leider hat sich das Problem danach bei mir nicht behoben. Ich habe immer noch die datei scvhost.exe drauf.

Logfile of HijackThis v1.99.1
Scan saved at 12:04:17, on 09.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FSI\F-Prot\fpavupdm.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\FSI\F-Prot\F-StopW.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ANDR~1\LOKALE~1\Temp\Rar$EX01.250\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\FSI\F-Prot\fpavupdm.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

hier ist nochmal die aktuelle HijackThis datei
Seitenanfang Seitenende
09.04.2006, 14:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 waland

ja... so kann ich nicht arbeiten. Natuerlich ist der Virus noch drauf und ohne die 4 Logs von datfindbat kann ich dir nicht weiterhelfen.
Du solltest abarbeiten, worum ich dich gebeten hatte.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.04.2006, 19:52
...neu hier

Themenstarter

Beiträge: 8
#5 Sorry hab ich vergessen hier ist das:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6384-4FFC

Verzeichnis von C:\DOKUME~1\ANDR~1\LOKALE~1\Temp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6384-4FFC

Verzeichnis von C:\

09.04.2006 19:55 0 sys.txt
09.04.2006 19:55 8.100 system.txt
09.04.2006 19:55 134 systemtemp.txt
09.04.2006 19:55 94.428 system32.txt
09.04.2006 19:18 401.133.568 hiberfil.sys
09.04.2006 19:18 603.979.776 pagefile.sys
08.04.2006 20:11 211 boot.ini
08.04.2006 13:22 4 AVPCallback.log
19.03.2006 15:43 13.030 PDOXUSRS.NET
06.03.2006 21:38 5 tzort.vul
16.01.2006 21:06 22.484 test.txt
16.01.2006 21:02 8 testbd.txt
12.01.2006 16:18 66 UEFA2000.cfg
04.11.2005 21:37 0 IO.SYS
04.11.2005 21:37 0 MSDOS.SYS
31.10.2005 17:56 700.416 StubInstaller.exe
04.08.2004 10:00 47.564 ntdetect.com
04.08.2004 10:00 4.952 bootfont.bin
04.08.2004 10:00 251.184 ntldr
19 Datei(en) 1.006.255.930 Bytes
0 Verzeichnis(se), 64.594.493.440 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6384-4FFC

Verzeichnis von C:\WINDOWS

09.04.2006 19:19 54.156 QTFont.qfn
09.04.2006 19:19 0 0.log
09.04.2006 19:19 1.933.851 WindowsUpdate.log
09.04.2006 19:18 50 wiaservc.log
09.04.2006 19:18 159 wiadebug.log
09.04.2006 19:18 32.586 SchedLgU.Txt
09.04.2006 19:18 2.048 bootstat.dat
09.04.2006 19:12 290.816 Setup1.exe
09.04.2006 19:11 74.752 ST6UNST.EXE
09.04.2006 19:06 1.409 QTFont.for
08.04.2006 20:11 227 system.ini
08.04.2006 20:11 573 win.ini
08.04.2006 13:15 26 Lic.xxx
08.04.2006 12:44 879.578 setupapi.log
03.04.2006 12:31 76.751 wmsetup.log
18.03.2006 15:14 214.376 setupact.log
11.03.2006 12:14 468 BRWMARK.INI
10.03.2006 17:15 9.811 WGA.log
10.03.2006 17:14 748 ODBC.INI
10.03.2006 16:53 2.560 _MSRSTRT.EXE
27.02.2006 21:48 27 BRPP2KA.INI
26.02.2006 23:54 52.480 iis6.log
26.02.2006 23:54 121.614 comsetup.log
26.02.2006 23:54 132.675 tsoc.log
26.02.2006 23:54 72.069 ntdtcsetup.log
26.02.2006 23:54 18.454 ocmsn.log
26.02.2006 23:54 1.374 imsins.log
26.02.2006 23:54 6.437 KB890923.log
26.02.2006 23:54 166.214 ocgen.log
26.02.2006 23:54 16.800 msgsocm.log
26.02.2006 23:54 342.728 FaxSetup.log
23.02.2006 15:37 0 setuperr.log
20.02.2006 22:30 385 BkcEmu.ini
20.02.2006 22:30 4.161 ODBCINST.INI
17.02.2006 15:20 923 spupdsvc.log
16.02.2006 20:40 1.374 imsins.BAK
16.02.2006 20:40 11.452 KB911927.log
16.02.2006 20:40 14.278 updspapi.log
16.02.2006 20:40 4.600 KB911564.log
16.02.2006 20:40 5.104 KB911565.log
16.02.2006 20:40 7.107 KB913446.log
28.01.2006 19:58 2.209 OEWABLog.txt
22.01.2006 12:54 9.423 mozver.dat
22.01.2006 12:51 107.132 UninstallFirefox.exe
22.01.2006 12:50 335 nsreg.dat
22.01.2006 12:50 99.024 MozillaUninstall.exe
22.01.2006 12:49 98.512 GREUninstall.exe
22.01.2006 12:46 121 GEARInstall.log
16.01.2006 17:17 157.846 Plagiarism-Finder Uninstaller.exe
11.01.2006 23:45 10.929 KB908519.log
06.01.2006 20:47 38 wininit.ini
06.02.1998 22:35 304.128 unin0407.exe
158 Datei(en) 27.426.765 Bytes
0 Verzeichnis(se), 64.594.493.440 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6384-4FFC

Verzeichnis von C:\WINDOWS\system32

09.04.2006 19:43 422.635 ckl009.dat
09.04.2006 19:22 534 ahdp.dat
09.04.2006 19:19 163.328 wsock32.sys

08.04.2006 12:46 380.684 perfh009.dat
08.04.2006 12:46 391.574 perfh007.dat
08.04.2006 12:46 53.098 perfc009.dat
08.04.2006 12:46 63.976 perfc007.dat
08.04.2006 12:46 897.778 PerfStringBackup.INI
04.04.2006 12:10 184.352 scvhost.exe
04.04.2006 12:10 184.352 r15o922UXD.ini

31.03.2006 13:43 1.158 wpa.dbl
15.03.2006 19:55 87.561 ahdp.dll
15.03.2006 15:56 174.672 FNTCACHE.DAT
10.03.2006 02:10 4.799.320 MRT.exe
27.02.2006 21:48 30 brss01a.ini
27.02.2006 21:48 184 brsvc01a.bsi
14.02.2006 10:20 550.120 LegitCheckControl.dll
13.02.2006 20:03 8.632 spmsg.dll
02.02.2006 17:14 4 msdbcrpt.kar.{fbdfea4c-c65a-477f-864c-f28667e6277a}
02.02.2006 17:14 4 fsdbcrpt.kar.{fbdfea4c-c65a-477f-864c-f28667e6277a}
26.01.2006 20:36 716.800 divxdec.ax
26.01.2006 20:36 574.976 DivX.dll
26.01.2006 20:35 679.936 divx_xx07.dll
26.01.2006 20:35 679.936 divx_xx0c.dll
26.01.2006 20:35 663.552 divx_xx11.dll
Dieser Beitrag wurde am 09.04.2006 um 19:59 Uhr von waland editiert.
Seitenanfang Seitenende
09.04.2006, 23:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 waland

Backdoor.Win32.Ciadoor.13
http://virus-protect.org/artikel/dienste/wsock32sys.html

-----------------------------------------------------------------
1.
gehe in die Registry...du müsstest nun eigentlich wieder in die Registry kommen....

Start->Ausführen --> regedit

*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen)

*
DisableRegistryTools = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen)

*
HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn. Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein

bearbeiten --> suchen

* Generic Host Process
* scvhost
* Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
* r15o922UXD.ini
* VB and VBA

loesche alles , was noch vorhanden ist.

*
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Generic Host Process"

*
[HKEY_USERS\S-1-5-21-329068152-1659004503-839522115-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run]
"Generic Host Process"

*
HKCU\Software\VB and VBA Program Settings\set\set]
set - r15o922UXD.ini
--> loeschen

---------------------------------------------------------------------

2.
Klick Start>> Ausführen>> schreibe Services.msc und Klick OK!
"Eigenschaften" >> Click "Stop">> Starttyp "deaktiviert"

Windows-Firewall/Gemeinsame Nutzung der Internetverbindung

--------------------------------------------------------------------------

3.
Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke O.K.

Zitat

sc delete Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
---------------------------------------------------------------------

4.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SHAREDACCESS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SHAREDACCESS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SHAREDACCESS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SHAREDACCESS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\SharedAccess]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHAREDACCESS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
--------

5.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .......

C:\tzort.vul
C:\StubInstaller.exe
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\ahdp.dat
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\system32\r15o922UXD.ini
C:\WINDOWS\system32\ahdp.dll

PC neustarten

6.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen mit "ja"

------------------------------------------------------------------
7.
boote wieder in den Normalmodus

8.
scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

9.
Die XP-Firewall wieder aktivieren [Windows-Firewall/Gemeinsame Nutzung der Internetverbindung]
http://www.wintotal.de/Tipps/Eintrag.php?TID=1157
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.04.2006, 13:08
...neu hier

Beiträge: 1
#7 Hallo Leute!
Mein Rechner ist auch mit den beiden lästigen Dateien
wupdmgr.exe und osaupd.exe infiziert. Als Anti-Spyware Programm habe ich
AD-Adware SE installiert doch es zeigt keine Wirkung obwohl es auf den neusten Stand ist und als Hintergrund erscheint eine Security Warnung auf English (security.html) und auf der Taskleiste erscheinen zwei Ausrufezeichen im Comicstiel die sich manchmal mit dieser Meldung "Warning! Spyware instrusion detected" und "Your Computer ist defectet" erscheinen.
Manuelles Löschen dieser Dateien bringt nichts da sich diese nicht löschen lassen. Die einzigste Lösung wäre eine komplette neu-installation von Windows nur dazu habe ich keine Lust da es zu zeitaufwändig ist.
Könnt ihr mir dabei helfen?
Seitenanfang Seitenende
10.04.2006, 14:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 JLPicard06

du bist im falschen Thread gelandet...

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Hijackthis -->
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.04.2006, 20:26
...neu hier

Themenstarter

Beiträge: 8
#9 Danke mal wieder für die schnelle Hilfe.
Aber ich komme leider nicht mal mehr über den ersten schritt hinaus. Ich kann immer noch nicht über Ausführen und dann regedit eingeben. Mir wird dann gesagt das: Das Berabeiten der Regestrierung wurde durch den Adminstrator deaktiviert
wie kann das Problem beheben?
Mfg
waland
Seitenanfang Seitenende
10.04.2006, 23:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 http://virus-protect.org/artikel/dienste/wsock32sys.html


Hijackthis -->
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.04.2006, 23:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 waland

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .......

C:\tzort.vul
C:\StubInstaller.exe
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\ahdp.dat
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\system32\r15o922UXD.ini
C:\WINDOWS\system32\ahdp.dll

PC neustarten



öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

PC neustarten

dann solltest du auch wieder in die Registry kommen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.04.2006, 18:52
...neu hier

Themenstarter

Beiträge: 8
#12 Hi danke wieder für die Hilfe
hier ist der report von kaspersky antivir:
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Tuesday, April 11, 2006 6:49:42 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 11/04/2006
Kaspersky Anti-Virus database records: 176241
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\

Scan Statistics:
Total number of scanned objects: 45716
Number of viruses found: 2
Number of infected objects: 3
Number of suspicious objects: 0
Duration of the scan process: 01:10:40

Infected Object Name / Virus Name / Last Action
C:\!KillBox\r15o922UXD.ini Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\!KillBox\scvhost.exe Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\!KillBox\wsock32.sys Infected: Backdoor.Win32.Ciadoor.13 skipped

Scan process completed.

mfg waland
Seitenanfang Seitenende
12.04.2006, 00:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 waland

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}]
PC neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fix.reg" auf dem Desktop doppelklicken

loesche:
C:\!KillBox\r15o922UXD.ini
C:\!KillBox\scvhost.exe
C:\!KillBox\wsock32.sys
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: