scvhost.exe (win32:ciadoor-21) u.a. Firewall und Registry ohne Funktion

#0
12.04.2006, 11:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 frank_stoned

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}]
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fix.reg" auf dem Desktop doppelklicken und der Registry beifuegen.

dann berichte, wie es um die Firewall bestellt ist ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.04.2006, 12:35
Member

Themenstarter

Beiträge: 13
#17 ich habe am pc zwei benutzerprofile, stefan und hurricane.
punkt 2 habe ich in beiden profilen durchgeführt.
die reg-datei habe ich auf dem desktop von stefan gespeichert.
habe den pc mit f8 abgesichert gestartet, mich am profil administrator angemeldet und von da die fix.reg die auf dem desktop von stefan lag gestartet.
anschließend habe ich den pc gestartet und kurz nach dem anmelden an stefan war die firewall aktiv und funktionierte. nach ein paar sekunden war sie dann wieder deaktiviert. bei hurricane funktionierte sie gar nicht. wenn ich die einstellungen im sicherheitscenter ansehen möchte, kommt diese meldung (in beiden profilen): aufgrund eines unbekannten problems können die einstellungen der windows-firewall nicht angezeigt werden.

habe auch mal bei den diensten nach gesehen. dort ist der dienst Windows-Firewall/Gemeinsame Nutzung der Internetverbindung nicht vorhanden.
Dieser Beitrag wurde am 12.04.2006 um 12:43 Uhr von frank_stoned editiert.
Seitenanfang Seitenende
12.04.2006, 14:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 nun, ich sehe schon...es gibt zwei Profile.
Das wusste ich nicht.
Wenn du nicht formatieren willst, muessen wir noch mal beginnen.

Poste von beiden Profilen das log vom HijackThis + 4 logs von Datfindbat.
dann sehen wir weiter....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.04.2006, 14:53
Member

Themenstarter

Beiträge: 13
#19 logs für profil "hurricane":

Logfile of HijackThis v1.99.1
Scan saved at 14:32:00, on 12.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\system32\PRISMSTA.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Steam\steam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://welcome.icq.com/js/ppfile.html?0
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [ATIPTA] "C:\ATI-CPanel\atiptaxx.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download with Star Downloader - C:\Programme\Star Downloader\sdie.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133388519859
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_mp3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{76483465-4C23-40A9-BF72-994A32A8BA0B}: NameServer = 217.237.151.97 217.237.150.33
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe


datfind:

Verzeichnis von C:\WINDOWS\system32

09.04.2006 12:08 3.002 CONFIG.NT
05.04.2006 00:32 7.006 jupdate-1.5.0_06-b05.log
04.04.2006 12:23 380.350 perfh009.dat
04.04.2006 12:23 52.764 perfc009.dat
04.04.2006 12:23 390.944 perfh007.dat
04.04.2006 12:23 63.534 perfc007.dat
04.04.2006 12:23 897.848 PerfStringBackup.INI
26.03.2006 05:51 664 d3d9caps.dat
17.03.2006 18:43 2.206 wpa.dbl
10.03.2006 02:10 4.799.320 MRT.exe
05.03.2006 13:39 98.304 CmdLineExt.dll
04.03.2006 07:14 134.072 FNTCACHE.DAT
06.02.2006 21:42 86.016 dpl100.dll
06.02.2006 21:42 593.920 dpuGUI11.dll
06.02.2006 21:42 200.704 dtu100.dll
06.02.2006 21:41 339.968 dpus11.dll
06.02.2006 21:41 57.344 dpv11.dll
06.02.2006 21:41 294.912 dpu10.dll
06.02.2006 21:41 294.912 dpu11.dll
06.02.2006 21:41 716.800 divxdec.ax
06.02.2006 21:41 574.976 DivX.dll
06.02.2006 21:41 679.936 divx_xx07.dll
06.02.2006 21:41 679.936 divx_xx0c.dll
06.02.2006 21:41 663.552 divx_xx11.dll
05.02.2006 13:56 37 getfile.dat
27.01.2006 23:38 503.296 aswBoot.exe
27.01.2006 23:30 90.112 AVASTSS.scr
21.01.2006 04:41 12.288 DivXWMPExtType.dll
21.01.2006 00:46 4.276 divxsm.tlb
21.01.2006 00:46 778.240 DivXsm.exe
21.01.2006 00:46 10.716 dsm_ja.qm
21.01.2006 00:46 15.331 dsm_de.qm
21.01.2006 00:46 15.172 dsm_fr.qm
21.01.2006 00:46 1.044.480 libdivx.dll
21.01.2006 00:46 200.704 ssldivx.dll
21.01.2006 00:46 245.408 unicows.dll
21.01.2006 00:46 421.888 pxdrv.dll
21.01.2006 00:46 108.544 pxcpyi64.exe
21.01.2006 00:46 109.568 pxinsi64.exe
21.01.2006 00:46 172.032 pxmas.dll
21.01.2006 00:46 372.736 px.dll
21.01.2006 00:46 56.832 pxcpya64.exe
21.01.2006 00:46 61.440 pxhpinst.exe
21.01.2006 00:46 56.320 pxinsa64.exe
21.01.2006 00:46 339.968 pxwave.dll
21.01.2006 00:46 28.672 vxblock.dll
21.01.2006 00:46 3.596.288 qt-dx331.dll
21.01.2006 00:46 8.523 dpude.qm
21.01.2006 00:46 53.248 dpuGUI10.dll
21.01.2006 00:46 3.136 dtu_de.qm
18.01.2006 12:45 352.256 PDFSpooler.exe
04.01.2006 05:35 68.096 webclnt.dll


Verzeichnis von C:\DOKUME~1\HURR!C~1\LOKALE~1\Temp

12.04.2006 14:46 17.792 browserview-e42e54.htm
12.04.2006 14:40 16.384 ~DF85C9.tmp
12.04.2006 14:40 512 ~DF85C0.tmp
12.04.2006 14:40 16.384 ~DF85B7.tmp
12.04.2006 14:40 512 ~DF85D2.tmp
12.04.2006 14:40 16.384 ~DF8578.tmp
12.04.2006 14:40 512 ~DF85AE.tmp
12.04.2006 14:40 512 ~DF856F.tmp
12.04.2006 14:40 16.384 ~DF8566.tmp
12.04.2006 14:34 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}25956.html
12.04.2006 14:29 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}19529.html
12.04.2006 14:04 416 java_install_reg.log
12.04.2006 13:40 1.854 jusched.log
12.04.2006 13:40 16.384 ~DFCF28.tmp
12.04.2006 13:40 16.384 ~DFC139.tmp
12.04.2006 13:40 512 ~DFC142.tmp
12.04.2006 13:28 90.112 ~14.tmp
12.04.2006 12:55 16.384 Perflib_Perfdata_d04.dat
11.04.2006 03:00 49.152 ~DF6B6F.tmp
11.04.2006 00:44 419 kb.log
11.04.2006 00:38 16.384 ~DFC433.tmp


Verzeichnis von C:\WINDOWS

12.04.2006 13:36 2.061.542 WindowsUpdate.log
12.04.2006 13:30 4.540 ModemLog_PCI SoftV92 Data Fax Modem with SmartCP.txt
12.04.2006 13:30 0 0.log
12.04.2006 13:30 159 wiadebug.log
12.04.2006 13:30 50 wiaservc.log
12.04.2006 13:30 2.048 bootstat.dat
12.04.2006 12:20 162.374 ntbtlog.txt
12.04.2006 12:19 32.608 SchedLgU.Txt
11.04.2006 13:51 116 NeroDigital.ini
11.04.2006 00:59 820.548 setupapi.log
10.04.2006 01:41 32.831 DirectX.log
09.04.2006 13:19 502 ODBC.INI
08.04.2006 17:14 1.222 EventSystem.log
07.04.2006 16:34 22.587 wmsetup.log
04.04.2006 12:22 2.082 ModemLog_Standardmodem ber Bluetooth-Verbindung.txt
31.03.2006 14:42 673 cdplayer.ini
07.03.2006 12:57 855 win.ini
25.02.2006 14:15 349.215 setupact.log
20.02.2006 19:15 83 wwp.INI
18.02.2006 11:20 923 spupdsvc.log
18.02.2006 05:08 39.056 MedCtrOC.log
18.02.2006 05:08 19.349 ehOCGen.log
18.02.2006 05:08 109.488 comsetup.log
18.02.2006 05:08 380.043 iis6.log
18.02.2006 05:08 65.730 ntdtcsetup.log
18.02.2006 05:08 1.374 imsins.log
18.02.2006 05:08 17.235 ocmsn.log
18.02.2006 05:08 142.451 tsoc.log
18.02.2006 05:08 15.289 tabletoc.log
18.02.2006 05:08 10.686 KB911927.log
18.02.2006 05:08 39.388 plusoc.log
18.02.2006 05:08 66.851 netfxocm.log
18.02.2006 05:08 15.344 msgsocm.log
18.02.2006 05:08 158.934 ocgen.log
18.02.2006 05:08 294.592 FaxSetup.log
18.02.2006 05:08 100.992 msmqinst.log
18.02.2006 05:08 18.711 updspapi.log
18.02.2006 05:08 1.374 imsins.BAK
18.02.2006 05:08 10.097 KB911565.log
18.02.2006 05:07 6.702 KB913446.log
11.01.2006 15:16 10.173 KB908519.log
06.01.2006 15:39 11.070 KB912919.log


Verzeichnis von C:\

12.04.2006 14:50 0 sys.txt
12.04.2006 14:50 8.322 system.txt
12.04.2006 14:49 1.447 systemtemp.txt
12.04.2006 14:49 99.466 system32.txt
12.04.2006 13:30 1.610.612.736 pagefile.sys
11.02.2006 15:10 3.185 PDFCreator-Errorlog.txt



logs für profil "stefan":

Logfile of HijackThis v1.99.1
Scan saved at 14:40:27, on 12.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\system32\PRISMSTA.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Trillian\trillian.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [ATIPTA] "C:\ATI-CPanel\atiptaxx.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133388519859
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_mp3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{76483465-4C23-40A9-BF72-994A32A8BA0B}: NameServer = 217.237.151.97 217.237.150.33
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe


datfind:

Verzeichnis von C:\WINDOWS\system32

09.04.2006 12:08 3.002 CONFIG.NT
05.04.2006 00:32 7.006 jupdate-1.5.0_06-b05.log
04.04.2006 12:23 380.350 perfh009.dat
04.04.2006 12:23 52.764 perfc009.dat
04.04.2006 12:23 390.944 perfh007.dat
04.04.2006 12:23 63.534 perfc007.dat
04.04.2006 12:23 897.848 PerfStringBackup.INI
26.03.2006 05:51 664 d3d9caps.dat
17.03.2006 18:43 2.206 wpa.dbl
10.03.2006 02:10 4.799.320 MRT.exe
05.03.2006 13:39 98.304 CmdLineExt.dll
04.03.2006 07:14 134.072 FNTCACHE.DAT
06.02.2006 21:42 86.016 dpl100.dll
06.02.2006 21:42 593.920 dpuGUI11.dll
06.02.2006 21:42 200.704 dtu100.dll
06.02.2006 21:41 339.968 dpus11.dll
06.02.2006 21:41 57.344 dpv11.dll
06.02.2006 21:41 294.912 dpu10.dll
06.02.2006 21:41 294.912 dpu11.dll
06.02.2006 21:41 716.800 divxdec.ax
06.02.2006 21:41 574.976 DivX.dll
06.02.2006 21:41 679.936 divx_xx07.dll
06.02.2006 21:41 679.936 divx_xx0c.dll
06.02.2006 21:41 663.552 divx_xx11.dll
05.02.2006 13:56 37 getfile.dat
27.01.2006 23:38 503.296 aswBoot.exe
27.01.2006 23:30 90.112 AVASTSS.scr
21.01.2006 04:41 12.288 DivXWMPExtType.dll
21.01.2006 00:46 4.276 divxsm.tlb
21.01.2006 00:46 778.240 DivXsm.exe
21.01.2006 00:46 10.716 dsm_ja.qm
21.01.2006 00:46 15.331 dsm_de.qm
21.01.2006 00:46 15.172 dsm_fr.qm
21.01.2006 00:46 1.044.480 libdivx.dll
21.01.2006 00:46 200.704 ssldivx.dll
21.01.2006 00:46 245.408 unicows.dll
21.01.2006 00:46 421.888 pxdrv.dll
21.01.2006 00:46 108.544 pxcpyi64.exe
21.01.2006 00:46 109.568 pxinsi64.exe
21.01.2006 00:46 172.032 pxmas.dll
21.01.2006 00:46 372.736 px.dll
21.01.2006 00:46 56.832 pxcpya64.exe
21.01.2006 00:46 61.440 pxhpinst.exe
21.01.2006 00:46 56.320 pxinsa64.exe
21.01.2006 00:46 339.968 pxwave.dll
21.01.2006 00:46 28.672 vxblock.dll
21.01.2006 00:46 3.596.288 qt-dx331.dll
21.01.2006 00:46 8.523 dpude.qm
21.01.2006 00:46 53.248 dpuGUI10.dll
21.01.2006 00:46 3.136 dtu_de.qm
18.01.2006 12:45 352.256 PDFSpooler.exe
04.01.2006 05:35 68.096 webclnt.dll


Verzeichnis von C:\DOKUME~1\STEFAN\LOKALE~1\Temp

12.04.2006 14:36 856 ~WRD0000.doc
12.04.2006 14:36 512 ~DF61D.tmp
12.04.2006 12:33 2.472 jusched.log
11.04.2006 17:10 798.234 IMTA.xml
11.04.2006 17:10 426 IMT9.xml
11.04.2006 17:10 2.036 IMT8.xml
11.04.2006 14:02 416 java_install_reg.log
10.04.2006 16:57 693 BWInstall.log


Verzeichnis von C:\WINDOWS

12.04.2006 13:36 2.061.542 WindowsUpdate.log
12.04.2006 13:30 4.540 ModemLog_PCI SoftV92 Data Fax Modem with SmartCP.txt
12.04.2006 13:30 0 0.log
12.04.2006 13:30 159 wiadebug.log
12.04.2006 13:30 50 wiaservc.log
12.04.2006 13:30 2.048 bootstat.dat
12.04.2006 12:20 162.374 ntbtlog.txt
12.04.2006 12:19 32.608 SchedLgU.Txt
11.04.2006 13:51 116 NeroDigital.ini
11.04.2006 00:59 820.548 setupapi.log
10.04.2006 01:41 32.831 DirectX.log
09.04.2006 13:19 502 ODBC.INI
08.04.2006 17:14 1.222 EventSystem.log
07.04.2006 16:34 22.587 wmsetup.log
04.04.2006 12:22 2.082 ModemLog_Standardmodem ber Bluetooth-Verbindung.txt
31.03.2006 14:42 673 cdplayer.ini
07.03.2006 12:57 855 win.ini
25.02.2006 14:15 349.215 setupact.log
20.02.2006 19:15 83 wwp.INI
18.02.2006 11:20 923 spupdsvc.log
18.02.2006 05:08 39.056 MedCtrOC.log
18.02.2006 05:08 19.349 ehOCGen.log
18.02.2006 05:08 109.488 comsetup.log
18.02.2006 05:08 380.043 iis6.log
18.02.2006 05:08 65.730 ntdtcsetup.log
18.02.2006 05:08 1.374 imsins.log
18.02.2006 05:08 17.235 ocmsn.log
18.02.2006 05:08 142.451 tsoc.log
18.02.2006 05:08 15.289 tabletoc.log
18.02.2006 05:08 10.686 KB911927.log
18.02.2006 05:08 39.388 plusoc.log
18.02.2006 05:08 66.851 netfxocm.log
18.02.2006 05:08 15.344 msgsocm.log
18.02.2006 05:08 158.934 ocgen.log
18.02.2006 05:08 294.592 FaxSetup.log
18.02.2006 05:08 100.992 msmqinst.log
18.02.2006 05:08 18.711 updspapi.log
18.02.2006 05:08 1.374 imsins.BAK
18.02.2006 05:08 10.097 KB911565.log
18.02.2006 05:07 6.702 KB913446.log
11.01.2006 15:16 10.173 KB908519.log
06.01.2006 15:39 11.070 KB912919.log


Verzeichnis von C:\

12.04.2006 14:46 0 sys.txt
12.04.2006 14:46 8.322 system.txt
12.04.2006 14:44 795 systemtemp.txt
12.04.2006 14:42 99.466 system32.txt
12.04.2006 13:30 1.610.612.736 pagefile.sys
11.02.2006 15:10 3.185 PDFCreator-Errorlog.txt
Seitenanfang Seitenende
12.04.2006, 15:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 alles in Ordnung.... wende die reg-Datei an auf beiden Profilen + im abges.Modus als Administrator.

bearbeiten --> suchen

* Generic Host Process
* scvhost

------------------------------------------------------------------------

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\set\set\set --> loeschen

------------------------------------------------------------------------

**
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
HKEY_CURRENT_USER\Software\Microsoft\security center

"AntiVirusDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"FirewallOverride"=dword:00000000
"FirstRunDisabled"=dword:00000001
"UpdatesDisableNotify"=dword:00000000

**
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001

**
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
EnableFirewall
dword:00000001

**
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
EnableFirewall
dword:00000001

------------------------------------------------------------------------------

dann scanne mit Kaspersky (beide Profile und berichte, ob noch was gefunden wird)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.04.2006, 00:36
Member

Themenstarter

Beiträge: 13
#21 profil "stefan":

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001

existiert nur bis sharedaccess


HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
EnableFirewall
dword:00000001

HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
EnableFirewall
dword:00000001

existieren nicht


profil "hurricane":

Windows-Firewall/Gemeinsame Nutzung der Internetverbindung -> existiert in hkcu\software\microsoft\windows\currentversion\explorer\runmru als schlüssel name "c" und wert "sc delete Windows-Firewall/Gemeinsame Nutzung der Internetverbindung\1"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001

existiert nur bis sharedaccess


HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
EnableFirewall
dword:00000001

HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
EnableFirewall
dword:00000001

existieren nicht


kaspersky findet nichts
Seitenanfang Seitenende
13.04.2006, 12:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 1.
"EnableFirewall"=dword:00000001 -> alle Firewall-Eintraege, muessen auf 1 stehen

lege die Schluessel an, falls es sie nicht gibt

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\StandardProfile\EnableFirewall = '1'
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall = '1'
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile = '1'

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\EnableFirewall = 1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\EnableFirewall = 1

2.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride = '0'
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify = '0'

PC neustarten !

+
XP-Firewall (MS)...in englisch...
http://www.microsoft.com/technet/community/columns/cableguy/cg0204.mspx
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.04.2006, 13:02
Member

Themenstarter

Beiträge: 13
#23 nach dem abarbeiten aller schritte und neustarten des pcs öffnete ich nach dem anmelden sofort den sicherheitcenter. ca. 10 sekunden war die firewall aktiv. dann wurde sie inaktiv. auch in die firewall-einstellungen komme ich nicht rein. da kommt weiterhin folgende meldung: "aufgrund eines unbekannten problems können die einstellungen der windows-firewall nicht angezeigt werden." habe auch mal in der verwaltung bei den diensten nach gesehen. dort ist der dienst Windows-Firewall/Gemeinsame Nutzung der Internetverbindung NICHT vorhanden.
Seitenanfang Seitenende
13.04.2006, 13:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 versuche mal das:
http://www.wintotal.de/Tipps/Eintrag.php?TID=1157

(P.s: ich habe wohl auch dazugelernt, und habe meine Seite regidiert.....)

Zitat

O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
(SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe
der Service scheint vom Trojaner gekapert worden zu sein, aber man darf ihn anscheinend nicht voellig ausloeschen....=
So richtig habe ich noch nicht verstanden... was das soll.
Oder der Trojaner erstellt einen Service, mit dem gleichen Namen wie die Firewall...sehr perfide....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.04.2006, 13:44
Member

Themenstarter

Beiträge: 13
#25 ja genau. daran müsste es gelegen haben. ich habe jetzt nämlich diese reg-datei ausgeführt und anschließend hat es jetzt funktioniert. wunderbar!

vielen, vielen dank für deine hilfe und die betreuung in den letzten tagen.
du hast es echt drauf!;)
Seitenanfang Seitenende
15.04.2006, 15:19
...neu hier

Beiträge: 6
#26 Hallo ,
das ist meine Logfile.
Ich hoffe ihr könnt mir mit meinen Problemen helfen.

Logfile of HijackThis v1.99.1
Scan saved at 01:53:26, on 14.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\svchost.exe
c:\programme\internet explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Malware Shield\psh_svc.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Philips\Philips Device Transfer Pop-up\PDeviceConn.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Download Manager\IDMan.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\wupdmgr.exe
C:\WINDOWS\osaupd.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Azureus\Azureus.exe
C:\WINDOWS\system32\ping.exe
C:\WINDOWS\system32\LVComsX.exe
C:\Dokumente und Einstellungen\Yasin\Desktop\godfather.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Yasin\LOKALE~1\Temp\Rar$EX00.390\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)
O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} - (no file)
O2 - BHO: (no name) - {00000000-F09C-02B4-6EC2-AD0300000000} - (no file)
O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Programme\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)
O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Windows Genuine Tool - {c815ace8-3dbf-4ffd-8231-ab1d21e8b7ee} - %SystemRoot%\system32\Audiodevs.dll (file missing)
O2 - BHO: CAdBlocker Object - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - C:\Programme\Acronis\PrivacyExpert\Blocker.dll
O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
O2 - BHO: AddressBar Class - {f65b197f-8260-4d52-909a-f70118e646eb} - C:\WINDOWS\system32\iasada.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LaunchPDeviceConn] "C:\Programme\Philips\Philips Device Transfer Pop-up\PDeviceConn.exe"
O4 - HKLM\..\Run: [nod32.] C:\WINDOWS\system32\nod32.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\system32\runsrv32.exe
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [Shield] C:\Programme\Acronis\PrivacyExpert\Shield.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [IDMan] C:\Programme\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: wupdmgr.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download All Links with IDM - C:\Programme\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Programme\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Acronis Pop-Up-Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\Programme\Acronis\PrivacyExpert\Blocker.dll
O9 - Extra 'Tools' menuitem: Acronis Pop-Up-Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\Programme\Acronis\PrivacyExpert\Blocker.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37710.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe
O23 - Service: Acronis Malware Shield Service (psh_svc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Malware Shield\psh_svc.exe
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Ich danke allen die miir helfen im vorraus.


MfG
DaLehrling ;);)
Seitenanfang Seitenende
15.04.2006, 15:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 DaLehrling

viel Hoffnung mache ich dir nicht...der PC ist voellig verseucht.....

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe

O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)
O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} - (no file)
O2 - BHO: (no name) - {00000000-F09C-02B4-6EC2-AD0300000000} - (no file)
O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)
O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)
O2 - BHO: Windows Genuine Tool - {c815ace8-3dbf-4ffd-8231-ab1d21e8b7ee} - %SystemRoot%\system32\Audiodevs.dll (file missing)
O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
O2 - BHO: AddressBar Class - {f65b197f-8260-4d52-909a-f70118e646eb} - C:\WINDOWS\system32\iasada.dll

O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\system32\runsrv32.exe
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\system32\svchost.exe (file missing)
PC neustarten

gehe in die Registry...du müsstest nun eigentlich wieder in die Registry kommen....

Start->Ausführen --> regedit

*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen)

DisableRegistryTools = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen)

*
HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn. Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein
--------------------------------------------
**
Start > Ausführen > mmc > Datei > Snapin hinzufügen > Hinzufügen > Gruppenrichtlinien auswählen > hinzufügen > Fertig stellen > schließen > ok >Benutzerkonfiguration > Aministrative Vorlagen > System > Doppleklick auf "Zugriff auf Eingabeaufforderung verhindern" > deaktivieren > OK > alle Fenster schliessen > neu anmelden > an der Kommandozeile

----------------------------------------------
**
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

**
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2006, 15:43
...neu hier

Beiträge: 6
#28 eine Frage du hast beim Zitat einige Dateien aufgezählt die Hijackthis garnicht gefunden hat bis auf ein paar . Soll ich alle markieren oder wie ???
Sorry ich kenn mich nicht so gut aus.

Mfg und danke für die Antwort
DaLehrling

Ich kann keine Ordner wie C:\Windows und so bei Hijacktis anklicken um ein Häckchen zu machen wie kann ich die Fixen?????
Dieser Beitrag wurde am 15.04.2006 um 16:17 Uhr von DaLehrling editiert.
Seitenanfang Seitenende
15.04.2006, 16:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 zu fixen war nur, was ich oben geschrieben hatte...mehr nicht. (je, was vorhanden ist...)
Dann den PC neustarten und alles weitere abarbeiten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2006, 16:39
...neu hier

Beiträge: 6
#30 Ich kann nicht mehr in die Registry
Da steht ;)as Bearbeiten der Registry wurde durch den Adminstrator geändert.
Aber wenn ich mit dem Profil ''Gast'' mich einlogge am PC dann dagt er nichts da hab ich das Problem aber, dass ich im Unterodner ''Windows...\Policies\ nicht zum Ordner ''System'' komme. Kann ich die Sachen, die ich gefixt haeb rückgängig machen???
Ich bin mit TuneUp Registry Editor reingekommen aber finde den Ordner ''System'' vom Ordner ''Current System'' nicht .
Vielleicht wurde die schon gelöscht(hoffentlich). ;)hab zwar nicht viel zu lachen


MfG

DaLehrling
Dieser Beitrag wurde am 15.04.2006 um 16:54 Uhr von DaLehrling editiert.
Seitenanfang Seitenende