scvhost.exe (win32:ciadoor-21) u.a. Firewall und Registry ohne Funktion

#31 das konntest du nicht, seit der Backdoor drauf ist....

fixe mit dem HjackThis und starte Neu:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
__________
MfG Sabina

rund um die PC-Sicherheit

#32 Ich möchte noch was Sachen sagen:
1. Wie kann ich das verhindern, dass Eigene Dateien , wenn ich mein PC aufmache??
2.Bei CLEAN UP! ist der Menüpunkt Delete [i]Prefetch files nicht
auswählbar obwohl ich alles gemacht habe was auf dewr seite [url]http://virus-protect.org/cleanup.html steht.




geändert am:15.04.06 um 18:43 Uhr
<Hier sind meine Logfiles>
1.Log
Verzeichnis von C:\WINDOWS\system32

22.04.2006 15:00 58.952 MsgPlusLoader.dll
15.04.2006 17:27 163.328 wsock32.sys
14.04.2006 02:48 2.206 wpa.dbl
14.04.2006 02:29 146.650 BuzzingBee.wav
14.04.2006 02:29 125.690 LoopyMusic.wav
13.04.2006 20:49 19.456 cewmdmb.dll
13.04.2006 19:40 183 imon1.dat
13.04.2006 09:43 819.233 ckl009.dat
12.04.2006 22:57 64.680 GDIPFONTCACHEV1.DAT
12.04.2006 22:55 243.920 FNTCACHE.DAT
12.04.2006 22:46 4.212 zllictbl.dat
12.04.2006 22:35 8.192 CWS_iestart.exe
12.04.2006 22:35 8.192 mirarsearch_toolbar.exe
12.04.2006 22:35 8.192 udpmod.dll
12.04.2006 22:35 8.192 questmod.dll
12.04.2006 22:35 8.192 runsrv32.exe
12.04.2006 22:35 8.192 txfdb32.dll
12.04.2006 22:35 8.192 runsrv32.dll
12.04.2006 22:35 8.192 wstart.dll
12.04.2006 22:35 8.192 tcpservice2.exe
12.04.2006 22:14 16.896 winapi32.dll
12.04.2006 22:14 71.172 winsrv32.exe
12.04.2006 22:13 8.708 shell386.exe
12.04.2006 11:29 103.936 nod32..dll
11.04.2006 23:33 56.484 nod32.exe
10.04.2006 20:03 391.000 perfh007.dat
10.04.2006 20:03 380.350 perfh009.dat
10.04.2006 20:03 52.764 perfc009.dat
10.04.2006 20:03 63.580 perfc007.dat
10.04.2006 20:03 895.600 PerfStringBackup.INI
10.04.2006 17:16 23.392 nscompat.tlb
10.04.2006 17:16 16.832 amcompat.tlb
10.04.2006 13:01 1.409 tmpA532F.FOT
08.04.2006 22:23 1.409 tmp0B331.FOT
05.04.2006 18:13 184.352 r15o922UXD.ini
05.04.2006 18:13 184.352 scvhost.exe
05.04.2006 18:13 166 del32.bat
05.04.2006 17:37 1.904 lvcoinst.log
04.04.2006 12:20 27 mcheck.mhf
03.04.2006 17:53 98.304 CmdLineExt.dll
12.03.2006 03:12 7.006 jupdate-1.5.0_06-b05.log
10.03.2006 15:32 487 Installer.log
10.03.2006 02:10 4.799.320 MRT.exe
09.03.2006 19:08 442 mapisvc.inf
09.03.2006 19:08 114.688 nms32.dll
09.03.2006 19:08 245.760 imon.dll
09.03.2006 18:55 75 LuResult.txt
09.03.2006 04:31 0 h323log.txt
08.03.2006 21:44 386 $winnt$.inf
08.03.2006 21:37 2.951 CONFIG.NT
08.03.2006 21:36 488 logonui.exe.manifest
08.03.2006 21:36 488 WindowsLogon.manifest
08.03.2006 21:36 749 cdplayer.exe.manifest
08.03.2006 21:36 749 nwc.cpl.manifest
08.03.2006 21:36 749 sapi.cpl.manifest
08.03.2006 21:36 749 wuaucpl.cpl.manifest
08.03.2006 21:36 749 ncpa.cpl.manifest
08.03.2006 21:34 21.740 emptyregdb.dat
22.02.2006 05:46 256.512 ati2dvag.dll
22.02.2006 05:41 114.688 atipdlxx.dll
22.02.2006 05:40 77.824 Oemdspif.dll
22.02.2006 05:40 26.112 Ati2mdxx.exe
22.02.2006 05:40 40.960 ati2edxx.dll
22.02.2006 05:40 61.440 ati2evxx.dll
22.02.2006 05:39 405.504 ati2evxx.exe
22.02.2006 05:38 53.248 ATIDDC.DLL
22.02.2006 05:30 2.636.672 ati3duag.dll
22.02.2006 05:27 6.684.672 atioglx1.dll
22.02.2006 05:24 860.480 ativvaxx.dll
22.02.2006 05:20 307.200 atiiiexx.dll
22.02.2006 05:11 5.124.096 atioglxx.dll
22.02.2006 05:11 151.552 atikvmag.dll
22.02.2006 05:10 17.408 atitvo32.dll
22.02.2006 05:04 258.048 ati2cqag.dll
22.02.2006 04:21 282.624 ATIDEMGR.dll
21.02.2006 22:05 520.192 ati2sgag.exe
14.02.2006 09:20 550.120 LegitCheckControl.dll
13.02.2006 22:29 121.995 atiicdxx.dat
13.02.2006 19:03 8.632 spmsg.dll


2.Log

Verzeichnis von C:\DOKUME~1\Yasin\LOKALE~1\Temp

15.04.2006 17:37 206 jusched.log
15.04.2006 17:31 0 JETB64C.tmp
15.04.2006 17:28 0 JETB7E1.tmp
15.04.2006 17:27 16.384 Perflib_Perfdata_a90.dat
15.04.2006 17:27 16.384 Perflib_Perfdata_a68.dat
15.04.2006 17:27 16.384 Perflib_Perfdata_1bc.dat


3.Log

Verzeichnis von C:\WINDOWS

21.04.2006 18:57 40 RSoftInfo.dat
20.04.2006 15:57 334 GEARInstall.log
17.04.2006 21:00 3.161 mozver.dat
15.04.2006 17:33 1.022.945 WindowsUpdate.log
15.04.2006 17:27 0 0.log
15.04.2006 17:26 2.048 bootstat.dat
15.04.2006 17:11 50 wiaservc.log
15.04.2006 17:11 275 wiadebug.log
14.04.2006 20:35 116 NeroDigital.ini
14.04.2006 18:22 574.538 setupapi.log
14.04.2006 17:48 116.116 ntbtlog.txt
14.04.2006 17:34 60.416 ALCFDRTM.VER
14.04.2006 02:57 20.738 SchedLgU.Txt
14.04.2006 02:48 6.734 WGA.log
14.04.2006 02:29 60.416 ALCFDRTM.EXE
14.04.2006 01:57 26 Lic.xxx
13.04.2006 19:39 338 nsw.log
13.04.2006 18:19 81.065 DirectX.log
12.04.2006 22:35 8.192 dlmax.dll
12.04.2006 22:35 8.192 Pynix.dll
12.04.2006 22:35 8.192 BTGrab.dll
12.04.2006 22:35 8.192 susp.exe
12.04.2006 22:35 8.192 alxtb1.dll
12.04.2006 22:35 8.192 alxie328.dll
12.04.2006 22:35 8.192 alexaie.dll
12.04.2006 22:18 145.920 rfscanax.dll
12.04.2006 22:14 10.809 win-sec-center-logo.gif
12.04.2006 22:14 1.014 warning-bar-ico.gif
12.04.2006 22:14 6.575 remove-spyware-btn.gif
12.04.2006 22:14 64 close-bar.gif
12.04.2006 22:14 177 blue-bg.gif
12.04.2006 21:43 292 form.js
10.04.2006 23:37 3.445 spupdsvc.log
10.04.2006 23:37 196.804 wmsetup.log
10.04.2006 22:52 20.346 KB911565.log
10.04.2006 22:52 18.346 updspapi.log
10.04.2006 20:03 203.924 iis6.log
10.04.2006 20:03 54.971 comsetup.log
10.04.2006 20:03 32.601 ntdtcsetup.log
10.04.2006 20:03 9.919 MedCtrOC.log
10.04.2006 20:03 4.566 imsins.log
10.04.2006 20:03 66.284 tsoc.log
10.04.2006 20:03 7.001 msgsocm.log
10.04.2006 20:03 6.850 tabletoc.log
10.04.2006 20:03 78.642 ocgen.log
10.04.2006 20:03 7.584 ocmsn.log
10.04.2006 20:03 127.624 FaxSetup.log
10.04.2006 20:03 23.362 netfxocm.log
10.04.2006 20:03 50.948 msmqinst.log
10.04.2006 19:54 3.989 Ascd_tmp.ini
10.04.2006 17:18 68 IDMan.INI
10.04.2006 17:17 460 wmsetup10.log
10.04.2006 17:13 316.640 WMSysPr9.prx
07.04.2006 21:55 1.409 QTFont.for
07.04.2006 21:55 54.156 QTFont.qfn
30.03.2006 20:44 0 tas.exe
30.03.2006 20:44 0 sc.exe
30.03.2006 20:44 0 webload196.exe
30.03.2006 20:44 0 loadadv728.exe
30.03.2006 20:44 0 drsmartload95a.exe
19.03.2006 21:20 182.051 setupact.log
18.03.2006 18:05 1.500 ie7beta2_main.log
13.03.2006 21:40 400 ODBC.INI
13.03.2006 16:30 573 win.ini
11.03.2006 11:02 335 nsreg.dat
09.03.2006 19:00 13.269 LUINSTALL.LOG
09.03.2006 14:06 1.519 OEWABLog.txt
09.03.2006 04:29 0 Sti_Trace.log
09.03.2006 04:27 1.348 regopt.log
09.03.2006 04:27 231 system.ini
09.03.2006 04:27 0 setuperr.log
08.03.2006 22:41 24.931 KB911927.log
08.03.2006 22:41 24.426 KB901017.log
08.03.2006 22:41 24.753 KB896424.log
08.03.2006 22:41 19.196 KB910437.log
08.03.2006 22:41 16.066 KB911564.log
08.03.2006 22:41 27.415 KB905915.log
08.03.2006 22:41 26.363 KB902400.log
08.03.2006 22:41 17.206 KB899589.log
08.03.2006 22:41 17.526 KB905414.log
08.03.2006 22:40 17.434 KB900725.log
08.03.2006 22:40 14.636 KB912919.log
08.03.2006 22:40 13.824 KB904706.log
08.03.2006 22:40 14.510 KB905749.log
08.03.2006 22:40 13.848 KB894391.log
08.03.2006 22:40 11.445 KB908519.log
08.03.2006 22:40 7.976 KB913446.log
08.03.2006 22:07 1.452 COM+.log
08.03.2006 22:03 107.134 UninstallFirefox.exe
08.03.2006 21:46 782.139 setuplog.txt
08.03.2006 21:45 8.192 REGLOCS.OLD
08.03.2006 21:42 18.822 KB899591.log
08.03.2006 21:41 18.714 KB899588.log
08.03.2006 21:41 18.253 KB899587.log
08.03.2006 21:41 23.687 KB896727.log
08.03.2006 21:41 17.791 KB896423.log
08.03.2006 21:41 17.491 KB893756.log
08.03.2006 21:41 14.699 KB889527.log
08.03.2006 21:41 14.081 KB903235.log
08.03.2006 21:41 16.650 KB901214.log
08.03.2006 21:41 17.157 KB898461.log
08.03.2006 21:41 15.581 KB896428.log
08.03.2006 21:41 16.005 KB896422.log
08.03.2006 21:41 16.648 KB896358.log
08.03.2006 21:41 16.492 KB893086.log
08.03.2006 21:41 14.863 KB893066.log
08.03.2006 21:40 14.884 KB891781.log
08.03.2006 21:40 18.381 KB890859.log
08.03.2006 21:40 11.209 KB890831.log
08.03.2006 21:40 13.064 KB890175.log
08.03.2006 21:40 13.213 KB890047.log
08.03.2006 21:40 13.692 KB890046.log
08.03.2006 21:40 12.311 KB888302.log
08.03.2006 21:40 11.903 KB888113.log
08.03.2006 21:40 12.779 KB887797.log
08.03.2006 21:40 12.216 KB887742.log
08.03.2006 21:40 11.910 KB887472.log
08.03.2006 21:40 11.612 KB886716.log
08.03.2006 21:40 9.690 KB886677.log
08.03.2006 21:39 11.752 KB886185.log
08.03.2006 21:39 11.950 KB885894.log
08.03.2006 21:39 8.559 KB885884.log
08.03.2006 21:39 10.418 KB885836.log
08.03.2006 21:39 11.360 KB885835.log
08.03.2006 21:39 10.995 KB885523.log
08.03.2006 21:39 10.338 KB885250.log
08.03.2006 21:39 7.996 KB885222.log
08.03.2006 21:39 8.305 KB884883.log
08.03.2006 21:39 8.057 KB884020.log
08.03.2006 21:39 13.241 KB883939.log
08.03.2006 21:39 6.870 KB873339.log
08.03.2006 21:39 7.821 KB873333.log
08.03.2006 21:39 1.186 KB885492.log
08.03.2006 21:38 3.197 KB891122.log
08.03.2006 21:37 5.634 KB893803v2.log
08.03.2006 21:37 3.671 KB898458.log
08.03.2006 21:37 0 control.ini
08.03.2006 21:36 4.161 ODBCINST.INI
08.03.2006 21:36 749 WindowsShell.Manifest
08.03.2006 21:34 1.023 sessmgr.setup.log
08.03.2006 21:34 37 vbaddin.ini
08.03.2006 21:34 36 vb.ini
08.03.2006 21:34 133 DtcInstall.log
08.03.2006 21:33 200 cmsetacl.log
21.12.2005 20:25 2.359.350 ICE AGE 2 Desktop Eisloch_1024x768.bmp
21.12.2005 20:25 2.359.350 ICE AGE 2 Desktop Scrat_1024x768.bmp
21.12.2005 20:25 2.359.350 ICE AGE 2 Desktop Crash & Eddie_1024x768.bmp
21.12.2005 20:25 2.359.350 ICE AGE 2 Desktop Freunde_1024x768.bmp


und 4.Log

Verzeichnis von C:\

22.04.2006 14:53 8.233 DV.txt
15.04.2006 17:40 0 sys.txt
15.04.2006 17:39 10.182 system.txt
15.04.2006 17:38 577 systemtemp.txt
15.04.2006 17:33 98.158 system32.txt
15.04.2006 17:26 1.073.004.544 hiberfil.sys
15.04.2006 17:26 1.610.612.736 pagefile.sys
14.04.2006 01:57 2 AVPCallback.log
01.04.2006 20:53 110 DownloadLog.txt
30.03.2006 20:29 2.035 rsdl.xpi
30.03.2006 20:29 1.209 rs-ff-install.html
26.03.2006 22:49 5.427 260320062049170399.jpg
26.03.2006 22:49 5.427 260320062049170367.jpg
26.03.2006 16:00 31.029 260320061400550937.jpg
26.03.2006 16:00 31.906 260320061400550859.jpg
26.03.2006 16:00 32.015 260320061400550796.jpg
26.03.2006 16:00 30.605 260320061400550765.jpg
26.03.2006 16:00 31.443 260320061400550734.jpg
26.03.2006 16:00 31.126 260320061400550656.jpg
26.03.2006 16:00 27.304 260320061400550625.jpg
26.03.2006 16:00 29.841 260320061400550578.jpg
26.03.2006 16:00 26.691 260320061400550546.jpg
26.03.2006 16:00 31.339 260320061400550500.jpg
26.03.2006 16:00 31.134 260320061400550437.jpg
08.03.2006 21:37 0 AUTOEXEC.BAT
08.03.2006 21:37 0 MSDOS.SYS
08.03.2006 21:37 0 IO.SYS
08.03.2006 21:37 0 CONFIG.SYS
08.03.2006 21:33 211 boot.ini
21.12.2005 20:25 2.542.086 ICE AGE 2 Desktopuhr.exe

Mein einziger Ziel ist,dass mein PC mein DVD-Laufwerk erkennt und ich meine Spiele auf eine DVD+RW brennen kann.Und dann ggf. eine Neuinstallation machen.

MfG
Lehrling

#33 DaLehrling

Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:
------------------------------------------------------------

Zitat

Files to delete:
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\cewmdmb.dll
C:\WINDOWS\system32\imon1.dat
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\CWS_iestart.exe
C:\WINDOWS\system32\mirarsearch_toolbar.exe
C:\WINDOWS\system32\udpmod.dll
C:\WINDOWS\system32\questmod.dll
C:\WINDOWS\system32\runsrv32.exe
C:\WINDOWS\system32\txfdb32.dll
C:\WINDOWS\system32\runsrv32.dll
C:\WINDOWS\system32\wstart.dll
C:\WINDOWS\system32\tcpservice2.exe
C:\WINDOWS\system32\winapi32.dll
C:\WINDOWS\system32\winsrv32.exe
C:\WINDOWS\system32\shell386.exe
C:\WINDOWS\system32\r15o922UXD.ini
C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\system32\del32.bat
C:\WINDOWS\system32\lvcoinst.log
C:\WINDOWS\system32\iasada.dll
C:\WINDOWS\system32\nscompat.tlb
C:\WINDOWS\system32\amcompat.tlb
C:\WINDOWS\system32\runsrv32.exe
C:\WINDOWS\system32\susp.exe
C:\WINDOWS\dlmax.dll
C:\WINDOWS\Pynix.dll
C:\WINDOWS\BTGrab.dll
C:\WINDOWS\susp.exe
C:\WINDOWS\alxtb1.dll
C:\WINDOWS\alxie328.dll
C:\WINDOWS\alexaie.dll
C:\WINDOWS\rfscanax.dll
C:\WINDOWS\win-sec-center-logo.gif
C:\WINDOWS\warning-bar-ico.gif
C:\WINDOWS\remove-spyware-btn.gif
C:\WINDOWS\close-bar.gif
C:\WINDOWS\blue-bg.gif
C:\WINDOWS\form.js
C:\WINDOWS\tas.exe
C:\WINDOWS\sc.exe
C:\WINDOWS\webload196.exe
C:\WINDOWS\loadadv728.exe
C:\WINDOWS\wupdmgr.exe
C:\WINDOWS\osaupd.exe
C:\WINDOWS\drsmartload95a.exe
C:\rsdl.xpi
C:\rs-ff-install.html

Folders to delete:
C:\Programme\SoftwareDoctor

---------------------------------------------

klicke die "gruene Ampel"
das Sript wird nun ausgeführt, dann wird der PC automatisch neustarten

dann poste das Log vom Avenger !

*
dann mache bitte einen Onlinescan mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#34 Hallo,
habe heute abend festgestellt, dass meine XP-Firewall nicht aktiviert ist und sich auch nicht aktivieren läßt. Ich benutze XP mit SP1. Hatte vor ein paar Tagen einen Trojaner, dachte aber ich hätte alles wieder bereinigt.
Die Firewall-Einträge in der Registry sind bei mir nicht/nicht mehr vorhanden, ebenso fehlt der Diensteeintrag.

Brauche Hilfe!

Hier ist der LOG von HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 00:16:33, on 16.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Ontrack\SMARTDefender\smrticon.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Hubert Wißdorf\Eigene Dateien\Transfer\Stop Hijacking\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE BHO PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000000} - C:\Programme\XP-Kraftpaket\Anonym im Internet\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\WINDOWS\Temp\SPYBOT~1.3\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ErrorDoctor] C:\Programme\SoftwareDoctor\ErrorDoctor\ErrorDoctor.exe
O4 - HKCU\..\Run: [SMARTDefender] C:\Programme\Ontrack\SMARTDefender\smrticon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/30c3d63a259ec70abc06/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144928970750
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{57D9C547-3D8B-460F-ABC6-75E55C01B6CD}: NameServer = 217.237.150.97 217.237.149.161
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe


Den Eintrag 017 werde ich nicht los. Habe ihn schon mehrmals gefixt, aber nach dem Neustart ist er direkt wieder da.

Gruß
Hubert

#35 HubertW

warum willst du deine Internetverbindung loeschen ????

Zitat

% Information related to '217.224.0.0 - 217.237.161.47'

inetnum: 217.224.0.0 - 217.237.161.47
netname: DTAG-DIAL15
descr: Deutsche Telekom AG
country: DE

Die XP-Firewall wieder aktivieren [Windows-Firewall/Gemeinsame Nutzung der Internetverbindung]
http://www.wintotal.de/Tipps/Eintrag.php?TID=1157

dann mache einen Onlinescan mit Kaspersky und kopiere hier den Scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#36 Hallo Sabina,

danke für Deine Antwort!
In der Beschreibung HijackThis steht unter O17: - Domain hijack, also ist der Eintrag doch kein Problem?
Ich hatte den wintotal-tipp schon gelesen, aber der gilt doch nur für SP2, oder kann ich auch bei SP1 so verfahren? Updaten auf SP2 will ich nicht.

Viele Grüße
Hubert

#37 keine Ahnung , ob es auch unter SP1 geht...die WindowsUpdates sind immer anzuraten, sonst ist die Wahrscheinlichkeit, jede Woche formatieren zu "duerfen" ziemlich gross.
__________
MfG Sabina

rund um die PC-Sicherheit

#38 Hallo,
das ist meine Logfile von Avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\gqlacqlw

*******************

Script file located at: \??\C:\WINDOWS\system32\qsbtunlk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\wsock32.sys deleted successfully.
File C:\WINDOWS\system32\cewmdmb.dll deleted successfully.
File C:\WINDOWS\system32\imon1.dat deleted successfully.
File C:\WINDOWS\system32\ckl009.dat deleted successfully.
File C:\WINDOWS\system32\CWS_iestart.exe deleted successfully.
File C:\WINDOWS\system32\mirarsearch_toolbar.exe deleted successfully.
File C:\WINDOWS\system32\udpmod.dll deleted successfully.
File C:\WINDOWS\system32\questmod.dll deleted successfully.
File C:\WINDOWS\system32\runsrv32.exe deleted successfully.
File C:\WINDOWS\system32\txfdb32.dll deleted successfully.
File C:\WINDOWS\system32\runsrv32.dll deleted successfully.
File C:\WINDOWS\system32\wstart.dll deleted successfully.
File C:\WINDOWS\system32\tcpservice2.exe deleted successfully.
File C:\WINDOWS\system32\winapi32.dll deleted successfully.
File C:\WINDOWS\system32\winsrv32.exe deleted successfully.
File C:\WINDOWS\system32\shell386.exe deleted successfully.
File C:\WINDOWS\system32\r15o922UXD.ini deleted successfully.
File C:\WINDOWS\system32\scvhost.exe deleted successfully.
File C:\WINDOWS\system32\del32.bat deleted successfully.
File C:\WINDOWS\system32\lvcoinst.log deleted successfully.


File C:\WINDOWS\system32\iasada.dll not found!
Deletion of file C:\WINDOWS\system32\iasada.dll failed!

Could not process line:
C:\WINDOWS\system32\iasada.dll
Status: 0xc0000034

File C:\WINDOWS\system32\nod32..dll deleted successfully.
File C:\WINDOWS\system32\nod32.exe deleted successfully.
File C:\WINDOWS\system32\nscompat.tlb deleted successfully.
File C:\WINDOWS\system32\amcompat.tlb deleted successfully.


File C:\WINDOWS\system32\runsrv32.exe not found!
Deletion of file C:\WINDOWS\system32\runsrv32.exe failed!

Could not process line:
C:\WINDOWS\system32\runsrv32.exe
Status: 0xc0000034



File C:\WINDOWS\system32\susp.exe not found!
Deletion of file C:\WINDOWS\system32\susp.exe failed!

Could not process line:
C:\WINDOWS\system32\susp.exe
Status: 0xc0000034

File C:\WINDOWS\dlmax.dll deleted successfully.
File C:\WINDOWS\Pynix.dll deleted successfully.
File C:\WINDOWS\BTGrab.dll deleted successfully.
File C:\WINDOWS\susp.exe deleted successfully.
File C:\WINDOWS\alxtb1.dll deleted successfully.
File C:\WINDOWS\alxie328.dll deleted successfully.
File C:\WINDOWS\alexaie.dll deleted successfully.
File C:\WINDOWS\rfscanax.dll deleted successfully.
File C:\WINDOWS\win-sec-center-logo.gif deleted successfully.
File C:\WINDOWS\warning-bar-ico.gif deleted successfully.
File C:\WINDOWS\remove-spyware-btn.gif deleted successfully.
File C:\WINDOWS\close-bar.gif deleted successfully.
File C:\WINDOWS\blue-bg.gif deleted successfully.
File C:\WINDOWS\form.js deleted successfully.
File C:\WINDOWS\tas.exe deleted successfully.
File C:\WINDOWS\sc.exe deleted successfully.
File C:\WINDOWS\webload196.exe deleted successfully.
File C:\WINDOWS\loadadv728.exe deleted successfully.
File C:\WINDOWS\wupdmgr.exe deleted successfully.
File C:\WINDOWS\osaupd.exe deleted successfully.
File C:\WINDOWS\drsmartload95a.exe deleted successfully.
File C:\rsdl.xpi deleted successfully.
File C:\rs-ff-install.html deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#39 DaLehrling

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}]

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

2.
Gehe in die Registry

Start-->Ausführen--> regedit

bearbeiten --> suchen

* Generic Host Process
* scvhost
* r15o922UXD.ini

loesche alles , was noch vorhanden ist.

zum Beispiel:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Generic Host Process"

[HKEY_USERS\S-1-5-21-329068152-1659004503-839522115-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run]
"Generic Host Process"

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\
set\set\set --> loeschen
r15o922UXD.ini

-----------------------------------------------------

3.
wende im abgesicherten Modus noch mal Cleanup an !
http://virus-protect.org/cleanup.html

PC neustarten

-----------------------------------------------------

4.
dann mache bitte einen Onlinescan mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#40 Hallo, ich hab ein Problem:
ich vermute mal, dass irgendeine datei mir bei jedem startup von Windows mir die registry, den taskmanager, die systemwiederherstellung und meine antiviren/firewalls sperrt. ich hab schon ein bisschen herumgeforstet, aber keine lösungsvorschläge haben mich bis jetzt weitergebracht.
ich benutze winxp home edition, sodass ich nicht auf die gruppenrichtlinien zugreifen kann. mit dem program security administrator kann ich zumindest mal die registry und den taskmanager bis zum nächten start freischalten.
ich komm jetzt einfach nicht weiter und so finde ich auch nicht die verseuchte datei.

bitte, bitte helft mir jmd!
dankeschön

hier ist mal mein hijack log (kann sein dass schon ein paar sachen vom security administrator, gelöst worden sind):

Logfile of HijackThis v1.99.1
Scan saved at 16:21:07, on 18.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\essspk.exe
C:\WINDOWS\system32\S3tray2.exe
C:\Programme\Hewlett-Packard\HP Display Settings\hpdisply.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\HPONE-~1\OneTouch.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Security Administrator\newadmin.exe
C:\Programme\xampp\apache\bin\apache.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
C:\Programme\xampp\filezillaftp\filezillaserver.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\System32\HPConfig.exe
C:\Programme\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\RadioSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\xampp\apache\bin\apache.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\hp\Eigene Dateien\Downloads\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hewlett-packard.de/mobile/omnibook/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [HP Anzeigeeinstellungen] C:\Programme\Hewlett-Packard\HP Display Settings\hpdisply.exe /s
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CP4HPOT] C:\PROGRA~1\HPONE-~1\OneTouch.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [00saskda] "C:\Programme\Security Administrator\newadmin.exe" saskda
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [NAV CfgWiz] C:\PROGRA~1\NORTON~1\Cfgwiz.exe /R
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hewlett-packard.de/mobile/omnibook/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\xampp\filezillaftp\filezillaserver.exe
O23 - Service: HP Configuration Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\System32\HPConfig.exe
O23 - Service: HP RF Device Service (HpRfDev) - Hewlett-Packard - C:\WINDOWS\system32\HpRfDev.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: RadioSvr - Hewlett-Packard - C:\WINDOWS\system32\RadioSvr.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - C:\Programme\xampp\service.exe

#41 DeadCell

http://virus-protect.org/artikel/dienste/wsock32sys.html

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)

pc neustarten

gehe in die Registry...du müsstest nun eigentlich wieder in die Registry kommen....

Start->Ausführen --> regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen)
DisableRegistryTools = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen)

HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn. Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein

-----------------------------------------

Start > Ausführen > mmc > Datei > Snapin hinzufügen > Hinzufügen > Gruppenrichtlinien auswählen > hinzufügen > Fertig stellen > schließen > ok >Benutzerkonfiguration > Aministrative Vorlagen > System > Doppleklick auf "Zugriff auf Eingabeaufforderung verhindern" > deaktivieren > OK > alle Fenster schliessen > neu anmelden > an der Kommandozeile


stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#42 hallo Sabina.

das funktioniert bei mir leider nicht. sobald ich neu starte, sind wieder registry und taskmanager gesperrt. das problem hab ich dann mit dem Security Administrator übergangen, der es ohne neustart genau so macht, wie beschrieben.
Dann kommt schon das nächste problem. in der konsole kann ich keine gruppenrichtlinien finden. es gibt "lokale benutzerkonten und gruppen" aber hinzufügen kann ichs trotzdem nicht, weil das nur mit xp professional unterstützt wird...

gibt es noch einen anderen weg?
danke

#43 dann lass es erst mal und versuche die 4 logs von datfindbat zu posten
__________
MfG Sabina

rund um die PC-Sicherheit

#44 ok hier sind die 4 logs:

Verzeichnis von C:\WINDOWS\system32

18.04.2006 23:33 92.087 ckl009.dat
18.04.2006 23:25 163.328 wsock32.sys
15.04.2006 20:28 184 del32.bat
15.04.2006 20:28 3.405.860 cs_office.wad
08.04.2006 16:52 1.158 wpa.dbl
06.04.2006 21:48 5.143.456 MRT.exe
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
26.03.2006 11:52 315.732 perfh009.dat
26.03.2006 11:52 42.496 perfc009.dat
26.03.2006 11:52 321.940 perfh007.dat
26.03.2006 11:52 51.164 perfc007.dat
26.03.2006 11:52 737.340 PerfStringBackup.INI
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 152.064 cdfview.dll
04.03.2006 05:34 1.022.976 browseui.dll
02.03.2006 15:02 6.948 jupdate-1.5.0_06-b05.log
18.02.2006 15:39 45 desktop.ini
06.02.2006 16:16 3.495.338 4M5tgM6Y2n.ini
06.02.2006 16:16 3.495.338 scvhost.exe
04.01.2006 05:35 68.096 webclnt.dll


Verzeichnis von C:\DOKUME~2\hp\LOKALE~1\Temp

18.04.2006 17:39 16.507 jusched.log
18.04.2006 17:25 204 DeleteMe.bat
18.04.2006 15:55 16.384 Perflib_Perfdata_bc4.dat
18.04.2006 15:55 16.384 Perflib_Perfdata_cf8.dat
18.04.2006 13:48 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}462.html
18.04.2006 13:36 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}31255.html
18.04.2006 13:04 16.384 ~DF669D.tmp
18.04.2006 13:04 16.384 ~DF5721.tmp
18.04.2006 10:44 10.359.791 MWAV.LOG
18.04.2006 10:44 4.721 mwXface.log
17.04.2006 20:38 4.592 SIntfIcn.ani
17.04.2006 20:38 24.516 SIntfNT.dll
17.04.2006 20:38 19.924 SIntf32.dll
17.04.2006 20:38 12.067 SIntf16.dll
17.04.2006 20:38 36.864 CmdLineExt02.dll
17.04.2006 01:56 241.664 MYDB.DLL
13.04.2006 17:29 16.384 ~DF7400.tmp
13.04.2006 17:29 16.384 ~DF6824.tmp
12.04.2006 15:11 0 fla2.tmp
12.04.2006 14:57 16.384 ~DF3A4B.tmp
12.04.2006 14:57 16.384 ~DF2D72.tmp
11.04.2006 18:42 368.704 mexe.com
11.04.2006 18:42 368.704 mwavscan.com
11.04.2006 18:29 13.813 avp.klb
11.04.2006 18:29 32.580 daily.avc
11.04.2006 18:21 348.160 esupdate.exe
11.04.2006 17:42 42.048 Getvlist.exe
11.04.2006 17:24 611.693 Cid.sdb
11.04.2006 17:24 1.721.980 File1.sdb
11.04.2006 17:24 132.440 Spyware.sdb
11.04.2006 17:24 154.801 spydb.avs
11.04.2006 17:24 120.924 File2.sdb
11.04.2006 17:24 154.801 spydb.old
11.04.2006 17:24 388.304 Dir.sdb
11.04.2006 16:58 58.172 language.ini
11.04.2006 16:58 58.172 German.Age
11.04.2006 15:40 1.949 daily-ex.avc
11.04.2006 01:04 408.064 viewtcp.exe
10.04.2006 20:08 62.182 unp014.avc
10.04.2006 19:54 58.534 bitmap1.bmp
10.04.2006 19:54 58.534 about.bmp
10.04.2006 19:37 16.384 ~DFA950.tmp
10.04.2006 19:37 16.384 ~DF9C8A.tmp
10.04.2006 18:09 78.238 virus013.avc
10.04.2006 18:09 50.026 troj019.avc
10.04.2006 18:09 9.359 unp033.avc
10.04.2006 18:09 50.170 troj017.avc
10.04.2006 18:09 99.389 krnunp.avc
10.04.2006 18:09 3.865 krn003.avc
10.04.2006 18:09 49.984 troj015.avc
10.04.2006 18:09 32.342 gen001.avc
10.04.2006 18:09 43.766 gen002.avc
10.04.2006 18:09 23.426 fa.avc
10.04.2006 18:09 29.689 ext006.avc
10.04.2006 18:09 21.916 base095.avc
10.04.2006 18:09 49.177 base085.avc
10.04.2006 18:09 49.943 base093.avc
10.04.2006 18:09 49.930 base094.avc
10.04.2006 18:09 55.004 base006.avc
10.04.2006 18:09 49.438 base004.avc
10.04.2006 18:09 49.974 base005.avc
10.04.2006 18:09 1.892 avp.set
10.04.2006 18:09 49.286 base003.avc
10.04.2006 18:09 49.532 base002.avc
10.04.2006 18:09 50.022 base001.avc
10.04.2006 16:30 13.832 German.con
10.04.2006 16:30 13.832 config.lan
10.04.2006 12:27 122.880 msvlclnt.dll
06.04.2006 18:04 38.647 krn002.avc
06.04.2006 18:04 6.389 smart.avc
06.04.2006 14:15 81.300 virus016.avc
06.04.2006 14:15 16.842 unp000.avc
06.04.2006 14:15 60.982 unp015.avc
06.04.2006 14:15 54.519 unp003.avc
06.04.2006 14:15 49.887 base092.avc
06.04.2006 14:15 48.781 base091.avc
06.04.2006 14:15 63.303 base007.avc
04.04.2006 19:00 939 jupdate1.5.0.xml
03.04.2006 17:32 50.380 unp032.avc
03.04.2006 17:32 69.796 ca.avc
02.04.2006 19:31 16.384 ~DFDF87.tmp
02.04.2006 19:31 16.384 ~DFD977.tmp
01.04.2006 18:04 50.031 base075.avc
31.03.2006 17:03 55.442 unp011.avc
31.03.2006 17:03 29.097 unp021.avc
31.03.2006 17:03 27.828 unp004.avc
31.03.2006 17:03 113.003 krnexe32.avc
31.03.2006 17:03 48.969 base080.avc
29.03.2006 22:13 16.384 ~DF3635.tmp
29.03.2006 22:13 16.384 ~DF2A22.tmp
29.03.2006 18:47 340.992 MWAVReg.EXE
29.03.2006 12:32 3 Twain001.Mtx
28.03.2006 12:57 47.543 unp027.avc
28.03.2006 12:57 47.688 ext004.avc
28.03.2006 12:57 13.947 ext999.avc
28.03.2006 12:57 49.671 base062.avc
24.03.2006 18:48 49.705 French.Age
24.03.2006 17:02 50.742 unp001.avc
24.03.2006 17:02 99.881 troj009.avc
24.03.2006 17:02 48.536 base090.avc
23.03.2006 16:28 29.489 krnengn.avc
23.03.2006 16:28 69.617 krn001.avc
22.03.2006 17:53 69.262 unp016.avc
22.03.2006 17:53 68.940 unp010.avc
22.03.2006 17:53 49.905 base074.avc
22.03.2006 17:53 49.880 base087.avc
21.03.2006 11:42 73.516 unp002.avc
21.03.2006 11:42 95.932 krnmacro.avc
21.03.2006 11:42 50.638 base081.avc
20.03.2006 15:14 71.551 unp023.avc
20.03.2006 15:14 20.613 unp029.avc
20.03.2006 15:14 44.873 unp028.avc
20.03.2006 15:14 45.570 unp031.avc
20.03.2006 15:14 49.734 ext005.avc
20.03.2006 15:14 48.001 ext002.avc
20.03.2006 15:14 49.815 base084.avc
17.03.2006 13:24 36.102 unp012.avc
17.03.2006 13:24 101.219 troj001.avc
17.03.2006 13:24 50.143 base073.avc
14.03.2006 10:41 50.080 troj013.avc
14.03.2006 10:41 27.514 gen004.avc
14.03.2006 10:41 49.619 base088.avc
14.03.2006 10:41 49.907 base082.avc
14.03.2006 10:41 50.158 base079.avc
14.03.2006 10:41 50.471 base078.avc
13.03.2006 01:54 717 control.xml
11.03.2006 02:44 16.384 ~DF134F.tmp
11.03.2006 02:44 16.384 ~DF842.tmp
10.03.2006 12:29 109.249 troj003.avc
10.03.2006 12:29 49.934 base089.avc
09.03.2006 16:42 5.610 German.dow
09.03.2006 16:42 5.610 Download.lan
08.03.2006 20:59 1.290 java_install_reg.log
08.03.2006 01:43 16.384 ~DF94F6.tmp
08.03.2006 01:43 16.384 ~DF8E0E.tmp
07.03.2006 18:43 35.138 Chinese.Age
07.03.2006 16:23 80.080 unp019.avc
07.03.2006 16:23 49.083 ext001.avc
07.03.2006 16:23 49.436 base086.avc
03.03.2006 15:55 5.854 French.dow
03.03.2006 15:55 11.566 French.con
02.03.2006 16:46 98.816 MWAVL.exe
02.03.2006 16:21 48.230 unp026.avc
02.03.2006 16:21 43.794 gen999.avc
02.03.2006 16:21 47.905 ext003.avc
02.03.2006 16:21 50.049 base070.avc
02.03.2006 16:21 49.935 base069.avc
02.03.2006 16:21 49.880 base068.avc
02.03.2006 16:21 49.636 base067.avc
02.03.2006 16:21 50.085 base065.avc
02.03.2006 16:21 50.059 base066.avc
02.03.2006 16:21 49.932 base064.avc
02.03.2006 16:21 49.832 base063.avc
02.03.2006 16:21 34.695 base061.avc
02.03.2006 15:01 24.701 java_install.log
02.03.2006 14:57 884 jinstall.cfg
24.02.2006 15:44 44.684 unp018.avc
24.02.2006 15:44 38.898 unp020.avc
24.02.2006 15:44 49.291 base076.avc
24.02.2006 12:20 47.563 Portuguese.Age
21.02.2006 14:09 75.918 virus015.avc
20.02.2006 12:56 52.133 unp009.avc
20.02.2006 12:56 49.781 base083.avc
19.02.2006 20:37 16.619 ICQ4.tmp
19.02.2006 20:37 5.513 ICQ3.tmp
16.02.2006 19:10 4.059 Chinese.dow
16.02.2006 19:07 7.695 Chinese.con
16.02.2006 16:31 33.069 unp017.avc
13.02.2006 18:29 45.122 Finnish.Age
13.02.2006 18:29 48.199 Polish.Age
13.02.2006 18:29 48.447 Spanish.Age
13.02.2006 18:29 48.186 Spanishl.Age
13.02.2006 18:29 44.063 Romanian.Age
13.02.2006 18:29 55.671 Italian.Age
13.02.2006 18:24 36.548 virus020.avc
13.02.2006 18:03 42.421 English.Age
12.02.2006 20:09 13.929 kernel.avc
08.02.2006 19:09 78.450 virus011.avc
08.02.2006 19:09 74.132 virus007.avc
07.02.2006 00:47 0 utt268.tmp
05.02.2006 22:50 338.534 SNDUpdater54U.log
05.02.2006 22:50 2.453 SNDunin.log
05.02.2006 22:50 10.468 SYMEVENT.LOG
05.02.2006 22:49 1.861 IDSinst.LOG
05.02.2006 22:23 4.654.588 Norton Internet Security 2-5-2006 21h15m50s.log
05.02.2006 22:23 2.904 LSInstall.log
05.02.2006 22:23 103.884 symcprop.dat
05.02.2006 22:17 268 NAVLiveReg.dat
05.02.2006 22:13 16.384 ~DFA083.tmp
05.02.2006 22:13 16.384 ~DF8F2E.tmp
03.02.2006 17:26 49.490 base077.avc
01.02.2006 23:23 4.438 Chinese.lic
28.01.2006 15:54 16.384 ~DF40AF.tmp
28.01.2006 15:53 16.384 ~DF1C02.tmp
27.01.2006 15:14 50.834 troj014.avc
27.01.2006 15:14 101.713 troj005.avc
27.01.2006 15:14 32.771 krnexe.avc
22.01.2006 17:48 50.019 base071.avc
19.01.2006 18:16 50.070 base072.avc
18.01.2006 18:03 57.806 unp013.avc
18.01.2006 11:43 6.025 Polish.dow
17.01.2006 12:32 5.392 Finnish.dow
17.01.2006 12:32 5.852 Spanish.dow
17.01.2006 12:32 5.839 Spanishl.dow
17.01.2006 12:32 5.457 Romanian.dow
17.01.2006 12:32 5.796 Portuguese.dow
17.01.2006 12:32 5.479 Italian.dow
17.01.2006 11:16 491.520 Download.exe
17.01.2006 11:07 5.194 English.dow
16.01.2006 17:55 55.162 unp030.avc
16.01.2006 17:55 48.234 unp025.avc
11.01.2006 21:41 103 ut.bat
10.01.2006 01:00 0 JVMEC.tmp
08.01.2006 03:12 0 TWAIN.LOG
06.01.2006 17:14 0 FSCE.tmp
06.01.2006 17:11 1.076 DBErrors.log
05.01.2006 15:12 236.544 mwavl.old
03.01.2006 01:38 2.711 mwav.ini
03.01.2006 00:26 16.384 ~DF581A.tmp
03.01.2006 00:26 16.384 ~DF3A02.tmp
02.01.2006 23:10 65.536 9228.rra
02.01.2006 23:09 611 ISPackFiles.ini
02.01.2006 17:50 16.384 ~DFA95C.tmp
02.01.2006 17:50 16.384 ~DF1B92.tmp
02.01.2006 16:14 16.384 ~DF8F0A.tmp
02.01.2006 16:14 16.384 ~DF8498.tmp
02.01.2006 14:48 10.559 Finnish.con
02.01.2006 14:48 11.729 Polish.con
02.01.2006 14:48 10.866 Spanish.con
02.01.2006 14:48 10.884 Spanishl.con
02.01.2006 14:48 10.528 Romanian.con
02.01.2006 14:48 11.380 Portuguese.con
02.01.2006 14:48 10.015 Italian.con
01.01.2006 18:51 10.181 English.con
01.01.2006 17:40 77.379 virus012.avc
01.01.2006 17:40 61.884 unp005.avc
01.01.2006 17:40 50.197 troj020.avc
01.01.2006 17:40 56.594 troj022.avc
01.01.2006 17:40 14.254 mail.avc


Verzeichnis von C:\WINDOWS

18.04.2006 23:26 159 wiadebug.log
18.04.2006 23:26 2.074.293 WindowsUpdate.log
18.04.2006 23:26 50 wiaservc.log
18.04.2006 23:25 0 0.log
18.04.2006 23:25 2.048 bootstat.dat
18.04.2006 22:47 32.584 SchedLgU.Txt
18.04.2006 17:13 792 win.ini
18.04.2006 17:13 227 system.ini
18.04.2006 16:29 748 ODBC.INI
18.04.2006 10:50 338.952 setupapi.log
18.04.2006 10:36 775.590 ntbtlog.txt
18.04.2006 03:17 4.577.906 REGBK00.ZIP
18.04.2006 03:14 26 Lic.xxx
17.04.2006 13:59 30.691 spupdsvc.log
17.04.2006 02:23 130.513 ntdtcsetup.log
17.04.2006 02:23 197.265 comsetup.log
17.04.2006 02:23 244.409 tsoc.log
17.04.2006 02:23 1.374 imsins.log
17.04.2006 02:23 34.240 ocmsn.log
17.04.2006 02:23 77.562 iis6.log
17.04.2006 02:23 15.082 KB908531.log
17.04.2006 02:23 32.026 msgsocm.log
17.04.2006 02:23 388.845 ocgen.log
17.04.2006 02:23 548.796 FaxSetup.log
17.04.2006 02:23 26.023 updspapi.log
17.04.2006 02:22 1.374 imsins.BAK
17.04.2006 02:22 14.199 KB911562.log
17.04.2006 02:22 16.746 KB912812.log
17.04.2006 02:22 18.035 KB911565.log
17.04.2006 02:22 87.330 wmsetup.log
17.04.2006 02:21 13.216 KB911567.log
14.04.2006 11:52 0 COOLSYS.INI
14.04.2006 11:52 8.379 COOL.INI
14.04.2006 11:52 7.289 coolkb99.ini
13.04.2006 22:29 62.586 War3Unin.dat
13.04.2006 02:42 2.829 War3Unin.pif
13.04.2006 02:42 139.264 War3Unin.exe
08.04.2006 18:01 1.125 winamp.ini
08.03.2006 00:55 116 NeroDigital.ini
03.03.2006 00:10 4.137.054 ACD Hintergrund.bmp
18.02.2006 15:39 45 desktop.ini
16.02.2006 22:51 10.712 KB911927.log
16.02.2006 22:51 8.672 KB911564.log
16.02.2006 22:49 9.876 KB901190.log
16.02.2006 22:49 6.732 KB913446.log
12.01.2006 15:47 10.044 KB908519.log
06.01.2006 17:33 600 Rtcw.INI
06.01.2006 16:27 11.084 KB912919.log
02.01.2006 18:12 24.880 KB905915.log
02.01.2006 14:16 209.971 setupact.log


Verzeichnis von C:\

18.04.2006 23:37 0 sys.txt
18.04.2006 23:36 11.306 system.txt
18.04.2006 23:34 18.208 systemtemp.txt
18.04.2006 23:33 104.802 system32.txt
18.04.2006 23:26 45 TEST.XML
18.04.2006 23:25 502.845.440 hiberfil.sys
18.04.2006 23:25 377.487.360 pagefile.sys
18.04.2006 17:13 353 boot.ini
18.04.2006 04:34 5 AVPCallback.log
03.09.2005 12:31 5.063 DMF2_WKLog.txt
08.06.2005 18:36 211 BOOT.BKK
25.12.2004 00:05 15.016 tmp.txt
29.01.2002 02:47 47.564 NTDETECT.COM
29.01.2002 02:47 251.184 ntldr
20.12.2001 02:56 98 version.inf
20.12.2001 02:50 0 IO.SYS
20.12.2001 02:50 0 MSDOS.SYS
20.12.2001 02:50 0 CONFIG.SYS
20.12.2001 02:23 84 BOOTLOG.TXT
05.09.2001 21:00 1.700.352 gdiplus.dll
18.08.2001 15:00 10 WIN51IC
18.08.2001 15:00 10 WIN51
18.08.2001 15:00 4.952 bootfont.bin
09.11.1999 23:02 497 HPSUPPT.TXT

#45 DeadCell

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

1.
Gehe in die Registry

Start-->Ausführen--> regedit

bearbeiten --> suchen

* Generic Host Process
* scvhost
* 4M5tgM6Y2n.ini

loesche alles , was noch vorhanden ist.

Beispiel:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Generic Host Process"

[HKEY_USERS\S-1-5-21-329068152-1659004503-839522115-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run]
"Generic Host Process"

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\
set\set\set --> loeschen
4M5tgM6Y2n.ini

---------------

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SHAREDACCESS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SHAREDACCESS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHAREDACCESS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]

--------------
3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\del32.bat
C:\WINDOWS\system32\cs_office.wad
C:\WINDOWS\system32\4M5tgM6Y2n.ini
C:\WINDOWS\system32\scvhost.exe

klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

4.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

5.
poste das Log vom Avenger
__________
MfG Sabina

rund um die PC-Sicherheit