scvhost.exe (win32:ciadoor-21) u.a. Firewall und Registry ohne Funktion |
||
---|---|---|
#0
| ||
19.04.2006, 00:41
...neu hier
Beiträge: 8 |
||
|
||
19.04.2006, 00:43
Ehrenmitglied
Beiträge: 29434 |
#47
es wurde nichts gefunden...heisst das, du hast den Avenger das 2.Mal ausgefuehrt ?
Scanne mit Kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.04.2006, 01:03
...neu hier
Beiträge: 8 |
#48
hm ja beim ersten mal kam was raus. die logdatei wurde aber leider überschrieben... ist das schlecht?
ähm der kasperspy geht irgendwie nicht, obwohl ich schon auf installieren des active x steuerelements gedrückt habe... gibt es noch eine andere methode? ad-aware vielleicht? mfg tam |
|
|
||
19.04.2006, 11:20
Ehrenmitglied
Beiträge: 29434 |
#49
dann versuche es mit Bitdefender und Panda
http://virus-protect.org/onlinescan.html (und bitte nicht mit Adaware ...es ist ein Virus und keine schlappe Spyware...) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.04.2006, 11:39
...neu hier
Beiträge: 8 |
#50
Benutzeroberfläche konnte nicht geladen werden. Sie müssen Administrator Rechte auf diesen Computer besitzen; die Sicherheitseinstellungen im Internet Explorer müssen auf Medium Niveau gesetzt werden.
<-kommt bei mir bei allen 3 onlinescannern o.0. ich habe es einmal mit der mediumstufe und einmal mit allen activex erlaubten scripten versucht. außerdem kann mein internet explorer die stufe nicht mehr verringern, weil irgendeine "zone" das nicht vorhergesehen hat... gibt es e-scans ohne activex? ich hab das gefühl der virus versperrt mir die installation von denen. (viren spyware etc absolut keine ahnung^^) mfg tam |
|
|
||
19.04.2006, 11:49
Ehrenmitglied
Beiträge: 29434 |
#51
multiavtool
http://virus-protect.org/multiavtool.html * klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster. bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein - man muss eingeben, was gescannt werden soll - C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen: - C:\Windows - C:\ * klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.04.2006, 12:28
...neu hier
Beiträge: 8 |
#52
ich bin verflucht ((
sobald ich das tool starte erscheint ganz kurz die dos eingebeaufforderung und verschwindet wieder. kix.exe oder so läuft im hintergrund weiter kann aber nichts machen. neustart verstucht und die normale eingabeaufforderung geht auch... -.- gibts denn das'?! mfg tam nachtrag um 15:17 Uhr: ich hab jetzt den norton antivirus 2003 drüberlaufen lassen und er hat nur 3 verseuchte dateien gefunden, die der avenger schon isoliert hatte. nav hat sie gelöscht. ist mein system jetzt wieder virenfrei? oder hat nav nicht alles gefunden? mfg tam korrigiere!!! windows firewall läuft wieder einwandfrei. ich denke es ist jetzt wieder in ordnung! vielen, vielen Dank für Ihre Hilfe, ich waar schon fast wieder dabei zu formatieren!! mfg tam Dieser Beitrag wurde am 19.04.2006 um 15:23 Uhr von DeadCell editiert.
|
|
|
||
20.04.2006, 18:00
...neu hier
Beiträge: 6 |
#53
Hallo Sabine,
Sorry das ich so lange gebraucht hab mit der Logfile von Kaspersky. Hier ist meine Logfile: Tuesday, April 18, 2006 10:15:52 PM Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version: 5.0.78.0 Kaspersky Anti-Virus database last update: 18/04/2006 Kaspersky Anti-Virus database records: 177330 Scan Settings Scan using the following antivirus database standard Scan Archives true Scan Mail Bases true Scan Target My Computer A:\ C:\ Scan Statistics Total number of scanned objects 56696 Number of viruses found 7 Number of infected objects 12 Number of suspicious objects 0 Duration of the scan process 00:38:55 Infected Object Name Virus Name Last Action C:\avenger\backup.zip/avenger/nod32..dll Infected: Backdoor.Win32.Small.kh skipped C:\avenger\backup.zip/avenger/osaupd.exe Infected: not-virus:Hoax.Win32.Renos.cq skipped C:\avenger\backup.zip/avenger/r15o922UXD.ini Infected: Backdoor.Win32.Ciadoor.13 skipped C:\avenger\backup.zip/avenger/scvhost.exe Infected: Backdoor.Win32.Ciadoor.13 skipped C:\avenger\backup.zip/avenger/shell386.exe Infected: not-virus:Hoax.Win32.Renos.cm skipped C:\avenger\backup.zip/avenger/winapi32.dll Infected: not-virus:Hoax.Win32.Renos.ck skipped C:\avenger\backup.zip/avenger/winsrv32.exe Infected: not-virus:Hoax.Win32.Renos.cl skipped C:\avenger\backup.zip/avenger/wsock32.sys Infected: Backdoor.Win32.Ciadoor.13 skipped C:\avenger\backup.zip/avenger/wupdmgr.exe Infected: not-virus:Hoax.Win32.Renos.cq skipped C:\avenger\backup.zip ZIP: infected - 9 skipped C:\Dokumente und Einstellungen\Yasin\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\BlackBox.class-4a6c819a-49bc8558.class Infected: Exploit.Java.ByteVerify skipped C:\Dokumente und Einstellungen\Yasin\Desktop\backups\backup-20060415-162523-533-wupdmgr.exe Infected: not-virus:Hoax.Win32.Renos.cq skipped Scan process completed. |
|
|
||
20.04.2006, 18:26
Ehrenmitglied
Beiträge: 29434 |
#54
DaLehrling
loesche alles manuell, was gefunden wurde,also C:\avenger\backup.zip C:\Dokumente und Einstellungen\Yasin\Desktop\backups\backup-20060415-162523-533-wupdmgr.exe C:\Dokumente und Einstellungen\Yasin\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\BlackBox.class-4a6c819a-49bc8558.class --------------------------------------- gehe zur Systemsteuerung -- Internetoptionen -- auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen -- auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen ---------------------------------------- dann scanne mit Panda und Bitdefender und berichte http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.04.2006, 21:55
Member
Beiträge: 22 |
#55
Hallo zusammen, Hallo Sabina, :-)
Ich werde wohl das gleich Problem haben. Ich alleine schaffe es einfach nicht es zu beseitigen. Nach jedem Neustart von Windows (Home, SP2) komme ich nicht mehr in die Registry ("das bearbeiten der reg wurde durch den admin deaktiviert") und die Firewalled ist auch wieder inaktiv. Ich hoffe ihr könnt auch mir weiterhelfen. Achja nach jedem Neustart öffnet sich der Arbeitsplatz.. Hier ist mein Hiijack log: Logfile of HijackThis v1.99.1 Scan saved at 21:53:34, on 22.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Medion Info Display\MdionLCM.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\system32\CmUCReye.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\internet explorer\iexplore.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\UStorSrv.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\Microsoft Works\WkDStore.exe C:\Software\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gangwars.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe" O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128778405937 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - C:\WINDOWS\C:\WINDOWS\system32\ZoneLabs\vsmon.exe (file missing) O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Schonmal danke für die Hiiilfe... |
|
|
||
23.04.2006, 17:55
Ehrenmitglied
Beiträge: 29434 |
#56
Daniel2k
win32:ciadoor-21 http://www.virus-protect.org/artikel/dienste/wsock32sys.html ------------------------------------------------------------------ 1. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 PC neustarten 2. gehe in die Registry...du müsstest nun eigentlich wieder in die Registry kommen.... Start->Ausführen --> regedit HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen) DisableRegistryTools = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen) ----- HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD (Ohne den Schlüssel Policies) Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn. Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein ------------------------ 3. Start > Ausführen > mmc > Datei > Snapin hinzufügen > Hinzufügen > Gruppenrichtlinien auswählen > hinzufügen > Fertig stellen > schließen > ok >Benutzerkonfiguration > Aministrative Vorlagen > System > Doppleklick auf "Zugriff auf Eingabeaufforderung verhindern" > deaktivieren > OK > alle Fenster schliessen > neu anmelden > an der Kommandozeile ------------------------ 4. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 5. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.04.2006, 21:37
Member
Beiträge: 22 |
#57
Hallo Sabina,
danke für die Antwort. Habe den Punkt 1 wie angegeben ausgeführt. Sobald ich meinen Rechner allerdings neustarte, ist alles wieder beim Alten. Ich komme nicht in die Registry und auch die 5 Malware Einträge werden bei HiijackThis wieder angezeigt. Was kann ich tun? Gruß und schönen Abend noch, Daniel Dieser Beitrag wurde am 24.04.2006 um 22:17 Uhr von Daniel2k editiert.
|
|
|
||
25.04.2006, 10:59
Ehrenmitglied
Beiträge: 29434 |
#58
Zitat Daniel2k postetenormalerweise loescht HijackThis die Eintraege aus der Registry. versuche mir wenigstens die 4 logs von datfindbat zu posten, denn wenn wir die Viren loeschen, kann es sein, dass es auch mit der Registry wieder klappt. mittlerweile loesche (im abgesicherten Modus) C:\WINDOWS\system32\ckl009.dat C:\WINDOWS\system32\ahdp.dat C:\WINDOWS\system32\wsock32.sys C:\WINDOWS\system32\scvhost.exe (nicht verwechseln mit svchost.exe !! ) und suche eine ini-Datei, ungefaehr so: http://virus-protect.org/artikel/dienste/wsock32sys.html C:\WINDOWS\system32\r15o922UXD.ini C:\WINDOWS\system32\RuW16vZhM8.ini C:\WINDOWS\system32\JrW258u36r.ini C:\WINDOWS\system32\t1gPWG2PZ1.ini aber mit anderer Zahlen/Buchstabenfolge. dann versuche noch mal, alles, was ich angegeben hatte, mit HijackThis zu fixen ..... in die Registry zu kommen und die Logs von datfindbat zu posten. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.04.2006, 17:45
Member
Beiträge: 22 |
#59
Hallo Sabina,
hier die 4 Logs: 1) Verzeichnis von C:\WINDOWS\system32 25.04.2006 17:36 16.128 ckl009.dat 25.04.2006 17:28 41.102 vsconfig.xml 25.04.2006 17:27 37.469 nvapps.xml 25.04.2006 17:27 163.328 wsock32.sys 25.04.2006 17:16 184.352 scvhost.exe 25.04.2006 17:16 184.352 r15o922UXD.ini 24.04.2006 20:34 2.206 wpa.dbl 22.04.2006 14:53 4.212 zllictbl.dat 22.04.2006 13:48 381.828 perfh009.dat 22.04.2006 13:48 53.572 perfc009.dat 22.04.2006 13:48 64.650 perfc007.dat 22.04.2006 13:48 392.842 perfh007.dat 21.04.2006 20:07 279.744 FNTCACHE.DAT 06.04.2006 12:48 5.143.456 MRT.exe 30.03.2006 11:26 1.492.480 shdocvw.dll 30.03.2006 03:16 18.944 xpsp3res.dll 26.03.2006 09:18 905.244 PerfStringBackup.INI 23.03.2006 22:34 3.074.560 mshtml.dll 18.03.2006 13:09 615.424 urlmon.dll 17.03.2006 11:11 679.424 inetcomm.dll 17.03.2006 06:03 8.493.056 shell32.dll 17.03.2006 02:38 28.672 verclsid.exe 16.03.2006 11:34 71.448 zlcommdb.dll 16.03.2006 11:34 79.640 zlcomm.dll 16.03.2006 11:33 100.120 vsxml.dll 16.03.2006 11:33 382.744 vsutil.dll 16.03.2006 11:33 71.448 vsregexp.dll 16.03.2006 11:33 227.096 vspubapi.dll 16.03.2006 11:33 104.216 vsmonapi.dll 16.03.2006 11:33 141.080 vsinit.dll 16.03.2006 11:33 372.824 vsdatant.sys 16.03.2006 11:32 83.736 vsdata.dll 16.03.2006 11:16 54.960 vsutil_loc0407.dll 10.03.2006 06:09 5.533.696 wmp.dll 04.03.2006 05:34 664.064 wininet.dll 04.03.2006 05:34 474.624 shlwapi.dll 04.03.2006 05:34 448.512 mshtmled.dll 04.03.2006 05:34 39.424 pngfilt.dll 04.03.2006 05:34 532.480 mstime.dll 04.03.2006 05:34 146.432 msrating.dll 04.03.2006 05:34 96.768 inseng.dll 04.03.2006 05:34 55.808 extmgr.dll 04.03.2006 05:34 205.312 dxtrans.dll 04.03.2006 05:34 1.056.256 danim.dll 04.03.2006 05:34 251.392 iepeers.dll 04.03.2006 05:34 152.064 cdfview.dll 04.03.2006 05:34 1.022.976 browseui.dll 18.02.2006 23:56 34.308 BASSMOD.dll 22.01.2006 11:23 98.304 CmdLineExt.dll 18.01.2006 13:05 57.344 avsda.dll 17.01.2006 23:36 69.632 ElbyCDIO.dll 06.01.2006 23:44 1.186 $winnt$.inf 04.01.2006 05:35 68.096 webclnt.dll 29.12.2005 04:54 280.064 gdi32.dll 05.12.2005 07:12 61.440 pxhpinst.exe 05.12.2005 07:12 172.032 pxmas.dll 05.12.2005 07:12 28.672 vxblock.dll 05.12.2005 07:12 405.504 pxdrv.dll 05.12.2005 07:12 56.832 pxcpya64.exe 05.12.2005 07:12 339.968 px.dll 05.12.2005 07:12 56.320 pxinsa64.exe 05.12.2005 07:12 339.968 pxwave.dll 2) Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F845-9504 Verzeichnis von C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp 25.04.2006 17:27 468 WCESCOMM.LOG 25.04.2006 17:27 286 WCESLog.log 2 Datei(en) 754 Bytes 0 Verzeichnis(se), 38.405.292.032 Bytes frei 3) Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F845-9504 Verzeichnis von C:\WINDOWS 25.04.2006 17:28 2.005.021 WindowsUpdate.log 25.04.2006 17:27 0 0.log 25.04.2006 17:27 4.238 ModemLog_Creatix V.92 Data Fax Modem.txt 25.04.2006 17:27 50 wiaservc.log 25.04.2006 17:27 159 wiadebug.log 25.04.2006 17:27 2.048 bootstat.dat 25.04.2006 17:26 32.568 SchedLgU.Txt 25.04.2006 17:07 1.267.040 ntbtlog.txt 25.04.2006 16:56 116 NeroDigital.ini 23.04.2006 12:29 135.499 setupapi.log 22.04.2006 11:58 227 system.ini 22.04.2006 11:58 628 win.ini 16.04.2006 10:46 1.830 spupdsvc.log 16.04.2006 00:23 133.940 comsetup.log 16.04.2006 00:23 59.919 iis6.log 16.04.2006 00:23 1.374 imsins.log 16.04.2006 00:23 152.007 tsoc.log 16.04.2006 00:23 80.464 ntdtcsetup.log 16.04.2006 00:23 20.922 ocmsn.log 16.04.2006 00:23 16.093 KB908531.log 16.04.2006 00:23 192.272 ocgen.log 16.04.2006 00:23 18.986 msgsocm.log 16.04.2006 00:23 387.338 FaxSetup.log 16.04.2006 00:23 24.215 updspapi.log 16.04.2006 00:23 1.374 imsins.BAK 16.04.2006 00:23 15.397 KB911562.log 16.04.2006 00:23 18.170 KB912812.log 16.04.2006 00:22 16.792 KB911565.log 16.04.2006 00:22 82.920 wmsetup.log 16.04.2006 00:22 10.848 KB911567.log 08.04.2006 00:20 0 PhotoNow.INI 07.04.2006 21:15 434 goldwave.ini 07.04.2006 20:58 6.592 gwpreset.ini 07.04.2006 20:58 3.362 express.eqx 20.03.2006 20:35 17.572 KB894476.log 20.03.2006 20:31 9.105 KB909394.log 17.03.2006 18:16 97.490 DirectX.log 13.03.2006 22:26 6.296 mozver.dat 13.03.2006 22:23 107.132 UninstallThunderbird.exe 11.03.2006 13:20 107.132 UninstallFirefox.exe 26.02.2006 19:34 796.672 GPInstall.exe 24.02.2006 18:44 290.816 Setup1.exe 18.02.2006 12:34 10.782 KB911927.log 18.02.2006 12:34 8.230 KB911564.log 18.02.2006 12:33 9.858 KB901190.log 18.02.2006 12:33 6.763 KB913446.log 29.01.2006 15:21 2.510 Microsoft.MIF 29.01.2006 15:20 1.098.616 setupapi.log.0.old 22.01.2006 22:58 74.752 ST6UNST.EXE 15.01.2006 22:02 210 BUHL.INI 15.01.2006 21:58 271 WISO.INI 11.01.2006 18:53 10.125 KB908519.log 10.01.2006 23:00 400 ODBC.INI 07.01.2006 23:23 459 wmsetup10.log 07.01.2006 10:40 20.454 hpoins01.dat 07.01.2006 10:33 4 msoffice.ini 07.01.2006 00:19 15.309 KB896424.log 07.01.2006 00:18 10.031 KB910437.log 07.01.2006 00:18 17.473 KB905915.log 07.01.2006 00:18 11.833 KB912919.log 06.01.2006 23:45 1.864 OEWABLog.txt 06.01.2006 23:45 1.189.968 setuplog.txt 06.01.2006 23:44 231.489 setupact.log 06.01.2006 23:43 4.134 regopt.log 06.01.2006 23:41 5.741 sessmgr.setup.log 06.01.2006 23:41 641 DtcInstall.log 4) Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F845-9504 Verzeichnis von C:\ 25.04.2006 17:37 0 sys.txt 25.04.2006 17:37 10.696 system.txt 25.04.2006 17:37 336 systemtemp.txt 25.04.2006 17:37 108.603 system32.txt 25.04.2006 17:27 1.072.156.672 hiberfil.sys 25.04.2006 17:27 1.610.612.736 pagefile.sys 25.04.2006 17:15 2.636 avenger.txt 24.04.2006 22:05 3.488.104 WMDesktop.log 24.04.2006 21:46 639 DirDPF.txt 24.04.2006 21:46 2 DirDPFCns.txt 23.04.2006 12:34 519 hpfr3420.xml 23.04.2006 12:33 7.552 hpfr3425.log 22.04.2006 21:40 211 boot.ini 21.04.2006 14:50 37.625 WmpPpcItnSync.log 12.10.2005 08:54 1.620 IPH.PH 09.10.2005 14:46 50 AUTOEXEC.BAT 08.10.2005 22:57 0 MSDOS.SYS 08.10.2005 22:57 0 IO.SYS 08.10.2005 22:57 0 CONFIG.SYS 04.08.2004 14:00 4.952 bootfont.bin 04.08.2004 14:00 47.564 NTDETECT.COM 04.08.2004 14:00 251.184 ntldr 22 Datei(en) 2.686.731.701 Bytes 0 Verzeichnis(se), 38.405.287.936 Bytes frei Ich habe schon etliche Sachen ausprobiert, aber nach wie vor ist nach einem Neustart alles beim alten! Was soll ich weiter tun? |
|
|
||
25.04.2006, 21:13
Ehrenmitglied
Beiträge: 29434 |
#60
Daniel2k
1. Gehe in die Registry Start-->Ausführen--> regedit bearbeiten --> suchen * Generic Host Process * scvhost * FmS137q14n.ini loesche alles , was vorhanden ist. zum Beispiel: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] "Generic Host Process" ---------- HKEY_CURRENT_USER\Software\VB and VBA Program Settings\ set\set\set --> loeschen r15o922UXD.ini ------------------------------ 2. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT43. Avenger (hast du ja schon geladen ) http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten 4. Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken ** poste den report vom Avenger ** deaktiviere die Systemwiederherstellung (nach der Reinigung wieder aktivieren) ** scanne mit kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
hier ist die logdatei nach erneutem ausführen:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\tnqtcxjf
*******************
Script file located at: \??\C:\WINDOWS\uhaiofrl.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\system32\ckl009.dat not found!
Deletion of file C:\WINDOWS\system32\ckl009.dat failed!
Could not process line:
C:\WINDOWS\system32\ckl009.dat
Status: 0xc0000034
File C:\WINDOWS\system32\wsock32.sys not found!
Deletion of file C:\WINDOWS\system32\wsock32.sys failed!
Could not process line:
C:\WINDOWS\system32\wsock32.sys
Status: 0xc0000034
File C:\WINDOWS\system32\del32.bat not found!
Deletion of file C:\WINDOWS\system32\del32.bat failed!
Could not process line:
C:\WINDOWS\system32\del32.bat
Status: 0xc0000034
File C:\WINDOWS\system32\cs_office.wad not found!
Deletion of file C:\WINDOWS\system32\cs_office.wad failed!
Could not process line:
C:\WINDOWS\system32\cs_office.wad
Status: 0xc0000034
File C:\WINDOWS\system32\4M5tgM6Y2n.ini not found!
Deletion of file C:\WINDOWS\system32\4M5tgM6Y2n.ini failed!
Could not process line:
C:\WINDOWS\system32\4M5tgM6Y2n.ini
Status: 0xc0000034
File C:\WINDOWS\system32\scvhost.exe not found!
Deletion of file C:\WINDOWS\system32\scvhost.exe failed!
Could not process line:
C:\WINDOWS\system32\scvhost.exe
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.