scvhost.exe (win32:ciadoor-21) u.a. Firewall und Registry ohne Funktion

#0
19.04.2006, 00:41
...neu hier

Beiträge: 8
#46 ich hab deinen post leider falsch gelesen und hab deswegen den schritt 3 mit dem avenger zuerst ausgeführt. danach hab ich aber alles wieder nach der richtigen reihenfolge (auch mit avanger) ausgeführt.
hier ist die logdatei nach erneutem ausführen:



Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\tnqtcxjf

*******************

Script file located at: \??\C:\WINDOWS\uhaiofrl.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\ckl009.dat not found!
Deletion of file C:\WINDOWS\system32\ckl009.dat failed!

Could not process line:
C:\WINDOWS\system32\ckl009.dat
Status: 0xc0000034



File C:\WINDOWS\system32\wsock32.sys not found!
Deletion of file C:\WINDOWS\system32\wsock32.sys failed!

Could not process line:
C:\WINDOWS\system32\wsock32.sys
Status: 0xc0000034



File C:\WINDOWS\system32\del32.bat not found!
Deletion of file C:\WINDOWS\system32\del32.bat failed!

Could not process line:
C:\WINDOWS\system32\del32.bat
Status: 0xc0000034



File C:\WINDOWS\system32\cs_office.wad not found!
Deletion of file C:\WINDOWS\system32\cs_office.wad failed!

Could not process line:
C:\WINDOWS\system32\cs_office.wad
Status: 0xc0000034



File C:\WINDOWS\system32\4M5tgM6Y2n.ini not found!
Deletion of file C:\WINDOWS\system32\4M5tgM6Y2n.ini failed!

Could not process line:
C:\WINDOWS\system32\4M5tgM6Y2n.ini
Status: 0xc0000034



File C:\WINDOWS\system32\scvhost.exe not found!
Deletion of file C:\WINDOWS\system32\scvhost.exe failed!

Could not process line:
C:\WINDOWS\system32\scvhost.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
19.04.2006, 00:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#47 es wurde nichts gefunden...heisst das, du hast den Avenger das 2.Mal ausgefuehrt ?

Scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.04.2006, 01:03
...neu hier

Beiträge: 8
#48 hm ja beim ersten mal kam was raus. die logdatei wurde aber leider überschrieben... ;) ist das schlecht?

ähm der kasperspy geht irgendwie nicht, obwohl ich schon auf installieren des active x steuerelements gedrückt habe...
gibt es noch eine andere methode? ad-aware vielleicht?

mfg
tam
Seitenanfang Seitenende
19.04.2006, 11:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#49 dann versuche es mit Bitdefender und Panda
http://virus-protect.org/onlinescan.html

(und bitte nicht mit Adaware ;) ...es ist ein Virus und keine schlappe Spyware...)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.04.2006, 11:39
...neu hier

Beiträge: 8
#50 Benutzeroberfläche konnte nicht geladen werden. Sie müssen Administrator Rechte auf diesen Computer besitzen; die Sicherheitseinstellungen im Internet Explorer müssen auf Medium Niveau gesetzt werden.

<-kommt bei mir bei allen 3 onlinescannern o.0. ich habe es einmal mit der mediumstufe und einmal mit allen activex erlaubten scripten versucht. außerdem kann mein internet explorer die stufe nicht mehr verringern, weil irgendeine "zone" das nicht vorhergesehen hat...

gibt es e-scans ohne activex? ich hab das gefühl der virus versperrt mir die installation von denen.

(viren spyware etc absolut keine ahnung^^)

mfg
tam
Seitenanfang Seitenende
19.04.2006, 11:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#51 multiavtool
http://virus-protect.org/multiavtool.html
* klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.

bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein

- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

* klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.04.2006, 12:28
...neu hier

Beiträge: 8
#52 ich bin verflucht ;)((

sobald ich das tool starte erscheint ganz kurz die dos eingebeaufforderung und verschwindet wieder. kix.exe oder so läuft im hintergrund weiter kann aber nichts machen. neustart verstucht und die normale eingabeaufforderung geht auch... -.- gibts denn das'?!

mfg
tam

nachtrag um 15:17 Uhr:

ich hab jetzt den norton antivirus 2003 drüberlaufen lassen und er hat nur 3 verseuchte dateien gefunden, die der avenger schon isoliert hatte. nav hat sie gelöscht.
ist mein system jetzt wieder virenfrei? oder hat nav nicht alles gefunden?

mfg
tam

korrigiere!!!

windows firewall läuft wieder einwandfrei.
ich denke es ist jetzt wieder in ordnung!

vielen, vielen Dank für Ihre Hilfe, ich waar schon fast wieder dabei zu formatieren!!

mfg
tam
Dieser Beitrag wurde am 19.04.2006 um 15:23 Uhr von DeadCell editiert.
Seitenanfang Seitenende
20.04.2006, 18:00
...neu hier

Beiträge: 6
#53 Hallo Sabine,
Sorry das ich so lange gebraucht hab mit der Logfile von Kaspersky.

Hier ist meine Logfile:


Tuesday, April 18, 2006 10:15:52 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 18/04/2006
Kaspersky Anti-Virus database records: 177330


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
A:\
C:\

Scan Statistics
Total number of scanned objects 56696
Number of viruses found 7
Number of infected objects 12
Number of suspicious objects 0
Duration of the scan process 00:38:55

Infected Object Name Virus Name Last Action
C:\avenger\backup.zip/avenger/nod32..dll Infected: Backdoor.Win32.Small.kh skipped

C:\avenger\backup.zip/avenger/osaupd.exe Infected: not-virus:Hoax.Win32.Renos.cq skipped

C:\avenger\backup.zip/avenger/r15o922UXD.ini Infected: Backdoor.Win32.Ciadoor.13 skipped

C:\avenger\backup.zip/avenger/scvhost.exe Infected: Backdoor.Win32.Ciadoor.13 skipped

C:\avenger\backup.zip/avenger/shell386.exe Infected: not-virus:Hoax.Win32.Renos.cm skipped

C:\avenger\backup.zip/avenger/winapi32.dll Infected: not-virus:Hoax.Win32.Renos.ck skipped

C:\avenger\backup.zip/avenger/winsrv32.exe Infected: not-virus:Hoax.Win32.Renos.cl skipped

C:\avenger\backup.zip/avenger/wsock32.sys Infected: Backdoor.Win32.Ciadoor.13 skipped

C:\avenger\backup.zip/avenger/wupdmgr.exe Infected: not-virus:Hoax.Win32.Renos.cq skipped

C:\avenger\backup.zip ZIP: infected - 9 skipped

C:\Dokumente und Einstellungen\Yasin\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\BlackBox.class-4a6c819a-49bc8558.class Infected: Exploit.Java.ByteVerify skipped

C:\Dokumente und Einstellungen\Yasin\Desktop\backups\backup-20060415-162523-533-wupdmgr.exe Infected: not-virus:Hoax.Win32.Renos.cq skipped

Scan process completed.
Seitenanfang Seitenende
20.04.2006, 18:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#54 DaLehrling

loesche alles manuell, was gefunden wurde,also

C:\avenger\backup.zip

C:\Dokumente und Einstellungen\Yasin\Desktop\backups\backup-20060415-162523-533-wupdmgr.exe

C:\Dokumente und Einstellungen\Yasin\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\BlackBox.class-4a6c819a-49bc8558.class

---------------------------------------

gehe zur Systemsteuerung -- Internetoptionen -- auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen -- auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen

----------------------------------------

dann scanne mit Panda und Bitdefender und berichte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.04.2006, 21:55
Member

Beiträge: 22
#55 Hallo zusammen, Hallo Sabina, :-)

Ich werde wohl das gleich Problem haben. Ich alleine schaffe es einfach nicht es zu beseitigen. Nach jedem Neustart von Windows (Home, SP2) komme ich nicht mehr in die Registry ("das bearbeiten der reg wurde durch den admin deaktiviert") und die Firewalled ist auch wieder inaktiv.

Ich hoffe ihr könnt auch mir weiterhelfen.

Achja nach jedem Neustart öffnet sich der Arbeitsplatz..

Hier ist mein Hiijack log:

Logfile of HijackThis v1.99.1
Scan saved at 21:53:34, on 22.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Medion Info Display\MdionLCM.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\CmUCReye.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Microsoft Works\WkDStore.exe
C:\Software\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gangwars.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe"
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128778405937
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - C:\WINDOWS\C:\WINDOWS\system32\ZoneLabs\vsmon.exe (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


Schonmal danke für die Hiiilfe...
Seitenanfang Seitenende
23.04.2006, 17:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#56 Daniel2k

win32:ciadoor-21
http://www.virus-protect.org/artikel/dienste/wsock32sys.html

------------------------------------------------------------------

1.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

PC neustarten

2.
gehe in die Registry...du müsstest nun eigentlich wieder in die Registry kommen....

Start->Ausführen --> regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen)

DisableRegistryTools = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen)

-----

HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn. Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein

------------------------
3.
Start > Ausführen > mmc > Datei > Snapin hinzufügen > Hinzufügen > Gruppenrichtlinien auswählen > hinzufügen > Fertig stellen > schließen > ok >Benutzerkonfiguration > Aministrative Vorlagen > System > Doppleklick auf "Zugriff auf Eingabeaufforderung verhindern" > deaktivieren > OK > alle Fenster schliessen > neu anmelden > an der Kommandozeile

------------------------

4.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

5.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.04.2006, 21:37
Member

Beiträge: 22
#57 Hallo Sabina,
danke für die Antwort.

Habe den Punkt 1 wie angegeben ausgeführt. Sobald ich meinen Rechner allerdings neustarte, ist alles wieder beim Alten. Ich komme nicht in die Registry und auch die 5 Malware Einträge werden bei HiijackThis wieder angezeigt.
Was kann ich tun?

Gruß und schönen Abend noch,
Daniel
Dieser Beitrag wurde am 24.04.2006 um 22:17 Uhr von Daniel2k editiert.
Seitenanfang Seitenende
25.04.2006, 10:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#58

Zitat

Daniel2k postete
Hallo Sabina,
danke für die Antwort.

Habe den Punkt 1 wie angegeben ausgeführt. Sobald ich meinen Rechner allerdings neustarte, ist alles wieder beim Alten. Ich komme nicht in die Registry und auch die 5 Malware Einträge werden bei HiijackThis wieder angezeigt.
Was kann ich tun?

Gruß und schönen Abend noch,
Daniel
normalerweise loescht HijackThis die Eintraege aus der Registry.
versuche mir wenigstens die 4 logs von datfindbat zu posten, denn wenn wir die Viren loeschen, kann es sein, dass es auch mit der Registry wieder klappt.

mittlerweile loesche (im abgesicherten Modus)


C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\ahdp.dat
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\scvhost.exe (nicht verwechseln mit svchost.exe !! )

und suche eine ini-Datei, ungefaehr so:
http://virus-protect.org/artikel/dienste/wsock32sys.html

C:\WINDOWS\system32\r15o922UXD.ini
C:\WINDOWS\system32\RuW16vZhM8.ini
C:\WINDOWS\system32\JrW258u36r.ini
C:\WINDOWS\system32\t1gPWG2PZ1.ini

aber mit anderer Zahlen/Buchstabenfolge.

dann versuche noch mal, alles, was ich angegeben hatte, mit HijackThis zu fixen ..... in die Registry zu kommen und die Logs von datfindbat zu posten.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.04.2006, 17:45
Member

Beiträge: 22
#59 Hallo Sabina,

hier die 4 Logs:

1)


Verzeichnis von C:\WINDOWS\system32

25.04.2006 17:36 16.128 ckl009.dat
25.04.2006 17:28 41.102 vsconfig.xml
25.04.2006 17:27 37.469 nvapps.xml
25.04.2006 17:27 163.328 wsock32.sys
25.04.2006 17:16 184.352 scvhost.exe
25.04.2006 17:16 184.352 r15o922UXD.ini

24.04.2006 20:34 2.206 wpa.dbl
22.04.2006 14:53 4.212 zllictbl.dat
22.04.2006 13:48 381.828 perfh009.dat
22.04.2006 13:48 53.572 perfc009.dat
22.04.2006 13:48 64.650 perfc007.dat
22.04.2006 13:48 392.842 perfh007.dat
21.04.2006 20:07 279.744 FNTCACHE.DAT
06.04.2006 12:48 5.143.456 MRT.exe
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
26.03.2006 09:18 905.244 PerfStringBackup.INI
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
16.03.2006 11:16 54.960 vsutil_loc0407.dll
10.03.2006 06:09 5.533.696 wmp.dll
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 152.064 cdfview.dll
04.03.2006 05:34 1.022.976 browseui.dll
18.02.2006 23:56 34.308 BASSMOD.dll
22.01.2006 11:23 98.304 CmdLineExt.dll
18.01.2006 13:05 57.344 avsda.dll
17.01.2006 23:36 69.632 ElbyCDIO.dll
06.01.2006 23:44 1.186 $winnt$.inf
04.01.2006 05:35 68.096 webclnt.dll
29.12.2005 04:54 280.064 gdi32.dll
05.12.2005 07:12 61.440 pxhpinst.exe
05.12.2005 07:12 172.032 pxmas.dll
05.12.2005 07:12 28.672 vxblock.dll
05.12.2005 07:12 405.504 pxdrv.dll
05.12.2005 07:12 56.832 pxcpya64.exe
05.12.2005 07:12 339.968 px.dll
05.12.2005 07:12 56.320 pxinsa64.exe
05.12.2005 07:12 339.968 pxwave.dll


2)

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F845-9504

Verzeichnis von C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp

25.04.2006 17:27 468 WCESCOMM.LOG
25.04.2006 17:27 286 WCESLog.log
2 Datei(en) 754 Bytes
0 Verzeichnis(se), 38.405.292.032 Bytes frei



3)

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F845-9504

Verzeichnis von C:\WINDOWS

25.04.2006 17:28 2.005.021 WindowsUpdate.log
25.04.2006 17:27 0 0.log
25.04.2006 17:27 4.238 ModemLog_Creatix V.92 Data Fax Modem.txt
25.04.2006 17:27 50 wiaservc.log
25.04.2006 17:27 159 wiadebug.log
25.04.2006 17:27 2.048 bootstat.dat
25.04.2006 17:26 32.568 SchedLgU.Txt
25.04.2006 17:07 1.267.040 ntbtlog.txt
25.04.2006 16:56 116 NeroDigital.ini
23.04.2006 12:29 135.499 setupapi.log
22.04.2006 11:58 227 system.ini
22.04.2006 11:58 628 win.ini
16.04.2006 10:46 1.830 spupdsvc.log
16.04.2006 00:23 133.940 comsetup.log
16.04.2006 00:23 59.919 iis6.log
16.04.2006 00:23 1.374 imsins.log
16.04.2006 00:23 152.007 tsoc.log
16.04.2006 00:23 80.464 ntdtcsetup.log
16.04.2006 00:23 20.922 ocmsn.log
16.04.2006 00:23 16.093 KB908531.log
16.04.2006 00:23 192.272 ocgen.log
16.04.2006 00:23 18.986 msgsocm.log
16.04.2006 00:23 387.338 FaxSetup.log
16.04.2006 00:23 24.215 updspapi.log
16.04.2006 00:23 1.374 imsins.BAK
16.04.2006 00:23 15.397 KB911562.log
16.04.2006 00:23 18.170 KB912812.log
16.04.2006 00:22 16.792 KB911565.log
16.04.2006 00:22 82.920 wmsetup.log
16.04.2006 00:22 10.848 KB911567.log
08.04.2006 00:20 0 PhotoNow.INI
07.04.2006 21:15 434 goldwave.ini
07.04.2006 20:58 6.592 gwpreset.ini
07.04.2006 20:58 3.362 express.eqx
20.03.2006 20:35 17.572 KB894476.log
20.03.2006 20:31 9.105 KB909394.log
17.03.2006 18:16 97.490 DirectX.log
13.03.2006 22:26 6.296 mozver.dat
13.03.2006 22:23 107.132 UninstallThunderbird.exe
11.03.2006 13:20 107.132 UninstallFirefox.exe
26.02.2006 19:34 796.672 GPInstall.exe
24.02.2006 18:44 290.816 Setup1.exe
18.02.2006 12:34 10.782 KB911927.log
18.02.2006 12:34 8.230 KB911564.log
18.02.2006 12:33 9.858 KB901190.log
18.02.2006 12:33 6.763 KB913446.log
29.01.2006 15:21 2.510 Microsoft.MIF
29.01.2006 15:20 1.098.616 setupapi.log.0.old
22.01.2006 22:58 74.752 ST6UNST.EXE
15.01.2006 22:02 210 BUHL.INI
15.01.2006 21:58 271 WISO.INI
11.01.2006 18:53 10.125 KB908519.log
10.01.2006 23:00 400 ODBC.INI
07.01.2006 23:23 459 wmsetup10.log
07.01.2006 10:40 20.454 hpoins01.dat
07.01.2006 10:33 4 msoffice.ini
07.01.2006 00:19 15.309 KB896424.log
07.01.2006 00:18 10.031 KB910437.log
07.01.2006 00:18 17.473 KB905915.log
07.01.2006 00:18 11.833 KB912919.log
06.01.2006 23:45 1.864 OEWABLog.txt
06.01.2006 23:45 1.189.968 setuplog.txt
06.01.2006 23:44 231.489 setupact.log
06.01.2006 23:43 4.134 regopt.log
06.01.2006 23:41 5.741 sessmgr.setup.log
06.01.2006 23:41 641 DtcInstall.log


4)


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F845-9504

Verzeichnis von C:\

25.04.2006 17:37 0 sys.txt
25.04.2006 17:37 10.696 system.txt
25.04.2006 17:37 336 systemtemp.txt
25.04.2006 17:37 108.603 system32.txt
25.04.2006 17:27 1.072.156.672 hiberfil.sys
25.04.2006 17:27 1.610.612.736 pagefile.sys
25.04.2006 17:15 2.636 avenger.txt
24.04.2006 22:05 3.488.104 WMDesktop.log
24.04.2006 21:46 639 DirDPF.txt
24.04.2006 21:46 2 DirDPFCns.txt
23.04.2006 12:34 519 hpfr3420.xml
23.04.2006 12:33 7.552 hpfr3425.log
22.04.2006 21:40 211 boot.ini
21.04.2006 14:50 37.625 WmpPpcItnSync.log
12.10.2005 08:54 1.620 IPH.PH
09.10.2005 14:46 50 AUTOEXEC.BAT
08.10.2005 22:57 0 MSDOS.SYS
08.10.2005 22:57 0 IO.SYS
08.10.2005 22:57 0 CONFIG.SYS
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 47.564 NTDETECT.COM
04.08.2004 14:00 251.184 ntldr
22 Datei(en) 2.686.731.701 Bytes
0 Verzeichnis(se), 38.405.287.936 Bytes frei


Ich habe schon etliche Sachen ausprobiert, aber nach wie vor ist nach einem Neustart alles beim alten!
Was soll ich weiter tun?
Seitenanfang Seitenende
25.04.2006, 21:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#60 Daniel2k

1.
Gehe in die Registry

Start-->Ausführen--> regedit

bearbeiten --> suchen

* Generic Host Process
* scvhost
* FmS137q14n.ini

loesche alles , was vorhanden ist.

zum Beispiel:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Generic Host Process"

----------

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\
set\set\set --> loeschen
r15o922UXD.ini

------------------------------

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SHAREDACCESS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SHAREDACCESS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHAREDACCESS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
3.
Avenger (hast du ja schon geladen ) ;)
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\system32\r15o922UXD.ini
klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

4.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken


**
poste den report vom Avenger

**
deaktiviere die Systemwiederherstellung (nach der Reinigung wieder aktivieren)

**
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende