NOD 32 meldet ihmer bei neu start Win32/Ciadoor.13 Trojaner

#0
19.12.2006, 07:45
Member

Beiträge: 38
#1 Hallo
Ich hofe bin ich richtig hier.Ich hab seit 2 tage keine ruhe.Ihmer und ihmer wieder kommt bei neu start das meldung von NOD32
Datei:C:\WINDOWS\system32\wsock32.sys
Thread:Win32/Ciadoor.13.Trojaner
Hab ich alles ausprobier was hier gelesen haben,aber hilft bei mir net,oder ich mach etwas falsh.Hier sind die Logfile :
Logfile of HijackThis v1.99.1
Scan saved at 07:37:03, on 19.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Eset\nod32krn.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AOL 9.0\waol.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Dokumente und Einstellungen\Gigolo\Eigene Dateien\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O2 - BHO: N.Cs4 - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - C:\WINDOWS\system32\wsock32.sys
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F694343-3D2F-4B11-B078-B3C07EFFB735}: NameServer = 205.188.146.145
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe

Bitte um Hilfe!!!!!
Danke!!!!
Seitenanfang Seitenende
19.12.2006, 13:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 joro7102

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run|Generic Host Process
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Generic Host Process

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
HKLM\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}

Files to delete:
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\del32.bat
C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\system32\wsock32.sys

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe

O2 - BHO: N.Cs4 - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - C:\WINDOWS\system32\wsock32.sys

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
PC neustarten

Start->Ausführen --> regedit

»»»
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen)
DisableRegistryTools = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen)

»»»
HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn.

PC neustarten
_______________________________________________________________

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.12.2006, 14:21
Member

Themenstarter

Beiträge: 38
#3 Danke für die schnele anwort ich hab alles gemacht.Kommt nur eine meldung von Windiws-C:WINDOWS\system\scvhost.exe,konnte nicht gefunden werden.........Das kommt bei neu start den rechner.Was mus ich machen????
und hier sind die letzte 3 monate:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC3B-5734

Verzeichnis von C:\WINDOWS\system32

19.12.2006 14:13 2.206 wpa.dbl
19.12.2006 14:12 51.855 ikhcore.log
19.12.2006 14:11 1.072 settings.sfm
19.12.2006 14:11 1.072 settingsbkup.sfm
19.12.2006 14:11 288 DVCStateBkp-{00000000-00000000-00000009-00001102-00000002-100A1102}.dat
19.12.2006 14:11 288 DVCState-{00000000-00000000-00000009-00001102-00000002-100A1102}.dat
19.12.2006 14:11 29.004 BMXCtrlState-{00000000-00000000-00000009-00001102-00000002-100A1102}.rfx
19.12.2006 14:11 29.004 BMXBkpCtrlState-{00000000-00000000-00000009-00001102-00000002-100A1102}.rfx
19.12.2006 14:11 17.456 BMXState-{00000000-00000000-00000009-00001102-00000002-100A1102}.rfx
19.12.2006 14:11 17.456 BMXStateBkp-{00000000-00000000-00000009-00001102-00000002-100A1102}.rfx
19.12.2006 12:30 0 asfiles.txt
19.12.2006 12:24 2.550 Uninstall.ico
19.12.2006 12:24 1.406 Help.ico
19.12.2006 12:24 30.590 pavas.ico
19.12.2006 08:33 14.336 svchost.exe
16.12.2006 13:03 274.432 imon.dll
15.12.2006 09:51 311.604 perfh009.dat
15.12.2006 09:51 39.992 perfc009.dat
15.12.2006 09:51 316.594 perfh007.dat
15.12.2006 09:51 48.156 perfc007.dat
15.12.2006 09:51 723.744 PerfStringBackup.INI
15.12.2006 09:50 16.832 amcompat.tlb
15.12.2006 09:50 23.392 nscompat.tlb
12.12.2006 10:45 1.474.864 LegitCheckControl.DLL
12.12.2006 05:44 4 proc-220146841.bin
07.12.2006 15:13 10.716.584 MRT.exe
23.11.2006 16:45 24.072 uxtuneup.dll
17.11.2006 18:54 1.040.384 ieframe.dll.mui
17.11.2006 18:53 12.288 advpack.dll.mui
17.11.2006 12:05 103.984 AOLDial.dll
08.11.2006 06:06 679.424 inetcomm.dll
07.11.2006 21:03 131.584 extmgr.dll
07.11.2006 21:03 818.688 wininet.dll
07.11.2006 21:03 231.424 webcheck.dll
07.11.2006 21:03 180.736 ieui.dll
07.11.2006 21:03 458.752 msfeeds.dll
07.11.2006 21:03 50.688 msfeedsbs.dll
07.11.2006 21:03 413.696 vbscript.dll
07.11.2006 21:03 27.136 jsproxy.dll
07.11.2006 21:03 3.577.856 mshtml.dll
07.11.2006 21:03 191.488 iepeers.dll
07.11.2006 21:03 670.720 mstime.dll
07.11.2006 21:03 1.162.240 urlmon.dll
07.11.2006 21:03 6.049.280 ieframe.dll
07.11.2006 21:03 475.648 mshtmled.dll
07.11.2006 21:03 156.160 msls31.dll
07.11.2006 03:27 382.976 iedkcs32.dll
07.11.2006 03:27 229.376 ieaksie.dll
07.11.2006 03:26 152.064 ieakeng.dll
07.11.2006 03:26 71.680 admparse.dll
07.11.2006 03:26 55.296 iesetup.dll
07.11.2006 03:26 13.312 ieudinit.exe
07.11.2006 03:26 54.784 ie4uinit.exe
07.11.2006 03:26 43.008 iernonce.dll
07.11.2006 03:26 123.904 advpack.dll
07.11.2006 03:26 92.672 inseng.dll
07.11.2006 03:25 161.792 ieakui.dll
07.11.2006 03:24 56.483 ieuinit.inf
04.11.2006 14:14 1.245.696 msxml4.dll
03.11.2006 10:02 8.282.112 wmploc.dll
03.11.2006 09:56 99.840 wmpshell.dll
03.11.2006 09:55 275.968 wmerror.dll
03.11.2006 09:54 8.192 asferror.dll
02.11.2006 11:51 43.008 wpdshextres.dll
01.11.2006 08:01 81.984 bdod.bin
01.11.2006 07:56 31 getfile.dat

20.10.2006 02:38 715.776 sxs.dll
18.10.2006 21:58 8.704 uwdf.exe
18.10.2006 21:58 8.704 wdfmgr.exe
18.10.2006 21:47 603.648 WMSPDMOD.dll
18.10.2006 21:47 154.624 wpdmtp.dll



danke noch mal ;)
Seitenanfang Seitenende
19.12.2006, 14:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 joro7102

1.
gehe in die registry
Start - Ausführen - regedit
klicke dich durch zum Schluessel:

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\set\set

Und schreibe, was du rechts findest

____________________________________________________________________

loesche
C:\WINDOWS\system32\bdod.bin
C:\WINDOWS\system32\getfile.dat

««
scanne , stelle alles auf remove und poste den scanreport
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.12.2006, 15:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Verzeichnis von C:\WINDOWS\system32

19.12.2006 12:24 1.406 Help.ico
19.12.2006 12:24 30.590 pavas.ico
19.12.2006 08:33 14.336 svchost.exe <---------
16.12.2006 13:03 274.432 imon.dll
15.12.2006 09:51 311.604 perfh009.dat
15.12.2006 09:51 39.992 perfc009.dat
15.12.2006 09:51 316.594 perfh007.dat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.12.2006, 15:31
Member

Themenstarter

Beiträge: 38
#6 Ja Ok aber gehet net.
hab ich gefunden aber gehet net.Kommt meldung das kann nicht gelöch werden.
Seitenanfang Seitenende
19.12.2006, 15:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein

dir /s /a "c:\svchost*.*" > c:\find.txt & start notepad c:\find.txt


und poste alles, was im Texteditor erscheint
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.12.2006, 16:09
Member

Themenstarter

Beiträge: 38
#8 Und sa ist raus gekommen:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC3B-5734

Verzeichnis von c:\Programme\Gemeinsame Dateien\aol\1165995551\ee

17.11.2006 14:14 6.541 svchost.bin
1 Datei(en) 6.541 Bytes

Verzeichnis von c:\WINDOWS\$NtServicePackUninstall$

29.08.2002 13:00 12.800 svchost.exe
1 Datei(en) 12.800 Bytes

Verzeichnis von c:\WINDOWS\ServicePackFiles\i386

04.08.2004 00:58 14.336 svchost.exe
1 Datei(en) 14.336 Bytes

Verzeichnis von c:\WINDOWS\system32

19.12.2006 08:33 14.336 svchost.exe
1 Datei(en) 14.336 Bytes

Verzeichnis von c:\WINDOWS\system32\dllcache

19.12.2006 08:33 14.336 svchost.exe
1 Datei(en) 14.336 Bytes

Anzahl der angezeigten Dateien:
5 Datei(en) 62.349 Bytes
0 Verzeichnis(se), 23.267.655.680 Bytes frei
Seitenanfang Seitenende
19.12.2006, 16:34
Member

Themenstarter

Beiträge: 38
#9 das ist das bericht von Spyware Scan:
Spyware Scan Details
Start Date: 19.12.2006 15:01:48
End Date: 19.12.2006 16:26:46
Total Time: 1 hrs 24 mins 58 secs

Detected spyware

Trojan-Downloader.Win32.Vivia.y Trojan Downloader more information...
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\PModule
HKEY_CURRENT_USER\Software\Microsoft\PModule Hash c1d411844ff69078a3460ad79679a282487dd6f5253ace749b6641a724e8b073
HKEY_CURRENT_USER\Software\Microsoft\PModule Pid 692


Cookie: statcounter.com Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\gigolo\cookies\gigolo@statcounter[1].txt
Seitenanfang Seitenende
19.12.2006, 17:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (pass auf, dass es von der Groesse her genau die sind, die ich angegeben habe) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

c:\WINDOWS\system32\svchost.exe
1 Datei(en) 14.336 Bytes

c:\WINDOWS\system32\dllcache\svchost.exe
1 Datei(en) 14.336 Bytes

poste die reporte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.12.2006, 17:20
Member

Themenstarter

Beiträge: 38
#11 Hi
c:\WINDOWS\system32\svchost.exe
1 Datei(en) 14.336 Bytes
ditional Information
File size: 14336 bytes
MD5: 65a819b121eb6fdab4400ea42bdffe64
SHA1: 0dfdee2871427e9c40ec82541156884ff9b4bfa3

Complete scanning result of "svchost.exe", received in VirusTotal at 12.19.2006, 17:12:57 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.19 12.19.2006 no virus found
Authentium 4.93.8 12.15.2006 no virus found
Avast 4.7.892.0 12.19.2006 no virus found
AVG 386 12.19.2006 no virus found
BitDefender 7.2 12.19.2006 no virus found
CAT-QuickHeal 8.00 12.19.2006 no virus found
ClamAV devel-20060426 12.19.2006 no virus found
DrWeb 4.33 12.19.2006 no virus found
eSafe 7.0.14.0 12.19.2006 no virus found
eTrust-InoculateIT 23.73.89 12.19.2006 no virus found
eTrust-Vet 30.3.3262 12.19.2006 no virus found
Ewido 4.0 12.19.2006 no virus found
Fortinet 2.82.0.0 12.19.2006 no virus found
F-Prot 3.16f 12.15.2006 no virus found
F-Prot4 4.2.1.29 12.19.2006 no virus found
Ikarus T3.1.0.27 12.19.2006 no virus found
Kaspersky 4.0.2.24 12.19.2006 no virus found
McAfee 4921 12.18.2006 no virus found
Microsoft 1.1904 12.19.2006 no virus found
NOD32v2 1928 12.19.2006 no virus found
Norman 5.80.02 12.19.2006 no virus found
Panda 9.0.0.4 12.19.2006 no virus found
Prevx1 V2 12.19.2006 no virus found
Sophos 4.12.0 12.18.2006 no virus found
Sunbelt 2.2.907.0 12.18.2006 no virus found
TheHacker 6.0.3.134 12.18.2006 no virus found
UNA 1.83 12.18.2006 no virus found
VBA32 3.11.1 12.18.2006 no virus found


Das c:\WINDOWS\system32\dllcache\svchost.exe
kann ich überhaupt auf dem rechner nicht finden,hab ich shon mit suche und alle gibts einwah net oder ich hab das schon gelöscht

Hab ich die Pc wieder neu gestartet und wieder kommt den meldung das
C:/WINDOWS/system/scvhost.exe konnte nicht gefunden werden....... und so weiter.Was mus ich machn???
Seitenanfang Seitenende
20.12.2006, 02:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 poste das neue log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.12.2006, 05:01
Member

Themenstarter

Beiträge: 38
#13 ogfile of HijackThis v1.99.1
Scan saved at 04:59:28, on 20.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Gemeinsame Dateien\AOL\1165995551\ee\AOLSoftware.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Eset\nod32krn.exe
C:\Programme\Gemeinsame Dateien\AOL\Loader\aolload.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Dokumente und Einstellungen\Gigolo\Eigene Dateien\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1165995551\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F694343-3D2F-4B11-B078-B3C07EFFB735}: NameServer = 205.188.146.145
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
Seitenanfang Seitenende
20.12.2006, 12:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 1.
fixe mit dem hijackThis

Zitat

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
PC neustarten

2.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

"Enter search strings" (reinschreiben oder reinkopieren)

scvhost

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.12.2006, 12:13
Member

Themenstarter

Beiträge: 38
#15 Hallo
Hab ich das gemacht und ist das raus gekommen.Ich weis net ob das gut oder schleht ist????
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qnxlbssw

*******************

Script file located at: \??\C:\WINDOWS\nuocqpcm.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Deletion denied! File c:\WINDOWS\system32\svchost.exe is whitelisted
Deletion of file c:\WINDOWS\system32\svchost.exe failed!

Could not process line:
c:\WINDOWS\system32\svchost.exe
Status: 0xc0000022



File c:\WINDOWS\system32\dllcache\svchost.exe not found!
Deletion of file c:\WINDOWS\system32\dllcache\svchost.exe failed!

Could not process line:
c:\WINDOWS\system32\dllcache\svchost.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende