C:\WINDOWS\scvhost.exe gefunden werden.... - W-Lan immer wieder verstellt

#1 Hallo,

ich habe ein großes Problem. Am Montag Abend habe ich meinen Computer (laptop) ganz normal heruntergefahren. Als ich ihn am nächsten Tag wieder startete, kamen direkt mit dem Desktop Bildschirm, drei Fehlermeldungen. Desweiteren funktionierte mein Internet, welches eigentlich beim Systemstart direkt anging, nicht mehr.
Ich habe Windows XP als Betriebssystem und eine Wireless Lan Internetverbindung.
Nachdem ich versucht habe, das Problem zu beheben, funktionierte das Internet wieder. Ich musste die Internetverbindung manuell wieder herstellen, obwohl es in der Einstellung auf automatisch steht.
Beim erneuten Systemstart kamen aber wieder die drei Fehlermeldungen und ich musste die Internetverbindung wieder manuell herstellen.


Hier einmal die Fehlermeldung beim Systemstart:

Erste Meldung
Menüleiste=C:\WINDOWS\scvhost.exe
C:\WINDOWS\scvhost konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederhohlen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen.

Zweite Meldung
Menüleiste=Desktop
Die in der Registrierung angegebene Anwendung C:\WINDOWS\scvhost.exe konnte nicht geladen werden. Stellen Sie sicher, dass die Datei vorhanden ist oder entfernen Sie den Eintrag mit Bezug auf diese Datei aus der Registrierung.

Dritte Meldung
Menüleiste=scvhost.exe
scvhost.exe konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederhohlen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen.



Ich hoffe, dass mir jemand helfen kann.

Mfg
nessaja_84

#2 Hier faengt es an: http://board.protecus.de/t23188.htm
__________
MfG Argus

#3 Hier erstmal das Logfile:


Logfile of HijackThis v1.99.1
Scan saved at 20:05:53, on 03.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Dell Photo Printer 720\dlbcserv.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtBty.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\scvhost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AcronisTrueImage Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: dlbcserv.lnk = C:\Programme\Dell Photo Printer 720\dlbcserv.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Jessy\Startmenü\Programme\IMVU\Run IMVU.lnk
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe



Hier das Ergebnis des combofix:

"Jessy" - 07-02-03 20:22:16 Service Pack 2
ComboFix 07.02.03 - Running from: "C:\Dokumente und Einstellungen\Jessy\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\setup.exe


((((((((((((((((((((((((((((((( Files Created from 2007-01-03 to 2007-02-03 ))))))))))))))))))))))))))))))))))


2007-02-03 20:21 880,166 --a------ C:\combofix.exe
2007-02-03 20:08 339,257 --a------ C:\CleanUp452.exe
2007-02-03 20:04 218,112 --a------ C:\HijackThis.exe
2007-02-03 20:02 <DIR> d-------- C:\hijackthis
2007-02-03 18:10 <DIR> d-------- C:\DOKUME~1\Jessy\Anwendungsdaten\Acronis
2007-02-03 18:06 82,400 --a------ C:\WINDOWS\system32\drivers\snapman.sys
2007-02-03 18:06 37,888 --a------ C:\WINDOWS\system32\setupnt.dll
2007-02-03 18:06 28,896 --a------ C:\WINDOWS\system32\drivers\tifsfilt.sys
2007-02-03 18:06 210,464 --a------ C:\WINDOWS\system32\drivers\timntr.sys
2007-02-03 18:06 126,976 --a------ C:\WINDOWS\system32\snapapi.dll
2007-02-03 18:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Acronis
2007-02-03 18:06 <DIR> d-------- C:\Programme\Acronis
2007-02-03 16:50 <DIR> d-------- C:\Programme\CCleaner
2007-01-26 18:18 68,993 --a------ C:\WINDOWS\ijl11.dll
2007-01-21 11:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Kaspersky Lab
2007-01-21 11:40 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Kaspersky Anti-Virus Personal
2007-01-21 11:30 <DIR> d-------- C:\Programme\7-Zip
2007-01-21 11:07 <DIR> d-------- C:\Programme\Kaspersky Lab
2007-01-21 11:07 <DIR> d-------- C:\DOKUME~1\Jessy\Anwendungsdaten\SpamTest
2007-01-09 20:17 <DIR> d-------- C:\Programme\IMVU
2007-01-09 20:17 <DIR> d-------- C:\DOKUME~1\Jessy\Anwendungsdaten\IMVU
2007-01-07 14:42 8 -r-hs---- C:\WINDOWS\system32\BAB0EEDE9A.sys
2007-01-05 15:32 <DIR> d-------- C:\Programme\Dell Photo Printer 720
2007-01-05 15:32 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Dell Photo Printer 720
2007-01-05 15:29 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-02-03 20:16 -------- d-------- C:\DOKUME~1\Jessy\Anwendungsdaten\openoffice.org2
2007-02-03 17:09 -------- d-------- C:\Programme\tuneup utilities 2004
2007-01-31 17:51 -------- d-------- C:\Programme\slysoft
2007-01-21 10:26 -------- d-------- C:\Programme\dell
2007-01-20 20:07 -------- d-------- C:\Programme\java
2007-01-07 14:55 -------- d-------- C:\Programme\corel
2007-01-07 14:54 10434 --ahs---- C:\WINDOWS\system32\kgygaavl.sys
2007-01-07 14:46 104 -r-hs---- C:\WINDOWS\system32\9adeeeb0ba.sys
2006-12-28 16:00 -------- d-------- C:\Programme\itunes
2006-12-28 16:00 -------- d-------- C:\Programme\ipod
2006-12-28 16:00 -------- d-------- C:\DOKUME~1\Jessy\Anwendungsdaten\apple computer
2006-12-28 15:59 -------- d-------- C:\Programme\quicktime
2006-12-28 15:59 -------- d-------- C:\Programme\apple software update
2006-12-20 15:53 2561674 --a------ C:\SetupCloneCD5291.exe
2006-12-07 04:14 2330624 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-12-03 19:59 -------- d-------- C:\DOKUME~1\Jessy\Anwendungsdaten\real
2006-12-03 19:58 -------- d-------- C:\Programme\real
2006-12-03 19:58 -------- d-------- C:\Programme\Gemeinsame Dateien\xing shared
2006-12-03 19:58 -------- d-------- C:\Programme\Gemeinsame Dateien\real
2006-12-03 19:57 11732512 --a------ C:\RealPlayer10-5GOLD_de.exe
2006-11-17 08:57 85 ---hs---- C:\DOKUME~1\Jessy\Anwendungsdaten\.zreglib
2006-11-08 05:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"AcronisTrueImage Monitor"="\"C:\\Programme\\Acronis\\TrueImage\\TrueImageMonitor.exe\""
"Acronis Scheduler2 Service"="\"C:\\Programme\\Gemeinsame Dateien\\Acronis\\Schedule2\\schedhlp.exe\""
"KAVPersonal50"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Security Suite\\Kaspersky Anti-Virus Personal\\kav.exe\" /minimize"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonceex]
"Windows Update"="C:\\WINDOWS\\scvhost.exe"
"msconfig"="C:\\WINDOWS\\scvhost.exe"
"icq lite"="C:\\WINDOWS\\scvhost.exe"
"Update Checker"="C:\\WINDOWS\\scvhost.exe"
"AntiVir"="C:\\WINDOWS\\scvhost.exe"
@="C:\\WINDOWS\\scvhost.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ModemOnHold"="C:\\Programme\\NetWaiting\\netwaiting.exe"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,\
63,65,73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,5c,52,6f,79,61,6c,65,2e,\
6d,73,73,74,79,6c,65,73,00
"InstallTheme"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,63,65,\
73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,2e,74,68,65,6d,65,00

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0

HKLM\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs*
UxTuneUp



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\ISP-Anmeldungserinnerung 1.job


********************************************************************

catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

? [576]
? [2844]

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 2
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-02-03 20:23:59






Log 1 von datfind

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC78-FA5B

Verzeichnis von C:\WINDOWS\system32

03.02.2007 20:15 30.098 nvapps.xml
03.02.2007 20:15 23.289 nvModes.001
03.02.2007 20:15 2.206 wpa.dbl
03.02.2007 18:06 37.888 setupnt.dll
03.02.2007 18:06 126.976 snapapi.dll
21.01.2007 10:19 85.312 Status.MPF
20.01.2007 20:07 9.132 jupdate-1.5.0_10-b03.log
07.01.2007 14:54 10.434 KGyGaAvL.sys
07.01.2007 14:46 104 9ADEEEB0BA.sys
07.01.2007 14:42 8 BAB0EEDE9A.sys
03.01.2007 14:22 23.289 nvModes.dat
02.01.2007 23:19 10.980.776 MRT.exe
07.12.2006 04:14 2.330.624 wmvcore.dll
03.12.2006 19:58 176.167 rmoc3260.dll
03.12.2006 19:58 5.632 pndx5032.dll
03.12.2006 19:58 6.656 pndx5016.dll
03.12.2006 19:58 278.528 pncrt.dll
20.11.2006 18:40 8.891 jupdate-1.5.0_09-b03.log
09.11.2006 15:07 127.078 javaws.exe
09.11.2006 15:07 49.265 jpicpl32.cpl
09.11.2006 13:28 53.346 javaw.exe
09.11.2006 13:28 49.248 java.exe
08.11.2006 05:06 679.424 inetcomm.dll
04.11.2006 14:14 1.245.696 msxml4.dll


Log 2

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC78-FA5B

Verzeichnis von C:\DOKUME~1\Jessy\LOKALE~1\Temp

03.02.2007 20:25 66.395 bt5776.bat
03.02.2007 20:15 1.761 BCG10.tmp
2 Datei(en) 68.156 Bytes
0 Verzeichnis(se), 44.221.939.712 Bytes frei



Log 3

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC78-FA5B

Verzeichnis von C:\WINDOWS

03.02.2007 20:15 0 0.log
03.02.2007 20:15 1.572.562 WindowsUpdate.log
03.02.2007 20:15 4.184 ModemLog_Conexant HDA D110 MDC V.92 Modem.txt
03.02.2007 20:15 2.048 bootstat.dat
03.02.2007 20:13 32.536 SchedLgU.Txt
03.02.2007 18:06 2.994 setupapi.log
29.01.2007 17:56 19.254 CIMG1990.JPG.thm
29.01.2007 17:55 6.912.054 screenshot.bmp
26.01.2007 18:25 19.254 8671954.jpg.thm
26.01.2007 18:20 19.254 CIMG1918.JPG.thm
26.01.2007 18:18 68.993 ijl11.dll
25.01.2007 14:46 453 dellstat.ini
20.01.2007 19:27 108.336 mswinsck.ocx
06.01.2007 19:47 7.680 Thumbs.db
20.12.2006 16:47 67 cdplayer.ini


Log 4

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC78-FA5B

Verzeichnis von C:\WINDOWS\temp


Log 5

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC78-FA5B

Verzeichnis von C:\WINDOWS\Downloaded Program Files

04.12.2006 15:16 144 QTPlugin.inf
22.06.2006 10:41 5.032 swflash.inf
20.08.2005 00:56 65 desktop.ini
10.06.2005 10:44 417.792 isusweb.dll
13.04.2005 12:46 678 mcinsctl.inf
25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
7 Datei(en) 644.895 Bytes
0 Verzeichnis(se), 44.221.935.616 Bytes frei


Log 6

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC78-FA5B

Verzeichnis von C:\

03.02.2007 20:40 0 sys.txt
03.02.2007 20:39 594 down.txt
03.02.2007 20:38 117 tmp.txt
03.02.2007 20:37 3.642 system.txt
03.02.2007 20:36 338 systemtemp.txt
03.02.2007 20:34 100.648 system32.txt
03.02.2007 20:29 289 datFind.zip
03.02.2007 20:25 49.152 vfind.exe
03.02.2007 20:25 42.891 ntp.exe
03.02.2007 20:25 39.184 Ntrights.exe
03.02.2007 20:25 123.904 swsc.exe
03.02.2007 20:25 79.360 swxcacls.exe
03.02.2007 20:25 26.112 nircmd.exe
03.02.2007 20:25 994 Purity.bat
03.02.2007 20:25 6.971 Qoo.bat
03.02.2007 20:25 38.400 moveex.exe
03.02.2007 20:25 2.323 Look2Me.bat
03.02.2007 20:25 97.442 LIST-C.bat
03.02.2007 20:25 8.192 RestartIt.exe
03.02.2007 20:25 140.800 swreg.exe
03.02.2007 20:25 207.384 Creg.reg
03.02.2007 20:25 181.776 handle.exe
03.02.2007 20:25 163.328 ERDNT.E_E
03.02.2007 20:25 28.160 catchme.exe
03.02.2007 20:23 6.909 ComboFix.txt
03.02.2007 20:21 880.166 combofix.exe
03.02.2007 20:14 2.145.845.248 hiberfil.sys
03.02.2007 20:14 2.145.386.496 pagefile.sys
03.02.2007 20:09 339.257 CleanUp452.exe
03.02.2007 20:02 212.849 hijackthis.zip
20.12.2006 15:53 2.561.674 SetupCloneCD5291.exe
03.12.2006 19:57 11.732.512 RealPlayer10-5GOLD_de.exe




Zu meinem Problem:

Beim Systemstart erscheinen immer die oben genannten 3 Fehlermeldungen und das Internet ist unterbrochen, was vorher nie so war. Ich konnte allerdings manuell die Verbindung wieder herstellen.Ich habe meine Festplatte defragmentiert, mit Tuneup utilities probleme behoben, habe virenscan von kasperski durchgeführt ohne ergebnis und habe spybot durchlaufen lassen (ohne ergebnis).
Das einzige neue Programm, welches ich mir in letzter Zeit installiert haben ist Kasperski (anti-spam, anti-hacker, anti-virus). Das ist vielleicht eine Woche her.
Ansonsten kann ich nur sagen, das das Problem wirklich von heut auf morgen kam und ich mir nicht erklären kann, wie und wann das passiert ist.

Ich hoffe mir kann jemand bei meinem Problem helfen.

Mfg
nessaja_84

#4 nessaja_84

Information: scvhost.exe - TR/RKit.Nuclear.
http://virus-protect.org/artikel/spyware/scvhost_remove.html

----------------------------------------------------------

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked"

Zitat

F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\scvhost.exe

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\runonceex|Windows Update
HKLM\software\microsoft\windows\currentversion\runonceex|msconfig
HKLM\software\microsoft\windows\currentversion\runonceex|icq lite
HKLM\software\microsoft\windows\currentversion\runonceex|Update Checker
HKLM\software\microsoft\windows\currentversion\runonceex|AntiVir

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{BA748C00-EBC9-EC30-AAAD-CBD003C09003}

Files to delete:
C:\WINDOWS\scvhost.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\bt5776.bat
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\BCG10.tmp

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

__________

««
SDFix.zip entpacken
http://virus-protect.org/artikel/spyware/scvhost_remove.html
es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag,
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo,

Den ersten Schritt kann ich nicht durchführen.
Nachdem ich alles mit combofix und datfind durchgeführt hab, sind die beiden Einträge ( F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\scvhost.exe )verschwunden.

mfg
nessaja_84

#6 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\runonceex|Windows Update
HKLM\software\microsoft\windows\currentversion\runonceex|msconfig
HKLM\software\microsoft\windows\currentversion\runonceex|icq lite
HKLM\software\microsoft\windows\currentversion\runonceex|Update Checker
HKLM\software\microsoft\windows\currentversion\runonceex|AntiVir

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{BA748C00-EBC9-EC30-AAAD-CBD003C09003}

Files to delete:
C:\WINDOWS\scvhost.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\bt5776.bat
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\BCG10.tmp

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Avenger habe ich durchgeführt und der computer wurde neu gestartet.
Es ist ein Unterschied aufgetreten. Und zwar kam keine Fehlermeldung bei Systemstart und das Internet ist wie gewohnt mit gestartet worden.
Ist der Fehler schon behoben?
Das letzte mit dem SDfix habe ich nicht so ganz verstanden. Ich bin nicht so Computererfahren..

mfg
nessaja_84

#8 welche Erklaerung passt nicht ?
was verstehst du nicht?
auf der seite ist sogar alles mit Bildchen erklaert

Zitat

SDFix.zip entpacken
http://virus-protect.org/artikel/spyware/scvhost_remove.html
es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag,

__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo,

wenn ich diesen Link öffne, finde ich nichts mit SDFix. Oder muss, ich wenn ich den Link öffne, noch irgendwo anders drauf?

Mfg
nessaja_84




Habe es doch noch geschafft

Hier das Ergebnis des SDFix:


SDFix: Version 1.63

04.02.2007 - 9:20:05,70

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:

Path:


Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found..




ADS Check:

C:\WINDOWS\system32
No streams found.

Final Check:

Remaining Services:
------------------


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\WINDOWS\\scvhost.exe"="C:\\WINDOWS\\scvhost.exe:*:Enabled:Microsoft Windows"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\hiberfil.sys
C:\WINDOWS\system32\9ADEEEB0BA.sys
C:\WINDOWS\system32\BAB0EEDE9A.sys
C:\WINDOWS\system32\KGyGaAvL.sys

Finished

#10 1.
Avenger

Zitat

Registry values to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\scvhost.exe

2.
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus
RunThis.bat doppelt klicken

reinschreiben: 3

3 : wird Sophos geladen - schreibe : 6 - scanne und poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hier der Report vom Avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dfckxooi

*******************

Script file located at: tcdkunkj

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!


Und hier der Report vom Sophos:
Sophos Anti-Virus
Version 4.14.0 [Win32/Intel]
Virus data version 4.14, February 2007
Includes detection for 216029 viruses, trojans and worms
Copyright (c) 1989-2007 Sophos Plc, www.sophos.com

System time 11:16:36, System date 04 February 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan


Full Scanning

>>> Virus 'Troj/ClsLdr-H' found in file C:\Dokumente und Einstellungen\Jessy\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-49a4f090-147b3d15.zip
Removal successful
Could not open C:\hiberfil.sys
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\RdrMsgDEU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\read0600win_DEUyhoo0010.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\RdrMsgENU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\read0600win_ENUyhoo0010.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\RdrMsgSplash.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearchENU.pdf

1 boot sector swept.
21381 files swept in 24 minutes and 16 seconds.
7 errors were encountered.
1 virus was discovered.
1 file out of 21381 was infected.
Please send infected samples to Sophos for analysis.
For advice consult www.sophos.com, email support@sophos.com
or telephone +44 1235 559933
6 encrypted files were not checked.
Ending Sophos Anti-Virus.

#12 nessaja_84

du hast den avenger nicht korrekt angewendet

also begebe dich in die registry

Start - Ausfuehren - regedit

oben links -bearbeiten - suchen - scvhost.exe


HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
C:\WINDOWS\scvhost.exe -> loeschen

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonceex]
@="C:\WINDOWS\scvhost.exe" - loeschen

PC neustarten

»»
dann sollte wieder alles i.o. sein
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo,
ich bin gerade in die Registrierung gegangen und über suchen scvhost.exe eingegeben. Es wurden nur 3 Dateien angegeben:

(Standard) REG_SZ (Wert nicht gesetzt)

000 REG_SZ scvhost.exe

001 REG_SZ SDFix


Muss davon irgendwas gelöscht werden?

Mfg
nessaja_84

#14 000 REG_SZ scvhost.exe <- loesche das - alle scvhost.exe muessen komplett raus
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hallo,

das mit der Fehlermeldung hat sich geklärt. Die ist jetzt endlich ganz weg. Allerdings wird die einstellung beim W-Lan immer wieder verstellt. Sie steht auf Automatisch Verbinden und ich muss dennoch bei jedem Systemstart in die drahtlose Netzwerkumgebung gehen und die Verbinung herstellen. Das Internet ging sonst immer automatisch mit dem Systemstart an.
Kann man dagegen auch irgendetwas machen?
Vielleicht habe ich auch falsche Einstellungen.

Mfg
nessaja_84