C:\WINDOWS\scvhost.exe gefunden werden.... - W-Lan immer wieder verstellt |
||
---|---|---|
#0
| ||
03.02.2007, 19:29
Member
Beiträge: 15 |
||
|
||
03.02.2007, 19:58
Ehrenmitglied
Beiträge: 6028 |
||
|
||
03.02.2007, 20:07
Member
Themenstarter Beiträge: 15 |
#3
Hier erstmal das Logfile:
Logfile of HijackThis v1.99.1 Scan saved at 20:05:53, on 03.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Intel\Wireless\Bin\WLKeeper.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Digital Line Detect\DLG.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\Programme\Dell Photo Printer 720\dlbcserv.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe C:\Programme\OpenOffice.org 2.0\program\soffice.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\Programme\OpenOffice.org 2.0\program\soffice.BIN C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtBty.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Outlook Express\msimn.exe C:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe F3 - REG:win.ini: run=C:\WINDOWS\scvhost.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AcronisTrueImage Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Bluetooth Manager.lnk = ? O4 - Global Startup: Digital Line Detect.lnk = ? O4 - Global Startup: dlbcserv.lnk = C:\Programme\Dell Photo Printer 720\dlbcserv.exe O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Jessy\Startmenü\Programme\IMVU\Run IMVU.lnk O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe Hier das Ergebnis des combofix: "Jessy" - 07-02-03 20:22:16 Service Pack 2 ComboFix 07.02.03 - Running from: "C:\Dokumente und Einstellungen\Jessy\Desktop" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\setup.exe ((((((((((((((((((((((((((((((( Files Created from 2007-01-03 to 2007-02-03 )))))))))))))))))))))))))))))))))) 2007-02-03 20:21 880,166 --a------ C:\combofix.exe 2007-02-03 20:08 339,257 --a------ C:\CleanUp452.exe 2007-02-03 20:04 218,112 --a------ C:\HijackThis.exe 2007-02-03 20:02 <DIR> d-------- C:\hijackthis 2007-02-03 18:10 <DIR> d-------- C:\DOKUME~1\Jessy\Anwendungsdaten\Acronis 2007-02-03 18:06 82,400 --a------ C:\WINDOWS\system32\drivers\snapman.sys 2007-02-03 18:06 37,888 --a------ C:\WINDOWS\system32\setupnt.dll 2007-02-03 18:06 28,896 --a------ C:\WINDOWS\system32\drivers\tifsfilt.sys 2007-02-03 18:06 210,464 --a------ C:\WINDOWS\system32\drivers\timntr.sys 2007-02-03 18:06 126,976 --a------ C:\WINDOWS\system32\snapapi.dll 2007-02-03 18:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Acronis 2007-02-03 18:06 <DIR> d-------- C:\Programme\Acronis 2007-02-03 16:50 <DIR> d-------- C:\Programme\CCleaner 2007-01-26 18:18 68,993 --a------ C:\WINDOWS\ijl11.dll 2007-01-21 11:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Kaspersky Lab 2007-01-21 11:40 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Kaspersky Anti-Virus Personal 2007-01-21 11:30 <DIR> d-------- C:\Programme\7-Zip 2007-01-21 11:07 <DIR> d-------- C:\Programme\Kaspersky Lab 2007-01-21 11:07 <DIR> d-------- C:\DOKUME~1\Jessy\Anwendungsdaten\SpamTest 2007-01-09 20:17 <DIR> d-------- C:\Programme\IMVU 2007-01-09 20:17 <DIR> d-------- C:\DOKUME~1\Jessy\Anwendungsdaten\IMVU 2007-01-07 14:42 8 -r-hs---- C:\WINDOWS\system32\BAB0EEDE9A.sys 2007-01-05 15:32 <DIR> d-------- C:\Programme\Dell Photo Printer 720 2007-01-05 15:32 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Dell Photo Printer 720 2007-01-05 15:29 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-02-03 20:16 -------- d-------- C:\DOKUME~1\Jessy\Anwendungsdaten\openoffice.org2 2007-02-03 17:09 -------- d-------- C:\Programme\tuneup utilities 2004 2007-01-31 17:51 -------- d-------- C:\Programme\slysoft 2007-01-21 10:26 -------- d-------- C:\Programme\dell 2007-01-20 20:07 -------- d-------- C:\Programme\java 2007-01-07 14:55 -------- d-------- C:\Programme\corel 2007-01-07 14:54 10434 --ahs---- C:\WINDOWS\system32\kgygaavl.sys 2007-01-07 14:46 104 -r-hs---- C:\WINDOWS\system32\9adeeeb0ba.sys 2006-12-28 16:00 -------- d-------- C:\Programme\itunes 2006-12-28 16:00 -------- d-------- C:\Programme\ipod 2006-12-28 16:00 -------- d-------- C:\DOKUME~1\Jessy\Anwendungsdaten\apple computer 2006-12-28 15:59 -------- d-------- C:\Programme\quicktime 2006-12-28 15:59 -------- d-------- C:\Programme\apple software update 2006-12-20 15:53 2561674 --a------ C:\SetupCloneCD5291.exe 2006-12-07 04:14 2330624 --a------ C:\WINDOWS\system32\wmvcore.dll 2006-12-03 19:59 -------- d-------- C:\DOKUME~1\Jessy\Anwendungsdaten\real 2006-12-03 19:58 -------- d-------- C:\Programme\real 2006-12-03 19:58 -------- d-------- C:\Programme\Gemeinsame Dateien\xing shared 2006-12-03 19:58 -------- d-------- C:\Programme\Gemeinsame Dateien\real 2006-12-03 19:57 11732512 --a------ C:\RealPlayer10-5GOLD_de.exe 2006-11-17 08:57 85 ---hs---- C:\DOKUME~1\Jessy\Anwendungsdaten\.zreglib 2006-11-08 05:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll 2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" "MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup" "TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "AcronisTrueImage Monitor"="\"C:\\Programme\\Acronis\\TrueImage\\TrueImageMonitor.exe\"" "Acronis Scheduler2 Service"="\"C:\\Programme\\Gemeinsame Dateien\\Acronis\\Schedule2\\schedhlp.exe\"" "KAVPersonal50"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Security Suite\\Kaspersky Anti-Virus Personal\\kav.exe\" /minimize" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonceex] "Windows Update"="C:\\WINDOWS\\scvhost.exe" "msconfig"="C:\\WINDOWS\\scvhost.exe" "icq lite"="C:\\WINDOWS\\scvhost.exe" "Update Checker"="C:\\WINDOWS\\scvhost.exe" "AntiVir"="C:\\WINDOWS\\scvhost.exe" @="C:\\WINDOWS\\scvhost.exe" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "ModemOnHold"="C:\\Programme\\NetWaiting\\netwaiting.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "InstallVisualStyle"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,\ 63,65,73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,5c,52,6f,79,61,6c,65,2e,\ 6d,73,73,74,79,6c,65,73,00 "InstallTheme"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,63,65,\ 73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,2e,74,68,65,6d,65,00 [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 HKLM\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs* UxTuneUp Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\1-Klick-Wartung.job C:\WINDOWS\tasks\AppleSoftwareUpdate.job C:\WINDOWS\tasks\ISP-Anmeldungserinnerung 1.job ******************************************************************** catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes ... ? [576] ? [2844] scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 2 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 07-02-03 20:23:59 Log 1 von datfind Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC78-FA5B Verzeichnis von C:\WINDOWS\system32 03.02.2007 20:15 30.098 nvapps.xml 03.02.2007 20:15 23.289 nvModes.001 03.02.2007 20:15 2.206 wpa.dbl 03.02.2007 18:06 37.888 setupnt.dll 03.02.2007 18:06 126.976 snapapi.dll 21.01.2007 10:19 85.312 Status.MPF 20.01.2007 20:07 9.132 jupdate-1.5.0_10-b03.log 07.01.2007 14:54 10.434 KGyGaAvL.sys 07.01.2007 14:46 104 9ADEEEB0BA.sys 07.01.2007 14:42 8 BAB0EEDE9A.sys 03.01.2007 14:22 23.289 nvModes.dat 02.01.2007 23:19 10.980.776 MRT.exe 07.12.2006 04:14 2.330.624 wmvcore.dll 03.12.2006 19:58 176.167 rmoc3260.dll 03.12.2006 19:58 5.632 pndx5032.dll 03.12.2006 19:58 6.656 pndx5016.dll 03.12.2006 19:58 278.528 pncrt.dll 20.11.2006 18:40 8.891 jupdate-1.5.0_09-b03.log 09.11.2006 15:07 127.078 javaws.exe 09.11.2006 15:07 49.265 jpicpl32.cpl 09.11.2006 13:28 53.346 javaw.exe 09.11.2006 13:28 49.248 java.exe 08.11.2006 05:06 679.424 inetcomm.dll 04.11.2006 14:14 1.245.696 msxml4.dll Log 2 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC78-FA5B Verzeichnis von C:\DOKUME~1\Jessy\LOKALE~1\Temp 03.02.2007 20:25 66.395 bt5776.bat 03.02.2007 20:15 1.761 BCG10.tmp 2 Datei(en) 68.156 Bytes 0 Verzeichnis(se), 44.221.939.712 Bytes frei Log 3 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC78-FA5B Verzeichnis von C:\WINDOWS 03.02.2007 20:15 0 0.log 03.02.2007 20:15 1.572.562 WindowsUpdate.log 03.02.2007 20:15 4.184 ModemLog_Conexant HDA D110 MDC V.92 Modem.txt 03.02.2007 20:15 2.048 bootstat.dat 03.02.2007 20:13 32.536 SchedLgU.Txt 03.02.2007 18:06 2.994 setupapi.log 29.01.2007 17:56 19.254 CIMG1990.JPG.thm 29.01.2007 17:55 6.912.054 screenshot.bmp 26.01.2007 18:25 19.254 8671954.jpg.thm 26.01.2007 18:20 19.254 CIMG1918.JPG.thm 26.01.2007 18:18 68.993 ijl11.dll 25.01.2007 14:46 453 dellstat.ini 20.01.2007 19:27 108.336 mswinsck.ocx 06.01.2007 19:47 7.680 Thumbs.db 20.12.2006 16:47 67 cdplayer.ini Log 4 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC78-FA5B Verzeichnis von C:\WINDOWS\temp Log 5 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC78-FA5B Verzeichnis von C:\WINDOWS\Downloaded Program Files 04.12.2006 15:16 144 QTPlugin.inf 22.06.2006 10:41 5.032 swflash.inf 20.08.2005 00:56 65 desktop.ini 10.06.2005 10:44 417.792 isusweb.dll 13.04.2005 12:46 678 mcinsctl.inf 25.07.2002 18:13 24.576 dwusplay.dll 25.07.2002 18:13 196.608 dwusplay.exe 7 Datei(en) 644.895 Bytes 0 Verzeichnis(se), 44.221.935.616 Bytes frei Log 6 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC78-FA5B Verzeichnis von C:\ 03.02.2007 20:40 0 sys.txt 03.02.2007 20:39 594 down.txt 03.02.2007 20:38 117 tmp.txt 03.02.2007 20:37 3.642 system.txt 03.02.2007 20:36 338 systemtemp.txt 03.02.2007 20:34 100.648 system32.txt 03.02.2007 20:29 289 datFind.zip 03.02.2007 20:25 49.152 vfind.exe 03.02.2007 20:25 42.891 ntp.exe 03.02.2007 20:25 39.184 Ntrights.exe 03.02.2007 20:25 123.904 swsc.exe 03.02.2007 20:25 79.360 swxcacls.exe 03.02.2007 20:25 26.112 nircmd.exe 03.02.2007 20:25 994 Purity.bat 03.02.2007 20:25 6.971 Qoo.bat 03.02.2007 20:25 38.400 moveex.exe 03.02.2007 20:25 2.323 Look2Me.bat 03.02.2007 20:25 97.442 LIST-C.bat 03.02.2007 20:25 8.192 RestartIt.exe 03.02.2007 20:25 140.800 swreg.exe 03.02.2007 20:25 207.384 Creg.reg 03.02.2007 20:25 181.776 handle.exe 03.02.2007 20:25 163.328 ERDNT.E_E 03.02.2007 20:25 28.160 catchme.exe 03.02.2007 20:23 6.909 ComboFix.txt 03.02.2007 20:21 880.166 combofix.exe 03.02.2007 20:14 2.145.845.248 hiberfil.sys 03.02.2007 20:14 2.145.386.496 pagefile.sys 03.02.2007 20:09 339.257 CleanUp452.exe 03.02.2007 20:02 212.849 hijackthis.zip 20.12.2006 15:53 2.561.674 SetupCloneCD5291.exe 03.12.2006 19:57 11.732.512 RealPlayer10-5GOLD_de.exe Zu meinem Problem: Beim Systemstart erscheinen immer die oben genannten 3 Fehlermeldungen und das Internet ist unterbrochen, was vorher nie so war. Ich konnte allerdings manuell die Verbindung wieder herstellen.Ich habe meine Festplatte defragmentiert, mit Tuneup utilities probleme behoben, habe virenscan von kasperski durchgeführt ohne ergebnis und habe spybot durchlaufen lassen (ohne ergebnis). Das einzige neue Programm, welches ich mir in letzter Zeit installiert haben ist Kasperski (anti-spam, anti-hacker, anti-virus). Das ist vielleicht eine Woche her. Ansonsten kann ich nur sagen, das das Problem wirklich von heut auf morgen kam und ich mir nicht erklären kann, wie und wann das passiert ist. Ich hoffe mir kann jemand bei meinem Problem helfen. Mfg nessaja_84 Dieser Beitrag wurde am 03.02.2007 um 20:49 Uhr von nessaja_84 editiert.
|
|
|
||
03.02.2007, 21:37
Ehrenmitglied
Beiträge: 29434 |
#4
nessaja_84
Information: scvhost.exe - TR/RKit.Nuclear. http://virus-protect.org/artikel/spyware/scvhost_remove.html ---------------------------------------------------------- «« öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" Zitat F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe«« Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Registry values to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten __________ «« SDFix.zip entpacken http://virus-protect.org/artikel/spyware/scvhost_remove.html es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag, __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.02.2007, 21:52
Member
Themenstarter Beiträge: 15 |
#5
Hallo,
Den ersten Schritt kann ich nicht durchführen. Nachdem ich alles mit combofix und datfind durchgeführt hab, sind die beiden Einträge ( F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe F3 - REG:win.ini: run=C:\WINDOWS\scvhost.exe )verschwunden. mfg nessaja_84 |
|
|
||
03.02.2007, 21:59
Ehrenmitglied
Beiträge: 29434 |
#6
Avenger
http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Registry values to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.02.2007, 22:08
Member
Themenstarter Beiträge: 15 |
#7
Avenger habe ich durchgeführt und der computer wurde neu gestartet.
Es ist ein Unterschied aufgetreten. Und zwar kam keine Fehlermeldung bei Systemstart und das Internet ist wie gewohnt mit gestartet worden. Ist der Fehler schon behoben? Das letzte mit dem SDfix habe ich nicht so ganz verstanden. Ich bin nicht so Computererfahren.. mfg nessaja_84 |
|
|
||
03.02.2007, 22:16
Ehrenmitglied
Beiträge: 29434 |
#8
welche Erklaerung passt nicht ?
was verstehst du nicht? auf der seite ist sogar alles mit Bildchen erklaert Zitat SDFix.zip entpacken __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.02.2007, 22:37
Member
Themenstarter Beiträge: 15 |
#9
Hallo,
wenn ich diesen Link öffne, finde ich nichts mit SDFix. Oder muss, ich wenn ich den Link öffne, noch irgendwo anders drauf? Mfg nessaja_84 Habe es doch noch geschafft Hier das Ergebnis des SDFix: SDFix: Version 1.63 04.02.2007 - 9:20:05,70 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Name: Path: Restoring Windows Registry Entries Restoring Default Hosts File Rebooting... Normal Mode: Checking Files: No Trojan Files Found.. ADS Check: C:\WINDOWS\system32 No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite" "C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes" "C:\\WINDOWS\\scvhost.exe"="C:\\WINDOWS\\scvhost.exe:*:Enabled:Microsoft Windows" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" Remaining Files: --------------- Backups Folder: - C:\SDFix\backups\backups.zip Checking For Files with Hidden Attributes : C:\hiberfil.sys C:\WINDOWS\system32\9ADEEEB0BA.sys C:\WINDOWS\system32\BAB0EEDE9A.sys C:\WINDOWS\system32\KGyGaAvL.sys Finished Dieser Beitrag wurde am 04.02.2007 um 09:29 Uhr von nessaja_84 editiert.
|
|
|
||
04.02.2007, 10:58
Ehrenmitglied
Beiträge: 29434 |
#10
1.
Avenger Zitat Registry values to delete:2. http://virus-protect.org/artikel/tools/sdfix.html im Normalmodus RunThis.bat doppelt klicken reinschreiben: 3 3 : wird Sophos geladen - schreibe : 6 - scanne und poste den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.02.2007, 11:13
Member
Themenstarter Beiträge: 15 |
#11
Hier der Report vom Avenger
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\dfckxooi ******************* Script file located at: tcdkunkj Could not open script file! Error Could not open script file! Status: 0xc000003b Abort! Und hier der Report vom Sophos: Sophos Anti-Virus Version 4.14.0 [Win32/Intel] Virus data version 4.14, February 2007 Includes detection for 216029 viruses, trojans and worms Copyright (c) 1989-2007 Sophos Plc, www.sophos.com System time 11:16:36, System date 04 February 2007 Command line qualifiers are: -f -remove -nc -nb --stop-scan Full Scanning >>> Virus 'Troj/ClsLdr-H' found in file C:\Dokumente und Einstellungen\Jessy\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-49a4f090-147b3d15.zip Removal successful Could not open C:\hiberfil.sys Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\RdrMsgDEU.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\read0600win_DEUyhoo0010.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\RdrMsgENU.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\read0600win_ENUyhoo0010.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\RdrMsgSplash.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearchENU.pdf 1 boot sector swept. 21381 files swept in 24 minutes and 16 seconds. 7 errors were encountered. 1 virus was discovered. 1 file out of 21381 was infected. Please send infected samples to Sophos for analysis. For advice consult www.sophos.com, email support@sophos.com or telephone +44 1235 559933 6 encrypted files were not checked. Ending Sophos Anti-Virus. Dieser Beitrag wurde am 04.02.2007 um 11:42 Uhr von nessaja_84 editiert.
|
|
|
||
04.02.2007, 11:53
Ehrenmitglied
Beiträge: 29434 |
#12
nessaja_84
du hast den avenger nicht korrekt angewendet also begebe dich in die registry Start - Ausfuehren - regedit oben links -bearbeiten - suchen - scvhost.exe HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List C:\WINDOWS\scvhost.exe -> loeschen [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonceex] @="C:\WINDOWS\scvhost.exe" - loeschen PC neustarten »» dann sollte wieder alles i.o. sein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.02.2007, 12:17
Member
Themenstarter Beiträge: 15 |
#13
Hallo,
ich bin gerade in die Registrierung gegangen und über suchen scvhost.exe eingegeben. Es wurden nur 3 Dateien angegeben: (Standard) REG_SZ (Wert nicht gesetzt) 000 REG_SZ scvhost.exe 001 REG_SZ SDFix Muss davon irgendwas gelöscht werden? Mfg nessaja_84 |
|
|
||
04.02.2007, 12:23
Ehrenmitglied
Beiträge: 29434 |
#14
000 REG_SZ scvhost.exe <- loesche das - alle scvhost.exe muessen komplett raus
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.02.2007, 12:38
Member
Themenstarter Beiträge: 15 |
#15
Hallo,
das mit der Fehlermeldung hat sich geklärt. Die ist jetzt endlich ganz weg. Allerdings wird die einstellung beim W-Lan immer wieder verstellt. Sie steht auf Automatisch Verbinden und ich muss dennoch bei jedem Systemstart in die drahtlose Netzwerkumgebung gehen und die Verbinung herstellen. Das Internet ging sonst immer automatisch mit dem Systemstart an. Kann man dagegen auch irgendetwas machen? Vielleicht habe ich auch falsche Einstellungen. Mfg nessaja_84 |
|
|
||
ich habe ein großes Problem. Am Montag Abend habe ich meinen Computer (laptop) ganz normal heruntergefahren. Als ich ihn am nächsten Tag wieder startete, kamen direkt mit dem Desktop Bildschirm, drei Fehlermeldungen. Desweiteren funktionierte mein Internet, welches eigentlich beim Systemstart direkt anging, nicht mehr.
Ich habe Windows XP als Betriebssystem und eine Wireless Lan Internetverbindung.
Nachdem ich versucht habe, das Problem zu beheben, funktionierte das Internet wieder. Ich musste die Internetverbindung manuell wieder herstellen, obwohl es in der Einstellung auf automatisch steht.
Beim erneuten Systemstart kamen aber wieder die drei Fehlermeldungen und ich musste die Internetverbindung wieder manuell herstellen.
Hier einmal die Fehlermeldung beim Systemstart:
Erste Meldung
Menüleiste=C:\WINDOWS\scvhost.exe
C:\WINDOWS\scvhost konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederhohlen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen.
Zweite Meldung
Menüleiste=Desktop
Die in der Registrierung angegebene Anwendung C:\WINDOWS\scvhost.exe konnte nicht geladen werden. Stellen Sie sicher, dass die Datei vorhanden ist oder entfernen Sie den Eintrag mit Bezug auf diese Datei aus der Registrierung.
Dritte Meldung
Menüleiste=scvhost.exe
scvhost.exe konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederhohlen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen.
Ich hoffe, dass mir jemand helfen kann.
Mfg
nessaja_84