SCVHOST.EXE bereitet mir Kopfschmerzen

#1 Hallo Community,

habe folgendes Problem:

Wenn ich Windows hochfahre kommt direkt nach der Willkommens Sequenz eine Fehlermeldung "C/WINDOWS/System32/scvhost.exe"

Ich hab Antivir schon paar mal drüber geschickt und den gefundenen Virus gelöscht aber Die Fehlermeldung taucht immer wieder auf.

Wäre sehr dankbar wenn mir hier jemand weiterhelfen könnte.

Hab folgendes vorbereitet:

Hijack

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:42:01, on 29.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Home Cinema\TV Enhance\TVEService.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\SMSC\SetIcon.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Firefox Download\HiJackThis_v2.exe

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Programme\Home Cinema\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [TVEService] "C:\Programme\Home Cinema\TV Enhance\TVEService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SetIcon] \Programme\SMSC\SetIcon.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [surfcitymetabags] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\slow file surf city\DOG VGA.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ModeLess] C:\DOKUME~1\Dogan\ANWEND~1\RDR01N~1\web test dale.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - https://god.t-online.de/download/game-od.ocx
O16 - DPF: {BE30D547-EE96-4D6B-B9A3-57777E9F0A9C} (ActiveFormX Element) - http://87.79.64.129:17898/uskzzwekfppr/activex/common/bin/go1984Viewer.ocx
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5BD7BE03-E8E1-4BFE-95CF-B13C109B1AE5}: NameServer = 195.50.140.252 195.50.140.114
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Process Monitor (LVPrcSrv) - Unknown owner - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 7760 bytes


ComboFix

ComboFix 07-12-21.4 - Dogan 2007-12-29 19:39:03.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.549 [GMT 1:00]
ausgeführt von:: C:\Firefox Download\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\myglobalsearch
C:\Programme\myglobalsearch\bar\History\search

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-28 bis 2007-12-29 ))))))))))))))))))))))))))))))
.

2007-12-29 18:39 . 2007-12-29 18:42 3,989 --a------ C:\WINDOWS\system32\ckl009.dat
2007-12-27 03:23 . 2007-12-27 03:23 7,168 --ahs---- C:\WINDOWS\Thumbs.db

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-29 03:37 --------- d-----w C:\Programme\Save
2007-12-27 13:20 --------- d-----w C:\Programme\Windows Live Safety Center
2007-12-24 17:01 --------- d-----w C:\Programme\PokerStars
2007-11-24 00:18 358 ----a-w C:\Dokumente und Einstellungen\Dogan\Anwendungsdaten\wklnhst.dat
2007-11-20 14:34 --------- d-----w C:\Programme\DivX
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-11 14:52 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\CyberLink
2007-11-11 14:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2007-11-11 14:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2007-11-01 21:34 --------- d-----w C:\Programme\CrazyMachines
2007-10-29 22:35 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-28 12:12 --------- d-----w C:\Programme\Java
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-20 00:56 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-10-20 00:56 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-07-03 13:44 48,464 ----a-w C:\Dokumente und Einstellungen\Dogan\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-12-14 19:42 8 --sh--r C:\WINDOWS\system32\3CC3F998CF.sys
2006-12-14 19:42 4,184 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-06-01 13:32]
"ModeLess"="C:\DOKUME~1\Dogan\ANWEND~1\RDR01N~1\web test dale.exe" []
"WebCamRT.exe"="" []
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 13:34]
"LanguageShortcut"="C:\Programme\Home Cinema\PowerDVD\Language\Language.exe" [2006-05-18 11:29]
"TVEService"="C:\Programme\Home Cinema\TV Enhance\TVEService.exe" [2006-10-19 15:00]
"NWEReboot"="" []
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"SetIcon"="\Programme\SMSC\SetIcon.exe" [2004-04-28 14:02]
"SkyTel"="SkyTel.EXE" [2006-10-09 10:50 C:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-09 10:50 C:\WINDOWS\RTHDCPL.exe]
"NvCplDaemon"="RUNDLL32.exe" [2006-03-24 13:00 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2006-10-06 15:38 C:\WINDOWS\system32\nwiz.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-14 17:37]
"surfcitymetabags"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\slow file surf city\DOG VGA.exe" []
"Ulead AutoDetector v2"="C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2004-11-26 10:43]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 13:00]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26]
HPAiODevice(hp psc 900 series) - 1.lnk - C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe [2002-09-26 14:40:00]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

R2 TVECapSvc;TVEnhance Background Capture Service (TBCS);"C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe" [2006-10-19 15:01]
R2 TVESched;TVEnhance Task Scheduler (TTS));"C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe" [2006-10-19 15:01]
R2 X4HSX32;X4HSX32;C:\Programme\Gamesload on Demand Player\X4HSX32.Sys [2006-03-13 18:13]
R3 3xHybrid;Philips SAA713x PCI Card;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-10-10 07:16]
R3 PhilCam8116;Logitech QuickCam Pro 3000(PID_08B0);C:\WINDOWS\system32\DRIVERS\CamDrL21.sys [2002-06-10 07:16]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 11:45]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
"2007-12-29 18:00:00 C:\WINDOWS\Tasks\A95EFEF191A979ED.job"
- c:\dokume~1\dogan\anwend~1\rdr01n~1\Seek balm tool.exe
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-29 19:40:19
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-29 19:40:41
.
2007-12-21 18:19:38 --- E O F ---
[/b]

#2 Dogan B.

bist du dir sicher, dass es scvhost.exe ist, oder svchost.exe ?
Ersteres ist ein Virus, zweites eine Systemdatei....

um den Swizzor-Trojaner zu finden:
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

Gruss
Pinguin
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#3 WOW das ging aber schnell...

hey Pinguin, als ich den Rechner gestartet habe ist die Fehlermeldung nicht mehr aufgetaucht,seltsamer Weise dauert es aber sehr lang bis der Rechner hoch fährt oder bis ar ausgeschaltet ist.

hier ist der Text von deiner anweisung oben

Datenträger in Laufwerk C: ist Festplatte
Volumeseriennummer: 2064-49E0

Verzeichnis von C:\Programme

29.12.2007 19:40 <DIR> .
29.12.2007 19:40 <DIR> ..
14.12.2006 20:40 <DIR> Adobe
26.12.2006 22:46 <DIR> Anti-Leech
30.12.2007 14:30 <DIR> AntiVir PersonalEdition Classic
15.02.2007 12:28 <DIR> Azureus
01.01.2007 21:00 <DIR> BearShare
27.12.2006 22:32 <DIR> BearShare Applications
14.12.2006 20:57 <DIR> Buhl
14.12.2006 20:58 <DIR> Common Files
14.12.2006 20:09 <DIR> ComPlus Applications
01.11.2007 22:34 <DIR> CrazyMachines
14.12.2006 20:48 <DIR> CyberLink
25.01.2007 15:01 <DIR> directx
20.11.2007 15:34 <DIR> DivX
12.06.2007 22:14 <DIR> Easiestutils
23.04.2007 10:52 <DIR> ElsterFormular
10.01.2007 23:22 <DIR> Gamesload on Demand Player
26.06.2007 11:59 <DIR> Gemeinsame Dateien
28.12.2006 22:59 <DIR> GetRight
21.12.2006 08:46 <DIR> Google
26.12.2006 20:38 <DIR> Hewlett-Packard
14.12.2006 20:50 <DIR> Home Cinema
12.12.2007 00:12 <DIR> Internet Explorer
28.10.2007 13:12 <DIR> Java
14.12.2006 20:57 <DIR> letstrade
25.01.2007 17:30 <DIR> Logitech
28.01.2007 23:14 <DIR> MegauploadToolbar
17.12.2006 17:30 <DIR> Messenger
14.12.2006 20:12 <DIR> microsoft frontpage
10.02.2007 11:56 <DIR> Microsoft Office
14.12.2006 20:34 <DIR> Microsoft Works
14.12.2006 20:10 <DIR> Movie Maker
30.12.2007 14:29 <DIR> Mozilla Firefox
14.12.2006 20:06 <DIR> MSN
14.12.2006 20:07 <DIR> MSN Gaming Zone
22.03.2007 14:54 <DIR> MSN Messenger
17.12.2006 17:28 <DIR> MSXML 4.0
14.12.2006 20:52 <DIR> Nero
14.12.2006 20:10 <DIR> NetMeeting
26.12.2006 23:07 <DIR> NetPumper
14.12.2006 20:08 <DIR> Online Services
14.12.2006 20:11 <DIR> Online-Dienste
13.06.2007 13:08 <DIR> Outlook Express
03.04.2007 16:54 <DIR> PacificPoker
05.04.2007 15:58 <DIR> PartyGaming
24.12.2007 18:01 <DIR> PokerStars
26.12.2006 22:49 <DIR> rdr 01 new
25.01.2007 14:59 <DIR> Real
17.12.2006 17:23 <DIR> Realtek
29.12.2007 04:37 <DIR> Save
14.12.2006 21:00 <DIR> SMSC
14.12.2006 20:57 <DIR> Sonavis
26.06.2007 11:59 <DIR> Ulead Systems
19.07.2007 17:07 <DIR> VirtualDJ
21.12.2006 17:38 <DIR> Winamp
27.12.2007 14:20 <DIR> Windows Live Safety Center
25.01.2007 14:59 <DIR> Windows Media Components
22.12.2006 20:12 <DIR> Windows Media Connect 2
08.01.2007 13:44 <DIR> Windows Media Player
14.12.2006 20:07 <DIR> Windows NT
14.12.2006 20:08 <DIR> Windows Plus
24.12.2006 12:48 <DIR> WinRAR
14.12.2006 20:58 <DIR> X10 Hardware
14.12.2006 20:12 <DIR> xerox
28.03.2007 09:53 <DIR> Yahoo!
31.08.2007 11:58 <DIR> Zylom Games
0 Datei(en) 0 Bytes
67 Verzeichnis(se), 61.846.413.312 Bytes frei
Datenträger in Laufwerk C: ist Festplatte
Volumeseriennummer: 2064-49E0

Verzeichnis von C:\Dokumente und Einstellungen\Dogan\Lokale Einstellungen\Anwendungsdaten

14.12.2006 20:45 <DIR> Adobe
22.12.2006 20:23 <DIR> Ahead
11.11.2007 16:03 <DIR> ApplicationHistory
27.12.2007 17:12 105.984 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
14.12.2006 20:18 138 fusioncache.dat
25.08.2007 12:04 48.464 GDIPFONTCACHEV1.DAT
14.12.2006 21:41 <DIR> Google
22.12.2006 11:14 <DIR> Identities
25.01.2007 15:12 <DIR> Logitech-LS
18.12.2006 23:53 <DIR> MagicDirector
18.12.2006 23:50 <DIR> MakeDisc
10.05.2007 23:21 <DIR> Microsoft
20.12.2006 23:28 <DIR> Mozilla
14.12.2006 20:59 <DIR> PowerCinema
14.12.2006 20:55 <DIR> Sun
11.11.2007 15:53 <DIR> TVEnhance
3 Datei(en) 154.586 Bytes
13 Verzeichnis(se), 61.846.409.216 Bytes frei
Datenträger in Laufwerk C: ist Festplatte
Volumeseriennummer: 2064-49E0

Verzeichnis von C:\Dokumente und Einstellungen\Dogan\Anwendungsdaten

15.03.2007 11:57 <DIR> Adobe
15.03.2007 11:57 <DIR> AdobeUM
12.01.2007 16:51 <DIR> Ahead
22.08.2007 21:34 <DIR> Azureus
18.12.2006 23:50 <DIR> CyberLink
03.07.2007 14:44 48.464 GDIPFONTCACHEV1.DAT
14.12.2006 21:41 <DIR> Google
14.12.2006 20:19 <DIR> Identities
14.12.2006 21:33 <DIR> Macromedia
28.01.2007 23:46 <DIR> MegauploadToolbar
20.12.2006 23:28 <DIR> Mozilla
28.01.2007 15:39 <DIR> NeroDCTemplates
26.12.2006 23:06 <DIR> NetPumper
25.01.2007 15:24 <DIR> rdr 01 new
06.06.2007 16:43 <DIR> Real
14.12.2006 20:57 <DIR> Sonavis
26.12.2006 22:21 <DIR> Sun
20.12.2006 23:28 <DIR> Talkback
14.12.2006 20:35 <DIR> Template
26.06.2007 12:00 <DIR> Ulead Systems
24.11.2007 01:18 358 wklnhst.dat
2 Datei(en) 48.822 Bytes
19 Verzeichnis(se), 61.846.409.216 Bytes frei
Datenträger in Laufwerk C: ist Festplatte
Volumeseriennummer: 2064-49E0

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

21.12.2006 17:18 305 addr_file.html
15.03.2007 12:01 <DIR> Adobe
29.09.2007 02:19 <DIR> AntiVir PersonalEdition Classic
11.11.2007 15:51 <DIR> CyberLink
14.12.2006 20:57 <DIR> fun communications
20.12.2006 23:26 <DIR> Google
11.11.2007 15:08 <DIR> nView_Profiles
26.12.2006 22:49 <DIR> slow file surf city
04.09.2007 13:29 <DIR> SpinTop Games
26.06.2007 11:59 <DIR> Ulead Systems
17.12.2006 22:39 <DIR> Windows Genuine Advantage
01.04.2007 01:01 <DIR> X10 Settings
15.03.2007 12:12 <DIR> Yahoo!
05.09.2007 12:44 <DIR> Zylom
1 Datei(en) 305 Bytes
13 Verzeichnis(se), 61.846.409.216 Bytes frei
Datenträger in Laufwerk C: ist Festplatte
Volumeseriennummer: 2064-49E0

Verzeichnis von C:\Programme\Gemeinsame Dateien

26.06.2007 11:59 <DIR> .
26.06.2007 11:59 <DIR> ..
15.03.2007 12:01 <DIR> Adobe
14.12.2006 20:54 <DIR> Ahead
14.12.2006 20:57 <DIR> Buhl Data Service
14.12.2006 20:57 <DIR> DataDesign
10.02.2007 11:56 <DIR> Designer
14.12.2006 20:10 <DIR> Dienste
15.02.2007 20:55 <DIR> InstallShield
14.12.2006 20:55 <DIR> Java
22.12.2006 20:23 <DIR> LightScribe
28.12.2006 23:01 <DIR> LogiShrd
25.01.2007 17:22 <DIR> Logitech
10.02.2007 11:56 <DIR> Microsoft Shared
14.12.2006 20:10 <DIR> MSSoap
14.12.2006 19:59 <DIR> ODBC
25.01.2007 17:26 <DIR> Real
14.12.2006 20:57 <DIR> Sonavis
14.12.2006 19:59 <DIR> SpeechEngines
13.06.2007 13:08 <DIR> System
26.06.2007 11:59 <DIR> Ulead Systems
0 Datei(en) 0 Bytes
21 Verzeichnis(se), 61.846.409.216 Bytes frei
Datenträger in Laufwerk C: ist Festplatte
Volumeseriennummer: 2064-49E0

Verzeichnis von C:\Windows\tasks

#4 Dogan B.

Die Probleme kommen wegen dem Netpumper + Anti-Leech - sind Programme, die man nicht laden sollte... enthalten Tojaner...

1.
HijackThis
öffne das HijackThis -- Button "scan" -- vor diese 2 Einträge Häkchen setzen -- Button "Fix checked"

Zitat

O4 - HKLM\..\Run: [surfcitymetabags] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\slow file surf city\DOG VGA.exe

O4 - HKCU\..\Run: [ModeLess] C:\DOKUME~1\Dogan\ANWEND~1\RDR01N~1\web test dale.exe

2.
Avenger - lies dir durch, wie man den Avenger anwendet
http://www.virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|surfcitymetabags

Files to delete:
C:\WINDOWS\Tasks\A95EFEF191A979ED.job

Folders to delete:
C:\Programme\rdr 01 new
C:\Programme\Anti-Leech
C:\Programme\NetPumper
C:\Programme\Save
C:\Dokumente und Einstellungen\Dogan\Anwendungsdaten\NetPumper
C:\Dokumente und Einstellungen\Dogan\Anwendungsdaten\rdr 01 new
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fun communications
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\slow file surf city

PC wird neustarten - poste das log, was erscheint

3.
sophos
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus

RunThis.bat doppelt klicken
reinschreiben: 3
3 : wird Sophos geladen - waehle 6 - scanne - poste den Report

Gruss
Pinguin
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#5 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mtkrkplg

*******************

Script file located at: \??\C:\Program Files\kcxaovja.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\Tasks\A95EFEF191A979ED.job deleted successfully.
Folder C:\Programme\rdr 01 new deleted successfully.
Folder C:\Programme\Anti-Leech deleted successfully.
Folder C:\Programme\NetPumper deleted successfully.
Folder C:\Programme\Save deleted successfully.
Folder C:\Dokumente und Einstellungen\Dogan\Anwendungsdaten\NetPumper deleted successfully.
Folder C:\Dokumente und Einstellungen\Dogan\Anwendungsdaten\rdr 01 new deleted successfully.
Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fun communications deleted successfully.
Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\slow file surf city deleted successfully.


Could not delete registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|surfcitymetabags
Deletion of registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|surfcitymetabags failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.



Sophos Anti-Virus
Version 4.25.0 [Win32/Intel]
Virus data version 4.25E, January 2008
Includes detection for 332176 viruses, trojans and worms
Copyright (c) 1989-2008 Sophos Plc, www.sophos.com

System time 04:16:40, System date 31 December 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan

IDE directory is: C:\SDFix\IDE

Using IDE file cargar-a.ide
Using IDE file startp-w.ide
Using IDE file revkey-a.ide
Using IDE file autoru-y.ide
Using IDE file ldpin-rg.ide
Using IDE file killa-ed.ide
Using IDE file patch-c.ide
Using IDE file sillyp-a.ide
Using IDE file agen-gis.ide
Using IDE file agen-giq.ide
Using IDE file silly-bp.ide
Using IDE file dloa-bgi.ide
Using IDE file ppntdr-a.ide
Using IDE file mailb-ci.ide
Using IDE file rbot-gvk.ide
Using IDE file goopo-a.ide
Using IDE file ambler-a.ide
Using IDE file spy-ad.ide
Using IDE file dload-ab.ide
Using IDE file bank-ejw.ide
Using IDE file rbot-gvm.ide
Using IDE file sdbo-djc.ide
Using IDE file agen-gia.ide
Using IDE file torpi-by.ide
Using IDE file poison-n.ide
Using IDE file cekar-e.ide
Using IDE file rbot-gvl.ide
Using IDE file nutpea-a.ide
Using IDE file access-a.ide
Using IDE file psyme-fx.ide
Using IDE file drpr-gen.ide
Using IDE file dloa-bfz.ide
Using IDE file agen-ghn.ide
Using IDE file delf-ezi.ide
Using IDE file zlob-fam.ide
Using IDE file agen-ght.ide
Using IDE file bckd-qkk.ide
Using IDE file votera-a.ide
Using IDE file banlo-et.ide
Using IDE file agen-gil.ide
Using IDE file autoru-s.ide
Using IDE file sdbo-dje.ide
Using IDE file dwnl-gzh.ide
Using IDE file trats-a.ide
Using IDE file banco-ak.ide
Using IDE file smit-a.ide
Using IDE file jetdro-a.ide
Using IDE file dropp-sr.ide
Using IDE file delf-ezc.ide
Using IDE file autoru-x.ide
Using IDE file autoru-t.ide
Using IDE file sohan-ap.ide
Using IDE file tagbot-a.ide
Using IDE file zlob-ago.ide
Using IDE file mabeza-b.ide
Using IDE file wiepaz-a.ide
Using IDE file agen-ghm.ide
Using IDE file zlob-agj.ide
Using IDE file hupig-sv.ide
Using IDE file psyme-gb.ide
Using IDE file mypi-fam.ide
Using IDE file zbot-b.ide
Using IDE file blehs-a.ide
Using IDE file silly-tl.ide
Using IDE file psyme-gc.ide
Using IDE file silly-tt.ide
Using IDE file banlo-eu.ide
Using IDE file atax-a.ide
Using IDE file tanto-g.ide
Using IDE file strat-tl.ide
Using IDE file looke-eb.ide
Using IDE file pws-apl.ide
Using IDE file agen-giu.ide
Using IDE file agen-giv.ide
Using IDE file spybo-of.ide
Using IDE file feebs-bz.ide
Using IDE file buzzit-b.ide
Using IDE file agen-giy.ide
Using IDE file proxy-ib.ide
Using IDE file framer-b.ide
Using IDE file ymworm-a.ide
Using IDE file bankd-dc.ide
Using IDE file rbot-gvo.ide
Using IDE file ircbo-zm.ide
Using IDE file etap-a.ide
Using IDE file dloa-bgr.ide
Using IDE file conho-al.ide
Using IDE file agen-gjg.ide
Using IDE file dwnl-gzs.ide
Using IDE file silly-bq.ide
Using IDE file agen-gjl.ide
Using IDE file tibspk-b.ide
Using IDE file drop-d.ide
Using IDE file kenfa-a.ide
Using IDE file bdoo-aiy.ide
Using IDE file agen-gjq.ide
Using IDE file linea-cu.ide
Using IDE file agen-gjr.ide
Using IDE file dloa-bgs.ide
Using IDE file agen-gju.ide
Using IDE file mutrk-a.ide
Using IDE file linea-cv.ide
Using IDE file bancb-qr.ide
Using IDE file ranck-fs.ide
Using IDE file bdoo-ajb.ide
Using IDE file agen-ghf.ide
Using IDE file hupig-sx.ide
Using IDE file cimuz-cs.ide
Using IDE file nmism-a.ide
Using IDE file dorf-aj.ide
Using IDE file vbdrop-e.ide
Using IDE file vb-dyd.ide
Using IDE file tibs-tv.ide
Using IDE file dorf-ak.ide
Using IDE file dload-ae.ide
Using IDE file bbdos-a.ide
Using IDE file virtin-a.ide
Using IDE file dload-af.ide
Using IDE file dload-ag.ide
Using IDE file vb-dye.ide
Using IDE file dorf-am.ide
Using IDE file autor-ad.ide
Using IDE file onlin-ag.ide
Using IDE file agen-gkh.ide
Using IDE file hoxi-b.ide
Using IDE file bank-ekh.ide
Using IDE file vb-dyf.ide
Using IDE file drop-e.ide
Using IDE file proage-a.ide
Using IDE file agen-gki.ide
Using IDE file bagle-ti.ide

Full Scanning

Could not open C:\Dokumente und Einstellungen\All Users\Dokumente\TV-Aufzeichnungen\TempRec\TempSBE\MSDVRMM_543443424_1048576_12501
Could not open C:\Dokumente und Einstellungen\All Users\Dokumente\TV-Aufzeichnungen\TempRec\TempSBE\MSDVRMM_543443424_2359296_12516

4 boot sectors swept.
26834 files swept in 16 minutes and 5 seconds.
2 errors were encountered.
No viruses were discovered.
Ending Sophos Anti-Virus.

#6 Dogan B.

das sieht doch schon mal gut aus
es müsste wieder alles o.k. sein - lade nie mehr den Netpumper + Antileech, wenn du keine Fehlermeldungen und Trojaner haben willst...
C:\avenger\backup.zip --> löschen

Guten Rutsch
Pinguin
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#7 Hey Pinguin hast mich auf jeden Fall super durch die ganzen Schritte gelotst, Vielen Dank! Bist ne riesen Hilfe.

Habe nochmal antivir drüber geschickt und der hat auch nichts gefunden der Pc macht im moment auch keine Anzeichen von Viren.

Ich denke Das Neue Jahr kann kommen.

Das mit Netpumper und Anti leech werd ich mir zu Herzen nehmen


Alles Gute und einen Guten Rutsch ins Jahr 2008 wünsch ich dir


LG Dogan