Probleme mit msconfd und svcinit.exe |
||
|---|---|---|
| #0
| ||
|
10.12.2003, 12:08
...neu hier
Beiträge: 10 |
||
 
|
|
|
|
10.12.2003, 12:35
Moderator
Beiträge: 7805 |
#2
Da scheint mehr zu sein, als nur CWS. Aber lies dir das mal durch und nutz den Cleaner von der Seite: http://www.merijn.org/cwschronicles.html .
Lasse Hijackthis danach das hier noch fixen: F1 - win.ini: run=C:\WINDOWS\svcinit.exe O1 - Hosts: 209.132.200.78 auto.search.msn.com O4 - HKLM\..\RunServices: [Desktop] rundll32.exe msconfd,Restore ControlPanel O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://66.230.143.209/loader/dploader.cab Poste danach mal ein neues Log. Da ist wohl noch ein Trojaner oder Wurm. Teste diese Datei "SCVHOST.EXE" mal mit diesem Onlinescanner: http://www.kaspersky.com/remoteviruschk.html __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
10.12.2003, 14:22
Member
Beiträge: 1095 |
#3
Ergänzung zu @raman
Der Eintrag O4 - HKCU\..\RunOnce: [WinSock] SCVHOST.EXE sollte auch gefixt werden. Schau aber Sicherheitshalber nach. Die Datei "SCVHOST.EXE" gibt es im Windows. Das Original sollte aber in "<Windows>/system32" liegen. Diese Datei liegt aber wahrscheinlich direkt im Windowsverzeichnis. Hier ein Link dazu http://www.us.sophos.com/virusinfo/analyses/trojtkbota.html __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
10.12.2003, 15:38
...neu hier
Themenstarter Beiträge: 10 |
#4
Vielen Dank fuer eure Antworten
An raman: wie kann ich den Cleaner von dieser Seite Nutzen? http://www.merijn.org/cwschronicles.html. Komme mit dem Englisch nicht so gut zurecht. Habe Hijackthis die vier sachen fixen lassen. Die drei Meldungen von msconfd und svcinit.exe sind nicht mehr erschienen. Ich glaube du meintest ich soll diese Datei SVCHOST.EXE testen lassen und nicht SCVHOST.EXE. Das kahm dabei herraus: Current object: svchost.exe svchost.exe Infected: TrojanDownloader.Win32.Small.ci Statistics: Known viruses: 79302 Updated: 10.12.2003 File size (Kb): 20 Scan time: 00:00:01 Speed (Kb/sec): 20 Virus bodies: 1 Archives: 0 Packed: 0 Folders: 0 Files: 1 Suspicious: 0 Warnings: 0 An paff: In system32 sind bei mir nur zwei Ordner mit den Namen Adobe und Drivers, sonst nichts. Kann auf meiner Festplatte nichts mit dem Namen scvhost finden, da existiert aber was mit dem Namen svchost, scvhosts und svchostc. Hier ist ein neuer Log: Logfile of HijackThis v1.97.7 Scan saved at 2:34:41 AM, on 10/12/03 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\MDM.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\MOUSE\SYSTEM\EM_EXEC.EXE C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE C:\PROGRAM FILES\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE C:\Program Files\Netropa\Onscreen Display\OSD.exe C:\PROGRAM FILES\AHEAD\INCD\INCD.EXE C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE C:\WINDOWS\SKYICO.EXE C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE C:\PROGRAM FILES\AVPERSONAL\AVSCHED32.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\SYSTEM\SCVHOST.EXE C:\INTEL\INTEL PSNCU\CPUNUMBER.EXE C:\PROGRAM FILES\CCONNECT\CCONNECT.EXE C:\WINDOWS\DESKTOP\SIMONE STINGL\PICOPONE\PICOPHONE163.EXE C:\PROGRAM FILES\NETROPA\MULTIMEDIA KEYBOARD\MMUSBKB2.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAM FILES\WINRAR\WINRAR.EXE C:\WINDOWS\TEMP\RAR$EX00.438\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ultralinks.info/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webcoolsearch.com/ R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {23BC1CCF-4BE7-497F-B154-6ADA68425FBB} - (no file) O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar_en_2.0.95-deleon.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar_en_2.0.95-deleon.dll O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe O4 - HKLM\..\Run: [Works Calendar Reminder] C:\Program Files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe O4 - HKLM\..\Run: [Multimedia Keyboard] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [Onscreen Display] C:\Program Files\Netropa\Onscreen Display\OSD.exe O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SKYICO.exe] C:\WINDOWS\SKYICO.exe O4 - HKLM\..\Run: [Updates] C:\WINDOWS\system32\msupdate.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAM FILES\AVPERSONAL\AVSCHED32.EXE /min O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [WinSock] SCVHOST.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe" O4 - HKCU\..\Run: [IntelProcNumUtility] "C:\Intel\Intel PSNCU\CpuNumber.exe" /nosplash O4 - HKCU\..\RunOnce: [WinSock] SCVHOST.EXE O4 - Startup: CorrectConnect.lnk = C:\Program Files\CConnect\CConnect.exe O4 - Startup: PicoPhone.lnk = C:\WINDOWS\Desktop\Simone Stingl\PicoPone\PicoPhone163.exe O8 - Extra context menu item: =>&Deutsch - http:\\wordreference.com\de\j\iede99.htm O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR_EN_2.0.95-DELEON.DLL/cmsearch.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR_EN_2.0.95-DELEON.DLL/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR_EN_2.0.95-DELEON.DLL/cmsimilar.html O8 - Extra context menu item: Backward &Links - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR_EN_2.0.95-DELEON.DLL/cmbacklinks.html O8 - Extra context menu item: Translate Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR_EN_2.0.95-DELEON.DLL/cmtrans.html O9 - Extra button: RealGuide (HKLM) O9 - Extra button: Rapidspark (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O12 - Plugin for .mts: C:\Program Files\MetaCreations\MetaStream\npmetastream.dll O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll O12 - Plugin for .swf: C:\Program Files\Netscape\Communicator\Program\PLUGINS\NPSWF32.DLL O12 - Plugin for .bmp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O15 - Trusted Zone: http://*.windowsupdate.com O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20030530/qtinstall.info.apple.com/bonnie/us/win/QuickTimeInstaller.exe O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://trust.web.de/trust/xenroll.cab O16 - DPF: {AD08A333-609E-11D3-950C-008098601567} - http://wordreference.com/Install/English%20to%20German.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37964.2061111111 |
|
|
|
|
|
|
10.12.2003, 16:46
Moderator
Beiträge: 7805 |
#5
Bitte Vorsicht: DIe Datei SCVHOST ist keine und war nie eine Systemdatei. Die System datei waere svchost.exe die sich im "Windowsordner"\system32 befindet, aber nur bei Win2000/xp(NT?), Win9x und me haben diese Datei nicht!
Den CWSHREDDER findest du hier: http://www.spywareinfo.com/~merijn/junk/CWShredder.exe einfach starten und immer next druecken. Dann fixe das hier nochmal: O4 - HKCU\..\RunOnce: [WinSock] SCVHOST.EXE O4 - HKLM\..\Run: [WinSock] SCVHOST.EXE Dann wird der Trojaner nach dem Neustart nicht mehr ausgefuert. Bitte danach die Dateien scvhost und deine svchost.exe, scvhosts, svchostc. Diese Dateien gibt es nicht unter Win98. So, wenn du das alles gemacht hast nutze mal den RAV Onlinescanner um deinen Rechner mal gruendlich zu durchsuchen: http://www.bul-online.de/av/onlinescan.html Sag uns mal, was er noch gefunden hat und poste ein aktuelles(das letzte?  ) Log.__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
10.12.2003, 21:45
...neu hier
Themenstarter Beiträge: 10 |
#6
Habe zwei Dateien namens scvhosts und scvhostc gefunden und erfolgreich geloescht. Den CWSHREDDER habe ich laufen lassen.
Aber wenn ich versuche folgendes zu fixen, O4 - HKCU\..\RunOnce: [WinSock] SCVHOST.EXE O4 - HKLM\..\Run: [WinSock] SCVHOST.EXE dann ist es auch weg aber wenn ich Hijackthis nochmal scannen lasse dann ist es wieder da, egal ob ich dazwischen einen Neustart mache oder nicht. |
|
|
|
|
|
|
10.12.2003, 21:54
Moderator
Beiträge: 7805 |
#7
Die Datei mal im abgesicherten Modus loeschen und auch Hijackthis im abgesicherten Modus starten und "fix"en lassen.
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
10.12.2003, 22:20
...neu hier
Themenstarter Beiträge: 10 |
#8
Hab ich gemacht ich glaub es ist jetzt weg.
Hab aber seit ein paar Stunden ein neues Problem. Auf dieser Forumseite spinnt die Grafik total beim scrollen. Hier ist wieder ein aktueller Log kannst mal drueber schaun. Logfile of HijackThis v1.97.7 Scan saved at 9:15:42 AM, on 10/12/03 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\MDM.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\MOUSE\SYSTEM\EM_EXEC.EXE C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE C:\PROGRAM FILES\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE C:\Program Files\Netropa\Onscreen Display\OSD.exe C:\PROGRAM FILES\AHEAD\INCD\INCD.EXE C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE C:\WINDOWS\SKYICO.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE C:\PROGRAM FILES\AVPERSONAL\AVSCHED32.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\DESKTOP\NEW FOLDER\PESTPATROL\PPCONTROL.EXE C:\WINDOWS\DESKTOP\NEW FOLDER\PESTPATROL\PPMEMCHECK.EXE C:\WINDOWS\DESKTOP\NEW FOLDER\PESTPATROL\COOKIEPATROL.EXE C:\INTEL\INTEL PSNCU\CPUNUMBER.EXE C:\PROGRAM FILES\CCONNECT\CCONNECT.EXE C:\PROGRAM FILES\NETROPA\MULTIMEDIA KEYBOARD\MMUSBKB2.EXE C:\WINDOWS\DESKTOP\SIMONE STINGL\PROGRAMME\PICOPONE\PICOPHONE163.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\DESKTOP\ANTIVIRUSPROGRAMME\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {23BC1CCF-4BE7-497F-B154-6ADA68425FBB} - (no file) O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar_en_2.0.95-deleon.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar_en_2.0.95-deleon.dll O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe O4 - HKLM\..\Run: [Works Calendar Reminder] C:\Program Files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe O4 - HKLM\..\Run: [Multimedia Keyboard] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [Onscreen Display] C:\Program Files\Netropa\Onscreen Display\OSD.exe O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SKYICO.exe] C:\WINDOWS\SKYICO.exe O4 - HKLM\..\Run: [Updates] C:\WINDOWS\system32\msupdate.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAM FILES\AVPERSONAL\AVSCHED32.EXE /min O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [PestPatrol Control Center] C:\WINDOWS\Desktop\New Folder\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [PPMemCheck] C:\WINDOWS\DESKTOP\NEWFOL~1\PESTPA~1\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\WINDOWS\DESKTOP\NEWFOL~1\PESTPA~1\CookiePatrol.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe" O4 - HKCU\..\Run: [IntelProcNumUtility] "C:\Intel\Intel PSNCU\CpuNumber.exe" /nosplash O4 - Startup: CorrectConnect.lnk = C:\Program Files\CConnect\CConnect.exe O4 - Startup: PicoPhone.lnk = C:\WINDOWS\Desktop\Simone Stingl\Programme\PicoPone\PicoPhone163.exe O8 - Extra context menu item: =>&Deutsch - http:\\wordreference.com\de\j\iede99.htm O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR_EN_2.0.95-DELEON.DLL/cmsearch.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR_EN_2.0.95-DELEON.DLL/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR_EN_2.0.95-DELEON.DLL/cmsimilar.html O8 - Extra context menu item: Backward &Links - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR_EN_2.0.95-DELEON.DLL/cmbacklinks.html O8 - Extra context menu item: Translate Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR_EN_2.0.95-DELEON.DLL/cmtrans.html O9 - Extra button: RealGuide (HKLM) O9 - Extra button: Rapidspark (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O12 - Plugin for .mts: C:\Program Files\MetaCreations\MetaStream\npmetastream.dll O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll O12 - Plugin for .swf: C:\Program Files\Netscape\Communicator\Program\PLUGINS\NPSWF32.DLL O12 - Plugin for .bmp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O15 - Trusted Zone: http://*.windowsupdate.com O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20030530/qtinstall.info.apple.com/bonnie/us/win/QuickTimeInstaller.exe O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://trust.web.de/trust/xenroll.cab O16 - DPF: {AD08A333-609E-11D3-950C-008098601567} - http://wordreference.com/Install/English%20to%20German.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37964.2061111111 O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab |
|
|
|
|
|
|
10.12.2003, 23:14
...neu hier
Themenstarter Beiträge: 10 |
#9
Das ist beim RAV Onlinescanner rausgkommen:
Scan started at 10/12/03 9:30:35 AM Scanning memory... c:\WINDOWS\SYSTEM\scvhost.exe->(UPXW) - Win32/SpyBot.gen!p2p -> Infected c:\WINDOWS\SYSTEM\qnbqzas.exe->(UPXW) - Win32/SpyBot.gen!p2p -> Infected c:\WINDOWS\SYSTEM\kazaabackupfiles\download_me.exe->(UPXW) - Win32/SpyBot.gen!p2p -> Infected Scanned ============================ Files: 27079 Directories: 1694 Archives: 641 Size(Kb): 1982964 Infected files: 3 Found ============================ Viruses found: 1 Suspicious files: 0 Disinfected files: 0 Mail files: 278 Kann keine Datei namens scvhost.exe mehr finden. |
|
|
|
|
|
|
11.12.2003, 08:23
Moderator
Beiträge: 7805 |
#10
Ui, hast du die Dateien gleich loeschen lassen?
...und nimm das auch mal heraus: O4 - HKLM\..\Run: [Updates] C:\WINDOWS\system32\msupdate.exe Weisst du wozu diese Datei "gut" ist O4 - HKLM\..\Run: [SKYICO.exe] C:\WINDOWS\SKYICO.exe __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
11.12.2003, 10:26
...neu hier
Themenstarter Beiträge: 10 |
#11
Zitat: Ui, hast du die Dateien gleich loeschen lassen?
Welche Dateien meinst du damit? Meinst du die drei von dem RAV Onlinescanner? (die hab ich nicht geloescht) Das is weg: O4 - HKLM\..\Run: [Updates] C:\WINDOWS\system32\msupdate.exe Wozu O4 - HKLM\..\Run: [SKYICO.exe] C:\WINDOWS\SKYICO.exe gut ist weiss ich nicht. Im Taskmanager steht Skyico drin. MfG Simmerl |
|
|
|
|
|
|
11.12.2003, 12:32
Moderator
Beiträge: 7805 |
#12
Dann loesche die drei Dateien !
Starte mal msconfig.exe und deaktiviere dort die Skyico.exe. Falls du sie wirklich brauchst, kannst du sie via msconfig ganz leicht wieder aktivieren. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
11.12.2003, 13:59
...neu hier
Themenstarter Beiträge: 10 |
#13
Wie kann ich die Dateien loeschen ich kann sie nicht finden?
Oder mus ich die Dateien im RAV Onlinescanner loeschen (bin mir eigentlich ziemlich sicher das das nicht geht ich frage aber trotzdem mal nach)? Das haeckchen bei Skyico.exe habe ich entfernt. |
|
|
|
|
|
|
11.12.2003, 15:20
Moderator
Beiträge: 7805 |
#14
Ja, RAV sollte dir irgendwo die moeglichkeit geben, diese Dateien loeschen zu lassen. Es kann sein, das sie das Attribut "versteckt" haben. Ueber die Windowssuche( rechte Maustaste auf "Start" und dann "suchen") kannst du sie finden, indem du unter weitere Optionen "systemordner" und "versteckte Elemente durchsuchen" anhakst.
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
11.12.2003, 15:53
...neu hier
Themenstarter Beiträge: 10 |
#15
Hab ich gemacht konnte aber nur
c:\WINDOWS\SYSTEM\kazaabackupfiles\download_me.exe->(UPXW) - Win32/SpyBot.gen!p2p -> Infected finden und loeschen. RAV AntiVirus hat jetzt noch was anderes gefunden. process://C:\WINDOWS\SYSTEM\SCVHOST.EXE - Win32/SpyBot.gen!p2p -> Infected c:\WINDOWS\SYSTEM\scvhost.exe->(UPXW) - Win32/SpyBot.gen!p2p -> Infected c:\WINDOWS\SYSTEM\qnbqzas.exe->(UPXW) - Win32/SpyBot.gen!p2p -> Infected |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Nach dem Hochfahren des Rechners kommen folgende Meldungen:
RUNDLL Error loading msconfd. The system cannot find the file specified.
Da kann ich dann nur auf OK klicken, danach kommt das Frnster wo ein Password fuer Windows eingeben muss.
Can not find the 'svinit.exe' (or one of its components). Make sure the path and filename are correct andthat all required libraries are available. Da klicke ich wieder auf OK dann kommt das:
Could not load or run 'svcinit.exe' specified in the WIN.INI file. Make sure the file exists on your computer or remove the referen cetion the WIN.INI file. Da kann ich dann auch wieder nur auf OK klicken.
Hier ist das Ergebnis von hijackthis, mit dem ich nicht wirklich etwas anfangen kann waere nett wenn da mal jemand drueber schaun koennte.
Logfile of HijackThis v1.97.7
Scan saved at 10:11:26 PM, on 9/12/03
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\MOUSE\SYSTEM\EM_EXEC.EXE
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAM FILES\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\PROGRAM FILES\AHEAD\INCD\INCD.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SKYICO.EXE
C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAM FILES\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAM FILES\NETROPA\MULTIMEDIA KEYBOARD\MMUSBKB2.EXE
C:\WINDOWS\SYSTEM\SCVHOST.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\INTEL\INTEL PSNCU\CPUNUMBER.EXE
C:\PROGRAM FILES\CCONNECT\CCONNECT.EXE
C:\WINDOWS\DESKTOP\SIMONE STINGL\PICOPONE\PICOPHONE163.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\TEMP\RAR$EX00.416\HIJACKTHIS.EXE
C:\PROGRAM FILES\WINRAR\WINRAR.EXE
C:\WINDOWS\TEMP\RAR$EX00.598\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://webcoolsearch.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webcoolsearch.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ultralinks.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webcoolsearch.com/
R3 - URLSearchHook: (no name) - - (no file)
F1 - win.ini: run=C:\WINDOWS\svcinit.exe
O1 - Hosts: 209.132.200.78 auto.search.msn.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {23BC1CCF-4BE7-497F-B154-6ADA68425FBB} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar_en_2.0.95-deleon.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar_en_2.0.95-deleon.dll
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [Works Calendar Reminder] C:\Program Files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - HKLM\..\Run: [Multimedia Keyboard] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [Onscreen Display] C:\Program Files\Netropa\Onscreen Display\OSD.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SKYICO.exe] C:\WINDOWS\SKYICO.exe
O4 - HKLM\..\Run: [Updates] C:\WINDOWS\system32\msupdate.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAM FILES\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [WinSock] SCVHOST.EXE
O4 - HKLM\..\Run: [SpyHunter] C:\PROGRAM FILES\SPYHUNTER\SPYHUNTER.exe
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [Desktop] rundll32.exe msconfd,Restore ControlPanel
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [IntelProcNumUtility] "C:\Intel\Intel PSNCU\CpuNumber.exe" /nosplash
O4 - HKCU\..\RunOnce: [WinSock] SCVHOST.EXE
O4 - Startup: CorrectConnect.lnk = C:\Program Files\CConnect\CConnect.exe
O4 - Startup: PicoPhone.lnk = C:\WINDOWS\Desktop\Simone Stingl\PicoPone\PicoPhone163.exe
O8 - Extra context menu item: =>&Deutsch - http:\\wordreference.com\de\j\iede99.htm
O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR_EN_2.0.95-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR_EN_2.0.95-DELEON.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR_EN_2.0.95-DELEON.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR_EN_2.0.95-DELEON.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR_EN_2.0.95-DELEON.DLL/cmtrans.html
O9 - Extra button: RealGuide (HKLM)
O9 - Extra button: Rapidspark (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .mts: C:\Program Files\MetaCreations\MetaStream\npmetastream.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .swf: C:\Program Files\Netscape\Communicator\Program\PLUGINS\NPSWF32.DLL
O12 - Plugin for .bmp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20030530/qtinstall.info.apple.com/bonnie/us/win/QuickTimeInstaller.exe
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://66.230.143.209/loader/dploader.cab
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://trust.web.de/trust/xenroll.cab
O16 - DPF: {AD08A333-609E-11D3-950C-008098601567} - http://wordreference.com/Install/English%20to%20German.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37964.2061111111
Vielen Dank, falls sich jemand darum bemueht mir zu helfen.