Hallo

Ich hab ein problem. also wenn ich den PC starte dann sagt der die datei scvhost.exe gibt es nicht aber wenn ich mal in den Task-Manager schau dann ist diese datei am Laufen.

Wieso ??

Hallo,
hoffentlich hast du dich verschrieben und meinst svchost. Der scvhost.exe ist ein Wurm.

http://www.sophos.de/virusinfo/analyses/w32rbotek.html

Der Prozess svchost.exe läuft in der Regel mehrfach auf dem Rechner. Ich sehe ihn auf meinem System 6 mal. Daher haben die Wurmprogrammierer auch den Namen scvhost.exe verwendet. Der fällt den wenigsten Usern aufgrund seiner namensähnlichkeit kaum auf.

es ist das hier: (wahrscheinlich)
http://virus-protect.org/artikel/dienst ... 32sys.html

Hijackthis -
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

Hier das Hijackthis Log:

Logfile of HijackThis v1.99.1
Scan saved at 13:33:20, on 12.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\DU Meter\DUMeter.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Jan\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 200.213.40.134:8080
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 3125163483
O17 - HKLM\System\CCS\Services\Tcpip\..\{ECE9F97C-2600-44F8-A5CC-A18AF04CDD4A}: NameServer = 213.211.192.34,194.45.154.35
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe

ja, es ist, was ich annahm...

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe

PC neustarten

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

das erste log...von Windows\System32 ??? Wo ist es ??

-----------------------

wende Cleanup an
http://virus-protect.org/cleanup.html

wenn du es nicht hinbekommst, poste allle diese Logs
http://virus-protect.org/completbat.html

Nikita hat geschrieben:das erste log...von Windows\System32 ??? Wo ist es ??

-----------------------

wende Cleanup an
http://virus-protect.org/cleanup.html

wenn du es nicht hinbekommst, poste allle diese Logs
http://virus-protect.org/completbat.html

Hier das erste:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8FE-23C7

Verzeichnis von C:\

02.05.2006 17:02 1.024 .rnd
23.03.2006 16:36 0 AUTOEXEC.BAT
12.05.2006 13:43 211 boot.ini
18.08.2001 14:00 4.952 bootfont.bin
23.03.2006 16:36 0 CONFIG.SYS
12.05.2006 16:49 0 DC.txt
23.04.2006 10:13 8.995 Dokumente
23.03.2006 17:39 707 goc.log
23.03.2006 16:36 0 IO.SYS
02.05.2006 22:14 10 kclcdb.brq
25.04.2006 20:23 413 logdll.txt
02.05.2006 22:17 10 mikznl.oah
23.03.2006 16:36 0 MSDOS.SYS
08.05.2006 20:14 114 mta.ini
23.03.2006 23:34 47.564 NTDETECT.COM
23.03.2006 23:34 251.184 ntldr
12.05.2006 15:38 805.306.368 pagefile.sys
12.05.2006 15:41 1.161 sys.txt
12.05.2006 15:41 9.586 system.txt
12.05.2006 15:41 97.154 system32.txt
12.05.2006 15:41 13.406 systemtemp.txt
21 Datei(en) 805.742.859 Bytes
0 Verzeichnis(se), 25.005.486.080 Bytes frei


Das zweite:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8FE-23C7


Das fünfte:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8FE-23C7

Verzeichnis von C:\WINDOWS

12.05.2006 16:44 54.156 QTFont.qfn
12.05.2006 16:26 86 my.ini
12.05.2006 15:39 1.613.955 WindowsUpdate.log
12.05.2006 15:38 0 0.log
12.05.2006 15:38 2.048 bootstat.dat
12.05.2006 15:17 229 NeroDigital.ini
12.05.2006 15:13 151 PhotoSnapViewer.INI
12.05.2006 14:53 1.232 ARCHPR.INI
12.05.2006 13:43 227 system.ini
12.05.2006 13:43 1.203 win.ini
12.05.2006 13:28 25.622 SchedLgU.Txt
11.05.2006 18:07 159 wiadebug.log
11.05.2006 18:07 50 wiaservc.log
10.05.2006 07:25 63.601 iis6.log
10.05.2006 07:25 163.053 tsoc.log
10.05.2006 07:25 148.659 comsetup.log
10.05.2006 07:25 89.389 ntdtcsetup.log
10.05.2006 07:25 1.374 imsins.log
10.05.2006 07:25 21.546 ocmsn.log
10.05.2006 07:25 11.747 KB913580.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8FE-23C7

Verzeichnis von C:\WINDOWS


Das siebte:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8FE-23C7

Verzeichnis von C:\WINDOWS\system32

12.05.2006 15:38 50.257 nvapps.xml
12.05.2006 15:38 63.940 OODBS.lor
11.05.2006 18:50 124.520 FNTCACHE.DAT
08.05.2006 20:47 94.065 ckl009.dat
08.05.2006 19:35 216 del32.bat
06.05.2006 11:50 13.038 wpa.dbl
05.05.2006 13:49 52.764 perfc009.dat
05.05.2006 13:49 380.350 perfh009.dat
05.05.2006 13:49 391.000 perfh007.dat
05.05.2006 13:49 63.580 perfc007.dat
04.05.2006 06:26 5.818.784 MRT.exe
02.05.2006 17:03 899.052 PerfStringBackup.INI
25.04.2006 20:20 61 SYSVCDRV.SYS
17.04.2006 19:02 98.304 CmdLineExt.dll
12.04.2006 13:45 14.848 BASSMOD.dll
10.04.2006 14:57 664 d3d9caps.dat
07.04.2006 20:16 176.167 rmoc3260.dll
07.04.2006 20:16 5.632 pndx5032.dll
07.04.2006 20:16 6.656 pndx5016.dll
07.04.2006 20:16 278.528 pncrt.dll
04.04.2006 12:36 974.848 mfc70.dll
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
28.03.2006 15:50 5.120 vnetinst.dll
25.03.2006 21:27 34.064 lhacm.acm
25.03.2006 11:07 16.832 amcompat.tlb
25.03.2006 11:07 23.392 nscompat.tlb
24.03.2006 14:20 1.669.344 NpFp415.dll
23.03.2006 23:59 269 spupdwxp.log
23.03.2006 22:34 3.074.560 mshtml.dll
23.03.2006 17:41 1.414 goc.log
23.03.2006 17:32 7.006 jupdate-1.5.0_06-b05.log
23.03.2006 16:45 13.016 wpa.bak
23.03.2006 16:41 25.065 wmpscheme.xml
23.03.2006 16:38 307 $winnt$.inf
23.03.2006 16:36 2.951 CONFIG.NT


Das achte:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8FE-23C7

Verzeichnis von C:\DOKUME~1\Jan\LOKALE~1\Temp

12.05.2006 16:40 39.997.440 mysql_server.msi
12.05.2006 16:35 16.384 Perflib_Perfdata_dd0.dat
12.05.2006 15:55 0 75i21.tmp
12.05.2006 15:49 73.176 java_install_reg.log
12.05.2006 15:39 16.384 ~DFFD07.tmp
12.05.2006 15:39 512 ~DFE347.tmp
12.05.2006 15:39 16.384 ~DFE304.tmp
12.05.2006 15:09 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}14306.html
12.05.2006 15:03 32.768 ~DFECBB.tmp
12.05.2006 14:24 20.829 Planetopia_Online_06.05.11_23-15_sat1_50_TVOON_DE.wmv.otrkey.torrent
12.05.2006 14:22 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}23093.html
12.05.2006 14:21 16.384 ~DFDBCD.tmp
12.05.2006 14:01 33.118 A~NSISu_.exe
12.05.2006 13:23 16.384 ~DF694.tmp
12.05.2006 13:23 16.384 ~DFCB54.tmp
12.05.2006 07:08 16.384 ~DFD277.tmp
12.05.2006 07:08 16.384 ~DF88AC.tmp
12.05.2006 07:08 512 ~DF8B5A.tmp
11.05.2006 21:55 0 ysf14A.tmp
11.05.2006 19:45 0 pco58.tmp
11.05.2006 18:42 28 listen-1.m3u
11.05.2006 18:41 0 im425.tmp
11.05.2006 18:35 16.384 Perflib_Perfdata_b3c.dat
11.05.2006 18:33 0 BC0AA.dmp
11.05.2006 18:23 16.384 ~DF9EB.tmp
11.05.2006 18:23 512 ~DFD26B.tmp
11.05.2006 18:23 16.384 ~DFD22E.tmp
11.05.2006 18:12 0 A0B962.dmp
11.05.2006 16:40 0 kz5120.tmp
11.05.2006 16:39 0 9wy11C.tmp
11.05.2006 16:22 0 t0vFB.tmp
11.05.2006 15:18 16.384 ~DFD44F.tmp
11.05.2006 15:18 512 ~DF996D.tmp
11.05.2006 15:18 16.384 ~DF994C.tmp

Das neunte:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D8FE-23C7

Verzeichnis von C:\WINDOWS\Prefetch

12.05.2006 16:49 59.048 WORDPAD.EXE-1EFCC5C1.pf
12.05.2006 16:49 30.112 CMD.EXE-087B4001.pf
12.05.2006 16:48 48.420 DISKCLEANER.EXE-015A6E3D.pf
12.05.2006 16:47 65.806 SYSTEMOPTIMIZER.EXE-191231CF.pf
12.05.2006 16:47 111.038 REGISTRYCLEANER.EXE-2ACFEEF7.pf
12.05.2006 16:47 57.632 ONECLICKMAINTENANCE.EXE-1D493D41.pf
12.05.2006 16:45 21.258 REGEDIT.EXE-1B606482.pf
12.05.2006 16:44 65.992 RUNDLL32.EXE-13404D23.pf
12.05.2006 16:41 13.970 VERCLSID.EXE-3667BD89.pf
12.05.2006 16:41 10.338 OADMIN.EXE-0050A947.pf
12.05.2006 16:41 15.508 PHP-CGI.EXE-085EE9D0.pf
12.05.2006 16:40 115.526 MSIEXEC.EXE-2F8A8CAE.pf
12.05.2006 16:40 96.840 SETUP.EXE-05E4B6C7.pf
12.05.2006 16:38 18.718 OHTTPD.EXE-0F99CD06.pf
12.05.2006 16:33 108.658 WINRAR.EXE-3588DFE8.pf
12.05.2006 16:27 11.582 FILEZILLASERVER.EXE-09E4FAFC.pf
12.05.2006 16:27 14.480 AU_.EXE-1A109B4C.pf
12.05.2006 16:27 9.802 MYSQLD-NT.EXE-0880E8EB.pf
12.05.2006 16:27 15.030 APACHE.EXE-392FA81D.pf
12.05.2006 16:27 12.508 UNINSTALL.EXE-1D311997.pf
12.05.2006 16:25 4.528 PV.EXE-1FB82C90.pf
12.05.2006 16:24 77.408 RUNDLL32.EXE-3910966A.pf
12.05.2006 16:23 19.248 RUNDLL32.EXE-327ED30F.pf
12.05.2006 16:21 11.676 XAMPP-CONTROL.EXE-326760CC.pf
12.05.2006 16:21 34.506 PHP.EXE-1A349585.pf
12.05.2006 16:15 58.266 XAMPP-WIN32-1.5.2-INSTALLER.E-14B914C8.pf
12.05.2006 16:10 13.588 MYSQL.EXE-0B64A533.pf
12.05.2006 15:58 13.290 NOTEPAD.EXE-336351A9.pf
12.05.2006 15:40 86.662 WUAUCLT.EXE-399A8E72.pf
12.05.2006 15:40 100.104 FIREFOX.EXE-1D57670A.pf
12.05.2006 15:40 13.408 KLSWD.EXE-1FE29A9A.pf
12.05.2006 15:40 77.146 KAVSVC.EXE-30BD5BD7.pf
12.05.2006 15:40 57.512 IMAPI.EXE-0BF740A4.pf
12.05.2006 15:39 927.740 NTOSBOOT-B00DFAAD.pf
12.05.2006 15:36 18.688 LOGONUI.EXE-0AF22957.pf
12.05.2006 15:26 71.824 FIREFOX.EXE-17EE503B.pf
12.05.2006 15:15 81.772 WINAMP.EXE-08C38ED9.pf
12.05.2006 15:12 39.842 DRWTSN32.EXE-2B4B52AC.pf
12.05.2006 15:12 51.932 DWWIN.EXE-30875ADC.pf
12.05.2006 15:07 30.898 MIRC.EXE-0BDE750B.pf
12.05.2006 15:07 15.064 AGENTSVR.EXE-002E45AB.pf
12.05.2006 15:04 54.292 XFIRE.EXE-021C4593.pf
12.05.2006 15:02 67.008 AZUREUS.EXE-018E10AA.pf
12.05.2006 14:28 40.688 DECODER5.EXE-1055571F.pf
12.05.2006 14:02 58.792 SAMBC.EXE-1970CB59.pf
12.05.2006 14:02 17.916 GUARDGUI.EXE-1BD45C30.pf
12.05.2006 14:01 45.656 SAM3.EXE-17B26AC1.pf
12.05.2006 14:00 24.744 SETUP_BC.EXE-2EDCF8A4.pf
12.05.2006 13:42 22.042 MSCONFIG.EXE-35E4DAE9.pf
12.05.2006 13:42 44.830 WMIPRVSE.EXE-28F301A9.pf
12.05.2006 13:31 22.550 TASKMGR.EXE-20256C55.pf
12.05.2006 13:31 41.376 RUNDLL32.EXE-18ACD379.pf
12.05.2006 13:31 41.104 KAV.EXE-1E277FFA.pf
12.05.2006 13:31 74.086 ICQLITE.EXE-2AEFACA7.pf
12.05.2006 13:31 40.674 DUMETER.EXE-1BA1BE1C.pf
12.05.2006 13:31 50.986 RUNDLL32.EXE-31247066.pf
12.05.2006 13:31 7.914 QTTASK.EXE-2D7EEF34.pf
12.05.2006 13:31 37.740 RUNDLL32.EXE-247FE6B9.pf
12.05.2006 13:31 27.918 SVCHOST.EXE-3530F672.pf
12.05.2006 13:31 13.080 WDFMGR.EXE-2CF4013B.pf
12.05.2006 07:13 35.668 EDONKEY2000.EXE-0FDE2726.pf
12.05.2006 07:09 28.004 OODAG.EXE-20DEF606.pf
12.05.2006 07:06 13.294 WINDOWS-KB913433-X86-DEU.EXE-3560890A.pf
12.05.2006 07:06 4.224 GENINST.EXE-08D53534.pf
11.05.2006 22:08 51.190 UPDATE.EXE-13D57D76.pf
11.05.2006 22:08 14.318 PREUPD.EXE-358AA1C1.pf
11.05.2006 22:08 43.108 AVCENTER.EXE-37584419.pf
11.05.2006 20:46 16.754 RUNDLL32.EXE-2DC5CAC3.pf
11.05.2006 20:11 107.408 VLC.EXE-29851A71.pf
11.05.2006 20:09 22.290 WMPLAYER.EXE-09969339.pf
11.05.2006 20:03 14.770 RUNDLL32.EXE-16236130.pf
11.05.2006 19:57 15.616 RUNDLL32.EXE-4B1C621B.pf
11.05.2006 19:51 14.106 CALC.EXE-02CD573A.pf
11.05.2006 19:37 19.948 RUNDLL32.EXE-31768FF0.pf
11.05.2006 19:37 50.532 EMULE.EXE-184A63F1.pf
11.05.2006 19:31 14.530 CLEVERCLEANER.EXE-134248FF.pf
11.05.2006 19:31 9.722 CLEVERCLEANER.EXE-0FA773C8.pf
11.05.2006 19:22 10.528 RUNDLL32.EXE-1CD1A540.pf
11.05.2006 19:20 14.230 HIJACKTHIS.EXE-2AFF6E2A.pf
11.05.2006 19:14 21.738 MSI25.TMP-1ACDCD58.pf
11.05.2006 19:01 14.962 ALG.EXE-0F138680.pf
11.05.2006 18:57 18.596 MSI16.TMP-1314E332.pf
11.05.2006 18:54 13.998 MERCURY.EXE-23E629C4.pf
11.05.2006 18:53 4.288 SERVICE.EXE-2D355101.pf
11.05.2006 18:52 16.730 REALSCHED.EXE-0A2A7558.pf
11.05.2006 18:52 14.728 USERINIT.EXE-30B18140.pf
11.05.2006 18:52 96.058 EXPLORER.EXE-082F38A9.pf
11.05.2006 18:48 15.000 FILEZILLA SERVER INTERFACE.EX-104081C4.pf
11.05.2006 18:47 10.098 MYSQLD.EXE-12375E90.pf
11.05.2006 18:31 13.722 RUNDLL32.EXE-39CE29A4.pf
11.05.2006 18:23 4.680 GENINST.EXE-2E707F56.pf
11.05.2006 18:18 13.626 NMBGMONITOR.EXE-0BC10095.pf
11.05.2006 18:12 25.800 DUMPREP.EXE-1B46F901.pf
11.05.2006 18:08 40.818 MYSQLADMINISTRATOR.EXE-1DD09EFA.pf
11.05.2006 18:07 44.374 NMINDEXSTORESVR.EXE-1DBCF9FD.pf
11.05.2006 17:57 4.034 SERVICE.EXE-28A276DD.pf
11.05.2006 17:52 29.394 UNRARIT.EXE-1FEAFF99.pf
11.05.2006 15:56 44.862 FLASHFXP.EXE-009FCE60.pf
11.05.2006 15:37 21.248 SCHED.EXE-236A886F.pf
11.05.2006 15:37 36.488 AVGNT.EXE-36CA4640.pf
11.05.2006 15:37 39.118 AVGUARD.EXE-3490B18B.pf
11.05.2006 15:37 15.832 AVNOTIFY.EXE-22AE9451.pf
11.05.2006 12:28 61.816 MYSQLQUERYBROWSER.EXE-23EE53AD.pf
11.05.2006 12:25 39.716 AZUREUS V2.4.0.2 SHU HACKED.E-2B3F1331.pf
11.05.2006 07:41 16.032 RUNDLL32.EXE-12E27DD0.pf
11.05.2006 07:36 28.626 OODCNT.EXE-27E17F0D.pf
10.05.2006 21:42 23.492 MYSQLSYSTEMTRAYMONITOR.EXE-15B678BD.pf
10.05.2006 20:29 9.928 KEYGEN.EXE-2BCE4F9B.pf
10.05.2006 20:27 42.910 SAMBC-UP.EXE-07203DF6.pf
10.05.2006 20:24 9.618 HALFLIFECSKEYGEN.EXE-1A573C79.pf
10.05.2006 19:44 41.002 REALPLAY.EXE-39F79CBD.pf
10.05.2006 19:44 12.770 REALONEMESSAGECENTER.EXE-0A4B9E3A.pf
10.05.2006 19:44 21.598 RPHELPERAPP.EXE-1A0D7CAC.pf
10.05.2006 18:23 60.354 ACRORD32.EXE-2525A870.pf
10.05.2006 17:23 8.436 ADSKCLEANUP.0001-278A595B.pf
10.05.2006 17:23 59.194 3DSMAX.EXE-21F1FE5E.pf
10.05.2006 08:51 508.918 Layout.ini
09.05.2006 20:22 22.436 _IU14D2N.TMP-0D86F3B3.pf
09.05.2006 15:37 77.320 RADIORIPPER.EXE-214BC66C.pf
08.05.2006 21:25 86.578 GTA_SA.EXE-32F0320A.pf
08.05.2006 20:14 20.298 MULTI THEFT AUTO.EXE-2FA8A862.pf
08.05.2006 20:09 9.980 S0BEIT_HACK.EXE-24169D71.pf
08.05.2006 19:50 77.156 WMPLAYER.EXE-0996933A.pf
08.05.2006 19:35 97.324 IEXPLORE.EXE-2CA9778D.pf
08.05.2006 19:35 50.910 STEAM.EXE-25824B4E.pf
08.05.2006 16:07 16.978 RUNDLL32.EXE-2A94BB85.pf
08.05.2006 14:36 16.908 RUNDLL32.EXE-2E5AF1D7.pf
08.05.2006 09:05 34.084 BOINC.SCR-30266D28.pf
130 Datei(en) 6.005.528 Bytes
0 Verzeichnis(se), 25.005.285.376 Bytes frei

Das waren wohl alle ??

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\del32.bat

PC neustarten

**
Cleanup anwenden und PC neustarten
http://virus-protect.org/cleanup.html

Verzeichnis von C:\DOKUME~1\Jan\LOKALE~1\Temp --> muss leer sein !

**
scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

Hab mal nur die Crictial Area durchgescannt.
Dort steht Report is Empty.

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}
HKEY_CURRENT_USER\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}
HKEY_CURRENT_USER\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}
HKEY_CURRENT_USER\N.Cs4
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

2.
poste das log vom Avenger

----------------------------------------------------------------------
3.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\SYSVCDRV.SYS

....berichte

------------------------------------------------------------------------
4.
poste das neue Log vom HijackThis


«

Das Log von Avenger:
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKEY_CURRENT_USER\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKEY_CURRENT_USER\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKEY_CURRENT_USER\N.Cs4


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\eiaawooe

*******************

Script file located at: \??\C:\evjfxsax.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C} failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


Log von Virustotal:
Hat nirgends ein Virus gefunden.


Log von Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 16:12:19, on 20.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\DU Meter\DUMeter.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\DriveCrypt\DcrServ.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Jan\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 200.213.40.134:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DriveCrypt Startup] C:\Programme\DriveCrypt\DriveCrypt.exe /WS
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/ka ... nicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 3125163483
O17 - HKLM\System\CCS\Services\Tcpip\..\{ECE9F97C-2600-44F8-A5CC-A18AF04CDD4A}: NameServer = 213.211.192.34,194.45.154.35
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: DriveCrypt Service (DriveCryptService) - Unknown owner - C:\Programme\DriveCrypt\DcrServ.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - C:\Programme\xampp\service.exe

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Die Datei "fixme.reg" auf dem Desktop doppelklicken und der registry beifuegen mit "ja"

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}]
[-HKEY_CURRENT_USER\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}]
[-HKEY_CURRENT_USER\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}]
[-HKEY_CURRENT_USER\N.Cs4]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Generic Host Process"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SHAREDACCESS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SHAREDACCESS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHAREDACCESS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]

Fixe mit dem HijackThis:

O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)


PC neustarten

Die XP-Firewall wieder aktivieren [Windows-Firewall/Gemeinsame Nutzung der Internetverbindung]

http://www.wintotal.de/Tipps/Eintrag.php?TID=1157

------------------------

**
poste das neue Log vom HijackThis

Hier das neue Log:
Logfile of HijackThis v1.99.1
Scan saved at 22:35:09, on 20.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\DU Meter\DUMeter.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\DriveCrypt\DcrServ.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Jan\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 200.213.40.134:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DriveCrypt Startup] C:\Programme\DriveCrypt\DriveCrypt.exe /WS
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 3125163483
O17 - HKLM\System\CCS\Services\Tcpip\..\{ECE9F97C-2600-44F8-A5CC-A18AF04CDD4A}: NameServer = 213.211.192.34,194.45.154.35
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: DriveCrypt Service (DriveCryptService) - Unknown owner - C:\Programme\DriveCrypt\DcrServ.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - C:\Programme\xampp\service.exe

funktioniert die Firewall?
wenn ja, muesste wieder alles o.k. sein.

mache einen Onlinescan mit Panda und berichte
http://virus-protect.org/onlinescan.html