| |
| |||||||
Log-Analyse und Auswertung: schvost.exe in C:\WINDOWSWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
25.02.2009, 00:19
| #1 |
| |  schvost.exe in C:\WINDOWS Wie der Titel schon sagt habe ich plötzlich eine Datei namens schvost.exe, die Avira AntiVir als TR/Dropper.Gen meldet. Wenn ich den PC starte kommt eine Fehlermeldung, dass die Datei schvost.exe in C:/WINDOWS fehlt  .Mein System: Microsoft Windows Vista Servicepack: 3 Mein Hijack-Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:05:09, on 25.02.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe c:\xampp\apache\bin\apache.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Java\jre6\bin\jqs.exe c:\xampp\mysql\bin\mysqld-nt.exe C:\WINDOWS\system32\nvsvc32.exe C:\xampp\apache\bin\apache.exe C:\WINDOWS\Explorer.exe C:\Programme\VIA\RAID\raid_tool.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\wuacltt.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Secunia\PSI\psi.exe C:\Programme\Thoosje Vista Sidebar\Thoosje Sidebar.exe C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe C:\Programme\Shiretoko\firefox.exe C:\Dokumente und Einstellungen\Administrator\Desktop\WoW-BurningCrusade-deDE-Installer-downloader.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1 R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\schvost.exe" O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe O4 - HKLM\..\Run: [svhost] C:\WINDOWS\system32\wuacltt.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'SYSTEM') O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'Default user') O4 - Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe O4 - Startup: Secunia PSI.lnk = C:\Programme\Secunia\PSI\psi.exe O4 - Startup: Thoosje Sidebar.lnk = C:\Programme\Thoosje Vista Sidebar\Thoosje Sidebar.exe O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe O4 - Startup: Vysta start.lnk = C:\Dokumente und Einstellungen\Administrator\Desktop\Sonstiges\Vystal\Vystal.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1232989228531 O23 - Service: Abel - Unknown owner - C:\Programme\Cain\Abel.exe (file missing) O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2.2 - Apache Software Foundation - c:\xampp\apache\bin\apache.exe O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: mysql - Unknown owner - c:\xampp\mysql\bin\mysqld-nt.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe -- End of file - 7064 bytes |
|
25.02.2009, 04:02
| #2 |
  |  schvost.exe in C:\WINDOWS Für Alle Hilfesuchenden duchlesen, befolgen und dann wieder melden.
__________________Allerdings ist dein System infiziert (Trojaner/Backdoor). Allein deshalb lese dir schonmal das durch: Neuaufsetzen des Systems. |
|
25.02.2009, 14:31
| #3 |
| |  schvost.exe in C:\WINDOWS Kann ich nicht den Backdoorport abschnüren?
__________________ Ich hab WorldofWarcraft drauf(16,5GB), das dauert 7h zum Installieren! Bittte nicht schon wieder neu aufsetzen  !!!PS: Welcher backdoor ist das eigentlich? |
|
25.02.2009, 14:37
| #4 |
| | schvost.exe in C:\WINDOWS Habe schvost mal im Internet überprüft: Suomi | ihMdI | | עברית | | Slovenščina | Dansk | Русский | Română | Türkçe | Nederlands | Ελληνικά | Français | Svenska | Português | Italiano | | | Magyar | Česky | Polski | Español | English Virustotal analysiert verdächtige Dateien und erleichtert die schnelle Erkennung von Viren, Würmern, Trojanern und jeglicher Art von Malware, welche von den Antivirus-Engines festgestellt werden. Weitere Informationen... Datei schvost.exe empfangen 2009.02.24 23:55:56 (CET) Status: Beendet Ergebnis: 30/39 (76.93%) Filter Drucken der Ergebnisse Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.93 2009.02.24 Trojan.Crypt!IK AhnLab-V3 2009.2.24.0 2009.02.24 Win-Trojan/Xema.variant AntiVir 7.9.0.88 2009.02.24 TR/Dropper.Gen Authentium 5.1.0.4 2009.02.24 W32/Backdoor2.DARB Avast 4.8.1335.0 2009.02.24 Win32:Trojan-gen {Other} AVG 8.0.0.237 2009.02.24 Dropper.Generic.ACHA BitDefender 7.2 2009.02.24 Trojan.Crypt.BC CAT-QuickHeal 10.00 2009.02.22 - ClamAV 0.94.1 2009.02.24 - Comodo 986 2009.02.20 Backdoor.Win32.Bifrose.adnm DrWeb 4.44.0.09170 2009.02.24 BackDoor.Poison.61 eSafe 7.0.17.0 2009.02.19 - eTrust-Vet 31.6.6372 2009.02.24 - F-Prot 4.4.4.56 2009.02.24 W32/Backdoor2.DARB F-Secure 8.0.14470.0 2009.02.24 Backdoor.Win32.Bifrose.adnm Fortinet 3.117.0.0 2009.02.24 W32/Bifrose.ADNM!tr.bdr GData 19 2009.02.24 Trojan.Crypt.BC Ikarus T3.1.1.45.0 2009.02.24 Trojan.Crypt K7AntiVirus 7.10.639 2009.02.21 Backdoor.Win32.Bifrose Kaspersky 7.0.0.125 2009.02.24 Backdoor.Win32.Bifrose.adnm McAfee 5535 2009.02.24 Backdoor-CEP McAfee+Artemis 5535 2009.02.24 Backdoor-CEP Microsoft 1.4306 2009.02.24 VirTool:Win32/CeeInject.gen!A NOD32 3886 2009.02.24 probably a variant of Win32/Injector.FF Norman 6.00.06 2009.02.24 W32/Malware.EDZL nProtect 2009.1.8.0 2009.02.24 Trojan/W32.Packer.17970 Panda 10.0.0.10 2009.02.24 Bck/Bifrose.AKL PCTools 4.4.2.0 2009.02.24 - Prevx1 V2 2009.02.24 - Rising 21.18.12.00 2009.02.24 - SecureWeb-Gateway 6.7.6 2009.02.24 Trojan.Dropper.Gen Sophos 4.39.0 2009.02.24 - Sunbelt 3.2.1856.2 2009.02.24 Backdoor.Win32.Bifrose.adnm Symantec 10 2009.02.24 Trojan Horse TheHacker 6.3.2.5.264 2009.02.24 Backdoor/Bifrose.adnm TrendMicro 8.700.0.1004 2009.02.24 - VBA32 3.12.10.0 2009.02.24 Net-Worm.Win32.Kolab.awa ViRobot 2009.2.24.1621 2009.02.24 Backdoor.Win32.Bifrose.8192.B VirusBuster 4.5.11.0 2009.02.24 Backdoor.Bifrose.KPM weitere Informationen File size: 182834 bytes MD5...: 6e347c275487ff220a3aa930d212353a SHA1..: cdedbfc6fdc8a5cc491764477b2cbc585e3840e8 SHA256: 1e3944f5b5dfb1036df15b20a7d9cdc30adf6f42e3c93fdb8d7c4aa1074069d8 SHA512: d09e8cf49e0f4aaf4aec712890624178730aa818311d893fb2c8669c01b76695 d38e335e173f0c6494ee345599d5cfb7432da54129bf35fd009aa29b311faa80 ssdeep: 3072:lf/qIs2H4/IuuyEbghMg8NcfbQmy7aBQI1F4nAJwiM9+ZnPx4Q:lf/d4/Vu ygg8NP78Q8F4nGLMQz4Q PEiD..: Armadillo v1.71 TrID..: File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x401882 timedatestamp.....: 0x48ef9054 (Fri Oct 10 17:26:44 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xa08 0xc00 5.18 4a11fd5808ad3ddbbe1253f6c1683053 .rdata 0x2000 0x33c 0x400 4.16 a26452bb1498af3133c4c5c3502aa430 .data 0x3000 0x114 0x200 2.48 7b45f946a8de009d08bb2cb4223c952e .rsrc 0x4000 0x10 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b ( 2 imports ) > KERNEL32.dll: CloseHandle, Module32Next, Module32First, CreateToolhelp32Snapshot, GetCurrentProcessId, GetProcAddress, GetModuleHandleA, ReadFile, GetFileSize, CreateFileA, GetModuleFileNameA, CreateMutexA, OpenMutexA, GetStartupInfoA > MSVCRT.dll: _except_handler3, free, realloc, _exit, _XcptFilter, exit, _acmdln, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _controlfp, strstr ( 0 exports ) CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=6e347c275487ff220a3aa930d212353a' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=6e347c275487ff220a3aa930d212353a</a> ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate mehrerer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet. VirusTotal © Hispasec Sistemas - Blog - Kontakt: info@virustotal.com - Terms of Service & Privacy Policy |
|
25.02.2009, 17:47
| #5 |
| /// Helfer-Team   | schvost.exe in C:\WINDOWS Hi, dann kannst Du dir die 7-Stunden-Installation von WOW im neuen System sparen, da dein Account vermutlich sowieso schon jemand anderem gehört  |
|
26.02.2009, 17:02
| #6 |
| | schvost.exe in C:\WINDOWS Seit dem Virenbefall finde ich lauter Trojaner und Rootkits in C:/SystemVolumeInformation  Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:57:35, on 26.02.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe c:\xampp\apache\bin\apache.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Java\jre6\bin\jqs.exe c:\xampp\mysql\bin\mysqld-nt.exe C:\WINDOWS\system32\nvsvc32.exe C:\xampp\apache\bin\apache.exe C:\WINDOWS\Explorer.EXE C:\Programme\VIA\RAID\raid_tool.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuacltt.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\DSL-Manager\DslMgr.exe C:\Programme\Secunia\PSI\psi.exe C:\Programme\Thoosje Vista Sidebar\Thoosje Sidebar.exe C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe C:\WINDOWS\System32\svchost.exe C:\Programme\DSL-Manager\DslMgrSvc.exe C:\Programme\World of Warcraft\WoW-2.4.2-deDE-downloader.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1 R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [svhost] C:\WINDOWS\system32\wuacltt.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'SYSTEM') O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'Default user') O4 - Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe O4 - Startup: Secunia PSI.lnk = C:\Programme\Secunia\PSI\psi.exe O4 - Startup: Thoosje Sidebar.lnk = C:\Programme\Thoosje Vista Sidebar\Thoosje Sidebar.exe O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe O4 - Startup: Vysta start.lnk = C:\Dokumente und Einstellungen\Administrator\Desktop\Sonstiges\Vystal\Vystal.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1232989228531 O23 - Service: Abel - Unknown owner - C:\Programme\Cain\Abel.exe (file missing) O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2.2 - Apache Software Foundation - c:\xampp\apache\bin\apache.exe O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: mysql - Unknown owner - c:\xampp\mysql\bin\mysqld-nt.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\DSL-Manager\DslMgrSvc.exe -- End of file - 7654 bytes |
|
27.02.2009, 12:11
| #7 |
| | schvost.exe in C:\WINDOWS Hi, das ist Bifrost, da bleibt eigentlich nur Neuaufsetzen! At your own risk: Systemwiederherstellung löschen http://www.systemwiederherstellung-d...indows-xp.html Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Combofix: Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Alternative downloads: http://subs.geekstogo.com/ComboFix.exe Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp Systemwiederherstellung einschalten Das gleiche nochmal nur das Häkchen entfernen (wie oben, dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Chris & and out
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
| Themen zu schvost.exe in C:\WINDOWS |
| administrator, adobe, antivir, antivirus, avira, bho, desktop, dll, einstellungen, excel, explorer, fehlermeldung, generic, generic host, generic host process, helper, hijackthis, hkus\s-1-5-18, internet, internet explorer, nvidia, pdf, plug-in, rundll, secunia, software, svhost, system, tr/dropper.gen, windows, windows xp, wuaclt |
Linear-Darstellung
