so hier die neue logfile! Die anderen Logs sind OK?
Den scanner krieg ich leider nicht ausgeschaltet! Auf dem Reiter Services konnte ich nur DISABLE machen aber das hat er bei AUTO gelassen!
SVCHOST...darf man diese datei überhaupt löschen?

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-15 08:39:30
Windows 5.1.2600 Service Pack 2


---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                 TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Ip                                               tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                              tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Udp                                              tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                            tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \FileSystem\Fastfat \Fat                                               TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)

---- Services - GMER 1.0.15 ----

Service         C:\WINDOWS\system32\svchost.exe (*** hidden *** )                      [AUTO] emgvaciv                                                                                             <-- ROOTKIT !!!
Service         C:\WINDOWS\system32\svchost.exe (*** hidden *** )                      [AUTO] xmlhc                                                                                                <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv@DisplayName            Image Shell
Reg             HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv@Type                   32
Reg             HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv@Start                  2
Reg             HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv@ErrorControl           0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv@ImagePath              %SystemRoot%\system32\svchost.exe -k netsvcs
Reg             HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv@ObjectName             LocalSystem
Reg             HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv@Description            Unterst?tzt Durchsatzauthentifizierung von Kontoanmeldungsereignissen f?r Computer in einer Dom?ne.
Reg             HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv\Parameters             
Reg             HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv\Parameters@ServiceDll  C:\WINDOWS\system32\mlcehtu.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\xmlhc@DisplayName               Universal Installer
Reg             HKLM\SYSTEM\CurrentControlSet\Services\xmlhc@Type                      32
Reg             HKLM\SYSTEM\CurrentControlSet\Services\xmlhc@Start                     2
Reg             HKLM\SYSTEM\CurrentControlSet\Services\xmlhc@ErrorControl              0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\xmlhc@ImagePath                 %SystemRoot%\system32\svchost.exe -k netsvcs
Reg             HKLM\SYSTEM\CurrentControlSet\Services\xmlhc@ObjectName                LocalSystem
Reg             HKLM\SYSTEM\CurrentControlSet\Services\xmlhc@Description               Verwaltet die Netzwerkkonfiguration, indem IP-Adressen und DNS-Namen registriert und aktualisiert werden.
Reg             HKLM\SYSTEM\CurrentControlSet\Services\xmlhc\Parameters                
Reg             HKLM\SYSTEM\CurrentControlSet\Services\xmlhc\Parameters@ServiceDll     C:\WINDOWS\system32\mlcehtu.dll
Reg             HKLM\SYSTEM\ControlSet003\Services\emgvaciv@DisplayName                Image Shell
Reg             HKLM\SYSTEM\ControlSet003\Services\emgvaciv@Type                       32
Reg             HKLM\SYSTEM\ControlSet003\Services\emgvaciv@Start                      2
Reg             HKLM\SYSTEM\ControlSet003\Services\emgvaciv@ErrorControl               0
Reg             HKLM\SYSTEM\ControlSet003\Services\emgvaciv@ImagePath                  %SystemRoot%\system32\svchost.exe -k netsvcs
Reg             HKLM\SYSTEM\ControlSet003\Services\emgvaciv@ObjectName                 LocalSystem
Reg             HKLM\SYSTEM\ControlSet003\Services\emgvaciv@Description                Unterst?tzt Durchsatzauthentifizierung von Kontoanmeldungsereignissen f?r Computer in einer Dom?ne.
Reg             HKLM\SYSTEM\ControlSet003\Services\emgvaciv\Parameters                 
Reg             HKLM\SYSTEM\ControlSet003\Services\emgvaciv\Parameters@ServiceDll      C:\WINDOWS\system32\mlcehtu.dll
Reg             HKLM\SYSTEM\ControlSet003\Services\xmlhc@DisplayName                   Universal Installer
Reg             HKLM\SYSTEM\ControlSet003\Services\xmlhc@Type                          32
Reg             HKLM\SYSTEM\ControlSet003\Services\xmlhc@Start                         2
Reg             HKLM\SYSTEM\ControlSet003\Services\xmlhc@ErrorControl                  0
Reg             HKLM\SYSTEM\ControlSet003\Services\xmlhc@ImagePath                     %SystemRoot%\system32\svchost.exe -k netsvcs
Reg             HKLM\SYSTEM\ControlSet003\Services\xmlhc@ObjectName                    LocalSystem
Reg             HKLM\SYSTEM\ControlSet003\Services\xmlhc@Description                   Verwaltet die Netzwerkkonfiguration, indem IP-Adressen und DNS-Namen registriert und aktualisiert werden.
Reg             HKLM\SYSTEM\ControlSet003\Services\xmlhc\Parameters                    
Reg             HKLM\SYSTEM\ControlSet003\Services\xmlhc\Parameters@ServiceDll         C:\WINDOWS\system32\mlcehtu.dll

---- EOF - GMER 1.0.15 ----
         

hi

Zitat:

Zitat von Rupharell

SVCHOST...darf man diese datei überhaupt löschen?

1.
- C:\Windows\System32\svchost.exe - nein!

Code: Alles auswählenAufklappen

ATTFilter

Prozess Name: Host Process for Services
Produkt: Windows
Firma: Microsoft
Datei: svchost.exe
         

"svchost.exe" ist ein allgemeiner Hostprozessname für Dienste, die mit Hilfe von DLL-Dateien ausgeführt werden. Dienste sind Funktionen, die z.B. automatische USB-Geräten erkennen oder die Druck-Funktionen ermöglichen. Dienste können gestartet oder gestoppt werden. Nicht alle Dienste benötigen Svchost.exe (nur solche, die per DLL-Dateien ausgeführt werden müssen). Das Betriebssystem startet Svchost-Sessions sobald es solche benötigt und beendet sie auch wieder, sobald einer nicht mehr gebraucht wird. Svchost.exe fasst mehrere Dienste zusammen, d.h. es können mehrere Instanzen von Svchost.exe gleichzeitig ausgeführt werden.
Wichtig: Die Datei "svchost.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei svchost.exe um einen Virus, Spyware, Trojaner oder Worm!
Es können mehrere Instanzen von "Svchost.exe" gleichzeitig ausgeführt werden

2.
- Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\

Code: Alles auswählenAufklappen

ATTFilter

Drivers to disable:
emgvaciv
xmlhc 

Drivers to delete:
emgvaciv
xmlhc
         

→ Lade den Avenger herunter und entzippe ihn auf den Desktop. (direkt als `EXE` *hier* erhältlich )
→ die avenger.exe per Doppelklick starten
→ füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein
→ dann klicke auf "Execute"
→ wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja".
→ auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch
→ nach Neustart wird ein Dos Fenster aufgehen.
→ wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt
→ kopiere und füge den Inhalt direkt aus der Textdatei hier rein

3.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten--> Einträge auswählen--> Häckhen setzen--> "Fix checked"klicken-->PC neu aufstarten):

Zitat:

R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll
O4 - HKLM\..\Run: [SearchSettings] C:\Programme\pdfforge Toolbar\SearchSettings.exe

4.
poste erneut:
Trend Micro HijackThis-Logfile