Trojaner, Virus oder wie auch immer?!?! Geänderte Registrierung :-(
 

oooh hilfe.....hartnäckiger Trojaner, oder Virus. :mad:

Seit vorgestern ist was mit meinem Rechner, was vorher nicht war.
1. nach dem Hochfahren geht gleich der Arbeitsplatz auf, 2. ist der Tastmanager deaktiviert(der Administrator hat das unterbunden!?!), 3. Systemwiederherstellung ist deaktiviert und kann nicht aktiviert werden(auch er Administrator, obwohl ich es in der Reg-Datei schon von 4 auf 0 den Wert geändert habe.
Habe auch schon spybot und nun hijackthis benutzt. Aber so richtig weg geht das alles nicht. Spybot hat nen trojaner oder so erkannt (180Solution). Es wurde nach mehrmaligem testen nichts mehr gefunden. Aber die Registrierung wurde verändert. Und da kann ich leider gar nix machen.

Wer könnte mir mal bitte eiligst helfen. Muss meine Klausuren abgeben und will nicht auf einmal nen kompletten Systemcrash oder wie auch immer...

Danke im Vorraus!!!

Logfile of HijackThis v1.99.1
Scan saved at 22:13:52, on 20.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Java\jre1.5.0_01\bin\jusched.exe
D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
D:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\WinPortrait\wpctrl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\internet explorer\iexplore.exe
D:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe
D:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
D:\Programme\Creative\MediaSource\Go\CTCMSGo.exe
D:\Programme\TaskSwitchXP\TaskSwitchXP.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
D:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\WinPortrait\floater.exe
C:\WINDOWS\system32\RAMASST.exe
D:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\WallpaperToy\Wallpapertoy.Exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.del/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - D:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - D:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [CTSysVol] d:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] d:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [PivotSoftware] "C:\Programme\WinPortrait\wpctrl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] d:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe
O4 - HKCU\..\Run: [LDM] d:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] D:\Programme\Creative\MediaSource\Go\CTCMSGo.exe /SCB
O4 - HKCU\..\Run: [TaskSwitchXP] D:\Programme\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Rainlendar.lnk = D:\Programme\Rainlendar\Rainlendar.exe
O4 - Startup: Wallpaper Changer.lnk = C:\Programme\WallpaperToy\Wallpapertoy.Exe
O4 - Global Startup: Kodak EasyShare Software.lnk = D:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - D:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - D:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

Hallo,

lies Dir diesen Post durch und poste uns die Ergbnisse des Onlinescan hier.

Gruß

Schrulli

leider kann ich das nicht online prüfen lassen. Habe ja kein internet an meinem rechner.

Hallo,

kopier die Dateien auf ein Medium Deiner Wahl. Benutze dann den Rechner, über den Du poststest, um die Dateien online prüfen zu lassen.
Freunde Dich aber schon mal innerlich mit einem Neuaufsetzen an.

Gruß

Schrulli

das hab ich schon....leider. aber werd ich nachher mal machen.
Sonst ein tipp!?!?!

Hallo,

den Rechner auch so lange nicht ans Netz, bis klar ist, was die Datei ist!
Achte darauf, die Datei selbst nicht auf dem anderen Rechner auszuführen, willst ja nicht, dass der zweite Rechner auch infiziert wird.

Gruß

Schrulli

na ins netz komm ich ja nicht.War wohl bei einer gepackten datei enthalten....der virus.

soooo....
also scvhost ist ein wurm. W32.codbot(oder so!?)

ich habe nun mal alles vom rechner gehauen was scvhost war....egal ob reg.datei, exe-file, dll-file.

der rechner läuft nun fast wieder ohne probleme. NUR ich kann die systemwiederherstellung nicht aktivieren. diese ist immernoch durch den admin. gestoppt. Wo kann ich das denn verändern in der registry?!?!

sollte ich nochmal den neuesten logfile von hijackthis posten!? das nochmal jemand schaut ob nu wieder alles gut ist?!

Hallo,
NEIN, poste kein HJT, der Virus bei Dir auf dem Rechner erfordert zwingend ein Neuaufsetzen des Rechners, da , siehe hier.
Alles andere ist Blödsinn, beachte bei einem Neuaufsetzen die Anleitung in meiner Signatur.

Gruß

Schrulli

na gut, dann ist das wohl doch nicht sooo gut. aber zur zeit könnte ich das noch so weiter laufen lassen. Mein rechner kann nicht ans netz :aplaus:

humor ist wenn man trotzdem lacht.

oooh jee, dann hab ich ja was zu tun heute.....
erst daten sichern und dann löschen und dann neu...
oh jee....
ABER dankeschön.

wieder was gelernt.