Trojaner-Board - Email-Worm.Win32.Warezov.nd

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Email-Worm.Win32.Warezov.nd (https://www.trojaner-board.de/44854-email-worm-win32-warezov-nd.html)

Email-Worm.Win32.Warezov.nd

Hi,
ich war so 20 min weg vom pc und als ich wieder kam , stand da so eine Antivir meldung, dass ein virus gefunden wurde.
( WORM.Stration.HQ ). Habe die Datei auch schon bei kaspersky hochgeladen und hat den fund bestätigt ( 9eu2zyx5.pif Infiziert: Email-Worm.Win32.Warezov.nd )
Jetzt habe ich ihn mit antivir gelöscht, doch bin ich mir nicht sicher , ob er wirklich gelöscht wurde... ( besonders weile eine fehlermeldung kam , aber die datei doch verschwand )
Gibt es eineige merkmale ?

Und bei dem Hijackthis logfile ist ganz unten die meldung
"O23 - Service: Sicherheitscenter (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)
" Ist das gefährlich ?

Hier ein Hijackthis Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:32:22, on 20.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\BOINC\boincmgr.exe
C:\Programme\BOINC\boinc.exe
C:\Valve\Steam\Steam.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\BOINC\projects\boinc.bakerlab.org_rosetta\rosetta_5.69_windows_intelx86.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local;localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Sicherheitscenter (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)

--
End of file - 5191 bytes

Hallo Zui0.

Führe bitte einen eScan nach Anleitung aus meiner Signatur durch.

Funktioniert dein XP-Sicherheitscenter einwandfrei inkl. Update und autom. Update?

Das sicherheitscenter lässt sich nicht starten , aber ich mach das jetzt erst mit dem escan ;) poste das file gleich ....

Zitat:

Das sicherheitscenter lässt sich nicht starten

das lässt auf nichts Gutes schließen und passt zum HJT-Eintrag.

Gehe nach dem eScan mal bitte wie folgt vor:

-Downloade cCleaner und installiere das Prog.

-Wechsel in den abgesicherten Modus (F8 beim Hochfahren).

-Fixe mit HJT den benannten Eintrag:
* O23 - Service: Sicherheitscenter (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing) *

-Lasse gleich danach cCleaner laufen (HINWEIS: Die Registry/Probleme musst du mehrmals durchsuchen und bereinigen lassen!)

-Navigiere in den Ordner " C:\WINDOWS\C:\WINDOWS\System32\ " und lösche dort die Datei " svchost.exe "

Der Dateipfad der zu Löschenden Datei lautet also " C:\WINDOWS\C:\WINDOWS\System32\svchost.exe ".

Was befindet sich noch in dem gefakten " C:\WINDOWS\C:\WINDOWS\ " Ordner?

-Lasse cCleaner abermals laufen.

-Starte den Rechner neu und erstelle ein frisches HJT log. Taucht der Eintrag immer noch auf? Lässt sich das Sicherheitscenter nun starten?

Also ich sitze grade an einem anderen pc ...
EInen Virus hat eScan schon gefunden ( leider ging das update nicht , also habe ich den schritt übersprungen )...
warte noch bis der scan fertig is dann mach ich das mitm ccleaner ...

edit : gefundene viren mittlerweile bei 41 :(
Wie lange dauert son scan ca. bin bei ca. 60.000 durchsuchten datein.

Und bei ccleaner

"-Navigiere in den Ordner " C:\WINDOWS\C:\WINDOWS\System32\ " und lösche dort die Datei " svchost.exe "" du meinst C:\WINDOWS\System32\ oder ?

ist jetzt schon fast 2 stunden am scannen , ist das normal ?

So der scannvorgang ist abgeschlossen:

Code:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Header 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  

find.bat Version 2007.06.16.01 
 

Microsoft Windows XP [Version 5.1.2600]

Bootmodus: NETWORK 

    

eScan Version: 9.4.9 

Sprache: German 

Virus-Datenbank Datum: 10/19/2007  

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Infektionsmeldungen 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 System found infected with ace club casino Spyware/Adware (gamelog.ini)! Action taken: Keine Aktion vorgenommen. 

 System found infected with zlob Trojan-Downloader (games.ico)! Action taken: Keine Aktion vorgenommen. 

 System found infected with zlob Trojan-Downloader (games.ico)! Action taken: Keine Aktion vorgenommen. 

 System found infected with zlob Trojan-Downloader (games.ico)! Action taken: Keine Aktion vorgenommen. 

 System found infected with zlob Trojan-Downloader (games.ico)! Action taken: Keine Aktion vorgenommen. 

 System found infected with zlob Trojan-Downloader (games.ico)! Action taken: Keine Aktion vorgenommen. 

 System found infected with zlob Trojan-Downloader (games.ico)! Action taken: Keine Aktion vorgenommen. 

 System found infected with unknown pest Spyware/Adware (mdx.dll)! Action taken: Keine Aktion vorgenommen. 

 System found infected with unknown pest Spyware/Adware (views.mdx)! Action taken: Keine Aktion vorgenommen. 

 System found infected with zlob Trojan-Downloader (found.wav)! Action taken: Keine Aktion vorgenommen. 

 System found infected with zlob Trojan-Downloader (found.wav)! Action taken: Keine Aktion vorgenommen. 

 System found infected with paq keylog 5.0 Commercial KeyLogger (logo.avi)! Action taken: Keine Aktion vorgenommen. 

 System found infected with paq keylog 5.0 Commercial KeyLogger (logo.avi)! Action taken: Keine Aktion vorgenommen. 

 System found infected with paq keylog 5.0 Commercial KeyLogger (logo.avi)! Action taken: Keine Aktion vorgenommen. 

 System found infected with paq keylog 5.0 Commercial KeyLogger (logo.avi)! Action taken: Keine Aktion vorgenommen. 

 System found infected with zlob Trojan-Downloader (found.wav)! Action taken: Keine Aktion vorgenommen. 

 System found infected with zlob Trojan-Downloader (found.wav)! Action taken: Keine Aktion vorgenommen. 

 System found infected with zlob Trojan-Downloader (found.wav)! Action taken: Keine Aktion vorgenommen. 

 System found infected with paq keylog 5.0 Commercial KeyLogger (logo.avi)! Action taken: Keine Aktion vorgenommen. 

 System found infected with paq keylog 5.0 Commercial KeyLogger (logo.avi)! Action taken: Keine Aktion vorgenommen. 

 System found infected with paq keylog 5.0 Commercial KeyLogger (logo.avi)! Action taken: Keine Aktion vorgenommen. 

 System found infected with paq keylog 5.0 Commercial KeyLogger (logo.avi)! Action taken: Keine Aktion vorgenommen. 

 System found infected with zlob Trojan-Downloader (found.wav)! Action taken: Keine Aktion vorgenommen. 

 

 

~~~~~~~~~~~ 
 Dateien 

~~~~~~~~~~~ 

~~~~ Infected files 

~~~~~~~~~~~ 

~~~~~~~~~~~ 

~~~~ Tagged files 

~~~~~~~~~~~ 

 Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\IRC\NN\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.617. Keine Aktion vorgenommen. 

 Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\mirc616.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen. 

 Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\mirc617.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.617. Keine Aktion vorgenommen. 

 Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\Programme\Ogame\32.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen. 

 File C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\Programme\Ogame\tutorialtoolbar.exe//data0002 markiert als "not-a-virus:AdWare.Win32.MyTool.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\IRC\NN\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.617. Keine Aktion vorgenommen. 

 Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\mirc616.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen. 

 Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\mirc617.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.617. Keine Aktion vorgenommen. 

 Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\Programme\Ogame\32.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen. 

 File C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\Programme\Ogame\tutorialtoolbar.exe//data0002 markiert als "not-a-virus:AdWare.Win32.MyTool.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 File C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Kai\kai\Programme\programme\Install\security\VCSetup.exe//WISE0026.BIN markiert als "not-a-virus:AdWare.Win32.Ucmore". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 Datei C:\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen. 

 Datei C:\System Volume Information\_restore{93417CC6-07F3-4012-B488-F95421DB02C9}\RP495\A0153202.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen. 

 Datei C:\System Volume Information\_restore{93417CC6-07F3-4012-B488-F95421DB02C9}\RP495\A0153214.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.603. Keine Aktion vorgenommen. 

~~~~~~~~~~~ 

~~~~ Offending files 

~~~~~~~~~~~ 

 Offending file found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\microsoft games\rise of nations\gamelog.ini 

 Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\programme\irc\nn\iconsets\buttons\blue\games.ico 

 Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\programme\irc\nn\iconsets\buttons\green\games.ico 

 Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\programme\irc\nn\iconsets\buttons\grey\games.ico 

 Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\programme\irc\nn\iconsets\buttons\orange\games.ico 

 Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\programme\irc\nn\iconsets\buttons\purple\games.ico 

 Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\programme\irc\nn\iconsets\buttons\silver\games.ico 

 Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\programme\irc\nn\script\dlls\mdx.dll 

 Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\programme\irc\nn\script\dlls\views.mdx 

 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cs condition-zero\coundition-zero\valve\sound\vox\found.wav 

 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cs condition-zero\valve\sound\vox\found.wav 

 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cs deutsch\cstrike\media\logo.avi 

 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cs deutsch\valve\media\logo.avi 

 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cscz\firearms\media\logo.avi 

 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cscz\nsp\media\logo.avi 

 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cscz\valve\sound\vox\found.wav 

 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cs condition-zero\coundition-zero\valve\sound\vox\found.wav 

 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cs condition-zero\valve\sound\vox\found.wav 

 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cs deutsch\cstrike\media\logo.avi 

 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cs deutsch\valve\media\logo.avi 

 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cscz\firearms\media\logo.avi 

 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cscz\nsp\media\logo.avi 

 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cscz\valve\sound\vox\found.wav 

~~~~~~~~~~~ 
 Ordner 

~~~~~~~~~~~ 

 Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icq\bart\1024 

~~~~~~~~~~~ 
 Registry 

~~~~~~~~~~~ 

 Offending Key found: HKLM\Software\magnet !!! 

 Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!! 

 Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! 

 Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! 

 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{451ad03a-6e32-11da-a588-806d6172696f} !!! 

 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{eecacb36-7066-11da-be0d-806d6172696f} !!! 

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Diverses 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

~~~~~~~~~~~~~~~~~~~~~~ 
 Prozesse und Module 

~~~~~~~~~~~~~~~~~~~~~~ 

 Executable Command Found in {451ad03a-6e32-11da-a588-806d6172696f}\Shell\AutoRun\command: D:\Setup.EXE 

 Executable Command Found in {eecacb36-7066-11da-be0d-806d6172696f}\Shell\AutoRun\command: D:\autorun.exe 

~~~~~~~~~~~~~~~~~~~~~~ 
 Scanfehler 

~~~~~~~~~~~~~~~~~~~~~~ 

 C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\hlsw_1_0_0_46_setup.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... 

 C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\4H6J8XYN\ICQPhone[1].cb nicht gescannt. Wahrscheinlich durch Passwort geschützt... 

 C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\4H6J8XYN\MIBFlashCtrl[1].cb nicht gescannt. Wahrscheinlich durch Passwort geschützt... 

 C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Profiles\default\gmlxjg2a.slt\Cache\812192F6d01 nicht gescannt. Wahrscheinlich durch Passwort geschützt... 

 C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\hlsw_1_0_0_46_setup.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... 

 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4H6J8XYN\ICQPhone[1].cb nicht gescannt. Wahrscheinlich durch Passwort geschützt... 

 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4H6J8XYN\MIBFlashCtrl[1].cb nicht gescannt. Wahrscheinlich durch Passwort geschützt... 

 C:\Programme\HLSW\Plugins\hlsw_aim_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 

 C:\Programme\HLSW\Plugins\hlsw_icq4_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 

 C:\Programme\HLSW\Plugins\hlsw_icq5_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 

 C:\Programme\HLSW\Plugins\hlsw_icqlite_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 

 C:\Programme\HLSW\Plugins\hlsw_icq_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 

 C:\Programme\HLSW\Plugins\hlsw_miranda_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 

 C:\Programme\HLSW\Plugins\hlsw_msn7_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 

 C:\Programme\HLSW\Plugins\hlsw_msn_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 

 C:\Programme\HLSW\Plugins\hlsw_skype_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 

 C:\Programme\HLSW\Plugins\hlsw_trillianpro_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 

 C:\Programme\HLSW\Plugins\hlsw_trillian_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 

 C:\Programme\Microsoft Games\Age of Empires III\AOE3Update1.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt... 

~~~~~~~~~~~~~~~~~~~~~~ 
 Hosts-Datei 

~~~~~~~~~~~~~~~~~~~~~~ 

DataBasePath: %SystemRoot%\System32\drivers\etc 

Zeilen die nicht dem Standard entsprechen: 

C:\WINDOWS\System32\drivers\etc\hosts :

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Statistiken: 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

 Gescannte Dateien: 204000 

 Gefundene Viren: 44 

 Anzahl der desinfizierten Dateien: 0 

 Umbenannte Dateien: 0 

 Anzahl der gelöschten Dateien: 0 

 Anzahl Fehler: 247 

 Dauer des Scans bisher: 01:57:02 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Scan-Optionen 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

 Specherüberprüfung: Aktiviert 

 Registry Überprüfung: Aktiviert 

 System-Ordner Überprüfung: Aktiviert 

 Überprüfung der Systembereiche: Deaktiviert 

 Überprüfung der Dienste: Aktiviert 

 Überprüfung der Festplatten: Deaktiviert 

 Überprüfung aller Festplatten :Aktiviert 

 

Batchstart: 17:48:20,42 

Batchende: 17:48:25,15

Das scannprotokoll ( 24 MB groß ) wird nicht benötigt oder ?

Also ich habe jetzt alles bis

"-Navigiere in den Ordner " C:\WINDOWS\C:\WINDOWS\System32\ " und lösche dort die Datei " svchost.exe "

Der Dateipfad der zu Löschenden Datei lautet also " C:\WINDOWS\C:\WINDOWS\System32\svchost.exe ".

Was befindet sich noch in dem gefakten " C:\WINDOWS\C:\WINDOWS\ " Ordner?

-Lasse cCleaner abermals laufen.

-Starte den Rechner neu und erstelle ein frisches HJT log. Taucht der Eintrag immer noch auf? Lässt sich das Sicherheitscenter nun starten?"

gemacht. Ich kann leider keinen gefakten Windows ordner finden ... Was nun ?

Wie kann ich denn jetzt die viren entfernen , die eScan gefunden hat ?

Alle manuell oder wie ? Und die Reg EInträge auch einfach löschen oder was muss ich machen ?

Laaangsam bitte.

Du hast so viel Zeugs auf dem Rechner..

Also: Bevor ich das jetzt auseinanderpflücke guckst du dir die Dateien an die eScan anprangert. Ich halte alle für FalsePositives also Fehlmeldungen. Bei einigen die ich dir nun poste bin ich mir nicht sicher:

Zitat:

Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\Programme\Ogame\32.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.

File C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\Programme\Ogame\tutorialtoolbar.exe//data0002 markiert als "not-a-virus:AdWare.Win32.MyTool.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\Programme\Ogame\32.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.

File C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\Programme\Ogame\tutorialtoolbar.exe//data0002 markiert als "not-a-virus:AdWare.Win32.MyTool.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

-Wenn du einzelnen oder allen Dateien misstraust, deinstalliere die dazugehörigen Programme über die Systemsteuerung und wechsel danach in den abgesicherten Modus.

Dort überprüfst du ob die Dateien auch wirklich gelöscht wurden.

Starte den Rechner neu und deaktiviere die Systemwiederherstellung auf allen Laufwerken.

Danach räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

Wenn du das erledigt hast folge bitte dieser http://www.trojaner-board.de/30411-a...-von-zlob.html.

Hier rapport :

Code:

SmitFraudFix v2.240
 

Scan done at 20:04:58,01, 20.10.2007

Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in safe mode
 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!
 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll
 

»»»»»»»»»»»»»»»»»»»»»»»» Killing process
 
 

»»»»»»»»»»»»»»»»»»»»»»»» hosts
 
 

127.0.0.1       localhost

127.0.0.1       localhost

127.0.0.1       localhost
 

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
 

S!Ri's WS2Fix: LSP not Found.
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
 

GenericRenosFix by S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
 
 

»»»»»»»»»»»»»»»»»»»»»»»» DNS
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, following keys are not inevitably infected!!!
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

 

Registry Cleaning done. 

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!
 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Reboot
 

C:\WINDOWS\system32\systems.txt Please, Reboot and Run SmitfraudFix option 2 once again.

 
 

»»»»»»»»»»»»»»»»»»»»»»»» End

Hier ein neuer Logfile von hijackthis :

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:09:14, on 20.10.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Trojancheck 6\tcguard.exe

C:\Programme\Logitech\MouseWare\system\em_exec.exe

C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local;localhost

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe

O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe

O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Sicherheitscenter (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)
 

--

End of file - 4794 bytes

EDIT : Beim 2. durchführen von dem rapport prog da , kam die frage ob ich eine "delete_me_dummy_systems.txt"löschen will. Ich klickte ja aber es ging nicht , das prog fragte dann immer wieder. Sie befand sich glaube ich im system32 ordner...
Ich musste auf n klicken um weiter zu kommen ...

Fixe bitte folgenden HJT-Eintrag:

* O23 - Service: Sicherheitscenter (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing) *

Starte den Rechner neu und erstelle ein neues HJT-log.

Poste es hier und berichte welche Probleme nun noch auftreten.

2. rapport

Code:

SmitFraudFix v2.240
 

Scan done at 20:11:54,35, 20.10.2007

Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in safe mode
 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!
 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll
 

»»»»»»»»»»»»»»»»»»»»»»»» Killing process
 
 

»»»»»»»»»»»»»»»»»»»»»»»» hosts
 
 

127.0.0.1       localhost

127.0.0.1       localhost

127.0.0.1       localhost
 

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
 

S!Ri's WS2Fix: LSP not Found.
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
 

GenericRenosFix by S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
 

Problem while deleting C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt
 

»»»»»»»»»»»»»»»»»»»»»»»» DNS
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, following keys are not inevitably infected!!!
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

 

Registry Cleaning done. 

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!
 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Reboot
 

Problem while deleting C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt

 
 

»»»»»»»»»»»»»»»»»»»»»»»» End

Wenn ich auf Fix checked klicke arbeitet er 1 sek und dann kommt ein leeres fenster ...( siehe bild )

Kann anscheinend nicht gefixed werden ...

http://img218.imageshack.us/img218/2...is21321ei6.jpg

Ich möchte mich nicht einmischen aber.
Er sollte doch die DAtei im gefakten Windows Ordner löschen.
Da dieser nicht vorhanden ist versteckt er sich.
Also erkläre ihm wie er versteckte Dateien Sichtbar macht

Dieser post geht an undoreal

er ist grade offline ... kannst du es mir erklähren ? :)

Antivir update schlägt nun immer fehl ...

genaue fehlermeldung :

Code:

Die Validierung von Engine und VDF schlug fehl.

Reportdatei :

Code:

20.10.2007 23:57:25 - Installationsverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\

20.10.2007 23:57:25 - Sicherungsverzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\BACKUP\

20.10.2007 23:57:25 - Temporäres Verzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVUPDATE_471a79c5\

20.10.2007 23:57:26 - Update GUI wird gestartet... Displaymode: 0
 

20.10.2007 23:57:25 - Installationsverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\

20.10.2007 23:57:25 - Sicherungsverzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\BACKUP\

20.10.2007 23:57:25 - Temporäres Verzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVUPDATE_471a79c5\

20.10.2007 23:57:26 - Update GUI wird gestartet... Displaymode: 0
 

20.10.2007 23:57:26 - Lizenzdatei: OK [Kompletter Modus]
 

20.10.2007 23:57:26 - Avira AntiVir PersonalEdition Classic
 

20.10.2007 23:57:27 - Master IDX Datei wurde geändert

20.10.2007 23:57:28 - Lizenzdatei: OK [Kompletter Modus]
 

20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/2k/avgntflt.sys passt nicht zum aktuellen System. Datei ignoriert.

20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/avadmin.exe passt nicht zum aktuellen System. Datei ignoriert.

20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/avgio64.sys passt nicht zum aktuellen System. Datei ignoriert.

20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/imp64b.exe passt nicht zum aktuellen System. Datei ignoriert.

20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/psapi.dll passt nicht zum aktuellen System. Datei ignoriert.

20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/shlext64.dll passt nicht zum aktuellen System. Datei ignoriert.

20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/vista64/avgntflt.sys passt nicht zum aktuellen System. Datei ignoriert.

20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/wsctool.exe passt nicht zum aktuellen System. Datei ignoriert.

20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/xp64/avgntflt.sys passt nicht zum aktuellen System. Datei ignoriert.

20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/2k/avgntdd.sys passt nicht zum aktuellen System. Datei ignoriert.

20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/2k/avgntmgr.sys passt nicht zum aktuellen System. Datei ignoriert.

20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/nt/avgntdd.sys passt nicht zum aktuellen System. Datei ignoriert.

20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/nt/avgntmgr.sys passt nicht zum aktuellen System. Datei ignoriert.

20.10.2007 23:57:28 - Das Betriebssystem der Datei basic-nt/vista64/avgntflt.sys passt nicht zum aktuellen System. Datei ignoriert.

20.10.2007 23:57:28 - Lade die Produktinformationsdatei von http://dl7.avgate.net/upd/idx/vdf.info.gz herunter

20.10.2007 23:57:29 - Lizenzdatei: OK [Kompletter Modus]
 

20.10.2007 23:57:29 - Lade die Produktinformationsdatei von http://dl7.avgate.net/upd/idx/specvir-nt.info.gz herunter

20.10.2007 23:57:30 - Lade die Produktinformationsdatei von http://dl7.avgate.net/upd/idx/engine.info.gz herunter

20.10.2007 23:57:30 - Lade die Produktinformationsdatei von http://dl7.avgate.net/upd/idx/engine-nt-de.info.gz herunter

20.10.2007 23:57:31 - Modul: SELFUPDATE Quellverzeichnis: winwks\de\ Zielverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\ Dateien: 15

20.10.2007 23:57:31 - Modul: MAIN Quellverzeichnis: winwks\de\ Zielverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\ Dateien: 75

20.10.2007 23:57:31 - Modul: COMMAPPDATA Quellverzeichnis: winwks\de\ Zielverzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ Dateien: 1

20.10.2007 23:57:31 - Modul: TEXT Quellverzeichnis: winwks\de\ Zielverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\ Dateien: 3

20.10.2007 23:57:32 - Modul: VDF Quellverzeichnis: vdf\ Zielverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\ Dateien: 4

20.10.2007 23:57:32 - C:\Programme\AntiVir PersonalEdition Classic\antivir0.vdf 6.40.0.0 < 6.40.0.0

20.10.2007 23:57:32 - C:\Programme\AntiVir PersonalEdition Classic\antivir3.vdf 7.0.0.111 < 7.0.0.112

20.10.2007 23:57:32 - Modul: AVREP_NT Quellverzeichnis: engine\nt\ Zielverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\ Dateien: 1

20.10.2007 23:57:32 - Modul: ENGINE Quellverzeichnis: engine\ Zielverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\ Dateien: 2

20.10.2007 23:57:32 - Modul: ENGINE_NT_DE Quellverzeichnis: engine\nt\ Zielverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\ Dateien: 1

20.10.2007 23:57:32 - Modul: DRV Quellverzeichnis: winwks\de\ Zielverzeichnis: C:\WINDOWS\SYSTEM32\drivers\ Dateien: 4

20.10.2007 23:57:32 - C:\WINDOWS\SYSTEM32\drivers\avgntdd.sys 6.37.0.2 < 6.39.0.2

20.10.2007 23:57:32 - C:\WINDOWS\SYSTEM32\drivers\avgntmgr.sys 6.37.1.1 < 6.37.1.1

20.10.2007 23:57:32 - Minifilter ist installiert
 

20.10.2007 23:57:32 - Minifilter ist möglich
 

20.10.2007 23:57:32 - Registry Eintrag erfolgreich gelesen: Software\H+BEDV\AntiVir PersonalEdition Classic V 7 | FilterType
 

20.10.2007 23:57:32 - Die Datei basic-nt/xp/avgntdd.sys welche als geändert erkannt wurde muss nicht aktualisiert werden

20.10.2007 23:57:32 - Die Datei basic-nt/xp/avgntmgr.sys welche als geändert erkannt wurde muss nicht aktualisiert werden

20.10.2007 23:57:32 - Das Modul DRV welches als geändert erkannt wurde muss nicht aktualisiert werden

20.10.2007 23:57:32 - Initialisiere avnotify.exe
 

20.10.2007 23:57:32 - avnotify.exe wurde erfolgreich gestartet
 

20.10.2007 23:57:32 - Vorbereiten des Herunterladens

20.10.2007 23:57:32 - 2 Dateien müssen von http://dl7.avgate.net/upd/ heruntergeladen / kopiert werden

20.10.2007 23:57:32 - #1: Herunterladen und Entpacken von http://dl7.avgate.net/upd/vdf/antivir0.vdf.gz nach C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVUPDATE_471a79c5\vdf\antivir0.vdf

20.10.2007 23:58:35 - #2: Herunterladen und Entpacken von http://dl7.avgate.net/upd/vdf/antivir3.vdf.gz nach C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVUPDATE_471a79c5\vdf\antivir3.vdf

20.10.2007 23:58:38 - Die Validierung von Engine und VDF schlug fehl Return: 5
 

20.10.2007 23:58:42 - Der Registryeintrag Software\H+BEDV\AntiVir PersonalEdition Classic V 7 |UpdateInProgress wurde erfolgreich erstellt
 

20.10.2007 23:58:42 - Kritischer Fehler: Die Validierung von Engine und VDF schlug fehl

ERLEDIGT

Hi,

eine "C:\WINDOWS\C:\WINDOWS\System32\svchost.exe" gibt es nicht, spart euch die Suche. Wenn das im Hijackthis steht, ist es die Folge eines geänderten Registryeintrags für einen Standardservice von Windows. Normalerweise wird er nicht angezeigt, da Hijackthis eine Whitelist hat.

regedit starten, links zu

Code:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc

gehen und rechts den Wert von "ImagePath" kontrollieren. Stehen soll dort

Code:

%SystemRoot%\System32\svchost.exe -k netsvcs

hier steht vermutlich was in der Art von

Code:

%SystemRoot%\C:\WINDOWS\system32\svchost.exe -k netsvcs

Früher hatten die Wurmprogrammierer mehr Ahnung vom Fach. Ok, vielleicht ist es auch Absicht, aber dann gäbe es unauffälligere Wege die Firewall auszuheben.

Bleibt natürlich die Frage offen, wer dafür verantwortlich ist. Mir fällt ein, dass ich diese Veränderung oft im Zusammenhang mit einer Backdoor Ciadoor sehe. Das ist aber kein Schluss, dass die hier vorliegen muss.

Gruß, Karl

Genau das steht da :

Code:

\SystemRoot\C:\WINDOWS\System32\svchost.exe -k netsvcs

Kannst du das Sicherheitscenter denn nun manuell wieder aktivieren oder geht das immer noch nicht?

Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)

Also wenn ich in den systemstart gucke ( msconfig bla da ) da steht , dass das Sicherheitscenter im Autostart ist , aber beendet wurde. Ich weiß nicht wie ich es starten sollte.

Ich fürhre grade noch einen Kaspersky Online Scan durch , dann mach ich das , was du vorgeschlagen hast ;)

Zitat:

Ich weiß nicht wie ich es starten sollte.

Start -> Systemstrg. -> Verwaltung -> Dienste -> Sicherheitscenter doppelt anklicken.

Versuche bitte den Dienst zu starten.

Achso da hab ich es schon probiert ;)

Zitat:

Das Sicherheitscenter ist momentan nicht verfügbar, da der Dienst "Sicherheitscenter" nicht gestartet bzw. beendet wurde.Schließen sie dieses Fenster, führen sie einen Computerneustart durch, oder starten sie den Dienst "Sicherheitscenter" und öffnen sie anschließen das Sicherheitscenter erneut

Achja und Danke für die ganze Hilfe ;)

Hier ist die Log-Datei:

Code:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"
 
 

Startup items buried in registry:

---------------------------------
 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."]

"Trojancheck 6 Guard" = "C:\Programme\Trojancheck 6\tcguard.exe" [empty string]

"ATIPTA" = ""C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"" ["ATI Technologies, Inc."]

"ZoneAlarm Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]

"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

"KernelFaultCheck" = "%systemroot%\system32\dumprep 0 -k" [MS]
 

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"

                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "SSVHelper Class"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_11\bin\ssv.dll" ["Sun Microsystems, Inc."]
 

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"

  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"

  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]

"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"

  -> {HKLM...CLSID} = "MCLiteShellExt Class"

                   \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"

  -> {HKLM...CLSID} = "WinZip"

                   \InProcServer32\(Default) = "C:\DOKUME~1\ADMINI~1\EIGENE~1\KAI\SPIELE\VERSCH~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"

  -> {HKLM...CLSID} = "WinZip"

                   \InProcServer32\(Default) = "C:\DOKUME~1\ADMINI~1\EIGENE~1\KAI\SPIELE\VERSCH~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"

  -> {HKLM...CLSID} = "WinZip"

                   \InProcServer32\(Default) = "C:\DOKUME~1\ADMINI~1\EIGENE~1\KAI\SPIELE\VERSCH~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"

  -> {HKLM...CLSID} = "WinZip"

                   \InProcServer32\(Default) = "C:\DOKUME~1\ADMINI~1\EIGENE~1\KAI\SPIELE\VERSCH~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"

  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"

                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]

"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

"{1530F7EE-5128-43BD-9977-84A4B0FAD7DF}" = "PhotoToys"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\phototoys.dll" [MS]

"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"

  -> {HKLM...CLSID} = "RealOne Player Context Menu Class"

                   \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]

"{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan"

  -> {HKLM...CLSID} = "ZLAVShExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"

  -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"

                   \InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~2\SDShelEx-win32.dll" ["TuneUp Software GmbH"]

"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"

  -> {HKLM...CLSID} = "TuneUp Theme Extension"

                   \InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]
 

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\

"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

  -> {HKLM...CLSID} = "WPDShServiceObj Class"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]
 

HKLM\System\CurrentControlSet\Control\Session Manager\

<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]
 

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
 

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\

{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"

  -> {HKLM...CLSID} = "PDF Shell Extension"

                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
 

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"

  -> {HKLM...CLSID} = "MCLiteShellExt Class"

                   \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"

  -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"

                   \InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~2\SDShelEx-win32.dll" ["TuneUp Software GmbH"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

  -> {HKLM...CLSID} = "WinZip"

                   \InProcServer32\(Default) = "C:\DOKUME~1\ADMINI~1\EIGENE~1\KAI\SPIELE\VERSCH~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"

  -> {HKLM...CLSID} = "ZLAVShExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
 

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"

  -> {HKLM...CLSID} = "MCLiteShellExt Class"

                   \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"

  -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"

                   \InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~2\SDShelEx-win32.dll" ["TuneUp Software GmbH"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

  -> {HKLM...CLSID} = "WinZip"

                   \InProcServer32\(Default) = "C:\DOKUME~1\ADMINI~1\EIGENE~1\KAI\SPIELE\VERSCH~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
 

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

  -> {HKLM...CLSID} = "WinZip"

                   \InProcServer32\(Default) = "C:\DOKUME~1\ADMINI~1\EIGENE~1\KAI\SPIELE\VERSCH~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"

  -> {HKLM...CLSID} = "ZLAVShExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
 
 

Group Policies {GPedit.msc branch and setting}:

-----------------------------------------------
 

Note: detected settings may not have any effect.
 

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
 

"ClearRecentDocsOnExit" = (REG_DWORD) hex:0x00000000

{unrecognized setting}
 

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
 

"AllowLegacyWebView" = (REG_DWORD) hex:0x00000001

{unrecognized setting}
 

"AllowUnhashedWebView" = (REG_DWORD) hex:0x00000001

{unrecognized setting}
 

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
 

"DisableRegistryTools" = (REG_DWORD) hex:0x00000000

{User Configuration|Administrative Templates|System|

Prevent access to registry editing tools}
 

HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\
 

"AlwaysPromptWhenDownload" = (REG_DWORD) hex:0x00000001

{unrecognized setting}
 

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\
 

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Shutdown: Allow system to be shut down without having to log on}
 

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Devices: Allow undock without having to log on}
 
 

Active Desktop and Wallpaper:

-----------------------------
 

Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
 

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
 

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
 
 

Enabled Screen Saver:

---------------------
 

HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]
 
 

Enabled Scheduled Tasks:

------------------------
 

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]
 
 

Winsock2 Service Provider DLLs:

-------------------------------
 

Namespace Service Providers
 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
 

Transport Service Providers
 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SYSTEMROOT%\system32\nvappfilter.dll ["NVIDIA"], 01 - 13, 27

%SystemRoot%\system32\mswsock.dll [MS], 14 - 16, 19 - 26

%SystemRoot%\system32\rsvpsp.dll [MS], 17 - 18
 
 

Toolbars, Explorer Bars, Extensions:

------------------------------------
 

Extensions (Tools menu items, main toolbar menu buttons)
 

HKLM\Software\Microsoft\Internet Explorer\Extensions\

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\

"MenuText" = "Sun Java Konsole"

"CLSIDExtension" = "{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBC}"

  -> {HKCU...CLSID} = "Java Plug-in 1.5.0_11"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_11\bin\ssv.dll" ["Sun Microsystems, Inc."]

  -> {HKLM...CLSID} = "Java Plug-in 1.5.0_11"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll" ["Sun Microsystems, Inc."]
 

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\

"ButtonText" = "ICQ Lite"

"MenuText" = "ICQ Lite"

"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]
 

{FA9B9510-9FCB-4CA0-818C-5D0987B47C4D}\

"ButtonText" = "PokerStars.net"

"Exec" = "C:\Programme\PokerStars.NET\PokerStarsUpdate.exe" ["PokerStars"]
 
 

Miscellaneous IE Hijack Points

------------------------------
 

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\

<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]
 
 

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------
 

Ad-Aware 2007 Service, aawservice, ""C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft AB"]

AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]

AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]

app_filter, app_filter, "C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe" [empty string]

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]

ForceWare IP service, nSvcIp, "C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe" [null data]

ForceWare user log service, nSvcLog, "C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe" [null data]

Forceware Web Interface, ForcewareWebInterface, ""C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice" ["Apache Software Foundation"]

TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]

TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}

Windows Driver Foundation - User-mode Driver Framework, WudfSvc, "C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup" {"C:\WINDOWS\System32\WUDFSvc.dll" [MS]}
 
 

Print Monitors:

---------------
 

HKLM\System\CurrentControlSet\Control\Print\Monitors\

EPSON Stylus CX3600 Series 2KMonitor5E\Driver = "E_FLM9BE.DLL" ["SEIKO EPSON CORPORATION"]
 
 

---------- (launch time: 2007-10-21 11:58:07)

<<!>>: Suspicious data at a malware launch point.

<<H>>: Suspicious data at a browser hijack point.
 

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ To search all directories of local fixed drives for DESKTOP.INI

  DLL launch points, use the -supp parameter or answer "No" at the

  first message box and "Yes" at the second message box.

---------- (total run time: 35 seconds, including 9 seconds for message boxes)

Zitat:

Das Sicherheitscenter ist momentan nicht verfügbar, da der Dienst "Sicherheitscenter" nicht gestartet bzw. beendet wurde.Schließen sie dieses Fenster, führen sie einen Computerneustart durch, oder starten sie den Dienst "Sicherheitscenter" und öffnen sie anschließen das Sicherheitscenter erneut

die Meldung bekommst du wenn du versuchst den Dienst zu starten?

Ich denk mal der hat nicht versucht den Dienst zu starten sondern nur das reine Sicherheitscenter...

jup, das denke ich auch :rolleyes:

Also ich habe :

Systemsteuerung --> Sicherheitscenter

und "msconfig"

Dienste Sicherheitscenter passiert aber nix

Achso jetzt hab ichs :

---------------------------
Dienste
---------------------------
Der Dienst "Sicherheitscenter" auf "Lokaler Computer" konnte nicht gestartet werden.

Fehler 123: Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch.

---------------------------
OK
---------------------------

Nun kommt die meldung :

---------------------------
Dienste
---------------------------
Der Dienst "Sicherheitscenter" auf "Lokaler Computer" konnte nicht gestartet werden.

Fehler 2: Das System kann die angegebene Datei nicht finden.

---------------------------
OK
---------------------------

Aber muss das denn wirklich auf nen Virus oder was anderes schädliches hinweisen ? Weil ein Kollege meinte, dass er das auch schonmal gehabt hat , aber es sich irgendwie geregelt häte.

Von selber regelt sich das nicht.

Wenn Du meinst da Sicherheitscenter zu brauchen, dann solltest Du mal den "ImagePath" korrigieren.

Also ich habe das geändert was du geschrieben hattest.
Nun steht "Fehler 2: Das System kann die angegebene Datei nicht finden." wenn ich das Sicherheitscenter starten will da.

Und was ist eigentlich mit diesem gefakten windows ordner ?

Dann schau doch einfach mal auf deiner Platte nach, ob es diesen Ordner gibt. Ich sage nein.

Erneut regedit starten und links wieder zu

Code:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc

gehen. Dort (also links) einen Rechtsklick rauf "wscsvc" machen -> exportieren: Den Desktop wählen, irgendeinen Namen (ohne Endung) vergeben, Ok. Regedit schließen.

Nun auf dem Desktop die gerade angelegte Datei (sie hat jetzt die Endung REG, wenn Du nicht noch weitere Einstellungen geändert hast) suchen. Rechtsklick drauf -> bearbeiten, jetzt soll sie in den Editor geladen sein. Alles markieren und hier rein kopieren. Füge vorher diese Zeile ein

Zitat:

[CODE]

und dahinter diese

Zitat:

[/CODE]

.

Dann in den Ordner C:\Windows\system32 schauen und feststellen ob die Dateien svchost.exe und wscsvc.dll vorhanden sind.

Btw: Warezov ist ein guter Grund zum formatieren und neuinstallieren. Ein weiterer liegt darin, dass diese Manipulation meist mit einem Backdoorserver Ciadoor auftritt. Ich glaube, dass langsam weitere Gründe hinzukommen. Du könntest schon lange fertig sein.

Ok danke euch allen.
Ich habe heute Nachmittag formatier , denke was jetzt die einfachste lösung :)