|
Svchost mit Antivir gelöscht was jetzt ? Bitte dringend Hallo mein Laptop ist sehr langsam geworden dachte mach mal einen Virenscan ! Hatte dann 9 Trojaner drauf unter anderem auf der svchost.exe datei im System 32 Ordner. Bei jedem Neustart zeigt er an "Svchost.exe konnte nicht gefunden werden". Wenn ich auf der externen Festplatte was mache oder mit einem USB Stick sagt er Explorer musste beendet werden. Ist jetzt sehr sehr langsam und lädt nur wenn es ihm passt ! Danke für die Hilfe !!! Unten das Logfile BITTE BITTE Logfile of HijackThis v1.99.1 Scan saved at 20:07:42, on 09.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 8.0\avp.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.exe C:\Programme\Power Manager\PM.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\Mozilla Firefox\firefox.exe F:\Programme (Setup`s)\utorrent.exe C:\Programme\Outlook Express\msimn.exe C:\Dokumente und Einstellungen\Master\Desktop\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.tuwien.ac.at F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 8.0\avp.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 8.0\SCIEPlgn.dll O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=www.tuwien.ac.at O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\ O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Kaspersky Anti-Virus (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 8.0\avp.exe" -r (file missing) O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe |
Hallo SandroTorrent und Willkommen! Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen: SDFix * Lade das SDFix herunter und speichere es auf deinem Desktop. * Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken. * Starte deinen Rechner neu auf, in den abgesicherten Modus * Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten. * Gib ein Y ein, um den Reinigungsprozess zu beginnen. * Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet. * Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann. * Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet. * Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen. * Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden. * Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern. * Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting. Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp |
Hallo Warscheinlich kommt die Meldung, das die Datei Scvhost nicht gestartet werden kann, weil der Virenscanner die gelöscht hat, aber sie gestartet werden soll, durch den Registry Eintrag. Code: F2 - REG:system.ini: Shell=Explorer.exe scvhost.exesvchost.exe Die scvhost gehört zu einem Trojaner. Dann gibt es noch die svhost.exe svhost.exe Es gibt noch viele weitere Dateien, die der svchost sehr ähnlich sehen, aber die svchost ist die Richtige :) |
Danke für die schnelle hilfe !!!!!! SDFix: Version 1.125 Run by Master on 09.01.2008 at 20:51 Microsoft Windows XP [Version 5.1.2600] Running From: C:\DOKUME~1\Master\Desktop\SDFix Safe Mode: Checking Services: Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting... Normal Mode: Checking Files: Trojan Files Found: C:\WINDOWS\offlog.txt - Deleted Removing Temp Files... ADS Check: C:\WINDOWS No streams found. C:\WINDOWS\system32 No streams found. C:\WINDOWS\system32\svchost.exe No streams found. C:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-09 20:58:15 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg] "s1"=dword:e6d33d06 "s2"=dword:04927ba9 "h0"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:9b,a6,45,94,e0,e9,c7,e5,8c,a4,26,06,33,96,3e,fc,06,0b,48,f6,97,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "p0"="C:\Programme\DAEMON Tools\" "h0"=dword:00000000 "khjeh"=hex:b7,d4,1e,04,00,a1,a8,67,a0,df,38,0a,c7,76,4e,28,25,ec,b7,40,17,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,4d,8e,8f,af,0a,ca,c7,d3,95,f0,43,a1,1b,1c,ed,58,b3,.. "khjeh"=hex:f5,23,23,55,72,31,32,db,6a,bb,4f,e9,83,7d,a1,59,45,26,75,93,3a,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:0d,30,fb,f6,30,1d,95,74,de,ec,79,f9,a3,8e,4e,c9,0e,06,7c,70,67,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "p0"="C:\Programme\DAEMON Tools\" "h0"=dword:00000000 "khjeh"=hex:b7,d4,1e,04,00,a1,a8,67,a0,df,38,0a,c7,76,4e,28,25,ec,b7,40,17,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,4d,8e,8f,af,0a,ca,c7,d3,95,f0,43,a1,1b,1c,ed,58,b3,.. "khjeh"=hex:f5,23,23,55,72,31,32,db,6a,bb,4f,e9,83,7d,a1,59,45,26,75,93,3a,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:54,21,30,de,93,18,63,29,a9,86,ba,04,21,a3,0b,d4,ff,12,37,45,dd,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:9b,a6,45,94,e0,e9,c7,e5,8c,a4,26,06,33,96,3e,fc,06,0b,48,f6,97,.. scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\LimeWire\\LimeWire.exe"="C:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire" "C:\\Dokumente und Einstellungen\\Master\\Desktop\\utorrent.exe"="C:\\Dokumente und Einstellungen\\Master\\Desktop\\utorrent.exe:*:Enabled:æTorrent" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "F:\\Programme (Setup`s)\\utorrent.exe"="F:\\Programme (Setup`s)\\utorrent.exe:*:Enabled:æTorrent" "C:\\Programme\\Gemeinsame Dateien\\Nero\\Nero Web\\SetupX.exe"="C:\\Programme\\Gemeinsame Dateien\\Nero\\Nero Web\\SetupX.exe:*:Enabled:Nero ControlCenter" "C:\\Dokumente und Einstellungen\\Master\\Lokale Einstellungen\\Temp\\OnlineUpdate8\\SetupXu.exe"="C:\\Dokumente und Einstellungen\\Master\\Lokale Einstellungen\\Temp\\OnlineUpdate8\\SetupXu.exe:*:Enabled:Nero ControlCenter" "C:\\Programme\\Nero\\Nero8\\Nero Home\\NeroHome.exe"="C:\\Programme\\Nero\\Nero8\\Nero Home\\NeroHome.exe:*:Enabled:Nero Home" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath " [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" Remaining Files: --------------- File Backups: - C:\DOKUME~1\Master\Desktop\SDFix\backups\backups.zip Files with Hidden Attributes: Sun 25 Nov 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp" Wed 28 Nov 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\11ff9edcc14d824e43781892eb21a97b\BIT1.tmp" Tue 16 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\df5639f970beb9dd53a1263e6651362c\BIT3.tmp" Sat 24 Nov 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\df5639f970beb9dd53a1263e6651362c\BIT5.tmp" Finished! Hijackthis::: Logfile of HijackThis v1.99.1 Scan saved at 21:06:20, on 09.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Power Manager\PM.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Master\Desktop\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.tuwien.ac.at O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 8.0\SCIEPlgn.dll O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=www.tuwien.ac.at O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\ O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe |
----- Root ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F88F-C125 Verzeichnis von C:\ 09.01.2008 20:56 704.643.072 pagefile.sys 08.01.2008 15:52 50 AUTOEXEC.BAT 22.11.2007 23:21 251.184 ntldr 05.11.2007 10:56 211 boot.ini 16.10.2007 22:55 45 TEST.XML 12.10.2007 19:00 1.759 FSC-DeskUpdate.txt 12.10.2007 18:44 0 MSDOS.SYS 12.10.2007 18:44 0 IO.SYS 12.10.2007 18:44 0 CONFIG.SYS 12.10.2007 18:35 211 BOOT.BKK 04.08.2004 04:00 4.952 bootfont.bin 04.08.2004 04:00 47.564 NTDETECT.COM 12 Datei(en) 704.949.048 Bytes 0 Verzeichnis(se), 19.300.880.384 Bytes frei ----- System32 ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F88F-C125 Verzeichnis von C:\WINDOWS\system32 09.01.2008 19:51 2.206 wpa.dbl 09.01.2008 19:50 127.704 FNTCACHE.DAT 02.01.2008 19:19 634 MAPISVC.INF 12.12.2007 03:01 266.378 TZLog.log 03.12.2007 00:00 18.684.536 MRT.exe 1996 Datei(en) 428.796.926 Bytes 0 Verzeichnis(se), 19.300.753.408 Bytes frei ----- Prefetch ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F88F-C125 Verzeichnis von C:\WINDOWS\Prefetch 09.01.2008 21:08 11.336 FIND.EXE-0EC32F1E.pf 09.01.2008 21:08 14.336 CMD.EXE-087B4001.pf 09.01.2008 21:08 112.822 WINRAR.EXE-3588DFE8.pf 09.01.2008 21:06 45.638 NOTEPAD.EXE-336351A9.pf 09.01.2008 21:06 15.398 HIJACKTHIS.EXE-22123A0D.pf 09.01.2008 21:03 26.540 WUAUCLT.EXE-399A8E72.pf 09.01.2008 21:03 98.182 FIREFOX.EXE-1D57670A.pf 09.01.2008 21:02 71.796 WINWORD.EXE-259486DA.pf 09.01.2008 21:02 42.862 READER_SL.EXE-1EA4C8B2.pf 09.01.2008 21:02 14.500 WMPNSCFG.EXE-094B04CE.pf 09.01.2008 21:02 18.366 IMAPI.EXE-0BF740A4.pf 09.01.2008 21:02 10.720 PM.EXE-2D7F93FE.pf 09.01.2008 21:01 12.392 DUMPREP.EXE-1B46F901.pf 09.01.2008 21:01 8.760 NEROCHECK.EXE-1BD71082.pf 09.01.2008 21:01 21.904 VERCLSID.EXE-3667BD89.pf 09.01.2008 21:00 5.576 CLIPTEXT.EXE-0E210B94.pf 09.01.2008 21:00 17.224 FIND.EXE-19A69638.pf 09.01.2008 21:00 8.630 SWREG.EXE-31AAB9F1.pf 09.01.2008 20:59 1.365.382 NTOSBOOT-B00DFAAD.pf 09.01.2008 20:42 36.658 WMIPRVSE.EXE-28F301A9.pf 09.01.2008 20:37 5.682 ISADMIN.EXE-1630F239.pf 09.01.2008 20:31 16.606 LOGONUI.EXE-0AF22957.pf 09.01.2008 20:31 34.032 SDFIX.EXE-1CCCEA20.pf 09.01.2008 20:14 80.946 AVP.EXE-3A8CDFFC.pf 09.01.2008 20:13 43.168 MSIEXEC.EXE-2F8A8CAE.pf 09.01.2008 20:04 66.380 MSIMN.EXE-0B61806C.pf 09.01.2008 20:04 22.034 MSMSGS.EXE-32066BA5.pf 09.01.2008 19:57 103.966 PHOTOSNAPVIEWER.EXE-1BCDA4AE.pf 09.01.2008 19:54 58.854 UTORRENT.EXE-04A35BC1.pf 09.01.2008 19:41 16.542 UTORRENT.EXE-267132B0.pf 09.01.2008 15:34 591.854 Layout.ini 09.01.2008 15:16 6.126 LOGON.SCR-151EFAEA.pf 09.01.2008 15:00 42.190 AVNOTIFY.EXE-0B59FC42.pf 09.01.2008 14:59 36.742 UPDATE.EXE-3A80F1D2.pf 09.01.2008 14:59 15.330 PREUPD.EXE-18CBCD87.pf 09.01.2008 14:37 24.522 NMBGMONITOR.EXE-0BC10095.pf 09.01.2008 14:37 65.090 NMINDEXSTORESVR.EXE-1DBCF9FD.pf 09.01.2008 14:37 65.388 SHOWTIME.EXE-1713ECDC.pf 09.01.2008 14:30 15.036 NMINDEXINGSERVICE.EXE-19799BA6.pf 09.01.2008 08:56 66.426 UPDATE.EXE-150D4058.pf 09.01.2008 08:56 68.538 UPDATE.EXE-2F2F771B.pf 09.01.2008 04:29 229.890 HELPSVC.EXE-2878DDA2.pf 09.01.2008 03:39 39.124 UTORRENT.EXE-2EF2130C.pf 08.01.2008 20:15 98.486 DFRGNTFS.EXE-269967DF.pf 08.01.2008 20:15 57.722 DEFRAG.EXE-273F131E.pf 08.01.2008 18:47 15.166 RUNDLL32.EXE-451FC2C0.pf 08.01.2008 18:45 109.296 NEROSTARTSMART.EXE-0A488AA3.pf 08.01.2008 18:41 69.370 DRWTSN32.EXE-2B4B52AC.pf 08.01.2008 18:41 24.760 DWWIN.EXE-30875ADC.pf 08.01.2008 18:39 68.982 MUVEEAPP.EXE-01819C0E.pf 08.01.2008 18:22 74.300 ACRORD32.EXE-153330F0.pf 08.01.2008 15:49 102.200 EXPLORER.EXE-082F38A9.pf 08.01.2008 15:43 16.900 RUNDLL32.EXE-146D9EC8.pf 08.01.2008 14:32 101.342 REGISTRYCLEANER.EXE-17B6D63B.pf 08.01.2008 14:32 87.878 SYSTEMOPTIMIZER.EXE-2D3174F1.pf 08.01.2008 14:32 69.600 ONECLICKMAINTENANCE.EXE-05D14B98.pf 56 Datei(en) 4.569.490 Bytes 0 Verzeichnis(se), 19.300.782.080 Bytes frei ----- Windows -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F88F-C125 Verzeichnis von C:\WINDOWS 09.01.2008 21:03 1.974.806 WindowsUpdate.log 09.01.2008 20:57 0 0.log 09.01.2008 20:56 2.048 bootstat.dat 09.01.2008 20:48 157.972 ntbtlog.txt 09.01.2008 20:44 17.210 SchedLgU.Txt 09.01.2008 14:40 69 NeroDigital.ini 09.01.2008 08:56 4.603 KB941644.log 09.01.2008 08:56 4.525 KB943485.log 08.01.2008 19:15 118.316 setupapi.log 08.01.2008 15:52 10.596 wmsetup.log 28.12.2007 04:06 216 wiadebug.log 26.12.2007 14:13 50 wiaservc.log 26.12.2007 10:12 151 PhotoSnapViewer.INI 25.12.2007 01:17 670 wmsetup10.log 22.12.2007 03:00 119.989 iis6.log 22.12.2007 03:00 36.450 comsetup.log 22.12.2007 03:00 22.101 ntdtcsetup.log 22.12.2007 03:00 6.156 ocmsn.log 22.12.2007 03:00 5.606 tabletoc.log 22.12.2007 03:00 1.393 imsins.log 22.12.2007 03:00 50.786 tsoc.log 22.12.2007 03:00 7.269 KB946627.log 22.12.2007 03:00 19.494 netfxocm.log 22.12.2007 03:00 52.488 ocgen.log 22.12.2007 03:00 5.562 msgsocm.log 22.12.2007 03:00 8.260 MedCtrOC.log 22.12.2007 03:00 111.285 FaxSetup.log 22.12.2007 03:00 33.820 msmqinst.log 12.12.2007 16:49 375 COVERE~1.INI 12.12.2007 03:02 1.393 imsins.BAK 12.12.2007 03:02 16.300 KB937894.log 12.12.2007 03:02 15.865 KB942840.log 12.12.2007 03:01 26.960 KB942763.log 12.12.2007 03:01 12.797 KB941569.log 12.12.2007 03:01 94.097 updspapi.log 12.12.2007 03:01 14.837 KB941568.log 12.12.2007 03:01 18.978 KB942615.log 12.12.2007 03:00 12.371 KB944653.log 130 Datei(en) 13.883.520 Bytes 0 Verzeichnis(se), 19.300.769.792 Bytes frei ----- Tasks ---------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F88F-C125 Verzeichnis von C:\WINDOWS\tasks 09.01.2008 20:56 6 SA.DAT 07.01.2008 20:12 276 AppleSoftwareUpdate.job 04.01.2008 17:15 398 1-Klick-Wartung.job 04.08.2004 04:00 65 desktop.ini 4 Datei(en) 745 Bytes 0 Verzeichnis(se), 19.300.773.888 Bytes frei ----- Wintemp -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F88F-C125 Verzeichnis von C:\WINDOWS\temp ----- Temp ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F88F-C125 Verzeichnis von C:\DOKUME~1\Master\LOKALE~1\Temp 09.01.2008 21:08 109.631 filelist.txt 09.01.2008 21:07 16.384 ~DFD00E.tmp 09.01.2008 21:02 512 ~DF340C.tmp 09.01.2008 21:02 512 ~DF30B1.tmp 4 Datei(en) 127.039 Bytes 0 Verzeichnis(se), 19.300.773.888 Bytes frei |
Registry Search Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen. Hier das Programm herunterladen -> RegSearch by Bobbi Flekman Das Archiv entpacken und die regsearch.exe mit einem doppelklick starten. Danach in den weißen Feldern (Search String) nach Dateien oder Schlüsseln suchen lassen. (auch mehrere Dateien gleichzeitig) Zitat:
http://virus-protect.org/artikel/bilder/bobby.gif Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen. ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! |
was muss ich dem programm bei search string eingeben ? Danke |
Zitat:
|
Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 09.01.2008 21:18:00 for strings: ; 'scvhost' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP8\profiles\SystemWatch\profiles\Hips\settings\vAppList\0012] "AppName"="C:\\WINDOWS\\scvhost.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{B1B5B04F-A20B-A6E0-E050-F0F00BCD201C}] "StubPath"="C:\\WINDOWS\\scvhost.exe" ; End Of The Log... |
Hallo Hast du die scvhost gelöscht? Wenn Nein, lösch sie. |
ComboFix 08-01-10.2 - Master 2008-01-09 21:20:14.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.100 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Master\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . ((((((((((((((((((((((( Dateien erstellt von 2007-12-10 bis 2008-01-10 )))))))))))))))))))))))))))))) . 2008-01-09 21:19 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe 2008-01-09 20:48 . 2008-01-09 20:48 <DIR> d-------- C:\WINDOWS\ERUNT 2008-01-09 20:34 . 2008-01-10 21:27 1,394,720 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-01-09 20:34 . 2008-01-10 21:25 16,772 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-01-08 15:54 . 2008-01-08 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\Master\Anwendungsdaten\muvee Technologies 2008-01-08 15:52 . 2008-01-08 15:52 <DIR> d-------- C:\Programme\muvee Technologies 2008-01-08 15:52 . 2008-01-08 15:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\muvee Technologies 2008-01-08 15:52 . 2008-01-08 15:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\muvee Technologies 2008-01-01 12:00 . 2008-01-01 12:00 <DIR> d-------- C:\Programme\Avira 2008-01-01 12:00 . 2008-01-01 12:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-01-01 10:14 . 2008-01-01 10:14 <DIR> d-------- C:\Programme\Apple Software Update 2008-01-01 10:14 . 2008-01-01 10:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple 2007-12-26 10:11 . 2007-12-26 10:12 151 --a------ C:\WINDOWS\PhotoSnapViewer.INI 2007-12-23 11:07 . 2007-12-23 11:07 <DIR> d--h----- C:\WINDOWS\PIF 2007-12-16 11:12 . 2007-12-16 11:12 <DIR> d-------- C:\Programme\freewareboard 2007-12-16 10:45 . 2007-12-16 12:29 90,980 --a------ C:\WINDOWS\system32\drivers\klin.dat 2007-12-16 10:45 . 2007-12-16 12:29 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat 2007-12-16 10:43 . 2008-01-09 19:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2007-12-13 20:56 . 2007-12-13 20:56 <DIR> d-------- C:\Programme\LimeWire 2007-12-12 16:49 . 2007-12-12 16:49 375 --a------ C:\WINDOWS\COVERE~1.INI . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-09 19:31 --------- d-----w C:\Dokumente und Einstellungen\Master\Anwendungsdaten\uTorrent 2008-01-08 18:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer 2008-01-08 14:52 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-01-08 14:10 --------- d-----w C:\Dokumente und Einstellungen\Master\Anwendungsdaten\LimeWire 2008-01-02 18:18 --------- d-----w C:\Programme\Ontrack 2007-12-16 09:43 --------- d-----w C:\Programme\Kaspersky Lab 2007-12-13 21:10 --------- d-----w C:\Dokumente und Einstellungen\Master\Anwendungsdaten\Skype 2007-12-09 13:10 --------- d-----w C:\Programme\Ebner 2007-12-09 10:36 --------- d-----w C:\Programme\Native Instruments 2007-11-30 17:19 --------- d-----w C:\Dokumente und Einstellungen\Master\Anwendungsdaten\Ahead 2007-11-29 11:22 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead 2007-11-29 11:19 --------- d-----w C:\Programme\Nero 2007-11-29 11:19 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero 2007-11-25 19:04 --------- d-----w C:\Programme\Windows Media Connect 2 2007-11-22 22:42 96,256 ----a-w C:\WINDOWS\system32\drivers\sptddrv1.sys 2007-11-22 22:42 --------- d-----w C:\Programme\Microsoft ActiveSync 2007-11-15 18:08 --------- d-----w C:\Dokumente und Einstellungen\Master\Anwendungsdaten\SecondLife 2007-11-14 17:15 13,860 ----a-w C:\WINDOWS\system32\drivers\klop.dat 2007-11-14 17:02 10,011 ----a-w C:\WINDOWS\system32\drivers\klnetinf.sys 2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56 204288] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PowerManager"="C:\Programme\Power Manager\PM.exe" [2005-04-19 16:22 163840] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136] "UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [ ] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 04:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="LogonUI.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "Apoint"=C:\Programme\Apoint2K\Apoint.exe "ATIPTA"=C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe "SMSERIAL"=sm56hlpr.exe "PowerManager"=C:\Programme\Power Manager\PM.exe R0 KLBG;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\DRIVERS\klbg.sys [2007-10-24 14:16] R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2007-11-06 13:22] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 04:00] R3 EKBfltr;ENE Keyboard Controller;C:\WINDOWS\system32\DRIVERS\EKBfltr.sys [2005-01-14 16:22] R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2007-10-31 12:58] R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-05-30 17:49] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}] "C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe" [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B1B5B04F-A20B-A6E0-E050-F0F00BCD201C}] C:\WINDOWS\scvhost.exe . Inhalt des "geplante Tasks" Ordners "2008-01-04 16:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe "2008-01-07 19:12:14 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-10 21:27:07 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-01-10 21:28:38 - machine was rebooted ComboFix-quarantined-files.txt 2008-01-10 20:28:34 . 2007-12-22 02:00:48 --- E O F --- |
Warum soll ich sie jetzt löschen ???:rolleyes: |
Die Scvhost löschen, weil sie ja schädlich ist, WENN sie noch im System ist |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:58 Uhr. |
Copyright ©2000-2024, Trojaner-Board