Virus? Trojaner? Wurm?

[HeavyARMS]

Hi Leute!

Ich hab ein Problem mit meinem System (mal wieder...)

Seit gestern abend ist mein System seltsam und zwar bin ich weder in der Lage, meinen Task Manager, noch meine Registry zu öffnen.

Also habe ich AdAware drüberlaufen lassen und dann spuckte es mir ein paar Files bzw Registry-Einträge aus, die mich beunruhigen:

ArchiveData(auto-quarantine- 2006-05-05 14-43-42.bckp)
Referencefile : SE1R106 02.05.2006
======================================================

WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=RegData : S-1-5-21-1004336348-1390067357-725345543-1003\software\microsoft\windows\currentversion\policies\system "DisableTaskMgr"
obj[1]=RegData : S-1-5-21-1004336348-1390067357-725345543-1003\software\microsoft\windows\currentversion\policies\system "DisableRegistryTools"
obj[3]=RegData : software\microsoft\windows nt\currentversion\winlogon "Shell"

ABETTERINTERNET.NAIL
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[2]=RegData : software\microsoft\windows nt\currentversion\winlogon "Shell"

Als wenn das nicht genug wäre: Ich müsste sogesehen nach jedem Neustart AdAware nochmal laufen lassen, damit diese Einträge gekillt werden... Mein AntiVir hat nichts gefunden, AdAware nur diese Einträge, aber keine File die dafür verantwortlich sein könnten...

Was kann ich tun???

 

[terminator2k2]

hm.. vermuttlich ein Trojaner..
Lade dir mal The Cleaner runter ( http://www.moosoft.com/products/cleaner/download/ ), installiere ihn, dann mach Datenbank Update.
Um ganz sicher zu gehen, dass alles gelöscht wird, starte dein Windoof im abgesicherten Modus und lass dann The Cleaner dein komplettes System scannen

 

[valenterry]

und danach ladt dir hier mal hijackthis herunter und mach ganz zum schluss einen scan,
speicher das logfile und poste es am besten mal hier oder in einem forum für sowas.
(findest du auch auf der seite)

 

[HeavyARMS]

Also, The Cleaner hat nichts gefunden. Nach 128"44 Minuten blieb das Ergebnis bei 0 und hijackthis holte dieses hier raus:

Logfile of HijackThis v1.99.1
Scan saved at 20:02:32, on 05.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
F:\--=[ Downloads ]=--\Progs\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Microsoft DLL Control] sys32dll.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WB - C:\PROGRA~1\WINDOW~4\fastload.dll

 

[valenterry]

ohje =/

poste mal hier dein logfile...
und erstell einen ordner "hijackthis" und tu dein hijackthis.exe in diesem ordner, damit dem backups machen kannst.
hast du übrigens eine firewall? hijackthis zeigt keine an.
(wenn du einen router hast, ist das mit der firewall egal...)
naja dann poste es wie gesagt im forum und viel glück

 

[HeavyARMS]

Irgendwie wird das in dem Forum nix... Die Leute schauen rein, aber sagen nix

Hoffe, dass sich das bald ändert, sonst formatier ich...

 

[valenterry]

warte erst mal ab... es ist ja schließlich wochenende und da hat man noch anderes zu tun als fremden leuten zu helfen
zur not könntest du mal dein logfile bei hijackthis.de einfügen und dann alle punkte vorrübergehend fixen. (häkchen setzen und "fix checked" anklicken)
(aber wirklich NUR wenn hijackthis in seinem eigenen ordner läuft sonst kannst du keine backups machen!)

 

[HeavyARMS]

Wo ist denn der eigentliche hijackthis ordner? ^^

 

[andy4]

So, moin

Ich habe mir deinen Log mal angesehen. Ein Würmchen und 1 Trojaner haben bei dir ihren Platz gefunden.

R3 - Default URLSearchHook is missing <-- musst du nicht entfernen, ist eigentlich harmlos.

O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe <-- Das Würmchen: Hilfe hierzu. *klick

O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe <-- Wie oben.

O4 - HKLM\..\RunServices: [Microsoft DLL Control] sys32dll.exe <-- der Dieb deiner Passwörter?: Hilfe hierzu.

Das wars eigentlich. Viel Glück.

Gruß Andy

 

[valenterry]

Original von HeavyARMS
Wo ist denn der eigentliche hijackthis ordner? ^^

du musst einfach einen neuen erstellen...
rechtsklick -> neu -> ordner erstellen
den nennst du "hijackthis" und tust hijackthis.exe da hinein

 

[HeavyARMS]

Lol okay... Dumm von mir @.@

@andy4:

Das Programm XoftSpySE is ja mal genial, aber um Dateien zu entfernen brauch ich nen Lizenzschlüssel =/

 

[andy4]

Ah, das wusste ich nicht, sorry. Aber diese Anleitung hilft dir bestimmt weiter.

Gruß Andy

 

[HeavyARMS]

Die Leute in dem hijackthis-Forum sind ja mal herbst unfrendlich -.-

Glaub ich formatier einfach heute abend, das geht schneller, als sich 20 oder 30 verschiedene Anti-Virus/Trojaner/Wurm-Softwares zu saugen, die die Probleme finden, aber nicht löschen...

Armes Volk bei hijackthis...

 

[Elodiron]

hi habe auch ien problem, bei nsystemstart kommt imemr fehler meldeung scvhost konnten icht gefunden werde n was mir tierisch auf den sack geht

hab dehsalb hier auch diese logfile hier:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18:41:53, on 26.03.2007
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\RunDll32.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINNT\tsnpstd3.exe
C:\WINNT\vsnpstd3.exe
C:\WINNT\System32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE
C:\WINNT\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\WINNT\System32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINNT\System32\oodag.exe
C:\Programme\Panda Software\Panda Antivirus 2007\pavsrv51.exe
C:\Programme\Panda Software\Panda Antivirus 2007\AVENGINE.EXE
C:\Programme\Panda Software\Panda Antivirus 2007\PsImSvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Panda Software\Panda Antivirus 2007\PsCtrls.exe
c:\programme\panda software\panda antivirus 2007\WebProxy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Panda Software\Panda Antivirus 2007\psimreal.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pandasoftware.com/download/beta/particulares/T07.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\System32\scvhost.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [tsnpstd3] C:\WINNT\tsnpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINNT\vsnpstd3.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [internat.exe] internat.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{835244CB-E654-4278-992B-28824CE627DD}: NameServer = 213.191.92.86 213.191.74.18
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINNT\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINNT\System32\browseui.dll
O22 - SharedTaskScheduler: emptins - {588599f4-de26-4c28-ba14-f4eb17e33481} - (no file)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\System32\oodag.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\Panda Software\Panda Antivirus 2007\PsCtrls.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Antivirus 2007\pavsrv51.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Programme\Panda Software\Panda Antivirus 2007\PsImSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe (file missing)

--
End of file - 6578 bytes


wäre nett wenn mir eienr helfen könnte

gruß cyber