Virus sbcvvhost_win86 Änderung Regedit durch Fix

Christoph_77 · 25.12.2011, 00:05

Hallo zusammen,

benötige dringend Hilfe. Habe seit 3 Tagen Virus sbcvvhost_win86 auf Vista. Bisherige Beiträge aus Forum habe ich gelesen. OTL runtergelanden und Scan vorgenommen. Die Schritte zur Erstellung der OTL Dateien habe ich schon durchgeführt.

Ich poste diese und hoffe Ihr könnt damit etwas anfangen und mir die Datei zum fixen zur Verfügung stellen und was ich konkret vornehmen soll.

WICHTIG
- Habe bereits ein Fix durchlaufen lassen (analog bisherige Einträge zu dem Thema), allerdings nicht mit gewünschten Erfolg > Windows kommt nicht hoch
- Die Regedit in der urspünglichen funktionsfähigen Form wurde zuvor gesichert und kann zurückgespielt werden wenn notwendig

Vielen Dank für schnelle, kompetente Antwort.

markusg · 25.12.2011, 16:43

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
Tool

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Hinweis:
Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Christoph_77 · 25.12.2011, 19:34

Danke für den Hinweis. Werde ich künftig beachten.

Tool gelaufen und Windows wieder ohne Probleme gestartet

Geforderte Inhalte

ComboFix 11-12-24.10 - CK 25.12.2011 19:13:23.1.2 - x86

Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.3066.1705 [GMT 1:00]

ausgeführt von:: D:\Desktop\ComboFix.exe

FW: ZoneAlarm Firewall *Enabled* {D17DF357-CFF5-F001-D1C1-FCD21DFE3D5E}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))

C:\ProgramData\Roaming

C:\ProgramData\Roaming\Intel\Wireless\Settings\Settings.ini

C:\Users\CK\AppData\Roaming\dwlGina3.dll

C:\Users\CK\AppData\Roaming\sbcvvhost_win86

C:\Users\CK\OTL.exe

C:\Windows\IsUn0407.exe

C:\Windows\system32\rnaph.dll

((((((((((((((((((((((( Dateien erstellt von 2011-11-25 bis 2011-12-25 ))))))))))))))))))))))))))))))

2011-12-25 18:19:07 . 2011-12-25 18:19:07 -------- d-----w- C:\Users\Default\AppData\Local\temp

2011-12-24 10:05:29 . 2011-12-24 10:05:29 56200 ----a-w- C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{E3778019-E84B-4036-85B4-91D0ACEE703F}\offreg.dll

2011-12-24 09:42:54 . 2011-11-21 10:47:38 6823496 ----a-w- C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{E3778019-E84B-4036-85B4-91D0ACEE703F}\mpengine.dll

2011-12-24 08:59:38 . 2011-12-24 08:59:38 562 ----a-w- C:\Users\regedit_save.reg

2011-12-16 08:31:41 . 2011-12-16 08:31:42 1207568 ----a-w- C:\ProgramData\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll

2011-12-16 07:20:24 . 2011-12-16 07:20:24 -------- d-----w- C:\Program Files\Common Files\Java

2011-12-16 07:19:45 . 2011-12-16 07:19:17 476904 ----a-w- C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll

2011-12-16 07:19:45 . 2011-12-16 07:19:16 472808 ----a-w- C:\Windows\system32\deployJava1.dll

2011-12-16 07:18:59 . 2011-12-16 07:18:59 -------- d-----w- C:\Program Files\Java

2011-12-04 20:36:38 . 2011-12-04 20:36:39 2106216 ----a-w- C:\Program Files\Mozilla Firefox\D3DCompiler_43.dll

2011-12-04 20:36:38 . 2011-12-04 20:36:38 89048 ----a-w- C:\Program Files\Mozilla Firefox\libEGL.dll

2011-12-04 20:36:38 . 2011-12-04 20:36:38 478168 ----a-w- C:\Program Files\Mozilla Firefox\libGLESv2.dll

2011-12-04 20:36:38 . 2011-12-04 20:36:38 1998168 ----a-w- C:\Program Files\Mozilla Firefox\d3dx9_43.dll

2011-12-04 20:36:38 . 2011-12-04 20:36:38 15832 ----a-w- C:\Program Files\Mozilla Firefox\mozalloc.dll

2011-12-04 20:36:38 . 2011-12-04 20:36:38 134104 ----a-w- C:\Program Files\Mozilla Firefox\components\browsercomps.dll

2011-12-04 20:36:37 . 2011-12-04 20:36:38 1989592 ----a-w- C:\Program Files\Mozilla Firefox\mozjs.dll

2011-12-04 20:36:37 . 2011-12-04 20:36:37 801752 ----a-w- C:\Program Files\Mozilla Firefox\mozsqlite3.dll

.

(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))

2011-12-04 20:36:38 . 2011-12-04 20:36:38 134104 ----a-w- C:\Program Files\mozilla firefox\components\browsercomps.dll

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2008-01-21 02:25:11 125952]

"Reminder"="C:\Program Files\Microsoft Money\System\reminder.exe" [1999-03-14 22:00:00 37376]

"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 02:25:33 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2008-06-08 22:23:00 13543968]

"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2008-06-08 22:23:00 92704]

"RtHDVCpl"="RtHDVCpl.exe" [2008-04-17 02:50:00 6111232]

"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-10-26 05:39:04 1029416]

"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 12:01:30 71216]

"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 13:17:42 52256]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 20:16:38 39792]

"NeroFilterCheck"="C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 13:57:24 153136]

"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-05-27 09:50:30 413696]

"Ulead AutoDetector v2"="C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe" [2005-05-23 08:57:42 90112]

"UpdatePDRShortCut"="C:\Program Files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-01-04 10:02:26 222504]

"AdobeCS4ServiceManager"="C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 06:58:34 611712]

"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2011-02-18 15:28:38 1043968]

"ISW"="C:\Program Files\CheckPoint\ZAForceField\ForceField.exe" [2011-02-15 15:25:42 738808]

"EEventManager"="C:\Program Files\Epson Software\Event Manager\EEventManager.exe" [2009-12-03 08:12:12 976320]

"SunJavaUpdateSched"="C:\Program Files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 12:06:06 254696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux1"=wdmaud.drv

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

R2 AviraUpgradeService;Avira Upgrade Service;C:\Windows\TEMP\AVSETUP_4ef5b2fc\avupgsvc.exe [x]

R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 13:18:52 1527900]

R3 HTCAND32;HTC Device Driver;C:\Windows\system32\Drivers\ANDROIDUSB.sys [2010-11-21 16:05:11 24576]

R3 NETw5v32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows Vista 32-Bit;C:\Windows\system32\DRIVERS\NETw5v32.sys [2008-05-20 19:36:12 3663360]

R3 vsdatant7;vsdatant7;C:\Windows\system32\drivers\vsdatant.win7.sys [x]

S2 ISWKL;ZoneAlarm Toolbar ISWKL;C:\Program Files\CheckPoint\ZAForceField\ISWKL.sys [2011-02-15 15:25:36 26872]

S2 IswSvc;ZoneAlarm Toolbar IswSvc;C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe [2011-02-15 15:25:48 488952]

S2 KMDFMEMIO;SAMSUNG Kernel Driver;C:\Windows\system32\DRIVERS\kmdfmemio.sys [2007-05-23 08:13:10 13312]

S3 VMC302;Vimicro Camera Service VMC302;C:\Windows\system32\Drivers\VMC302.sys [2008-04-05 05:56:26 242560]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - avgio

*Deregistered* - avipbb

*Deregistered* - ssmdrv

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bthsvcs REG_MULTI_SZ BthServ

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

2008-03-17 08:56:58 451872 ----a-w- C:\Program Files\Common Files\LightScribe\LSRunOnce.exe

------- Zusätzlicher Suchlauf -------

uStart Page = hxxp://www.google.com/

IE: Alles mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlall.htm

IE: Auswahl mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlselected.htm

IE: Datei mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dllink.htm

IE: Free YouTube Download - C:\Users\CK\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm

IE: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Nach Microsoft E&xel exportieren - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: Videos mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlfvideo.htm

TCP: DhcpNameServer = 192.168.1.1

FF - ProfilePath - C:\Users\CK\AppData\Roaming\Mozilla\Firefox\Profiles\bg0msoh2.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&SearchSource=3&q={searchTerms}

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - (no file)

BHO-{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - (no file)

Toolbar-{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - (no file)

WebBrowser-{FC2B76FC-2132-4D80-A9A3-1F5C6E49066B} - (no file)

HKCU-Run-AdobeBridge - (no file)

HKCU-Run-b8ufi0wo.exe - C:\Users\CK\AppData\Roaming\b8ufi0wo.exe

HKCU-Run-WBhXTAWuFpmNyON - C:\Users\CK\AppData\Roaming\sbcvvhost_win86.exe

HKLM-Run-WBhXTAWuFpmNyON - C:\Users\CK\AppData\Roaming\sbcvvhost_win86.exe

Was muss ich nun weiter tun?

markusg · 25.12.2011, 19:37

das komplette log posten, da fehlt was
dann computer öffnen c: öffnen qoobox öffnen
rechtsklick quarantain, mit winrar zip oder anderem pack programm packen und im upload channel hochladen
http://www.trojaner-board.de/54791-a...ner-board.html

Christoph_77 · 26.12.2011, 10:24

Das sind die Inhalte von ComboFix.txt in dem Ordner C:\ComboFix. Mehr steht nicht drin.

PHP-Code:

  ComboFix 11-12-24.10 - CK 25.12.2011  19:13:23.1.2 - x86

Microsoft® Windows Vista™ Home Premium   6.0.6001.1.1252.49.1031.18.3066.1705 [GMT 1:00]

ausgeführt von:: D:\Desktop\ComboFix.exe

FW: ZoneAlarm Firewall *Enabled* {D17DF357-CFF5-F001-D1C1-FCD21DFE3D5E}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 
 
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

 
 
C:\ProgramData\Roaming

C:\ProgramData\Roaming\Intel\Wireless\Settings\Settings.ini

C:\Users\CK\AppData\Roaming\dwlGina3.dll

C:\Users\CK\AppData\Roaming\sbcvvhost_win86

C:\Users\CK\OTL.exe

C:\Windows\IsUn0407.exe

C:\Windows\system32\rnaph.dll

 
 
(((((((((((((((((((((((   Dateien erstellt von 2011-11-25 bis 2011-12-25  ))))))))))))))))))))))))))))))

 
 
2011-12-25 18:19:07 . 2011-12-25 18:19:07    --------    d-----w-    C:\Users\Default\AppData\Local\temp

2011-12-24 10:05:29 . 2011-12-24 10:05:29    56200    ----a-w-    C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{E3778019-E84B-4036-85B4-91D0ACEE703F}\offreg.dll

2011-12-24 09:42:54 . 2011-11-21 10:47:38    6823496    ----a-w-    C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{E3778019-E84B-4036-85B4-91D0ACEE703F}\mpengine.dll

2011-12-24 08:59:38 . 2011-12-24 08:59:38    562    ----a-w-    C:\Users\regedit_save.reg

2011-12-16 08:31:41 . 2011-12-16 08:31:42    1207568    ----a-w-    C:\ProgramData\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll

2011-12-16 07:20:24 . 2011-12-16 07:20:24    --------    d-----w-    C:\Program Files\Common Files\Java

2011-12-16 07:19:45 . 2011-12-16 07:19:17    476904    ----a-w-    C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll

2011-12-16 07:19:45 . 2011-12-16 07:19:16    472808    ----a-w-    C:\Windows\system32\deployJava1.dll

2011-12-16 07:18:59 . 2011-12-16 07:18:59    --------    d-----w-    C:\Program Files\Java

2011-12-04 20:36:38 . 2011-12-04 20:36:39    2106216    ----a-w-    C:\Program Files\Mozilla Firefox\D3DCompiler_43.dll

2011-12-04 20:36:38 . 2011-12-04 20:36:38    89048    ----a-w-    C:\Program Files\Mozilla Firefox\libEGL.dll

2011-12-04 20:36:38 . 2011-12-04 20:36:38    478168    ----a-w-    C:\Program Files\Mozilla Firefox\libGLESv2.dll

2011-12-04 20:36:38 . 2011-12-04 20:36:38    1998168    ----a-w-    C:\Program Files\Mozilla Firefox\d3dx9_43.dll

2011-12-04 20:36:38 . 2011-12-04 20:36:38    15832    ----a-w-    C:\Program Files\Mozilla Firefox\mozalloc.dll

2011-12-04 20:36:38 . 2011-12-04 20:36:38    134104    ----a-w-    C:\Program Files\Mozilla Firefox\components\browsercomps.dll

2011-12-04 20:36:37 . 2011-12-04 20:36:38    1989592    ----a-w-    C:\Program Files\Mozilla Firefox\mozjs.dll

2011-12-04 20:36:37 . 2011-12-04 20:36:37    801752    ----a-w-    C:\Program Files\Mozilla Firefox\mozsqlite3.dll

.

 
 
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

 
2011-12-04 20:36:38 . 2011-12-04 20:36:38    134104    ----a-w-    C:\Program Files\mozilla firefox\components\browsercomps.dll

 
 
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

 
 
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2008-01-21 02:25:11 125952]

"Reminder"="C:\Program Files\Microsoft Money\System\reminder.exe" [1999-03-14 22:00:00 37376]

"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 02:25:33 202240]

 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2008-06-08 22:23:00 13543968]

"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2008-06-08 22:23:00 92704]

"RtHDVCpl"="RtHDVCpl.exe" [2008-04-17 02:50:00 6111232]

"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-10-26 05:39:04 1029416]

"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 12:01:30 71216]

"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 13:17:42 52256]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 20:16:38 39792]

"NeroFilterCheck"="C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 13:57:24 153136]

"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-05-27 09:50:30 413696]

"Ulead AutoDetector v2"="C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe" [2005-05-23 08:57:42 90112]

"UpdatePDRShortCut"="C:\Program Files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-01-04 10:02:26 222504]

"AdobeCS4ServiceManager"="C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 06:58:34 611712]

"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2011-02-18 15:28:38 1043968]

"ISW"="C:\Program Files\CheckPoint\ZAForceField\ForceField.exe" [2011-02-15 15:25:42 738808]

"EEventManager"="C:\Program Files\Epson Software\Event Manager\EEventManager.exe" [2009-12-03 08:12:12 976320]

"SunJavaUpdateSched"="C:\Program Files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 12:06:06 254696]

 
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

 
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux1"=wdmaud.drv

 
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]

"DisableMonitoring"=dword:00000001

 
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

 
R2 AviraUpgradeService;Avira Upgrade Service;C:\Windows\TEMP\AVSETUP_4ef5b2fc\avupgsvc.exe [x]

R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 13:18:52 1527900]

R3 HTCAND32;HTC Device Driver;C:\Windows\system32\Drivers\ANDROIDUSB.sys [2010-11-21 16:05:11 24576]

R3 NETw5v32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows Vista 32-Bit;C:\Windows\system32\DRIVERS\NETw5v32.sys [2008-05-20 19:36:12 3663360]

R3 vsdatant7;vsdatant7;C:\Windows\system32\drivers\vsdatant.win7.sys [x]

S2 ISWKL;ZoneAlarm Toolbar ISWKL;C:\Program Files\CheckPoint\ZAForceField\ISWKL.sys [2011-02-15 15:25:36 26872]

S2 IswSvc;ZoneAlarm Toolbar IswSvc;C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe [2011-02-15 15:25:48 488952]

S2 KMDFMEMIO;SAMSUNG Kernel Driver;C:\Windows\system32\DRIVERS\kmdfmemio.sys [2007-05-23 08:13:10 13312]

S3 VMC302;Vimicro Camera Service VMC302;C:\Windows\system32\Drivers\VMC302.sys [2008-04-05 05:56:26 242560]

 
 
--- Andere Dienste/Treiber im Speicher ---

 
*Deregistered* - avgio

*Deregistered* - avipbb

*Deregistered* - ssmdrv

 
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bthsvcs    REG_MULTI_SZ       BthServ

 
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

2008-03-17 08:56:58    451872    ----a-w-    C:\Program Files\Common Files\LightScribe\LSRunOnce.exe

 
 
------- Zusätzlicher Suchlauf -------

 
uStart Page = hxxp://www.google.com/

IE: Alles mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlall.htm

IE: Auswahl mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlselected.htm

IE: Datei mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dllink.htm

IE: Free YouTube Download - C:\Users\CK\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm

IE: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Nach Microsoft E&xel exportieren - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: Videos mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlfvideo.htm

TCP: DhcpNameServer = 192.168.1.1

FF - ProfilePath - C:\Users\CK\AppData\Roaming\Mozilla\Firefox\Profiles\bg0msoh2.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&SearchSource=3&q={searchTerms}

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

 
- - - - Entfernte verwaiste Registrierungseinträge - - - -

 
URLSearchHooks-{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - (no file)

BHO-{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - (no file)

Toolbar-{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - (no file)

WebBrowser-{FC2B76FC-2132-4D80-A9A3-1F5C6E49066B} - (no file)

HKCU-Run-AdobeBridge - (no file)

HKCU-Run-b8ufi0wo.exe - C:\Users\CK\AppData\Roaming\b8ufi0wo.exe

HKCU-Run-WBhXTAWuFpmNyON - C:\Users\CK\AppData\Roaming\sbcvvhost_win86.exe

HKLM-Run-WBhXTAWuFpmNyON - C:\Users\CK\AppData\Roaming\sbcvvhost_win86.exe

Die Ordner qoobox habe ich mit zip in dem uploadchannel hochgeladen.

markusg · 27.12.2011, 16:06

bitte nicht in php code posten.
öffne computer c: qoobox rechtsklick quarantain, mit winrar oder anderem archivierungsprogramm packen und nach anleitung hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html

Christoph_77 · 27.12.2011, 17:31

Wie soll der Post erfolgen?

Nochmals:

ComboFix 11-12-24.10 - CK 25.12.2011 19:13:23.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.3066.1705 [GMT 1:00]
ausgeführt von:: D:\Desktop\ComboFix.exe
FW: ZoneAlarm Firewall *Enabled* {D17DF357-CFF5-F001-D1C1-FCD21DFE3D5E}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))

C:\ProgramData\Roaming
C:\ProgramData\Roaming\Intel\Wireless\Settings\Settings.ini
C:\Users\CK\AppData\Roaming\dwlGina3.dll
C:\Users\CK\AppData\Roaming\sbcvvhost_win86
C:\Users\CK\OTL.exe
C:\Windows\IsUn0407.exe
C:\Windows\system32\rnaph.dll

((((((((((((((((((((((( Dateien erstellt von 2011-11-25 bis 2011-12-25 ))))))))))))))))))))))))))))))

2011-12-25 18:19:07 . 2011-12-25 18:19:07 -------- d-----w- C:\Users\Default\AppData\Local\temp
2011-12-24 10:05:29 . 2011-12-24 10:05:29 56200 ----a-w- C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{E3778019-E84B-4036-85B4-91D0ACEE703F}\offreg.dll
2011-12-24 09:42:54 . 2011-11-21 10:47:38 6823496 ----a-w- C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{E3778019-E84B-4036-85B4-91D0ACEE703F}\mpengine.dll
2011-12-24 08:59:38 . 2011-12-24 08:59:38 562 ----a-w- C:\Users\regedit_save.reg
2011-12-16 08:31:41 . 2011-12-16 08:31:42 1207568 ----a-w- C:\ProgramData\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2011-12-16 07:20:24 . 2011-12-16 07:20:24 -------- d-----w- C:\Program Files\Common Files\Java
2011-12-16 07:19:45 . 2011-12-16 07:19:17 476904 ----a-w- C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll
2011-12-16 07:19:45 . 2011-12-16 07:19:16 472808 ----a-w- C:\Windows\system32\deployJava1.dll
2011-12-16 07:18:59 . 2011-12-16 07:18:59 -------- d-----w- C:\Program Files\Java
2011-12-04 20:36:38 . 2011-12-04 20:36:39 2106216 ----a-w- C:\Program Files\Mozilla Firefox\D3DCompiler_43.dll
2011-12-04 20:36:38 . 2011-12-04 20:36:38 89048 ----a-w- C:\Program Files\Mozilla Firefox\libEGL.dll
2011-12-04 20:36:38 . 2011-12-04 20:36:38 478168 ----a-w- C:\Program Files\Mozilla Firefox\libGLESv2.dll
2011-12-04 20:36:38 . 2011-12-04 20:36:38 1998168 ----a-w- C:\Program Files\Mozilla Firefox\d3dx9_43.dll
2011-12-04 20:36:38 . 2011-12-04 20:36:38 15832 ----a-w- C:\Program Files\Mozilla Firefox\mozalloc.dll
2011-12-04 20:36:38 . 2011-12-04 20:36:38 134104 ----a-w- C:\Program Files\Mozilla Firefox\components\browsercomps.dll
2011-12-04 20:36:37 . 2011-12-04 20:36:38 1989592 ----a-w- C:\Program Files\Mozilla Firefox\mozjs.dll
2011-12-04 20:36:37 . 2011-12-04 20:36:37 801752 ----a-w- C:\Program Files\Mozilla Firefox\mozsqlite3.dll
.

(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))

2011-12-04 20:36:38 . 2011-12-04 20:36:38 134104 ----a-w- C:\Program Files\mozilla firefox\components\browsercomps.dll

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2008-01-21 02:25:11 125952]
"Reminder"="C:\Program Files\Microsoft Money\System\reminder.exe" [1999-03-14 22:00:00 37376]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 02:25:33 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2008-06-08 22:23:00 13543968]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2008-06-08 22:23:00 92704]
"RtHDVCpl"="RtHDVCpl.exe" [2008-04-17 02:50:00 6111232]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-10-26 05:39:04 1029416]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 12:01:30 71216]
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 13:17:42 52256]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 20:16:38 39792]
"NeroFilterCheck"="C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 13:57:24 153136]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-05-27 09:50:30 413696]
"Ulead AutoDetector v2"="C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe" [2005-05-23 08:57:42 90112]
"UpdatePDRShortCut"="C:\Program Files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-01-04 10:02:26 222504]
"AdobeCS4ServiceManager"="C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 06:58:34 611712]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2011-02-18 15:28:38 1043968]
"ISW"="C:\Program Files\CheckPoint\ZAForceField\ForceField.exe" [2011-02-15 15:25:42 738808]
"EEventManager"="C:\Program Files\Epson Software\Event Manager\EEventManager.exe" [2009-12-03 08:12:12 976320]
"SunJavaUpdateSched"="C:\Program Files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 12:06:06 254696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

R2 AviraUpgradeService;Avira Upgrade Service;C:\Windows\TEMP\AVSETUP_4ef5b2fc\avupgsvc.exe [x]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 13:18:52 1527900]
R3 HTCAND32;HTC Device Driver;C:\Windows\system32\Drivers\ANDROIDUSB.sys [2010-11-21 16:05:11 24576]
R3 NETw5v32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows Vista 32-Bit;C:\Windows\system32\DRIVERS\NETw5v32.sys [2008-05-20 19:36:12 3663360]
R3 vsdatant7;vsdatant7;C:\Windows\system32\drivers\vsdatant.win7.sys [x]
S2 ISWKL;ZoneAlarm Toolbar ISWKL;C:\Program Files\CheckPoint\ZAForceField\ISWKL.sys [2011-02-15 15:25:36 26872]
S2 IswSvc;ZoneAlarm Toolbar IswSvc;C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe [2011-02-15 15:25:48 488952]
S2 KMDFMEMIO;SAMSUNG Kernel Driver;C:\Windows\system32\DRIVERS\kmdfmemio.sys [2007-05-23 08:13:10 13312]
S3 VMC302;Vimicro Camera Service VMC302;C:\Windows\system32\Drivers\VMC302.sys [2008-04-05 05:56:26 242560]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - avgio
*Deregistered* - avipbb
*Deregistered* - ssmdrv

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-03-17 08:56:58 451872 ----a-w- C:\Program Files\Common Files\LightScribe\LSRunOnce.exe

------- Zusätzlicher Suchlauf -------

uStart Page = hxxp://www.google.com/
IE: Alles mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dllink.htm
IE: Free YouTube Download - C:\Users\CK\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Videos mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlfvideo.htm
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - C:\Users\CK\AppData\Roaming\Mozilla\Firefox\Profiles\bg0msoh2.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - (no file)
BHO-{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - (no file)
Toolbar-{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - (no file)
WebBrowser-{FC2B76FC-2132-4D80-A9A3-1F5C6E49066B} - (no file)
HKCU-Run-AdobeBridge - (no file)
HKCU-Run-b8ufi0wo.exe - C:\Users\CK\AppData\Roaming\b8ufi0wo.exe
HKCU-Run-WBhXTAWuFpmNyON - C:\Users\CK\AppData\Roaming\sbcvvhost_win86.exe
HKLM-Run-WBhXTAWuFpmNyON - C:\Users\CK\AppData\Roaming\sbcvvhost_win86.exe

Kam der Qoobox.zip über den Channel an? Lade nochmals gewünschte Datei Quarantine.zip hoch.

markusg · 27.12.2011, 17:37

danke für den upload, so wie jetzt ist er zb ok, hauptsache nicht wie oben in php code :-)

malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Christoph_77 · 27.12.2011, 21:19

Es ist durchgelaufen mit 4 Ergebnisse.

LogFile
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 911122704

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

27.12.2011 21:16:55
mbam-log-2011-12-27 (21-16-55).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 349851
Laufzeit: 58 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WBhXTAWuFpmNyON (Trojan.Agent) -> Value: WBhXTAWuFpmNyON -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WBhXTAWuFpmNyON (Trojan.Agent) -> Value: WBhXTAWuFpmNyON -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideIcons (PUM.Hidden.Desktop) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Qoobox\quarantine\C\Users\CK\AppData\Roaming\sbcvvhost_win86.vir (Backdoor.Agent) -> Quarantined and deleted successfully.

Alles gut oder was zu tun?

markusg · 28.12.2011, 13:33

Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.

Christoph_77 · 28.12.2011, 18:19

Die Updates habe ich alle drauf (17 neue).

Was ist nun zu tun?

Beim Start bringt er mir noch die Malwarebyte im Autostart nicht gestartet werden konnte (geblockte Autostartprobgramme). Wie kann ich das verhindern?

Ansonten alles gut bzw. normal.

markusg · 28.12.2011, 19:19

mache mal nen rechtsklick auf computer, eigenschaften und schaue welches servicepack du hast.
bestimmt servicepack 1, deswegen sagte ich ja, wichtige und optionale updates instalieren.

Christoph_77 · 28.12.2011, 22:37

Habe mehrere Suchläufe nach Updates gestartet und nun Vista SP 2.

Und nun ?

markusg · 29.12.2011, 13:42

start suchen tippe:
msconfig
enter
systemstart, überall haken raus, auch zonealarm das hauen wir runter, da unnötig.
ok klicken, pc wird neustarten.
falls dir irgendwas wichtiges im autostart fehlt, machen wirs wieder rein.

lade den CCleaner standard:
CCleaner Download - CCleaner 3.14.1616
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Christoph_77 · 29.12.2011, 18:08

Danke für Deine Unterstützung. Macht Spaß und Echt genial und kompotent !

Die Prg.Liste habe ich als Datei eingefügt mit meiner Bewertung.

27.12.2011, 16:06	#6
markusg /// Malware-holic	Virus sbcvvhost_win86 Änderung Regedit durch Fix bitte nicht in php code posten. öffne computer c: qoobox rechtsklick quarantain, mit winrar oder anderem archivierungsprogramm packen und nach anleitung hochladen. http://www.trojaner-board.de/54791-a...ner-board.html __________________ --> Virus sbcvvhost_win86 Änderung Regedit durch Fix

Virus sbcvvhost_win86 Änderung Regedit durch Fix

Plagegeister aller Art und deren Bekämpfung: Virus sbcvvhost_win86 Änderung Regedit durch Fix