Hi
Ich habe mir nen Virus eingefangen.
Hier mal der Log von HJT

Der Virus hat volgendes bewirkt (bisheraufgefallen):
1. Firewall deaktiviert
2. Systemwiederherstellung deaktiviert
3. RegEditor deaktiviert.
4. Taskmanager deaktiviert
_______________________________________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 13:29:27, on 03.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\cFosSpeed\spd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\Programme\KMaestro\KMaestro.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\Sicherung\Downloads\HijackThis.exe

F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: Burn4Free Toolbar Helper - {F8E5CA21-C27B-43e7-B2BE-4CA93C9F9A1F} - C:\Programme\Burn4Free Toolbar\v2.0.0.4\Burn4Free_Toolbar.dll
O3 - Toolbar: Burn4Free Toolbar - {70DE7956-479D-4eb7-8641-2B45774C350E} - C:\Programme\Burn4Free Toolbar\v2.0.0.4\Burn4Free_Toolbar.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MsgCenterExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [BtcMaestro] C:\Programme\KMaestro\KMaestro.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{76CD7091-A248-4B3B-B0E1-677C372C8F51}: NameServer = 192.168.2.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programme\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\UvxkaWdlciBXaWxsaW5n\command.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe (file missing)
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
____________________________________________________________________________
Wie man sieht habe ich die scvhost.exe umbenannt (rot & fett).
Nachdem ich das gemacht habe konnte ich folgende Funktionen wieder benutzen:
1. Taskmanager (bei Sysleistung steht er aber still)
2. Regeditor

Bei den anderen dateien sieht werden die vermisst (rot).
wobei ich keine ahnung habe warum

Außerdem habe ich das gefühl der Virus blockt antivir

MFG
gamehero

Servus!
Lass´ mal folgende Datei

Zitat:

C:\WINDOWS\system32\scvhost.exe

bei http://virusscan.jotti.org/de und/oder http://www.virustotal.com/flash/index_en.html prüfen und poste das Ergebnis anschließend hier. Falls Du bei Jotti eine Fehlermeldung (0 bytes ...) bekommst, beende den zur Datei gehörenden Prozess und/oder deaktiviere temporär Deine Personal FireWall.
Sollte beides nichts bringen, kopiere die Datei in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur. Achte bei den angegebenen Dateinamen auf die genaue Schreibweise und den exakten Pfad!

stupormundi

@gamehero

Zitat:

Der Virus hat volgendes bewirkt (bisheraufgefallen):
1. Firewall deaktiviert

Noch ein Beweis der Nutzlosigkeit einer Firewall.

Zitat:

O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe

Backdoor Rbot (oder Generic dessen). Bitte PC neu aufsetzen. Anleitung ist in meiner Signatur verlinkt. Alle anderen Maßnahmen bringen nichts.
EDIT: servus stupormundi

Servus Rene-gad!
Ich gehe im Übrigen davon aus, dass Du wegen der von mir zitierten Datei Recht behalten wirst (wie ja meistens .. )

lg, stupormundi

Zitat:

Zitat von stupormundi

Servus!
Lass´ mal folgende Datei bei http://virusscan.jotti.org/de und/oder http://www.virustotal.com/flash/index_en.html prüfen und poste das Ergebnis anschließend hier.

Der LOG von VirusTotal
his is a report processed by VirusTotal on 04/03/2006 at 14:11:10 (CET) after scanning the file "scvhost.exe_-schei_" file.

Antivirus Version Update Result
AntiVir 6.34.0.14 04.03.2006 no virus found
Avast 4.6.695.0 04.03.2006 Win32:Ciadoor-021
AVG 386 03.31.2006 no virus found
Avira 6.34.0.54 04.03.2006 no virus found
BitDefender 7.2 04.03.2006 no virus found
CAT-QuickHeal 8.00 03.31.2006 no virus found
ClamAV devel-20060202 04.03.2006 Trojan.Ciadoor.13.I
DrWeb 4.33 04.03.2006 Trojan.KeyLogger.88
eTrust-InoculateIT 23.71.118 04.02.2006 no virus found
eTrust-Vet 12.4.2146 04.03.2006 no virus found
Ewido 3.5 04.03.2006 Backdoor.Ciadoor.13
Fortinet 2.71.0.0 04.03.2006 W32/Ciadoor.V13-bdr
F-Prot 3.16c 03.30.2006 no virus found
Ikarus 0.2.59.0 04.01.2006 Backdoor.Win32.Ciadoor.13
Kaspersky 4.0.2.24 04.03.2006 Backdoor.Win32.Ciadoor.13
McAfee 4731 03.31.2006 BackDoor-ASB.gen
NOD32v2 1.1467 04.02.2006 a variant of Win32/Ciadoor.13
Norman 5.90.15 03.31.2006 no virus found
Panda 9.0.0.4 04.02.2006 Suspicious file
Sophos 4.04.0 04.03.2006 Troj/Ciadoor-K
Symantec 8.0 04.03.2006 no virus found
TheHacker 5.9.7.124 04.03.2006 no virus found
UNA 1.83 03.30.2006 no virus found
VBA32 3.10.5 04.03.2006 no virus found

Der von Online Maleware scann scheint noch nicht fertig zu sein.

Damit haben wir es schwarz auf weiß (oder schwarz auf gelb): Der hier ist kein guter nicht!
Damit kann ich Dir nur raten, Rene-gads Tipp zum neu Aufsetzen schnellstens nachzukommen!

stupormundi

kk dann mach ich das wohl

Hallo hatte das selbe problem und habe es inzwischen gelöst ausser das bei mir imer noch nicht die systemwiederherstellung geht kann mir bitte jemand sagen wie das geht aber nicht sagen ich soll meine platte neu aufsetzten darauf hab ich kein bock also nur posten wenn es jemand weis oder ideen hat. Ganz normal kann ich es nicht aktivieren weil beim arbeitsplatzt die karteikästchen fehlt.

Hallo,

Zitat:

hatte das selbe problem und habe es inzwischen gelöst

Hast du nicht !

Zitat:

bei mir imer noch nicht die systemwiederherstellung geht

Was der Beweis wäre,für meine Behauptung..

Zitat:

sagen ich soll meine platte neu aufsetzten

Doch ! die einzigste Lösung,auch für dich !

Zitat:

also nur posten wenn es jemand weis oder ideen hat

Iss mir egal...
Du mußt neu aufsetzen !
Irrlicht

Ich habe das problem gelöst und zwar das das ding auf meinem rechner war und das systemwiederherstellung nicht geht ist ein anderes problem jetzt und noch was wenn man es so deaktivieren kan wie das scheiss ding gemacht hat kann man es auch bestimmt wieder aktivieren. Jetzt will ich wissen wie es geht.

Hallo,

Zitat:

das ding auf meinem rechner war und das systemwiederherstellung nicht geht ist ein anderes problem

Wären deine analytischen Fähigkeiten so gut,wärst du nicht hier,oder ?

Zitat:

Ich habe das problem gelöst

Und nochmal..:hast du nicht !!
Irrlicht

Hallo an alle, bin noch relativ neu auf diesem Gebiet, bei mir zeigt der Rechner bei Neustart an das die scvhost.exe fehlt. Nun ich seit geraumer Zeit mit dem Rechner aber mir fehlt einfach das Know-How, habe auch im Netz nichts passendes gefunden! Ein wenig Hilfe wäre echt nett!! Danke im Voraus

Zitat:

Hallo an alle, bin noch relativ neu auf diesem Gebiet, bei mir zeigt der Rechner bei Neustart an das die scvhost.exe fehlt. Nun ich seit geraumer Zeit mit dem Rechner aber mir fehlt einfach das Know-How, habe auch im Netz nichts passendes gefunden! Ein wenig Hilfe wäre echt nett!! Danke im Voraus

1.) Würde ich dir empfehlen die NUB zu Lesen!

2.) Hättest du den Thread von Anfang an gerlesen wüßtest du was die scvhost.exe bedeutet

3.) Daher liegt eine Kompromittierung deines Betriebssystems vor.

4.) Das heisst wiederum jenes!

5.) Eine andere Lösung ist ausgeschlossen.

6.) Folgen bei keiner Neuinstallation können zu hohen Geldstrafen und Gefängniss führen.

7.) WARUM dein Betriebssystem wird durch Dritte genützt die zB. strafrechtliche Dateien auf deinem Rechner ablegen können oder deinen Rechner für Angriffe auf andere Rechner benutzen.

Danke für die mehr oder weniger freundliche Hilfe, war allerdings schneller und hab doch noch was gefunden!!! trotzdem Danke