Hi, also hab letztens leider ne gedownloadete DAtei geöffnet, die brahcte nur ne Fehlermeldung. Der Antivir Guard hat nix erkannt udn beim Scan der Datei au nix. Aber Bitdefender hat dann irgendwas mit Generic.Malware und Backdoor.Ciaoo oder so gefunden. hab dann ganze Platte gescannt, und alles infizierte gelöscht.
Eines der beiden Dinger hat meinen Taskmanager und Regedit gesperrt. Kam immer nur "Der taskmanager wurde durch den Admin dekativiert". Hab ich aber wieder hingekriegt, dank Tune Up Registry Editor.
Glaub aber trotzdem nicht das jetz alles runter is. Würde mich freuen wenn sich mal jemand meinen HiJack Log anguckt und mir sagt was davon noch schädlich sein könnte.
Thx im Vorraus
-------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 11:42:46, on 12.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bluetooth\BTNtService.exe
C:\Programme\Gemeinsame Dateien\Microsoft

Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender

Communicator\xcommsvr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ASUS\WLAN Card Utilities\Center.exe
C:\Programme\Gemeinsame

Dateien\Real\Update_OB\realsched.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\ATI Technologies\Omega\ATI Tray

Tools\atitray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan

Server\bdss.exe
c:\programme\softwin\bitdefender free edition\bdmcon.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\God of

GTA\Desktop\HighJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start

Page = h**p://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window

Title = Sinnloser Text
F2 - REG:system.ini: Shell=Explorer.exe

C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: Adobe PDF Reader Link Helper -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [zBrowser Launcher]

C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir

PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Control Center] C:\Programme\ASUS\WLAN

Card Utilities\Center.exe
O4 - HKLM\..\Run: [Norton] C:\Programme\ASUS\WLAN Card

Utilities\NorExec.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame

Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck]

%systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [TuneUp MemOptimizer]

"C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe"

autostart
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\ATI

Technologies\Omega\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite]

C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Autostart.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk =

C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet

Explorer\Restrictions present
O7 -

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Sys

tem, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel

exportieren -

res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren -

{92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite -

{B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite -

{B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite\ICQLite.exe
O17 -

HKLM\System\CCS\Services\Tcpip\..\{811A9836-2C4A-4180-8532-

82CB8AAC8B66}: NameServer = 192.168.1.200
O18 - Protocol: msnim -

{828030A1-22C1-4009-854F-8E305202313F} -

"C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira

GmbH - C:\Programme\AntiVir PersonalEdition

Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service

(AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir

PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -

C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner -

C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown

owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender

Scan Server\bdss.exe" /service (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner -

C:\Programme\Bluetooth\BTNtService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) -

Macrovision Corporation - C:\Programme\Gemeinsame

Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. -

C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TuneUp WinStyler Theme Service

(TUWinStylerThemeSvc) - TuneUp Software GmbH -

C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone

Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown

owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender

Communicator\xcommsvr.exe" /service (file missing)

Servus!

Sieht ja nicht besonders aus.

Lass´ mal folgende Datei

Zitat:

C:\WINDOWS\system32\scvhost.exe

bei http://virusscan.jotti.org/de und/oder http://www.virustotal.com/flash/index_en.html prüfen und poste das Ergebnis anschließend hier. Falls Du bei Jotti eine Fehlermeldung (0 bytes ...) bekommst, beende den zur Datei gehörenden Prozess und/oder deaktiviere temporär Deine Personal FireWall.
Sollte beides nichts bringen, kopiere die Datei in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur. Achte bei den angegebenen Dateinamen auf die genaue Schreibweise und den exakten Pfad!
Und wenn's wirklich ein Backdoor gewesen ist, nützt Dir das Löschen nicht wirklich - suche mal hier im board zum thema backdoor!
stupormundi

hat bei beiden Links nichts gefunden.

Aber bei eScan hat er folgendes gebracht:

Wed Apr 12 14:07:28 2006 => Offending Folder found: F:\Musik\midnight oil
Wed Apr 12 14:07:37 2006 => Object "midnight oil Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

F:\Download\tools\I-net\Sicherheitszeug\anonym surfen\cookiecooker201.exe
Wed Apr 12 15:20:15 2006 => Datei F:\Download\tools\I-net\Sicherheitszeug\anonym surfen\cookiecooker201.exe markiert als not-a-virus:NetTool.Win32.STunnel.404. Keine Aktion vorgenommen.

Sonst finden weder AntiVir, BitDefender noch Ad-Aware was.
Hoffe das System endlich wieder sauber is.

Also dass diese Datei

Zitat:

C:\WINDOWS\system32\scvhost.exe

- beachte die genaue Schreibweise - sowohl bei Jotti als auch bei virustotal nichts erbracht haben, glaube ich Dir so nicht.
Versuche es bitte noch einmal und poste die ganze Meldung von Jotti/virustotal!
stupormundi

Also die "C:\WINDOWS\system32\scvhost.exe" gibts nicht mehr, die hat Bitdefender gelöscht. Die richtige Windatei svchost.exe gibts noch, un dis überall als Virenfrei durchgekommen.

Der Eintrag "C:\WINDOWS\system32\scvhost.exe" in der registry is von Tune Up Utilities 2006 bei der Registrierungsprüfung als üngültig gelöscht worden.

Hoffe das wars jetz endlich

Datei: SCVHOST.EXE-2C8D7CBA.pf
Auslastung:
0% 100%
Status:
OK
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden
--------------------------------------

So das war das einzige was noch von der Datei zu finden war, abere wie oben zu shene nicht infiziert.

ich glaub ich hab immer noch nich alle Schäden behoben, denn die systemwiederhersttlung kann ichnicht mehr aktivieren, also die Registerkarte bei dne eigenschaften vom Arbeitszplatz fehlt. und in der Registry find ich den Eintrag ne wo ichs wieder aktivieren kann.

Bei der Datei scvhost.exe - nicht zu verwechseln mit svchost.exe - könnte es sich um eine Rbot-Variante handeln. http://www.sophos.de/virusinfo/analyses/w32rbotek.html

Mit dem Löschen dieser Datei ist es nicht getan. Ein Neuaufsetzen des Systems inkl. vorheriges Formatieren der Systempartition würde den Schädling definitiv beseitigen. Du könntest nach allen Regeln der Kunst versuchen, das System zu bereinigen, doch es besteht immer das Risiko, dass Malware unentdeckt bleibt. Daher ist das Neuaufsetzen die bessere und auch in den meisten Fällen schnellste Alternative.

Hm...komm ich wohl ne drumrum, wer weiß was der noch verändert was ich bis jetz noch ne gemerkt hab

Danke für die Hilfe