Antivirenprogramm Deaktiviert

nutella09 · 20.10.2006, 20:51

Also ich habe mir letzte Woche einen Virus eingefangen, da ich eine .exe Datei voller Vorfreude geöffnet hatte. Nachdem diese ausgeführt habe wurde mir von Windows mitgeteilt, dass sich die Firewall deaktiviert habe...diese liess sich auch nicht mehr aktivieren. Das betrifft sowohl die Windows Firewall, als auch die ZoneAlarm. Natürlich wollte ich einen Virenscan ausführen, leider bricht dieser aber immer kurz nach dem starten ab. Ohne Fehlermeldung. Das Virenprogramm (AntiVir) funktioniert ansonsten einwandfrei. Jetzt ist meine Frage, wie ich diesen Virus wieder los kriege, da ich ja kein Virenprogramm durchlaufen lassen kann. Von einem Onlin Scanner wird mir die wsock32 datei im win32 ordner als virus gemeldet, diese lässt sich allerdings nicht löschen und ich bin mir auch nicht sicher dass dies die relevante Datei ist. Ich habe sie in den AntiVir Quarantäne-Ordner verschoben, das hat das Problem allerdings nicht behoben. Über eure Hilfe wäre ich sehr dankbar. Ich habe einen Lapob auf dem Windows Xp Home Edition SP 2 läuft!

cosinus · 20.10.2006, 21:00

Wo hast du diese EXE-Datei her, wenn Du die voller Vorfreude ausführst?

Poste mal ein Hijackthis-Logfile.

nutella09 · 20.10.2006, 21:06

Naja sollte ich glaube ich nicht sagen, was das war...
Hier die Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 22:04:47, on 20.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5700.0007)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\htpatch.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\programme\zango\zango.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NetPumper\NetPumperIEProxy.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\NETGEAR\WPN111 Configuration Utility\wpn111.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
D:\PROGRA~1\FIREFOX\FIREFOX.EXE
C:\WINDOWS\Explorer.exe
D:\Programme\XDCC Catcher\catcher.exe
D:\PROGRA~1\THUNDE~1\THUNDE~1.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Eigene Dateien\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [zango] "c:\programme\zango\zango.exe"
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Free Download Manager] d:\Programme\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NETGEAR WPN111 Smart Wizard.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winhja32 - winhja32.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

cosinus · 20.10.2006, 21:32

Zitat:

C:\programme\zango\zango.exe
C:\Programme\NetPumper\NetPumperIEProxy.exe

Eigentlich selber Schuld, Netpumper ist als Spyware bekannt. Zango kommt mit Bearshare daher.

Zitat:

C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe

Hier dürfte der Hase im Pfeffer liegen, denn scvhost.exe ist keine Systemdatei! Nicht zu verwechseln mit svchost.exe!
Den Rest erspar ich uns allen. Das sauberste dürfte ein Neuaufsetzen sein.

nutella09 · 20.10.2006, 21:36

Ja das mit Zangoo und NetPumper weiss ich aber die sind nicht das Problem...hab ich schon ewig drauf, die Spyware nehm ich in Kauf...und für diese "svhost" gibt es keine andere Möglichkeit...und bist du dir sicher, dass das das Problem verursacht... den PC zu plätten wäre meine letze Alternative gewesen, darauf wär ich auch selber gekommen, aber ich will das ja gerade vermeiden. Reicht es nicht wenn ich dieses aus dem Systemstart lösche?

cosinus · 20.10.2006, 21:40

Naja, auf Biegen und Brechen eine Kiste zu bereinigen ist auch nichts das Gelbe vom Ei. Da geht recht viel Zeit bei drauf und hinterher kann man nicht sagen, was nun wirklich noch verbogen ist am System.
Wenn Du unbedingt willst: Werte diese Datei

C:\WINDOWS\system32\scvhost.exe

bei Virustotal aus und das komplette Ergebnis, inkl. Hash- und Größenangaben.

nutella09 · 20.10.2006, 21:58

Da steht überall: "no virus found" darunter steht:
File Size: 14336 bytes
MD5: 65a819b121eb6fdab4400ea42bdffe64
SHA1: 0dfdee2871427e9c40ec82541156884ff9b4bfa3

Ich hoffe das meintest du.

cosinus · 20.10.2006, 22:12

Das ist genau die falsche Datei. Du hast die Windows-Systemdatei svchost.exe überprüft, siehe hier vom MD5-Summer:

Zitat:

Zitat von md5summer

# MD5 checksums generated by MD5summer (http://www.md5summer.org)
# Generated 20.10.2006 23:08:34

65a819b121eb6fdab4400ea42bdffe64 *svchost.exe

Der md5-Hash stimmt überein. Du solltest scvhost.exe überprüfen.

nutella09 · 20.10.2006, 22:21

Diese Datei gibt es aber nicht im System32 Ordner...

cosinus · 20.10.2006, 22:23

Lass alle Dateien anzeigen, auch die geschützten Systemdateien und die versteckten Dateien.
Und wenn Du sie immer noch nicht siehst, hast Du den Sinn von Rootkits/Hintertüren erfasst => http://www.trojaner-board.de/showthread.php?t=12154

nutella09 · 20.10.2006, 22:44

Hier ein Screen von dem Ergebnis.

cosinus · 20.10.2006, 22:50

Ist ein Backdoor (Ciadoor).
Nun musst Du dein System neu aufsetzen.

nutella09 · 20.10.2006, 22:52

Und da gibts wirklich keine andere Wahl?

cosinus · 20.10.2006, 22:54

Zitat:

Zitat von nutella09

Und da gibts wirklich keine andere Wahl?

Nein! Gibt es nicht!

nutella09 · 20.10.2006, 22:55

Und reicht es wenn ich nur c platt mache, oder auch d?

Windows is auf c installiert.

20.10.2006, 21:00	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Antivirenprogramm Deaktiviert Wo hast du diese EXE-Datei her, wenn Du die voller Vorfreude ausführst? Poste mal ein Hijackthis-Logfile. __________________ __________________

20.10.2006, 22:23	#10
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Antivirenprogramm Deaktiviert Lass alle Dateien anzeigen, auch die geschützten Systemdateien und die versteckten Dateien. Und wenn Du sie immer noch nicht siehst, hast Du den Sinn von Rootkits/Hintertüren erfasst => http://www.trojaner-board.de/showthread.php?t=12154 __________________ Logfiles bitte immer in CODE-Tags posten

20.10.2006, 22:50	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Antivirenprogramm Deaktiviert Ist ein Backdoor (Ciadoor). Nun musst Du dein System neu aufsetzen. __________________ Logfiles bitte immer in CODE-Tags posten

Antivirenprogramm Deaktiviert

Antiviren-, Firewall- und andere Schutzprogramme: Antivirenprogramm Deaktiviert