Hi,
ich war so 20 min weg vom pc und als ich wieder kam , stand da so eine Antivir meldung, dass ein virus gefunden wurde.
( WORM.Stration.HQ ). Habe die Datei auch schon bei kaspersky hochgeladen und hat den fund bestätigt ( 9eu2zyx5.pif Infiziert: Email-Worm.Win32.Warezov.nd )
Jetzt habe ich ihn mit antivir gelöscht, doch bin ich mir nicht sicher , ob er wirklich gelöscht wurde... ( besonders weile eine fehlermeldung kam , aber die datei doch verschwand )
Gibt es eineige merkmale ?

Und bei dem HijackThis logfile ist ganz unten die meldung
"O23 - Service: Sicherheitscenter (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)
" Ist das gefährlich ?

Hier ein HijackThis Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:32:22, on 20.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\BOINC\boincmgr.exe
C:\Programme\BOINC\boinc.exe
C:\Valve\Steam\Steam.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\BOINC\projects\boinc.bakerlab.org_rosetta\rosetta_5.69_windows_intelx86.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local;localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Sicherheitscenter (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)

--
End of file - 5191 bytes

Hallo Zui0.

Führe bitte einen eScan nach Anleitung aus meiner Signatur durch.

Funktioniert dein XP-Sicherheitscenter einwandfrei inkl. Update und autom. Update?

Das sicherheitscenter lässt sich nicht starten , aber ich mach das jetzt erst mit dem escan poste das file gleich ....

Zitat:

Das sicherheitscenter lässt sich nicht starten

das lässt auf nichts Gutes schließen und passt zum HJT-Eintrag.

Gehe nach dem eScan mal bitte wie folgt vor:

-Downloade cCleaner und installiere das Prog.

-Wechsel in den abgesicherten Modus (F8 beim Hochfahren).

-Fixe mit HJT den benannten Eintrag:
* O23 - Service: Sicherheitscenter (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing) *

-Lasse gleich danach CCleaner laufen (HINWEIS: Die Registry/Probleme musst du mehrmals durchsuchen und bereinigen lassen!)

-Navigiere in den Ordner " C:\WINDOWS\C:\WINDOWS\System32\ " und lösche dort die Datei " svchost.exe "

Der Dateipfad der zu Löschenden Datei lautet also " C:\WINDOWS\C:\WINDOWS\System32\svchost.exe ".

Was befindet sich noch in dem gefakten " C:\WINDOWS\C:\WINDOWS\ " Ordner?

-Lasse CCleaner abermals laufen.

-Starte den Rechner neu und erstelle ein frisches HJT log. Taucht der Eintrag immer noch auf? Lässt sich das Sicherheitscenter nun starten?

Also ich sitze grade an einem anderen pc ...
EInen Virus hat eScan schon gefunden ( leider ging das update nicht , also habe ich den schritt übersprungen )...
warte noch bis der scan fertig is dann mach ich das mitm ccleaner ...


edit : gefundene viren mittlerweile bei 41
Wie lange dauert son scan ca. bin bei ca. 60.000 durchsuchten datein.

Und bei ccleaner

"-Navigiere in den Ordner " C:\WINDOWS\C:\WINDOWS\System32\ " und lösche dort die Datei " svchost.exe "" du meinst C:\WINDOWS\System32\ oder ?

ist jetzt schon fast 2 stunden am scannen , ist das normal ?

So der scannvorgang ist abgeschlossen:

Code: Alles auswählenAufklappen

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  
find.bat Version 2007.06.16.01 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK 
    
eScan Version: 9.4.9 
Sprache: German 
Virus-Datenbank Datum: 10/19/2007  
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 System found infected with ace club casino Spyware/Adware (gamelog.ini)! Action taken: Keine Aktion vorgenommen. 
 System found infected with zlob Trojan-Downloader (games.ico)! Action taken: Keine Aktion vorgenommen. 
 System found infected with zlob Trojan-Downloader (games.ico)! Action taken: Keine Aktion vorgenommen. 
 System found infected with zlob Trojan-Downloader (games.ico)! Action taken: Keine Aktion vorgenommen. 
 System found infected with zlob Trojan-Downloader (games.ico)! Action taken: Keine Aktion vorgenommen. 
 System found infected with zlob Trojan-Downloader (games.ico)! Action taken: Keine Aktion vorgenommen. 
 System found infected with zlob Trojan-Downloader (games.ico)! Action taken: Keine Aktion vorgenommen. 
 System found infected with unknown pest Spyware/Adware (mdx.dll)! Action taken: Keine Aktion vorgenommen. 
 System found infected with unknown pest Spyware/Adware (views.mdx)! Action taken: Keine Aktion vorgenommen. 
 System found infected with zlob Trojan-Downloader (found.wav)! Action taken: Keine Aktion vorgenommen. 
 System found infected with zlob Trojan-Downloader (found.wav)! Action taken: Keine Aktion vorgenommen. 
 System found infected with paq keylog 5.0 Commercial KeyLogger (logo.avi)! Action taken: Keine Aktion vorgenommen. 
 System found infected with paq keylog 5.0 Commercial KeyLogger (logo.avi)! Action taken: Keine Aktion vorgenommen. 
 System found infected with paq keylog 5.0 Commercial KeyLogger (logo.avi)! Action taken: Keine Aktion vorgenommen. 
 System found infected with paq keylog 5.0 Commercial KeyLogger (logo.avi)! Action taken: Keine Aktion vorgenommen. 
 System found infected with zlob Trojan-Downloader (found.wav)! Action taken: Keine Aktion vorgenommen. 
 System found infected with zlob Trojan-Downloader (found.wav)! Action taken: Keine Aktion vorgenommen. 
 System found infected with zlob Trojan-Downloader (found.wav)! Action taken: Keine Aktion vorgenommen. 
 System found infected with paq keylog 5.0 Commercial KeyLogger (logo.avi)! Action taken: Keine Aktion vorgenommen. 
 System found infected with paq keylog 5.0 Commercial KeyLogger (logo.avi)! Action taken: Keine Aktion vorgenommen. 
 System found infected with paq keylog 5.0 Commercial KeyLogger (logo.avi)! Action taken: Keine Aktion vorgenommen. 
 System found infected with paq keylog 5.0 Commercial KeyLogger (logo.avi)! Action taken: Keine Aktion vorgenommen. 
 System found infected with zlob Trojan-Downloader (found.wav)! Action taken: Keine Aktion vorgenommen. 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
 Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\IRC\NN\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.617. Keine Aktion vorgenommen. 
 Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\mirc616.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen. 
 Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\mirc617.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.617. Keine Aktion vorgenommen. 
 Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\Programme\Ogame\32.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\Programme\Ogame\tutorialtoolbar.exe//data0002 markiert als "not-a-virus:AdWare.Win32.MyTool.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\IRC\NN\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.617. Keine Aktion vorgenommen. 
 Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\mirc616.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen. 
 Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\mirc617.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.617. Keine Aktion vorgenommen. 
 Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\Programme\Ogame\32.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\Programme\Ogame\tutorialtoolbar.exe//data0002 markiert als "not-a-virus:AdWare.Win32.MyTool.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Kai\kai\Programme\programme\Install\security\VCSetup.exe//WISE0026.BIN markiert als "not-a-virus:AdWare.Win32.Ucmore". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Datei C:\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen. 
 Datei C:\System Volume Information\_restore{93417CC6-07F3-4012-B488-F95421DB02C9}\RP495\A0153202.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen. 
 Datei C:\System Volume Information\_restore{93417CC6-07F3-4012-B488-F95421DB02C9}\RP495\A0153214.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.603. Keine Aktion vorgenommen. 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
 Offending file found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\microsoft games\rise of nations\gamelog.ini 
 Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\programme\irc\nn\iconsets\buttons\blue\games.ico 
 Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\programme\irc\nn\iconsets\buttons\green\games.ico 
 Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\programme\irc\nn\iconsets\buttons\grey\games.ico 
 Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\programme\irc\nn\iconsets\buttons\orange\games.ico 
 Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\programme\irc\nn\iconsets\buttons\purple\games.ico 
 Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\programme\irc\nn\iconsets\buttons\silver\games.ico 
 Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\programme\irc\nn\script\dlls\mdx.dll 
 Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\programme\irc\nn\script\dlls\views.mdx 
 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cs condition-zero\coundition-zero\valve\sound\vox\found.wav 
 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cs condition-zero\valve\sound\vox\found.wav 
 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cs deutsch\cstrike\media\logo.avi 
 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cs deutsch\valve\media\logo.avi 
 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cscz\firearms\media\logo.avi 
 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cscz\nsp\media\logo.avi 
 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cscz\valve\sound\vox\found.wav 
 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cs condition-zero\coundition-zero\valve\sound\vox\found.wav 
 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cs condition-zero\valve\sound\vox\found.wav 
 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cs deutsch\cstrike\media\logo.avi 
 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cs deutsch\valve\media\logo.avi 
 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cscz\firearms\media\logo.avi 
 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cscz\nsp\media\logo.avi 
 Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\spiele\cscz\valve\sound\vox\found.wav 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
 Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icq\bart\1024 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 Offending Key found: HKLM\Software\magnet !!! 
 Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!! 
 Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! 
 Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! 
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{451ad03a-6e32-11da-a588-806d6172696f} !!! 
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{eecacb36-7066-11da-be0d-806d6172696f} !!! 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
Prozesse und Module 
~~~~~~~~~~~~~~~~~~~~~~ 
 Executable Command Found in {451ad03a-6e32-11da-a588-806d6172696f}\Shell\AutoRun\command: D:\Setup.EXE 
 Executable Command Found in {eecacb36-7066-11da-be0d-806d6172696f}\Shell\AutoRun\command: D:\autorun.exe 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
 C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\hlsw_1_0_0_46_setup.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\4H6J8XYN\ICQPhone[1].cb nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\4H6J8XYN\MIBFlashCtrl[1].cb nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Profiles\default\gmlxjg2a.slt\Cache\812192F6d01 nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\hlsw_1_0_0_46_setup.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4H6J8XYN\ICQPhone[1].cb nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4H6J8XYN\MIBFlashCtrl[1].cb nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Programme\HLSW\Plugins\hlsw_aim_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Programme\HLSW\Plugins\hlsw_icq4_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Programme\HLSW\Plugins\hlsw_icq5_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Programme\HLSW\Plugins\hlsw_icqlite_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Programme\HLSW\Plugins\hlsw_icq_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Programme\HLSW\Plugins\hlsw_miranda_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Programme\HLSW\Plugins\hlsw_msn7_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Programme\HLSW\Plugins\hlsw_msn_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Programme\HLSW\Plugins\hlsw_skype_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Programme\HLSW\Plugins\hlsw_trillianpro_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Programme\HLSW\Plugins\hlsw_trillian_plugin.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Programme\Microsoft Games\Age of Empires III\AOE3Update1.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Gescannte Dateien: 204000 
 Gefundene Viren: 44 
 Anzahl der desinfizierten Dateien: 0 
 Umbenannte Dateien: 0 
 Anzahl der gelöschten Dateien: 0 
 Anzahl Fehler: 247 
 Dauer des Scans bisher: 01:57:02 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Specherüberprüfung: Aktiviert 
 Registry Überprüfung: Aktiviert 
 System-Ordner Überprüfung: Aktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Festplatten: Deaktiviert 
 Überprüfung aller Festplatten :Aktiviert 
 
Batchstart: 17:48:20,42 
Batchende: 17:48:25,15
         

Das scannprotokoll ( 24 MB groß ) wird nicht benötigt oder ?

Also ich habe jetzt alles bis

"-Navigiere in den Ordner " C:\WINDOWS\C:\WINDOWS\System32\ " und lösche dort die Datei " svchost.exe "

Der Dateipfad der zu Löschenden Datei lautet also " C:\WINDOWS\C:\WINDOWS\System32\svchost.exe ".

Was befindet sich noch in dem gefakten " C:\WINDOWS\C:\WINDOWS\ " Ordner?

-Lasse CCleaner abermals laufen.

-Starte den Rechner neu und erstelle ein frisches HJT log. Taucht der Eintrag immer noch auf? Lässt sich das Sicherheitscenter nun starten?"

gemacht. Ich kann leider keinen gefakten Windows ordner finden ... Was nun ?

Wie kann ich denn jetzt die viren entfernen , die eScan gefunden hat ?

Alle manuell oder wie ? Und die Reg EInträge auch einfach löschen oder was muss ich machen ?

Laaangsam bitte.

Du hast so viel Zeugs auf dem Rechner..

Also: Bevor ich das jetzt auseinanderpflücke guckst du dir die Dateien an die eScan anprangert. Ich halte alle für FalsePositives also Fehlmeldungen. Bei einigen die ich dir nun poste bin ich mir nicht sicher:

Zitat:

Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\Programme\Ogame\32.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.

File C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\Programme\Ogame\tutorialtoolbar.exe//data0002 markiert als "not-a-virus:AdWare.Win32.MyTool.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Datei C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\Programme\Ogame\32.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.

File C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\Programme\Ogame\tutorialtoolbar.exe//data0002 markiert als "not-a-virus:AdWare.Win32.MyTool.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

-Wenn du einzelnen oder allen Dateien misstraust, deinstalliere die dazugehörigen Programme über die Systemsteuerung und wechsel danach in den abgesicherten Modus.

Dort überprüfst du ob die Dateien auch wirklich gelöscht wurden.

Starte den Rechner neu und deaktiviere die Systemwiederherstellung auf allen Laufwerken.

Danach räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).


Wenn du das erledigt hast folge bitte dieser http://www.trojaner-board.de/30411-a...-von-zlob.html.

Hier rapport :

Code: Alles auswählenAufklappen

ATTFilter

SmitFraudFix v2.240

Scan done at 20:04:58,01, 20.10.2007
Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost
127.0.0.1       localhost
127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

C:\WINDOWS\system32\systems.txt Please, Reboot and Run SmitfraudFix option 2 once again.
 

»»»»»»»»»»»»»»»»»»»»»»»» End
         

Hier ein neuer Logfile von hijackthis :

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:09:14, on 20.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local;localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Sicherheitscenter (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)

--
End of file - 4794 bytes
         

EDIT : Beim 2. durchführen von dem rapport prog da , kam die frage ob ich eine "delete_me_dummy_systems.txt"löschen will. Ich klickte ja aber es ging nicht , das prog fragte dann immer wieder. Sie befand sich glaube ich im system32 ordner...
Ich musste auf n klicken um weiter zu kommen ...

Fixe bitte folgenden HJT-Eintrag:

* O23 - Service: Sicherheitscenter (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing) *

Starte den Rechner neu und erstelle ein neues HJT-log.

Poste es hier und berichte welche Probleme nun noch auftreten.

2. rapport

Code: Alles auswählenAufklappen

ATTFilter

SmitFraudFix v2.240

Scan done at 20:11:54,35, 20.10.2007
Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost
127.0.0.1       localhost
127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

Problem while deleting C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt

»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

Problem while deleting C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt
 

»»»»»»»»»»»»»»»»»»»»»»»» End
         

Wenn ich auf Fix checked klicke arbeitet er 1 sek und dann kommt ein leeres fenster ...( siehe bild )

Kann anscheinend nicht gefixed werden ...

Ich möchte mich nicht einmischen aber.
Er sollte doch die DAtei im gefakten Windows Ordner löschen.
Da dieser nicht vorhanden ist versteckt er sich.
Also erkläre ihm wie er versteckte Dateien Sichtbar macht

Dieser post geht an undoreal