svchost.exe entfernen, virus

abebi · 06.11.2010, 14:07

Hallo zusammen,

ich habe mir heute einen Virus eingefangen und leider ist es mir nicht möglich ihn zu entfernen. habe zuerst rkill laufen lassen, welcher mir sagt dass das programm \\.\globalroot\Device\svchost.exe\svchost.exe gestoppt wurde, lasse ich rkill aber wieder laufen ist das programm wieder da. Beim versuch Malwarebytes Anti-Malware laufen zu lassen bekomme ich die meldung: "Auf das angegebene Gerät/Pfad/Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über genügend Berechtigung, um auf das Element zugreifen zu können."

kann mir bitte jemand weiterhelfen, wie ich vorgehen soll?
vielen dank, weiß wirklich nicht was ich tun soll..

markusg · 06.11.2010, 14:50

ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten.

abebi · 08.11.2010, 14:09

okay, danke für die antwortes gibt aber noch n problem. jedes mal wenn ich den scan starte, wird das programm sofort automatisch beendet, kann ich das irgndwie verhindern?

markusg · 08.11.2010, 14:13

ok versuche folgendes, evtl. musst es im abgesicherten modus ohne netzwerk verbindung laufen lassen.
meist mit f8 bei pc start zu erreichen.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

abebi · 08.11.2010, 14:16

danke für die antwort, aber immer wenn ich dn otl scan starte, wird das programm automatisch sofort beendt, kann ich das irgndwie verhindern?

markusg · 08.11.2010, 14:20

das hast du grad schon mal geschrieben...

abebi · 08.11.2010, 15:32

okay also otl und combofix funktonieren lider bide nicht, aber ich konnt eine log dati mit dds erstellen:

uSearch Page = hxxp://www.google.com
uDefault_Page_URL = hxxp://www.club-vaio.com
uSearch Bar = hxxp://www.google.com/ie
mDefault_Page_URL = hxxp://www.club-vaio.com
uInternet Settings,ProxyOverride = <local>
uInternet Settings,ProxyServer = http=127.0.0.1:6092
uURLSearchHooks: H - No File
uURLSearchHooks: ICQToolBar: {855f3b16-6d32-4fe6-8a56-bbb695989046} - c:\program files\icq6toolbar\ICQToolBar.dll
uURLSearchHooks: Hero Fighter Toolbar: {b12785f5-d8d0-4530-a3ea-5c4263b85bef} - c:\program files\hero_fighter\tbHero.dll
mURLSearchHooks: Hero Fighter Toolbar: {b12785f5-d8d0-4530-a3ea-5c4263b85bef} - c:\program files\hero_fighter\tbHero.dll
BHO: HP Print Enhancer: {0347c33e-8762-4905-bf09-768834316c61} - c:\program files\hp\digital imaging\smart web printing\hpswp_printenhancer.dll
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\program files\google\googletoolbarnotifier\5.6.5612.1312\swg.dll
BHO: Hero Fighter Toolbar: {b12785f5-d8d0-4530-a3ea-5c4263b85bef} - c:\program files\hero_fighter\tbHero.dll
BHO: CBrowserHelperObject Object: {ca6319c0-31b7-401e-a518-a07c3db8f777} - c:\progra~1\google~1\BAE.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
BHO: HP Smart BHO Class: {ffffffff-cf4e-4f2b-bdc2-0e72e116a856} - c:\program files\hp\digital imaging\smart web printing\hpswp_BHO.dll
TB: ICQToolBar: {855f3b16-6d32-4fe6-8a56-bbb695989046} - c:\program files\icq6toolbar\ICQToolBar.dll
TB: Hero Fighter Toolbar: {b12785f5-d8d0-4530-a3ea-5c4263b85bef} - c:\program files\hero_fighter\tbHero.dll
TB: {472734EA-242A-422B-ADF8-83D1E48CC825} - No File
EB: HP Smart Web Printing: {555d4d79-4bd2-4094-a395-cfc534424a05} - c:\program files\hp\digital imaging\smart web printing\hpswp_bho.dll
EB: ICQToolBar: {855f3b16-6d32-4fe6-8a56-bbb695989046} - c:\program files\icq6toolbar\ICQToolBar.dll
uRun: [swg] "c:\program files\google\googletoolbarnotifier\GoogleToolbarNotifier.exe"
uRun: [ehTray.exe] c:\windows\ehome\ehTray.exe
uRun: [EA Core] "c:\program files\electronic arts\eadm\Core.exe" -silent
uRun: [ICQ] "c:\program files\icq6\ICQ.exe" silent
uRun: [<NO NAME>]
uRun: [NokiaOviSuite2] c:\program files\nokia\nokia ovi suite\NokiaOviSuite.exe -tray
uRun: [LvgmZkfgprgf] c:\users\tobias\appdata\local\temp\kvkgdosg7r.exe
uRun: [LvgmZkfgqlc] c:\users\tobias\appdata\local\temp\rzrv2.exe
uRun: [LvgmZkfgrtc] c:\users\tobias\appdata\local\temp\sysedit.exe
uRun: [tienop] c:\users\tobias\tienop.exe /I
uRun: [LvgmZkfgnOR] c:\users\tobias\appdata\local\temp\ehn30or5.exe
uRun: [LvgmZkfgmSc] c:\users\tobias\appdata\local\temp\avp32.exe
uRun: [LvgmZkfgrta] c:\users\tobias\appdata\local\temp\services.exe
uRun: [LvgmZkfgoMc] c:\users\tobias\appdata\local\temp\gdi32.exe
uRun: [byivqr] RUNDLL32.EXE c:\users\tobias\appdata\local\temp\msllhsjn.dll,w
uRun: [himij] c:\users\tobias\himij.exe /h
uRun: [yjwiq] c:\users\tobias\yjwiq.exe /I
uRun: [wsqeug] c:\users\tobias\wsqeug.exe /B
uRun: [msyuiz] c:\users\tobias\msyuiz.exe /j
uRun: [uPc+nknfeefnwTaXms] rundll32.exe c:\users\tobias\appdata\local\temp\tbsxx7p.dll, SystemServer
uRun: [uPc+nknfeefnbNaGuo] rundll32.exe c:\users\tobias\appdata\local\temp\e5ta42fi.dll, SystemServer
uRun: [poihshhshs.exe] c:\poihshhshs.exe\poihshhshs.exe
uRun: [Defrdisc] rundll32 "c:\users\tobias\appdata\local\temp\bitsuery.dll",CreateProcessNotify
mRun: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
mRun: [RtHDVCpl] RtHDVCpl.exe
mRun: [SynTPEnh] c:\program files\synaptics\syntp\SynTPEnh.exe
mRun: [ISBMgr.exe] "c:\program files\sony\isb utility\ISBMgr.exe"
mRun: [StartCCC] "c:\program files\ati technologies\ati.ace\core-static\CLIStart.exe"
mRun: [Google Desktop Search] "c:\program files\google\google desktop search\GoogleDesktop.exe" /startup
mRun: [MarketingTools] c:\program files\sony\marketing tools\MarketingTools.exe
mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime
mRun: [HP Software Update] c:\program files\hp\hp software update\HPWuSchd2.exe
mRun: [hpqSRMon] c:\program files\hp\digital imaging\bin\hpqSRMon.exe
mRun: [SunJavaUpdateSched] "c:\program files\java\jre6\bin\jusched.exe"
mRun: [NokiaMServer] c:\program files\common files\nokia\mplatform\NokiaMServer /watchfiles startup
mRun: [NokiaMusic FastStart] "c:\program files\nokia\ovi player\NokiaOviPlayer.exe" /command:faststart
mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe"
mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
mRun: [ Malwarebytes Anti-Malware (reboot)] "c:\program files\malwarebytes' anti-malware\mbam.exe" /runcleanupscript
mRun: [Skytel] Skytel.exe
mRun: [DivXUpdate] "c:\program files\divx\divx update\DivXUpdate.exe" /CHECKNOW
StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\hpdigi~1.lnk - c:\program files\hp\digital imaging\bin\hpqtra08.exe
StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\vpncli~1.lnk - c:\windows\installer\{4c271126-c295-4828-a901-5910ae0c258b}\Icon3E5562ED7.ico
mPolicies-explorer: BindDirectlyToPropertySetStorage = 0 (0x0)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Google Sidewiki... - c:\program files\google\google toolbar\component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\micros~2\office12\EXCEL.EXE/3000
IE: {E59EB121-F339-4851-A3BA-FE49C35617C2} - c:\program files\icq6.5\ICQ.exe
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~2\office12\ONBttnIE.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL
IE: {DDE87865-83C5-48c4-8357-2F5B1AA84522} - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - c:\program files\hp\digital imaging\smart web printing\hpswp_BHO.dll
DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} - hxxp://dl.tvunetworks.com/TVUAx.cab
DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} - hxxp://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab
DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} - hxxps://stream.web.de/mail/activex/mail_upload_11213.cab
DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - hxxp://download.divx.com/player/DivXBrowserPlugin.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab
DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} - hxxp://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
DPF: {E4CF4E86-D0DC-4864-8F0E-4F6EA2526334} - hxxps://img.web.de/v/smartdrive/activex/v2/web_de_osupload_2002.cab
DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} - hxxp://www.lokalisten.de/iup/ImageUploader4.cab
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\common~1\skype\SKYPE4~1.DLL
Notify: igfxcui - igfxdev.dll
Notify: VESWinlogon - VESWinlogon.dll
AppInit_DLLs: c:\progra~1\google\google~1\GOEC62~1.DLL

================= FIREFOX ===================

FF - ProfilePath - c:\users\tobias\appdata\roaming\mozilla\firefox\profiles\poreak6c.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=2&q=
FF - plugin: c:\progra~1\micros~2\office14\NPSPWRAP.DLL
FF - plugin: c:\program files\divx\divx plus web player\npdivx32.dll
FF - plugin: c:\program files\google\google earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\google\google updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\google\picasa3\npPicasa2.dll
FF - plugin: c:\program files\google\picasa3\npPicasa3.dll
FF - plugin: c:\program files\google\update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\program files\pando networks\media booster\npPandoWebPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\microsoft.net\framework\v3.5\windows presentation foundation\dotnetassistantextension\
FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}

---- FIREFOX POLICIES ----
c:\program files\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\program files\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\program files\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\program files\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\program files\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\program files\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\program files\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional
c:\program files\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified

============= SERVICES / DRIVERS ===============

R3 NETw5v32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows Vista 32-Bit;c:\windows\system32\drivers\NETw5v32.sys [2008-4-28 3658752]
R3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\drivers\SFEP.sys [2008-7-10 9344]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 cvhsvc;Client Virtualization Handler;c:\program files\common files\microsoft shared\virtualization handler\CVHSVC.EXE [2010-2-28 821664]
S2 gupdate1c98650c8f5afe0;Google Update Service (gupdate1c98650c8f5afe0);c:\program files\google\update\GoogleUpdate.exe [2009-2-3 133104]
S2 ICQ Service;ICQ Service;c:\program files\icq6toolbar\ICQ Service.exe [2008-11-5 222968]
S2 NSUService;NSUService;c:\program files\sony\network utility\NSUService.exe [2008-8-11 299008]
S2 regi;regi;c:\windows\system32\drivers\regi.sys [2007-4-17 11032]
S2 RtkAudioService;Realtek Audio Service;c:\windows\RTKAUDIOSERVICE.EXE [2008-7-10 104992]
S2 sftlist;Application Virtualization Client;c:\program files\microsoft application virtualization client\sftlist.exe [2010-4-24 483688]
S2 VAIO Power Management;VAIO Power Management;c:\program files\sony\vaio power management\SPMService.exe [2008-7-10 411488]
S2 VCFw;VAIO Content Folder Watcher;c:\program files\common files\sony shared\vaio content folder watcher\VCFw.exe [2008-6-20 415744]
S2 VcmIAlzMgr;VAIO Content Metadata Intelligent Analyzing Manager;c:\program files\sony\vcm intelligent analyzing manager\VcmIAlzMgr.exe [2008-8-11 337184]
S3 FontCache;Windows-Dienst für Schriftartencache;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [2008-1-21 21504]
S3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\google\google desktop search\GoogleDesktop.exe [2008-8-11 30192]
S3 osppsvc;Office Software Protection Platform;c:\program files\common files\microsoft shared\officesoftwareprotectionplatform\OSPPSVC.EXE [2010-1-9 4640000]
S3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [2009-3-27 23064]
S3 Sftfs;Sftfs;c:\windows\system32\drivers\Sftfslh.sys [2010-4-24 550760]
S3 Sftplay;Sftplay;c:\windows\system32\drivers\Sftplaylh.sys [2010-4-24 195944]
S3 Sftredir;Sftredir;c:\windows\system32\drivers\Sftredirlh.sys [2010-4-24 21864]
S3 Sftvol;Sftvol;c:\windows\system32\drivers\Sftvollh.sys [2010-4-24 19304]
S3 sftvsa;Application Virtualization Service Agent;c:\program files\microsoft application virtualization client\sftvsa.exe [2010-4-24 209768]
S3 SOHCImp;VAIO Media plus Content Importer;c:\program files\sony\vaio media plus\SOHCImp.exe [2008-8-11 103712]
S3 SOHDms;VAIO Media plus Digital Media Server;c:\program files\sony\vaio media plus\SOHDms.exe [2008-8-11 353568]
S3 SOHDs;VAIO Media plus Device Searcher;c:\program files\sony\vaio media plus\SOHDs.exe [2008-8-11 62752]
S3 VcmXmlIfHelper;VAIO Content Metadata XML Interface;c:\program files\common files\sony shared\vcmxml\VcmXmlIfHelper.exe [2008-8-11 83232]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]

=============== File Associations ===============

.scr=AutoCADScriptFile

=============== Created Last 30 ================

2010-11-08 13:35:05 -------- d-----w- c:\progra~2\SecTaskMan
2010-11-08 13:35:01 -------- d-----w- c:\program files\Security Task Manager
2010-11-06 11:49:23 65536 ----a-w- c:\users\tobias\appdata\roaming\ckk.exe
2010-11-06 11:49:21 175104 ----a-w- c:\users\tobias\appdata\roaming\rwxxw.exe
2010-11-05 14:23:50 6146896 ----a-w- c:\progra~2\microsoft\windows defender\definition updates\{d63bfd73-5d53-41bc-8d4e-8b936cbbf17b}\mpengine.dll
2010-10-26 17:58:38 1696256 ----a-w- c:\windows\system32\gameux.dll
2010-10-26 17:58:37 4240384 ----a-w- c:\windows\system32\GameUXLegacyGDFs.dll
2010-10-26 17:58:37 28672 ----a-w- c:\windows\system32\Apphlpdm.dll
2010-10-23 09:18:16 40448 ----a-w- c:\users\tobias\appdata\roaming\microsoft\windows\templates\memory.tmp
2010-10-20 14:43:40 -------- d-----w- c:\program files\LittleFighter2
2010-10-20 14:43:23 -------- d-----w- c:\program files\Hero_Fighter
2010-10-15 10:56:48 168960 ----a-w- c:\program files\windows media player\wmplayer.exe
2010-10-15 10:56:47 8147456 ----a-w- c:\windows\system32\wmploc.DLL
2010-10-15 10:54:41 304128 ----a-w- c:\windows\system32\drivers\srv.sys
2010-10-15 10:54:41 145408 ----a-w- c:\windows\system32\drivers\srv2.sys
2010-10-15 10:54:41 125952 ----a-w- c:\windows\system32\srvsvc.dll
2010-10-15 10:54:41 102400 ----a-w- c:\windows\system32\drivers\srvnet.sys
2010-10-15 10:54:40 17920 ----a-w- c:\windows\system32\netevent.dll
2010-10-15 10:40:39 274944 ----a-w- c:\windows\system32\schannel.dll
2010-10-15 10:38:39 2038272 ----a-w- c:\windows\system32\win32k.sys
2010-10-15 10:38:31 231424 ----a-w- c:\windows\system32\msshsq.dll
2010-10-15 10:38:23 867328 ----a-w- c:\windows\system32\wmpmde.dll
2010-10-15 10:38:15 531968 ----a-w- c:\windows\system32\comctl32.dll
2010-10-11 19:20:42 -------- d-----w- c:\program files\QueryExplorer
2010-10-11 13:34:02 -------- d-----w- c:\users\tobias\appdata\local\DBControl

==================== Find3M ====================

2010-10-19 09:41:44 222080 ------w- c:\windows\system32\MpSigStub.exe
2010-09-27 18:43:24 177 ----a-w- c:\users\tobias\appdata\roaming\jsdfgs.bat
2010-09-08 11:28:33 237568 ----a-w- c:\users\tobias\maixel.exe
2010-09-08 07:04:00 237568 ------w- c:\users\tobias\uspad.exe
2010-09-08 06:01:28 916480 ----a-w- c:\windows\system32\wininet.dll
2010-09-08 05:57:18 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-09-08 05:57:05 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2010-09-08 05:56:53 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-09-08 05:56:53 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-09-08 05:04:36 385024 ----a-w- c:\windows\system32\html.iec
2010-09-08 04:26:46 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2010-09-08 04:25:15 1638912 ----a-w- c:\windows\system32\mshtml.tlb
2010-09-07 07:11:44 114688 ----a-w- c:\users\tobias\impad.exe
2010-08-31 15:46:37 954752 ----a-w- c:\windows\system32\mfc40.dll
2010-08-31 15:46:37 954288 ----a-w- c:\windows\system32\mfc40u.dll
2010-08-26 16:37:45 157184 ----a-w- c:\windows\system32\t2embed.dll
2010-08-26 16:33:06 173056 ----a-w- c:\windows\apppatch\AcXtrnal.dll
2010-08-26 16:33:04 542720 ----a-w- c:\windows\apppatch\AcLayers.dll
2010-08-26 16:33:04 458752 ----a-w- c:\windows\apppatch\AcSpecfc.dll
2010-08-26 16:33:04 2159616 ----a-w- c:\windows\apppatch\AcGenral.dll
2010-08-17 14:11:37 128000 ----a-w- c:\windows\system32\spoolsv.exe

hoffe, damit kann man auch was anfangen

markusg · 08.11.2010, 15:56

die aussage "irgendwie" ist nicht genau...
was funktioniert bei combofix nicht, hast du es im abgesicherten modus genutzt?

abebi · 08.11.2010, 16:13

habe combofix im abgsicherten modus, mit und ohne netztwerktreibern versucht. es passiert aber immer dasselbe, ich starte ihn, er läd und sofort nach dem ladevorgang wird das programm geschlossen.
ich schalte bei otl die beschriebenen einstellungen an, kopiere den text, aber sobald ich den scan starte wird das programm automatisch geschlossen

markusg · 08.11.2010, 16:36

ok.
öffne den arbeitsplatz, dort extras, ordneroptionen, ansicht.
dateinamenerweiterungen bei bekannten typen ausblenden, haken raus. übernehmen /ok
nun lösche combofix.exe
öffne das combofix tutorial. dort einen rechtsklick auf einen der download links, ziehl speichern unter.
dort unter dateiname steht jetzt
combofix.exe
lösche das und schreibe
2345.com
speichere die datei und versuche erneut im abgesicherten modus ohne netzwerk combofix zu starten.

08.11.2010, 14:20	#6
markusg /// Malware-holic	svchost.exe entfernen, virus das hast du grad schon mal geschrieben... __________________ --> svchost.exe entfernen, virus

svchost.exe entfernen, virus

Plagegeister aller Art und deren Bekämpfung: svchost.exe entfernen, virus