Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   eScan durchgeführt und jetzt? (https://www.trojaner-board.de/48835-escan-durchgefuehrt.html)

KingKav 28.01.2008 15:32

eScan durchgeführt und jetzt?
 
Hi,
das hier ist mein erster Post in diesem Forum, also seid mir bitte nicht böse, wenn ich irgendwelche Fehler mache.

Mein Problem:
Ich habe seit mehreren Wochen immer nach dem ich mein PC gestartet hab die Meldung bekommen, dass die Datei "scvhost.exe" nicht gefunden werden konnte. Also habe ich mich mal auf die Suche gemacht was ich dagegen machen kann und bin auf dieses Forum gestoßen, genauer auf diesen Post:

eScan AntiVirus (unterstützt neuere Versionen ab 7.x)

Da ich jetzt wusste, dass es sich um einen Trojaner handelt, habe ich die angebenen Schritte durchgeführt (also den eScan) und habe auch versucht wie bei der "2. Möglichkeit - KillBox" erläutert die "ERROR" und "virus" Dateien aus meinem Protokoll zu löschen (nicht aus dem unten kopierten Protokoll, sondern in dem wo man jede einzelne gescannte Datei sieht. Da habe ich mir die rausgesucht wo es z.B. so steht:
Fri Jan 25 19:12:44 2008 => ERROR!!! ScanFile fails for C:\WINDOWS\Installer\6319e6.msi
oder so:
Fri Jan 25 19:14:11 2008 => Scanne Datei C:\WINDOWS\passview.dll
Fri Jan 25 19:14:11 2008 => Datei C:\WINDOWS\passview.dll markiert als not-a-virus:PSWTool.Win32.PassView.b. Keine Aktion vorgenommen. ) , jedoch habe ich festgestellt, dass es sehr viele dieser Dateien gar nicht gibt und schließlich habe ich es aufgegeben. Und da ich auch nicht sehr viel Ahnung von Viren, Trojaner und anderen Plagegeistern habe bitte ich hier mal um Hilfe.
Ich hoffe mal, dass das die richtige Datei ist die in diesem Forum gewünscht wird, wenn nicht poste ich natürlich auch noch die richtige


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.6.8
Sprache: German
Virus-Datenbank Datum: 1/24/2008

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "prutect Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "zango Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: Keine Aktion vorgenommen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_local_machine\software\microsoft\windows\cur rentversion\run//msconfig)! Action taken: Keine Aktion vorgenommen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_local_machine\software\microsoft\windows\cur rentversion\runservices/msconfig)! Action taken: Keine Aktion vorgenommen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_local_machine\software\microsoft\windows\cur rentversion\runservices/icq lite)! Action taken: Keine Aktion vorgenommen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_local_machine\software\microsoft\windows\cur rentversion\runservices/windows update)! Action taken: Keine Aktion vorgenommen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_local_machine\software\microsoft\windows\cur rentversion\runservices/update checker)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\!KillBox\hosts infiziert von "Trojan.Win32.Qhost.kc" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\!KillBox\BSINSTALLDE.exe//WiseSFXDropper//WISE0027.BIN/clientax.dll markiert als "not-a-virus:AdWare.Win32.180Solutions.ao". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\!KillBox\DSPlayer_v.074_beta_full//file004 markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\!KillBox\NPMYGLSH.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\!KillBox\passview.dll markiert als not-a-virus:PSWTool.Win32.PassView.b. Keine Aktion vorgenommen.
Datei C:\!KillBox\passview2.dll markiert als not-a-virus:PSWTool.Win32.Messen.106. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\whenusavemsg !!!
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKLM\Software\ptech !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\exp lorer\menuorder\start menu\programs\zango !!!
Offending Key found: HKCR\magnet !!!
Offending Key found: HKCR\wusn.1 !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{fd09cdf2-45ac-11db-90ee-00040ec3f690} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 62208
Gefundene Viren: 20
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 125
Dauer des Scans bisher: 00:30:49
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 13:05:31,64
Batchende: 13:05:42,84



Falls mir irgendjemand helfen möchte wäre es nett, wenn ihr/du nicht in IT-Sprache redet/redest, da ich dann damit wohl nichts anfangen kann^^.

Vielen Dank schon mal im vorraus

So long Christoph

TrojanHunter 28.01.2008 15:36

moin,

Führe einen Scan mit Spybot Search and Destroy durch und erstelle danach bitte ein HIjackthis Log.

KingKav 28.01.2008 16:30

Sooo... ich hoffe mal, dass das das richtige ist?!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:30:28, on 28.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [] C:\WINDOWS\scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: In 1&&1 SoftPhone wählen - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1&1\1&1 SoftPhone\ContextMenuHandler.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.de
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.giga.de/giga-stream-test/Rawflow.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20071219-1
O20 - AppInit_DLLs: ssdprasa.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

--
End of file - 6330 bytes

TrojanHunter 28.01.2008 16:51

moin,

Bitte mal unter HIjackthis fixen

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O20 - AppInit_DLLs: ssdprasa.dll

Bei virustotal.com testen lassen

C:\WINDOWS\scvhost.exe

KingKav 28.01.2008 17:02

Zitat:

Zitat von TrojanHunter (Beitrag 318813)
Bitte mal unter HIjackthis fixen

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O20 - AppInit_DLLs: ssdprasa.dll

Das soll ich einfach mal machen?! Und dann?!^^
Habs halt mal gemacht und dann kam von Spybot, dass ich irgendwelche Registrierungsdaten ändere oder so, egal habs halt mal gemacht, hoffe es war richtig?? ^^

Wenn ich C:\WINDOWS\scvhost.exe bei virustotal.com eingebe kommt das:

0 bytes size received / Se ha recibido un archivo vacio

TrojanHunter 28.01.2008 17:07

Ok,

Fixe bitte noch folgende Sachen unter hijackthis, starte deinen PC neu und poste ein neues Hijackthis log.

O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\scvhost.exe

O4 - HKLM\..\RunServices: [msconfig] C:\WINDOWS\scvhost.exe

O4 - HKLM\..\RunServices: [icq lite] C:\WINDOWS\scvhost.exe

O4 - HKLM\..\RunServices: [Update Checker] C:\WINDOWS\scvhost.exe

O4 - HKLM\..\RunServices: [] C:\WINDOWS\scvhost.exe

(Und ja du musst die Änderungen unter Spybot S&D zulassen das wr schon richtig so)

Jaipur 28.01.2008 18:07

Anmerkung:

bei den Einträgen

Zitat:

O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [] C:\WINDOWS\scvhost.exe
würde ich ohne viel Federlesen das System neu aufsetzen, denn es handelt sich mit größter Wahrscheinlichkeit um den hier W32/Rbot-EK - Wurm - Sophos Bedrohungsanalyse auch wenn es sich dabei angeblich um eine 0 Byte Datei handelt und nicht gefunden wurde.

Anmerkung Ende.

Gruß

Jaipur

KingKav 28.01.2008 21:16

Gude,

erst mal DANKE für die Hilfe :)

Na das hört sich ja klasse an :headbang:, aber muss ich das System dann gleich neu aufsetzen? Auf der von dir geposteten Seite gibts ja auch den Karteireiter "Wiederherstellung", kann ich auch nach dem vorgehen oder sollte ich dann besser gleich alles neu aufsetzen?

Soll ich eigentlich bei Spybot nachdem das durchgelaufen ist auch "Markierte Probleme aufheben" machen?
Und warum sind es jetzt auf einmal viel mehr Probleme wie vorher?


Hier noch der neue:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:13:43, on 28.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Live Search:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Google
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Live Search:
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: In 1&&1 SoftPhone wählen - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1&1\1&1 SoftPhone\ContextMenuHandler.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.de
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.giga.de/giga-stream-test/Rawflow.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.schuelervz.net/phot...che=20071219-1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

--
End of file - 5989 bytes

Jaipur 28.01.2008 21:29

Zitat:

...aber muss ich das System dann leich neu aufsetzen?
ich kann Dir guten Gewissens keinen anderen Rat geben. Alles andere wäre fahrlässiger Leichtsinn.

Gruß

Jaipur

KingKav 28.01.2008 22:02

mhh okay...

Dann noch eine Frage:
In der Beschreibung bei dem Link steht, dass das ein "Netzwerkwurm" ist. Heißt das jetzt, dass ich auch nochmal alle PC's im Netzwerk kontrollieren soll und nach dem scvhost.exe suchen soll?!

boston 28.01.2008 22:07

die sache mit der wiederherstellung kannst du dir sparen,
es handelt sich meiner ansicht nach nicht um den wurm, die registrierungseinträge
weisen eher auf diesen kameraden hin:
Troj/Bckdr-PUT - Trojan - Sophos threat analysis
ist aber ziemlich egal, bei beiden wäre neuaufsetzen angesagt.

Technische Kompromittierung - Wikipedia

wenn du es genau wissen willst, kannst du noch folgendes probieren:
kopiere die c:\windows\scvhost.exe in einen anderen ordner und versuche den
virustotal-scan von dort erneut.
wenn das kopieren so nicht funktioniert, kannst du es im abgesicherten modus
versuchen.

Jaipur 28.01.2008 22:09

Zitat:

Heißt das jetzt, dass ich auch nochmal alle PC's im Netzwerk kontrollieren soll...
Hast Du ein privates Netzwerk mit mehreren PC´s? Wenn ja kann eine Kontrolle nicht schaden.

Gruß

Jaipur

KingKav 28.01.2008 23:02

Zitat:

Zitat von boston (Beitrag 318936)
wenn du es genau wissen willst, kannst du noch folgendes probieren:
kopiere die c:\windows\scvhost.exe in einen anderen ordner und versuche den
virustotal-scan von dort erneut.
wenn das kopieren so nicht funktioniert, kannst du es im abgesicherten modus
versuchen.

Das Problem hierbei ist aber, dass es diese Datei nicht mehr gibt. Ich weiss nicht, ob ich sie mal gelöscht habe oder irgendwie anders losgeworden bin, aber sie ist nicht mehr vorhanden. Ist das nicht auch der Grund dafür, dass bei virustotal.com 0 Bytes angezeigt werden?!


Joa, hab nen privates Netzwerk mit mehreren PC's, aber hab auch schon auf einem anderen kontrolliert, aber dort war nichts zu finden.

Wenn ich jetzt meinen PC's "neu aufsetze" (ist das das Gleiche wie "formatieren"?!), was muss ich denn da dann beachten? Bilder und Musik kann ich behalten? Und was darf ich auf keinen Fall behalten (alle .exe-Dateien?)?

boston 29.01.2008 13:30

Zitat:

Das Problem hierbei ist aber, dass es diese Datei nicht mehr gibt. Ich weiss nicht, ob ich sie mal gelöscht habe oder irgendwie anders losgeworden bin, aber sie ist nicht mehr vorhanden. Ist das nicht auch der Grund dafür, dass bei virustotal.com 0 Bytes angezeigt werden?!
das kann verschiedene gründe haben: die datei ist gelöscht,
sie "wehrt" sich gegen die analyse
oder du kannst nicht alle dateien sehen.
http://www.trojaner-board.de/59624-a...-sichtbar.html

Zitat:

Joa, hab nen privates Netzwerk mit mehreren PC's, aber hab auch schon auf einem anderen kontrolliert, aber dort war nichts zu finden.
ich halte dein netzwerk erst dann für wirklich sicher,
wenn du alle rechner neu aufsetzen würdest.
sonst kann es dir passieren, daß ein befallener rechner die anderen
neu infiziert.

Zitat:

Wenn ich jetzt meinen PC's "neu aufsetze" (ist das das Gleiche wie "formatieren"?!), was muss ich denn da dann beachten? Bilder und Musik kann ich behalten? Und was darf ich auf keinen Fall behalten (alle .exe-Dateien?)?
http://www.trojaner-board.de/12154-a...sicherung.html

eigene texte, bilder und musik sollten relativ sicher sein.
es ist aber anzuraten, das von einem cleanen rechner zu überprüfen.

KingKav 29.01.2008 16:45

Sooo hab jetzt mein PC neu aufgesetzt und hoffe, dass ich jetzt mal alles richtig mache und meinem AV-Prog nicht gleich wieder Futter gebe. ^^

Also erst mal ein FETTES DANKESCHÖN an alle Helfer :) und hoffentlich hört man nicht allzu schnell wieder von sich. :P

Eine kleine Frage hab ich aber noch: Was für ein Instant Messenger Programm soll ich am besten benutzen? Hab jetzt schon öfters gehört, dass ICQ nicht so der burner sein soll, also lieber Miranda oder QIP oder ähnliches? Und wie siehts mit MSN aus?

MfG
KingKav


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:44 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131