|
Probleme mit einem Virus der die Scvhost.exe benutzt Hi Ich habe mir nen Virus eingefangen. Hier mal der Log von HJT Der Virus hat volgendes bewirkt (bisheraufgefallen): 1. Firewall deaktiviert 2. Systemwiederherstellung deaktiviert 3. RegEditor deaktiviert. 4. Taskmanager deaktiviert _______________________________________________________________________ Logfile of HijackThis v1.99.1 Scan saved at 13:29:27, on 03.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\cFosSpeed\spd.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\SMTray.exe C:\WINDOWS\vsnpstd.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\MessengerPlus! 3\MsgPlus.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\cFosSpeed\cFosSpeed.exe C:\Programme\KMaestro\KMaestro.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe E:\Sicherung\Downloads\HijackThis.exe F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\Programme\FlashGet\jccatch.dll O2 - BHO: Burn4Free Toolbar Helper - {F8E5CA21-C27B-43e7-B2BE-4CA93C9F9A1F} - C:\Programme\Burn4Free Toolbar\v2.0.0.4\Burn4Free_Toolbar.dll O3 - Toolbar: Burn4Free Toolbar - {70DE7956-479D-4eb7-8641-2B45774C350E} - C:\Programme\Burn4Free Toolbar\v2.0.0.4\Burn4Free_Toolbar.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MsgCenterExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe" -osboot O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe O4 - HKLM\..\Run: [BtcMaestro] C:\Programme\KMaestro\KMaestro.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O17 - HKLM\System\CCS\Services\Tcpip\..\{76CD7091-A248-4B3B-B0E1-677C372C8F51}: NameServer = 192.168.2.1 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programme\cFosSpeed\spd.exe" -service (file missing) O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\UvxkaWdlciBXaWxsaW5n\command.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe (file missing) O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing) O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe ____________________________________________________________________________ Wie man sieht habe ich die scvhost.exe umbenannt (rot & fett). Nachdem ich das gemacht habe konnte ich folgende Funktionen wieder benutzen: 1. Taskmanager (bei Sysleistung steht er aber still) 2. Regeditor Bei den anderen dateien sieht werden die vermisst (rot). wobei ich keine ahnung habe warum Außerdem habe ich das gefühl der Virus blockt antivir MFG gamehero |
Servus! Lass´ mal folgende Datei Zitat:
Sollte beides nichts bringen, kopiere die Datei in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur. Achte bei den angegebenen Dateinamen auf die genaue Schreibweise und den exakten Pfad! stupormundi |
@gamehero Zitat:
Zitat:
EDIT: servus stupormundi :party: |
Servus Rene-gad! :party: Ich gehe im Übrigen davon aus, dass Du wegen der von mir zitierten Datei Recht behalten wirst (wie ja meistens .. :) ) lg, stupormundi |
Zitat:
Der LOG von VirusTotal his is a report processed by VirusTotal on 04/03/2006 at 14:11:10 (CET) after scanning the file "scvhost.exe_-schei_" file. Antivirus Version Update Result AntiVir 6.34.0.14 04.03.2006 no virus found Avast 4.6.695.0 04.03.2006 Win32:Ciadoor-021 AVG 386 03.31.2006 no virus found Avira 6.34.0.54 04.03.2006 no virus found BitDefender 7.2 04.03.2006 no virus found CAT-QuickHeal 8.00 03.31.2006 no virus found ClamAV devel-20060202 04.03.2006 Trojan.Ciadoor.13.I DrWeb 4.33 04.03.2006 Trojan.KeyLogger.88 eTrust-InoculateIT 23.71.118 04.02.2006 no virus found eTrust-Vet 12.4.2146 04.03.2006 no virus found Ewido 3.5 04.03.2006 Backdoor.Ciadoor.13 Fortinet 2.71.0.0 04.03.2006 W32/Ciadoor.V13-bdr F-Prot 3.16c 03.30.2006 no virus found Ikarus 0.2.59.0 04.01.2006 Backdoor.Win32.Ciadoor.13 Kaspersky 4.0.2.24 04.03.2006 Backdoor.Win32.Ciadoor.13 McAfee 4731 03.31.2006 BackDoor-ASB.gen NOD32v2 1.1467 04.02.2006 a variant of Win32/Ciadoor.13 Norman 5.90.15 03.31.2006 no virus found Panda 9.0.0.4 04.02.2006 Suspicious file Sophos 4.04.0 04.03.2006 Troj/Ciadoor-K Symantec 8.0 04.03.2006 no virus found TheHacker 5.9.7.124 04.03.2006 no virus found UNA 1.83 03.30.2006 no virus found VBA32 3.10.5 04.03.2006 no virus found Der von Online Maleware scann scheint noch nicht fertig zu sein. |
Damit haben wir es schwarz auf weiß (oder schwarz auf gelb): Der hier ist kein guter nicht! Damit kann ich Dir nur raten, Rene-gads Tipp zum neu Aufsetzen schnellstens nachzukommen! stupormundi |
kk dann mach ich das wohl |
Hallo hatte das selbe problem und habe es inzwischen gelöst ausser das bei mir imer noch nicht die systemwiederherstellung geht kann mir bitte jemand sagen wie das geht aber nicht sagen ich soll meine platte neu aufsetzten darauf hab ich kein bock also nur posten wenn es jemand weis oder ideen hat. Ganz normal kann ich es nicht aktivieren weil beim arbeitsplatzt die karteikästchen fehlt. |
Hallo, Zitat:
Zitat:
Zitat:
Zitat:
Du mußt neu aufsetzen ! :daumenhoc Irrlicht |
Ich habe das problem gelöst und zwar das das ding auf meinem rechner war und das systemwiederherstellung nicht geht ist ein anderes problem jetzt und noch was wenn man es so deaktivieren kan wie das scheiss :pukeface: ding gemacht hat kann man es auch bestimmt wieder aktivieren. Jetzt will ich wissen wie es geht.:mad: |
Hallo, Zitat:
Zitat:
Irrlicht |
Hallo an alle, bin noch relativ neu auf diesem Gebiet, bei mir zeigt der Rechner bei Neustart an das die scvhost.exe fehlt. Nun :sword2: ich seit geraumer Zeit mit dem Rechner aber mir fehlt einfach das Know-How, habe auch im Netz nichts passendes gefunden! Ein wenig Hilfe wäre echt nett!! Danke im Voraus |
Zitat:
2.) Hättest du den Thread von Anfang an gerlesen wüßtest du was die scvhost.exe bedeutet 3.) Daher liegt eine Kompromittierung deines Betriebssystems vor. 4.) Das heisst wiederum jenes! 5.) Eine andere Lösung ist ausgeschlossen. 6.) Folgen bei keiner Neuinstallation können zu hohen Geldstrafen und Gefängniss führen. 7.) WARUM dein Betriebssystem wird durch Dritte genützt die zB. strafrechtliche Dateien auf deinem Rechner ablegen können oder deinen Rechner für Angriffe auf andere Rechner benutzen. |
Danke für die mehr oder weniger freundliche Hilfe, war allerdings schneller und hab doch noch was gefunden!!! trotzdem Danke |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:10 Uhr. |
Copyright ©2000-2025, Trojaner-Board