[hilfe] evtl. virus ?

Dieses Thema im Forum "Windows" wurde erstellt von DJ_xAnDeR, 18. Dezember 2006 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  1. #1 18. Dezember 2006
    ich kann meine registrierdatenbank nichtmehr öffnen und meinen teskmanager auch nicht mehr da die fehler meldung kommt, das beides durch den administrator deaktiviert worden ist. ich bin mir aber sicher dass ich das nicht getan habe. ist das ein virus ? wenn ja mit welchem toll bekomme ich den weg ?
     

  2. Anzeige
    Dealz: stark reduzierte Angebote finden.
  3. #2 18. Dezember 2006
    AW: [hilfe] evtl. virus ?

    poste mal den hijackthis log.

    [G]taskmanager deaktiviert[/G]
     
  4. #3 18. Dezember 2006
    AW: [hilfe] evtl. virus ?

    solange wir nicht wissen, welcher virus das ist, ...

    schau mal in meine signatur in der spotting faq den ersten punkt an.

    dann poste hier ein hijackthislogfile
    und scanne danach deinen pc mit escan, so wie es dort beschrieben steht.

    links zu den programmen und anleitungen gibt es auch dort

    mfg
     
  5. #4 18. Dezember 2006
    AW: [hilfe] evtl. virus ?

    mein hjlog:

    Logfile of HijackThis v1.99.1
    Scan saved at 14:48:42, on 18.12.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\WINDOWS\Explorer.exe
    C:\Programme\internet explorer\iexplore.exe
    C:\Programme\Analog Devices\Core\smax4pnp.exe
    C:\Programme\Analog Devices\SoundMAX\Smax4.exe
    C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
    C:\Programme\Windows Media Player\WMPNSCFG.exe
    C:\Programme\internet explorer\iexplore.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
    C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
    C:\WINDOWS\system32\Drivers\bwcsrv.exe
    C:\WINDOWS\system32\ZoneLabs\isafe.exe
    C:\WINDOWS\System32\svchost.exe
    C:\mysql\bin\mysqld-nt.exe
    C:\WINDOWS\System32\PAStiSvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Programme\ArcorOnline\Arcor.exe
    C:\Programme\meineexplorer\firefox.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Programme\WinRAR\WinRAR.exe
    C:\DOKUME~1\Aone\LOKALE~1\Temp\RarSFX7\BASIC\setup.exe
    C:\Dokumente und Einstellungen\Aone\Desktop\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Startseite - Arcor Magazin
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Startseite - Arcor Magazin
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Startseite - Arcor Magazin
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Startseite - Arcor Magazin
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Startseite - Arcor Magazin
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Startseite - Arcor Magazin
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
    F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
    F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
    O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
    O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
    O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
    O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\Aone\LOKALE~1\Temp\delus.exe
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: BTTray.lnk = ?
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
    O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
    O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
    O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129888968484
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1069E3CF-D447-4AF0-9E98-62FBB592738C}: NameServer = 195.50.140.178 195.50.140.114
    O17 - HKLM\System\CS1\Services\Tcpip\..\{1069E3CF-D447-4AF0-9E98-62FBB592738C}: NameServer = 195.50.140.178 195.50.140.114
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe (file missing)
    O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
    O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe (file missing)
    O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe (file missing)
    O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
    O23 - Service: BUFFALO Wireless Configuration Service (bwcsrv) - Unknown owner - C:\WINDOWS\system32\Drivers\bwcsrv.exe
    O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: MySql - Unknown owner - C:\mysql\bin\mysqld-nt.exe
    O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
     
  6. #5 18. Dezember 2006
    AW: [hilfe] evtl. virus ?

    ich hab mir nur mal die kurzauswertung angesehen

    jede datei, die hier genannt ist bei jotti oder virustotal testen, wie es in der anleitung steht, testegebnisse hier posten

    C:\Programme\Windows Media Player\WMPNSCFG.exe - Unbekannt
    C:\WINDOWS\system32\Drivers\bwcsrv.exe - Unbekannt
    C:\WINDOWS\System32\PAStiSvc.exe - Unbekannt
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe - Unbekannt
    F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe - Unbekannt
    F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe - Unbekannt
    O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe - Unbekannt
    O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S - Unbekannt
    O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe - Böse
    O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe - Böse
    O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\Aone\LOKALE~1\Temp\delus.exe - Unbekannt
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe - Unbekannt
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 - Böse
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) - Eventuell Böse
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) - Eventuell Böse
    O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab - Eventuell Böse
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1069E3CF-D447-4AF0-9E98-62FBB592738C}: NameServer = 195.50.140.178 195.50.140.114 - Eventuell Böse
    O17 - HKLM\System\CS1\Services\Tcpip\..\{1069E3CF-D447-4AF0-9E98-62FBB592738C}: NameServer = 195.50.140.178 195.50.140.114 - Eventuell Böse
    O23 - Service: BUFFALO Wireless Configuration Service (bwcsrv) - Unknown owner - C:\WINDOWS\system32\Drivers\bwcsrv.exe - Unbekannt
    O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe - Unbekannt

    bei einträgen wo (file missing) hinter steht wirst du wahrscheinlich keine datei finden, trotzdem solltest du nach ihnen suchen. meistens gibt es noch "backups" von ihnen woanders

    und ich verweise nochmal am meine faq. erster eintrag, dort findest du die links zu jotti und virustotal.


    mfg
     
  7. #6 18. Dezember 2006
    AW: [hilfe] evtl. virus ?

    hast du wlan?

    C:\WINDOWS\system32\Drivers\bwcsrv.exe (BUFFALO Wireless Configuration Driver. WLAN Aadpter)


    hier 3 schädlinge:

    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe (eine gute Anleitung zum Entfernen dieses Etwases: Backdoor Ciadoor)

    F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe (This is the \"loading registry\" to open the \"W32/Agobot-S-virus\" Dies is die Lade-Datei in der Registry, welche den \"W32-Agobot-S-virus\" zum Systemstart lädt!)

    F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe (das selbe nochmal)

    O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe (infiziert)

    O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe (infiziert)

    O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\Aone\LOKALE~1\Temp\delus.exe (was ist das? wenn du es nicht kennst, dann fixen!)

    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 (deswegen kommste nichmehr in die registry!)

    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) (unnötig: ralplayer plugin für internet explorer)

    O23 - Service: BUFFALO Wireless Configuration Service (bwcsrv) - Unknown owner - C:\WINDOWS\system32\Drivers\bwcsrv.exe (siehe 1. punkt)
     

  8. Videos zum Thema
Die Seite wird geladen...
Similar Threads - evtl virus
  1. Antworten:
    4
    Aufrufe:
    1.251
  2. Antworten:
    2
    Aufrufe:
    343
  3. evtl. virus oder trojaner

    die_zarte , 22. März 2007 , im Forum: Windows
    Antworten:
    9
    Aufrufe:
    512
  4. Hab evtl. nen virus

    Aggro Sid , 26. Dezember 2006 , im Forum: Windows
    Antworten:
    3
    Aufrufe:
    328
  5. Antworten:
    5
    Aufrufe:
    519