#1 18. Dezember 2006 ich kann meine registrierdatenbank nichtmehr öffnen und meinen teskmanager auch nicht mehr da die fehler meldung kommt, das beides durch den administrator deaktiviert worden ist. ich bin mir aber sicher dass ich das nicht getan habe. ist das ein virus ? wenn ja mit welchem toll bekomme ich den weg ?
#2 18. Dezember 2006 AW: [hilfe] evtl. virus ? poste mal den hijackthis log. [G]taskmanager deaktiviert[/G]
#3 18. Dezember 2006 AW: [hilfe] evtl. virus ? solange wir nicht wissen, welcher virus das ist, ... schau mal in meine signatur in der spotting faq den ersten punkt an. dann poste hier ein hijackthislogfile und scanne danach deinen pc mit escan, so wie es dort beschrieben steht. links zu den programmen und anleitungen gibt es auch dort mfg
#4 18. Dezember 2006 AW: [hilfe] evtl. virus ? mein hjlog: Logfile of HijackThis v1.99.1 Scan saved at 14:48:42, on 18.12.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.exe C:\Programme\internet explorer\iexplore.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\internet explorer\iexplore.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\Drivers\bwcsrv.exe C:\WINDOWS\system32\ZoneLabs\isafe.exe C:\WINDOWS\System32\svchost.exe C:\mysql\bin\mysqld-nt.exe C:\WINDOWS\System32\PAStiSvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\ArcorOnline\Arcor.exe C:\Programme\meineexplorer\firefox.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Aone\LOKALE~1\Temp\RarSFX7\BASIC\setup.exe C:\Dokumente und Einstellungen\Aone\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Startseite - Arcor Magazin R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Startseite - Arcor Magazin R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Startseite - Arcor Magazin R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Startseite - Arcor Magazin R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Startseite - Arcor Magazin R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Startseite - Arcor Magazin R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\Aone\LOKALE~1\Temp\delus.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BTTray.lnk = ? O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'avsda.dll' missing O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129888968484 O17 - HKLM\System\CCS\Services\Tcpip\..\{1069E3CF-D447-4AF0-9E98-62FBB592738C}: NameServer = 195.50.140.178 195.50.140.114 O17 - HKLM\System\CS1\Services\Tcpip\..\{1069E3CF-D447-4AF0-9E98-62FBB592738C}: NameServer = 195.50.140.178 195.50.140.114 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe (file missing) O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe (file missing) O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe (file missing) O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: BUFFALO Wireless Configuration Service (bwcsrv) - Unknown owner - C:\WINDOWS\system32\Drivers\bwcsrv.exe O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: MySql - Unknown owner - C:\mysql\bin\mysqld-nt.exe O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
#5 18. Dezember 2006 AW: [hilfe] evtl. virus ? ich hab mir nur mal die kurzauswertung angesehen jede datei, die hier genannt ist bei jotti oder virustotal testen, wie es in der anleitung steht, testegebnisse hier posten C:\Programme\Windows Media Player\WMPNSCFG.exe - Unbekannt C:\WINDOWS\system32\Drivers\bwcsrv.exe - Unbekannt C:\WINDOWS\System32\PAStiSvc.exe - Unbekannt F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe - Unbekannt F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe - Unbekannt F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe - Unbekannt O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe - Unbekannt O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S - Unbekannt O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe - Böse O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe - Böse O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\Aone\LOKALE~1\Temp\delus.exe - Unbekannt O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe - Unbekannt O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 - Böse O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) - Eventuell Böse O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) - Eventuell Böse O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab - Eventuell Böse O17 - HKLM\System\CCS\Services\Tcpip\..\{1069E3CF-D447-4AF0-9E98-62FBB592738C}: NameServer = 195.50.140.178 195.50.140.114 - Eventuell Böse O17 - HKLM\System\CS1\Services\Tcpip\..\{1069E3CF-D447-4AF0-9E98-62FBB592738C}: NameServer = 195.50.140.178 195.50.140.114 - Eventuell Böse O23 - Service: BUFFALO Wireless Configuration Service (bwcsrv) - Unknown owner - C:\WINDOWS\system32\Drivers\bwcsrv.exe - Unbekannt O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe - Unbekannt bei einträgen wo (file missing) hinter steht wirst du wahrscheinlich keine datei finden, trotzdem solltest du nach ihnen suchen. meistens gibt es noch "backups" von ihnen woanders und ich verweise nochmal am meine faq. erster eintrag, dort findest du die links zu jotti und virustotal. mfg
#6 18. Dezember 2006 AW: [hilfe] evtl. virus ? hast du wlan? C:\WINDOWS\system32\Drivers\bwcsrv.exe (BUFFALO Wireless Configuration Driver. WLAN Aadpter) hier 3 schädlinge: F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe (eine gute Anleitung zum Entfernen dieses Etwases: Backdoor Ciadoor) F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe (This is the \"loading registry\" to open the \"W32/Agobot-S-virus\" Dies is die Lade-Datei in der Registry, welche den \"W32-Agobot-S-virus\" zum Systemstart lädt!) F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe (das selbe nochmal) O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe (infiziert) O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe (infiziert) O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\Aone\LOKALE~1\Temp\delus.exe (was ist das? wenn du es nicht kennst, dann fixen!) O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 (deswegen kommste nichmehr in die registry!) O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) (unnötig: ralplayer plugin für internet explorer) O23 - Service: BUFFALO Wireless Configuration Service (bwcsrv) - Unknown owner - C:\WINDOWS\system32\Drivers\bwcsrv.exe (siehe 1. punkt)