Komplizierter Virus....

Cyrix · 21.10.2006, 12:19

Moin Moin,

ich habe seit langer Zeit mal wieder (vermutlich) einen Virus eingefangen. Aber ich muss feststellen, dass das Ding ziemlich hartnäckig ist.

Nun ja, zu den Symptomen:
mein Taskmanager lässt sich nicht mehr aktivieren,
regedit ist deaktiviert, ebenso die systemwiederherstellung.
Beim Windows Start öffnet sich automatisch der Papierkorb.
Bei der Windows Ordner Ansicht, stehen die Wörter ON/OFF hinter den Optionen und meine gesamten Leseziehen in Firefox wurden gelöscht, zusätzlich legt sich Firefox in den Vordergrund (zB vor ICQ fenster o.O) und die Prozesse haben sich extrem verlangsamt.

Ich benutze WinXP+SP2 mit Kerio Personal Firewall 4, und Avira AntiVir

Tjoa...so siehts aus...mit xp-antispy konnte ich bereits wieder zugriff auf die regedit erhalten, wodurch ich den Taskmanager wieder ausführen konnte. Aber, fehlanzeige, keine unbekannte .exe -.-. Unter System --> Systemwiederherstellung wurde der Button gegen einen zweiten "automatisches Update" Button ersetzt

AntiVir bricht dazu auch noch im den VirenScan ab, daher hab ichs mal im abgesicherten Modus gestartet, wo es zwar einwandfrei läuft, jedoch keine Viren findet.

Tja ich bin son bisschen überfragt jetzt ^^

Würde mich über schnelle Antworten und Tipps freuen.

Greetz

Cyrix

EazyE · 21.10.2006, 12:32

Hmm, hört sich seltsam an ^^

Lade dir mal Hijackthis und poste das Logfile hier rein.

Cyrix · 21.10.2006, 13:24

Hier die Logfile die Hijackthis angelegt hat:

Zitat:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Wirelwss LAN Utility\TIWLANCu.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\System\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\DriveCrypt Plus Pack\DCPP2Svc.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
D:\Programme\Burn\Alcohol\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Wirelwss LAN Utility\tiwlnsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
D:\Programme\Internet\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
D:\Programme\System\WinRar 3.51\WinRAR.exe
C:\DOKUME~1\CYREAG~1\LOKALE~1\Temp\Rar$EX00.297\Hi jackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\System\Acrobat\ActiveX\AcroIEHelper.d ll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\System\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [TI WLAN] C:\Programme\Wirelwss LAN Utility\TIWLANCu.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DCPPaid] C:\WINDOWS\system32\DCPPaid.exe /P
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\System\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\Internet\ICQLite\ICQLite.exe -trayboot
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Internet\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Internet\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B343E759-4A4B-4E90-A049-CE8B3299D112}: NameServer = 62.72.64.237,62.72.64.241
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: SecurStar DCPPv2 Service (DCPP2Svc) - Unknown owner - C:\Programme\DriveCrypt Plus Pack\DCPP2Svc.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Burn\Alcohol\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TI Wlan Service (tiwlnsvc) - Unknown owner - C:\Programme\Wirelwss LAN Utility\tiwlnsvc.exe

Thx 4 help

Greetz

Cyrix · 21.10.2006, 16:11

sooooo....hab mal avg raufgehauen (auch im abgesicherten modus) und siehe da, was avira AntiVir nicht findet hat avg gleich gemeldet.

Trojan Horse Backdoor.Ciadoor3.AD

Der hat jetzt bei mir die

5U1jqaxjtv.ini (was das? x.x)
scvhost.exe &
wsock32.sys

infiziert.

löschen kann ich den aber irgednwie nicht -.- was sollte man denn nun am besten machen?! ^^

Greetz Cyrix

EazyE · 22.10.2006, 10:57

Diese Einträge solltest du mit Hijackthis im abgesicherten Modus fixen/löschen:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

Und hier noch eine Anleitung:
http://virus-protect.org/artikel/die...sock32sys.html

Cyrix · 23.10.2006, 16:38

Supi! Bin begeistert

es hat geklappt

AVG hat virus platt gemacht, fehlermeldungen der scvhost konnte ich mit hijackthis fixen

Vielen Dank! hast was gut bei mir

Greetz

EazyE · 23.10.2006, 16:54

Kein Problem

Toll, dass es geklappt hat.

Sie betrachten gerade: Komplizierter Virus....

systemwiederherstellung windows 7 abgesicherter modus