Komischer virus

[doped]

Hi
Ich habe mir einen Virus gestern eingefangen. Weiß nun nicht wie ich ihn weg bekomme. Hier die Symptome:
- Wen ich virencheck mit antivir machen will bricht er den immer ab so nach 10 Sekunden (fenster schließt sich automatisch)
- Taskmanager, eingabeaufforderung u. regedit sind gesperrt, angeblich vom Admin. Diese Einstellung kann man ja anscheinend im regedit rückgängig machen, aber da komme ich ja nicht rein
- im Abgesicherten Modus geht alles (solang ich mich da nicht unter mienem normalen Konto anmelde sondern unter 'Administrator'), aber da findet Antivir nicht wirklich was und da weiß ich nicht, wie ich regedit etc wieder freigeschaltet bekomme (weil wäre ja im anderen konto)


Wie bekomme ich das ganze wieder weg? Verzweifele hier irgendwie


OS ist Windows XP Sp2



MfG
doped04

[LasMiranda]

Hijackthis-Log?

Wenn die Datei gelöscht wird, dann umbenennen

[doped]

Hier. Muss dazu sagen, dass ich neben antivir mal versucht hatte mcaffee zu installieren. Daher läuft das noch im Hintergrund.

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 13:24:54, on 19.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe
C:\PROGRA~1\McAfee\MSC\mclogsrv.exe
C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
C:\PROGRA~1\McAfee\MSC\mctskshd.exe
C:\PROGRA~1\McAfee\MSC\mcusrmgr.exe
C:\WINDOWS\Explorer.exe
C:\Programme\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Mixer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Pulse\Pulse.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Copernic Desktop Search\CopernicDesktopSearch.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Miranda IM\miranda32.exe
C:\PROGRA~1\McAfee\MSC\mcregist.exe
C:\Programme\IC3\nb.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programme\Mozilla Firefox 2 Beta 1\firefox.exe
c:\programme\mcafee\msc\mcuimgr.exe
C:\DOKUME~1\ich\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R3 - URLSearchHook: (no name) - {83B79436-C1A7-427B-B40D-689E9CC71FAE} - C:\PROGRA~1\COPERN~1\COPERN~3.DLL
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Copernic Desktop Search - {C5F7A735-70F1-477F-8C36-6FF3C736017B} - C:\Programme\Copernic Desktop Search\CopernicDesktopSearchIntegration977.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Pulse] C:\Programme\Pulse\Pulse.exe -splash
O4 - HKCU\..\Run: [Copernic Desktop Search] "C:\Programme\Copernic Desktop Search\CopernicDesktopSearch.exe" /tray
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Miranda IM.lnk = C:\Programme\Miranda IM\miranda32.exe
O4 - Startup: Notesbrowser.lnk = C:\Programme\IC3\nb.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/...an_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://a516.g.akamai.net/f/516/25175...at-no-eula.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Seek...bridge-c24.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McAfee Log Manager (McLogManagerService) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mclogsrv.exe
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
O23 - Service: McAfee Task Scheduler (mctskshd.exe) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mctskshd.exe
O23 - Service: McAfee User Manager (mcusrmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcusrmgr.exe
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe

[LasMiranda]

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe

Systemwiederherstellung deaktivieren, diese Datei beenden und löschen/verschieben. Wichtig: Genau auf den Dateinamen achten, dass nicht svchost.exe gelöscht/verschoben wird
Wenn diese Datei erkannt werden soll, dann brauch ich die, oder du schickst die selbst ein.

McAfee ist genauso dumm wie "Norton". Kaspersky wäre da die bessere Wahl gewesen. Haben sowohl Online- als auch Offlinescan.

EDIT: Was war eigentlich zu erst: IE oder Fx, weil der IE nicht mehr ging? Fx ist übrigens "leicht" veraltet und ist damit nicht besser, als IE-Nutzung

[doped]

Welche Dateien soll ich denn genau entfernen? Systemwiederherstellung ist deaktiviert.

[doped]

Zitat:

Zitat von LasMiranda

EDIT: Was war eigentlich zu erst: IE oder Fx, weil der IE nicht mehr ging? Fx ist übrigens "leicht" veraltet und ist damit nicht besser, als IE-Nutzung

Wie meinst du das? IE nutze ich generell nicht, nur für die onlinescans (weil die activex brauchen). ansonsten nutze ich Firefox 2.0 (die finale Version, keine Beta^^)

[LasMiranda]

Zitat:

Zitat von doped04

Wie meinst du das?...

der IE ist in der Liste, der ausgeführten Dateien
Trotzdem ist der Firefox veraltet und sollte aktualisiert werden

EDIT: und diese Datei muss weg, aber es wäre sicherlich besser, wenn diese Datei auch bei anderen erkannt wird, wofür ich die bräuchte (pw-geschützes zip- oder rar-archiv an muahahahaha [%=@], PW dann in Mail), oder du die selbst einschicken müsstest
-> C:\WINDOWS\system32\scvhost.exe <-

[doped]

Zitat:

Zitat von LasMiranda

der IE ist in der Liste, der ausgeführten Dateien
Trotzdem ist der Firefox veraltet und sollte aktualisiert werden

Der IE wird aktuell aber nicht ausgeführt (hab nur den explorer offen, aber keine internetseiten. IE nutze ich eig nie)
Firefox ist auf dem neusten Stand. Das Verzeichnis heißt wohl noch Beta1, aber das programm ist aktuell (Gerade nochmal geschaut, gibt keine Updates)

EDIT: Achso nochwas, der schaltet die windowsfirewall übrigens ständig aus. Hab aber noch eine im router, daher denke ich ist das nicht soo schlimm.

[LasMiranda]

Das mit der Firewall, die in dem Falle sowas von sinnlos ist, aber gut, ist normal, schließlich soll der Rechner ja ja für weitere Zwecke erweitert werden und da stört diese nur

Und nochmal nen Zitat, falls das untergegangen ist:

Zitat:

Zitat von LasMiranda

...EDIT: und diese Datei muss weg, aber es wäre sicherlich besser, wenn diese Datei auch bei anderen erkannt wird, wofür ich die bräuchte (pw-geschützes zip- oder rar-archiv an ichhassespam%mc-dd.de [%=@], PW dann in Mail), oder du die selbst einschicken müsstest
-> C:\WINDOWS\system32\scvhost.exe <-

am besten im abgesicherten Modus machen

[doped]

d.h. ich soll die svchost.exe löschen und dir schicken? Oder wie soll ich das verstehen?
Weil du meintest oben ja ich solle die auf keinen fall löschen, daherh atte ich das noch nicht so ganz verstanden.


Und die Windowsfirewall hatte ich sonst immer an weil ich der vom router eig nicht so vertraue.

[doped]

ah verstanden, hatte den buchstabendreher überlesen mal sehen obs jetzt geht^^

[doped]

Ok scheint soweit behoben, Virenscans etc funktionieren wieder. Danke schonmal!!
Aber wie bekomme ich jetzt wieder zugriff auf regedit, taskmanager und eingabeaufforderung?


MfG
doped04

[Blomberger]

Zitat:

Zitat von doped04

Aber wie bekomme ich jetzt wieder zugriff auf regedit, taskmanager und eingabeaufforderung?

Regedit:
Erstelle mit einem Texteditor eine .reg-Datei und speichere sie auf dem Desktop ab. Diese Datei muss diesen Inhalt haben:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Sy stem]
"DisableRegistryTools"=dword:00000000

Dann diese Datei ausführen und damit sollte die Registry wieder entsperrt sein.

Taskmanager:
Taskmanager sperren / entsperren

Eingabeaufforderung:
Überprüfe diesen Pfad in der Registry:

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"DisableCMD"=dword:00000000

Das musst du auf "0" setzen und speichern.

[doped]

Wenn ich die Datei ausführen will, bekomme ich die Meldung "Das Ändern der Registrierung wurde vom Administrator gesperrt"

So gehts also net. Ich käme von nem anderen Benutzerkonto aus an die Reg dran (im abgesicherten Modus) aber weiß net ob mir das was bringt^^

[Blomberger]

Zitat:

Zitat von doped04

Wenn ich die Datei ausführen will, bekomme ich die Meldung "Das Ändern der Registrierung wurde vom Administrator gesperrt"

Dann mal das hier testen:
Start der Registry