|
scvhost.exeHijackThis
2. gehe in die Registry...du müsstest nun eigentlich wieder in die Registry kommen.... Start -> Ausführen --> regedit »»» HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen) DisableRegistryTools = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen) »»» HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD (Ohne den Schlüssel Policies) Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn. »»» HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\ - disablecad -> löschen Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein 3. Klick - Start - Ausführen schreibe Services.msc und Klick OK! "Eigenschaften" >> Click "Stop">> Starttyp "deaktiviert" Windows-Firewall/Gemeinsame Nutzung der Internetverbindung 4. Start > Ausführen > mmc > Datei > Snapin hinzufügen > Hinzufügen > Gruppenrichtlinien auswählen > hinzufügen > Fertig stellen > schließen > ok >Benutzerkonfiguration > Aministrative Vorlagen > System > Doppleklick auf "Zugriff auf Eingabeaufforderung verhindern" > deaktivieren > OK > alle Fenster schliessen > neu anmelden > an der Kommandozeile 5. datfindbat Verzeichnis von C:\WINDOWS\system32 17.03.2006 19:25 65.686 ckl009.dat 17.03.2006 16:03 163.328 wsock32.sys 16.03.2006 15:24 5.300.271 FmS137q14n.ini --> kann auch andere Zahlen/Nummernfolge haben 6. Beispiel (weil die ini variiert.....in diesem Fall ist es: FmS137q14n.ini Avenger (Beispiel)
7. Regsearch in: "Enter search strings" (reinschreiben oder reinkopieren) scvhost in edit und klicke "Ok". Notepad wird sich öffnen -
8. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken 9. Gehe in die Registry Start --> Ausführen --> regedit bearbeiten --> suchen * Generic Host Process * scvhost * FmS137q14n.ini (kann auch andere Zahlen/Nummernfolge haben) lösche alles , was noch vorhanden ist. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] "Generic Host Process" [HKEY_USERS\S-1-5-21-329068152-1659004503-839522115-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run] "Generic Host Process" [HKEY_CURRENT_USER\Software\VB and VBA Program Settings] set\ set\ set\ FmS137q14n.ini (kann auch andere Zahlen/Nummernfolge haben) - loeschen 10. Onlinescan - Kaspersky C:\avenger\backup.zip --> löschen C:\avenger\backup.zip/avenger/FmS137q14n.ini - Infected: Backdoor.Win32.Ciadoor.13 (BackDoor-ASB.gen trojan) C:\avenger\backup.zip/avenger/scvhost.exe - Infected: Backdoor.Win32.Ciadoor.13 C:\avenger\backup.zip/avenger/wsock32.sys 11. Die XP-Firewall wieder aktivieren [Windows-Firewall/Gemeinsame Nutzung der Internetverbindung] http://www.wintotal.de/Tipps/Eintrag.php?TID=1157
anderer PC HijackThis R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\7X9eRXc4pY.ini C:\WINDOWS\system32\wsock32.sys C:\WINDOWS\system32\scvhost.exe C:\WINDOWS\system32\ckl009.dat C:\WINDOWS\C:\WINDOWS\System32\svchost.exe anderer PC C:\WINDOWS\system32\scvhost.exe C:\WINDOWS\system32\t1gPWG2PZ1.ini C:\WINDOWS\system32\wsock32.sys anderer PC C:\WINDOWS\System32\wsock32.sys infected by "Backdoor.Win32.Ciadoor.13" C:\WINDOWS\System32\scvhost.exe infected by "Backdoor.Win32.Ciadoor.13" C:\WINDOWS\System32\NziLv9b679.ini infected by "Backdoor.Win32.Ciadoor.13" C:\DOKUME~1\ALLGEM~1\LOKALE~1\TEMPOR~1\Content.IE5\X4SJHLK9\Fix[1].exe infected by "Backdoor.Win32.Ciadoor.13" anderer PC Verzeichnis von C:\WINDOWS\system32 25.12.2005 20:10 163.328 wsock32.sys 21.12.2005 22:38 53.248 cjpg.dll -> Cjpg.dll plugin is used now for captures (cuts servers size & faster compression) 21.12.2005 22:37 555.537 h6uDKU7E56.ini 21.12.2005 18:07 9.522 ckl009.dat 21.12.2005 17:55 182 del32.bat 21.12.2005 17:55 163.328 wsock.sys 21.12.2005 17:51 239.881 winrundll32.exe 21.12.2005 17:07 231.899 RuW16vZhM8.ini 21.12.2005 16:52 231.899 JrW258u36r.ini anderer PC Verzeichnis von C:\WINDOWS\system32 18.03.2006 21:11 45.056 WNASPI32.DLL 18.03.2006 20:47 8.841 ckl009.dat 18.03.2006 19:58 108 del32.bat 17.03.2006 23:30 32 getfile.dat anderer PC datfindbat Verzeichnis von C:\WINDOWS\system32 09.04.2006 19:43 422.635 ckl009.dat 09.04.2006 19:22 534 ahdp.dat 09.04.2006 19:19 163.328 wsock32.sys 04.04.2006 12:10 184.352 scvhost.exe 04.04.2006 12:10 184.352 r15o922UXD.ini 15.03.2006 19:55 87.561 ahdp.dll C:\!KillBox\r15o922UXD.ini Infected: Backdoor.Win32.Ciadoor.13 skipped C:\!KillBox\scvhost.exe Infected: Backdoor.Win32.Ciadoor.13 skipped C:\!KillBox\wsock32.sys Infected: Backdoor.Win32.Ciadoor.13 skipped anderer PC Verzeichnis von C:\WINDOWS\system32 15.04.2006 17:27 163.328 wsock32.sys 13.04.2006 20:49 19.456 cewmdmb.dll 13.04.2006 19:40 183 imon1.dat 13.04.2006 09:43 819.233 ckl009.dat 05.04.2006 18:13 184.352 r15o922UXD.ini 05.04.2006 18:13 184.352 scvhost.exe 05.04.2006 18:13 166 del32.bat 05.04.2006 17:37 1.904 lvcoinst.log anderer PC Verzeichnis von C:\WINDOWS\system32 09.04.2006 20:53 310.283 ckl009.dat 09.04.2006 14:15 163.328 lollol.sys -> neue Variante 07.04.2006 23:19 142 del32.bat 05.02.2006 13:56 37 getfile.dat Verzeichnis von C:\ 31.10.2005 17:56 700.416 StubInstaller.exe ............................................... Download Registry Search by Bobbi Flekman: regsearch und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben) lollol.sys in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab
anderer PC C:\WINDOWS\system32\ckl009.dat C:\WINDOWS\system32\wsock32.sys C:\WINDOWS\system32\del32.bat C:\WINDOWS\system32\cs_office.wad -> neu C:\WINDOWS\system32\4M5tgM6Y2n.ini C:\WINDOWS\system32\scvhost.exe datfindbat Verzeichnis von C:\WINDOWS\system32 18.04.2006 23:33 92.087 ckl009.dat 18.04.2006 23:25 163.328 wsock32.sys 15.04.2006 20:28 184 del32.bat 15.04.2006 20:28 3.405.860 cs_office.wad 06.02.2006 16:16 3.495.338 4M5tgM6Y2n.ini 06.02.2006 16:16 3.495.338 scvhost.exe anderer PC HijackThis F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvvhost.exe F3 - REG:win.ini: load=C:\WINDOWS\system32\scvvhost.exe F3 - REG:win.ini: run=C:\WINDOWS\system32\scvvhost.exe O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvvhost.exe O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvvhost.exe datfindbat Verzeichnis von C:\WINDOWS\system32 10.05.2006 15:33 163.328 wsock32.sys 02.05.2006 14:52 184.339 scvvhost.exe 02.05.2006 14:52 184.339 qcmoz1e782.ini anderer PC HijackThis R3 - Default URLSearchHook is missing F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe O2 - BHO: N.Cs4 - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - C:\WINDOWS\system32\wsock32.sys O2 - BHO: (no name) - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - (no file) O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file) O4 - HKLM\..\Run: [ist service uninstall] C:\WINDOWS\mssys.exe /u O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O20 - Winlogon Notify: f3dsl - lsd_f3.dll (file missing) O21 - SSODL: System - {B2A551D4-D9C9-42A6-ABD8-9DABF6ACA3E7} - C:\WINDOWS\system32\system32.dll HijackThis konnte nicht alle Einträge löschen. Es kam die Fehlermeldung "Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert." ----------------------------------------------------- http://www.kaspersky.com/de/remoteviruschk.html mssys.exe Komprimiert: ASPack mssys.exe Infiziert: TrojanDownloader.Win32.Donn.o C:\WINDOWS\mssys.exe C:\WINDOWS\sys.exe C:\WINDOWS\msdosdrv.exe http://www.f-secure.com/v-descs/bacros_a.shtml ------------------------------------------------------ HKEY_CURRENT_USER\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}- löschen HKEY_CURRENT_USER\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}- löschen HKEY_CURRENT_USER\N.Cs4 - loeschen Avenger
Backdoor.CIADoor.13 HKEY_CURRENT_USER\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39} HKEY_CURRENT_USER\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\ProxyStubClsid HKEY_CURRENT_USER\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3} HKEY_CURRENT_USER\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\HELPDIR HKEY_CURRENT_USER\N.Cs4 HKEY_CURRENT_USER\N.Cs4\Clsid ---------------- Troj/Ciadoor-CB HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C} HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C} HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39} HKCR\N.Cs4\ HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3} HKCU\Software\VB and VBA Program Settings\set\set set AlVXIlNdgm.ini anderer PC Virus:Bck/Ciadoor.H -> C:\WINDOWS\system32\cjpg.dll -> Cjpg.dll plugin is used now for captures (cuts servers size & faster compression) Virus:Bck/Ciadoor.X -> C:\WINDOWS\system32\EqZBmqs346.ini Virus:Bck/Ciadoor.X -> C:\WINDOWS\system32\wsock32.sys HKLM\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C} -> Trojan.Ciadoor.m HKU\S-1-5-21-57989841-152049171-725345543-1003\Software\Microsoft\Windows\CurrentVersion\ Ext\Stats\{E14DCE67-8FB7-4721-8149-179BAA4D792C} -> Trojan.Ciadoor.m Server: dropped files: c:\WINDOWS\system32\ckl009.dat size: 224 bytes c:\WINDOWS\system32\DlQ936o14m.ini size: 54.847 bytes c:\WINDOWS\system32\scvhost.exe size: 54.847 bytes c:\WINDOWS\system32\wsock32.sys size: 163.328 bytes port: 6333, 6334, 6335 TCP added to registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Generic Host Process" data: C:\WINDOWS\System32\scvhost.exe HKEY_CURRENT_USER\Software\VB and VBA Program Settings\set\set HKEY_CLASSES_ROOT\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\InprocServer32 HKEY_CLASSES_ROOT\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\ProgID HKEY_CLASSES_ROOT\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\TypeLib HKEY_CLASSES_ROOT\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\VERSION HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\ProxyStubClsid HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\ProxyStubClsid32 HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\TypeLib HKEY_CLASSES_ROOT\N.Cs4\Clsid HKEY_CLASSES_ROOT\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\0\win32 HKEY_CLASSES_ROOT\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\FLAGS HKEY_CLASSES_ROOT\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\HELPDIR HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects 2 Methods of Fwb ( Firewall Bypass ) - Spyware Method ( Uses a common method performed by various spyware applications to try and bypass software firewalls ) - DLL Injection ( Injects server as a DLL in to a trusted process to try and bypass software firewalls ) - Choose Fwb Into IE or Explorer - Choose Injected DLL name Plugin Engine Smaller Server ( As Small as 52 kb compressed + 171 kb uncompressed Cjpg.dll plugin is used now for captures (cuts servers size + faster compression) 
# HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{44BBA855-CC51-11CF-AAFA-00AA00B6017B} # HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{44BBA855-CC51-11CF-AAFA-00AA00C7170S} anderer PC datfindbat Verzeichnis von C:\WINDOWS\system32 10.04.2006 17:16 208.524 ckl009.dat 10.04.2006 16:27 75 wklck.dat 10.04.2006 16:27 78 mslck.dat 10.04.2006 13:34 163.328 wsock32.sys 09.04.2006 18:29 186.497 scvhost.exe 09.04.2006 18:29 186.497 5ZI4VzAqtz.ini anderer PC Zitat: Hab gestern auf ner Tauschbörse dummerweise ne .exe-Datei geöffnet,ohne sie zuvor mit meinem AntiVir zu checken.Beim Ausführen flackerte mein Monitor kurz auf datfindbat Verzeichnis von C:\WINDOWS\system32 04.06.2006 22:44 15.557 ckl009.dat 04.06.2006 21:04 163.328 wsock32.sys 04.06.2006 20:58 186.392 senqa2g892.ini ----------------------------------- Gehe in die Registry Start --> Ausführen --> regedit bearbeiten --> suchen * Generic Host Process * scvhost * senqa2g892.ini loesche alles , was noch vorhanden ist. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] "Generic Host Process" [HKEY_CURRENT_USER\Software\VB and VBA Program Settings] set\ set\ set\ senqa2g892.ini ------------------------------ HKEY_CURRENT_USER\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3} HKEY_CURRENT_USER\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39} Avenger (Beispiel)
** Klick Start>> Ausführen>> schreibe Services.msc und Klick OK! "Eigenschaften" >> Click "Stop">> Starttyp "deaktiviert" Windows-Firewall/Gemeinsame Nutzung der Internetverbindung ** öffne das HijackThis -- Button "scan" -- vor Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\system32\svchost.exe ** Die XP-Firewall wieder aktivieren [Windows-Firewall/Gemeinsame Nutzung der Internetverbindung] http://www.wintotal.de/Tipps/Eintrag.php?TID=1157 disabled die Systemwiederherstellung komplett über einen Eintrag im CurrentControlSet/Services/Start (0 für Aktiv, 4 für ausgeschaltet), DisableSR und DisableConfig sind daher "wirkungslos". anderer PC datfindbat Verzeichnis von C:\WINDOWS\system32 27.06.2006 23:11 163.328 wsock32.sys 27.06.2006 17:30 4.096 crash 24.06.2006 07:23 1.253.393 EQACNqShkr.ini 24.06.2006 07:23 1.253.393 scvhost.exe 16.06.2006 20:50 32.768 ycrwin32.dll 16.06.2006 20:23 248 del32.bat 30.05.2006 17:11 0 taskkill.exe anderer PC HijackThis F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe O3 - Toolbar: GVDownloader - {ae4df123-9140-4f93-9b32-ff0186389cc3} - mscoree.dll (file missing) O4 - HKLM\..\Run: [SVCHOST32] c:\svchost32.exe O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe O4 - HKLM\..\Run: [Winexess] C:\WINDOWS\system32\server.exe O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe O4 - HKCU\..\Run: [Winexess] C:\WINDOWS\system32\server.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 -------------------------------------------------------------------- C:\WINDOWS\system32\server.exe + c:\windows\system32\drivers\oreans32.sys Fortinet 2.77.0.0 07.01.2006 suspicious Norman 5.90.21 06.30.2006 Bifrose.D datfindbat Verzeichnis von C:\WINDOWS\system32 02.07.2006 09:28 60.192 SysPr.prx 02.07.2006 08:49 51.733 plugin1.dat 01.07.2006 12:14 163.328 wsock32.sys 01.07.2006 12:09 174.852 ckl009.dat 29.06.2006 05:54 172 del32.bat 27.06.2006 07:38 13 WinSys32.crc 22.06.2006 19:34 1.262.274 server.exe Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp 02.07.2006 08:54 193 uis1E.bat 02.07.2006 08:54 0 uis1E.tmp 02.07.2006 08:54 917.504 MFPL7014.DLL HKEY_CURRENT_USER\Software\NirSoft HKEY_CLASSES_ROOT\N.Cs4 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Winexess HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr Avenger (Beispiel)
Counterspy Infected files detected (Alien Spy RAT) c:\winnt\system32\server.exe (Ciadoor Backdoor) C:\WINNT\system32\wsock32.sys Infected registry entries detected HKEY_CURRENT_USER\Software\NirSoft\MessenPass HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Winexess HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Winexess HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools 1 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr 1 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen
Gehe in die Registry Start - Ausführen - regedit bearbeiten - suchen - Winexess und server.exe loesche alles, was du findest ! z.B: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Winexess --loeschen bearbeiten - suchen - scvhost.exe-> pass auf, dass du dich nicht irrst...es ist scvhost.exe z.b: [HKEY_USERS\S-1-5-21-1202660629-838170752-839522115-1004\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run] "Generic Host Process"="C:\\WINDOWS\\system32\\scvhost.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp -> Disabled 0 = DOS-Anwendungen können unter Windows gestartet werden. 1 = DOS-Anwendungen sind unter Windows gesperrt. 
"Die Eingabeaufforderung ist vom Administrator deaktiviert worden. Drücken sie eine beliebige Taste...." Start - Ausführen - regedit HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD (Ohne den Schlüssel Policies) Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn. + [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system - disablecad Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein c:\windows\system32\drivers\oreans32.sys HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32\Security Security HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32\Enum 0 Root\LEGACY_OREANS32\0000 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32\Enum Count 1 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32\Enum NextInstance 1 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32 Type 1 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32 Start 1 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32 ErrorControl 1 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32 ImagePath \??\C:\WINDOWS\system32\drivers\oreans32.sys HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32 DisplayName oreans32 HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore\ "DisableSR"=dword:00000001 -> Schluessel loeschen oder in 0 aendern "DisableConfig"=dword:00000001 Schluessel loeschen oder in 0 aendern C:\WINDOWS\system32\wsock32.sys HKEY_CLASSES_ROOT\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C} HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39} HKEY_CLASSES_ROOT\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3} HKEY_CLASSES_ROOT\N.Cs4 Verzeichnis von c:\mIRC\download 07.06.2006 22:42 97.280 svchost.exe 1 Datei(en) 97.280 Bytes Verzeichnis von C:\WINDOWS\system32 06.06.2006 21:44 97.280 server3.exe - HEUR/Crypted,BehavesLike:Win32.IRC-Backdoor,W32/Prorat.BY@bd, Backdoor.Win32.G_Spot.20 HijackThis F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe O4 - HKLM\..\Run: [VideoDriver] C:\WINDOWS\system32\svchost.exe O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 http://www.avira.com/de/threats/section/fulldetails/id_vir/2350/bds_ciadoor.bo.html Kopien seiner selbst werden hier erzeugt: %SYSDIR%\tz2L7ah3Pa.ini %SYSDIR%\Directx.exe anderer PC Verzeichnis von C:\WINDOWS\system32 13.04.2006 20:49 19.456 cewmdmb.dll 13.04.2006 19:40 183 imon1.dat 13.04.2006 09:43 819.233 ckl009.dat 05.04.2006 18:13 184.352 r15o922UXD.ini 05.04.2006 18:13 184.352 scvhost.exe 05.04.2006 18:13 166 del32.bat anderer Rechner HKEY_CLASSES_ROOT\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C} HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39} HKEY_CLASSES_ROOT\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3} HKEY_CLASSES_ROOT\N.Cs4 HKEY_CLASSES_ROOT\N.Cs4 N.Cs4 Avenger (Beispiel)
|
©virus-protect.org
