mit svchost.exe und copy.exe

  • geschlossen

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • mit svchost.exe und copy.exe

    Guten Abend liebe Community,

    ich bin grad völlig verzweifelt. Vorhin kam ein Kumpel zu mir und hatte seine externe Festplatte mit. Hab mir von ihm mehrere Dateien auf meine interne gezogen. Allerdings sind auch einige Viren dabei mit rübergekommen die ziemlich nervig sind. Mein Antivir hat aber anscheinend alle gefunden und beseitigt. Zumindest wird jetzt bei der Systemscannung nichts mehr angezeigt. Soweit sogut. Allerdings kommt jetzt immer beim Starten von Windows 2 mal die Fehlermeldung das die svchost.exe nicht gefunden bzw geladen werden kann. Also es sind 2 verschiedene Meldungen die aber so ziemlich das selbe aussagen. Naja nervt schon aber könnt ich zur Not ja noch mit Leben. Jedoch bekomme ich wenn auf eine Festplatte oder Partition zugreifen will auf der nicht Windows installiert ist kommt die Fehlermeldung das die Datei copy.exe nicht gefunden werden kann. Diese Datei gehörte aber zu einem der Viren und von daher ist es auch gut das die gelöscht wurde. Meine Fragen sind daher nun:
    1.) Wie bekomme ich die Fehlermeldungen weg und mein System wieder normal zum Laufen?
    2.) Sind die Viren wirklich weg oder haben sie sich nur irgendwo "verkrochen"?

    Ich hoffe es gibt eine Möglichkeit ohne meine ganzen Festplatten zu formatieren, da es schade um die ganzen Daten wäre...
    Und jetzt irgend eine andere externe Festplatte anschließen möchte ich eigentlich auch vermeiden, da ich eben nicht weiß ob die Viren wirklich weg sind und die sich ja anscheinend über das kopieren aktivieren.

    Ich hoffe mal ihr könnt mir helfen...

    mfg
    Antihopper

    PS: Leider bin ich, wie ihr vllt schon gemerkt habt, nicht grad der Beste auf diesem Gebiet also entschuldigt bitte evtl dumme Fragen oder falsche Aussagen.

    PPS: ich füge hier mal das Protokoll des Virenscanns mit ein

    Avira AntiVir Personal
    Erstellungsdatum der Reportdatei: Mittwoch, 28. Januar 2009 20:01

    Es wird nach 1293555 Virenstämmen gesucht.

    Lizenznehmer: Avira AntiVir PersonalEdition Classic
    Seriennummer: 0000149996-ADJIE-0001
    Plattform: Windows XP
    Windowsversion: (Service Pack 3) [5.1.2600]
    Boot Modus: Normal gebootet
    Benutzername: SYSTEM
    Computername: xxx

    Versionsinformationen:
    BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
    AVSCAN.EXE : 8.1.4.10 315649 Bytes 31.12.2008 00:02:24
    AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 12:27:06
    LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 13:44:16
    LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 12:40:42
    ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 00:02:25
    ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 15:52:22
    ANTIVIR2.VDF : 7.1.1.172 958464 Bytes 23.01.2009 15:35:49
    ANTIVIR3.VDF : 7.1.1.195 301568 Bytes 28.01.2009 15:35:50
    Engineversion : 8.2.0.60
    AEVDF.DLL : 8.1.0.6 102772 Bytes 14.10.2008 11:05:56
    AESCRIPT.DLL : 8.1.1.32 340347 Bytes 22.01.2009 15:36:10
    AESCN.DLL : 8.1.1.5 123251 Bytes 31.12.2008 00:02:25
    AERDL.DLL : 8.1.1.3 438645 Bytes 31.12.2008 00:02:25
    AEPACK.DLL : 8.1.3.5 393588 Bytes 11.01.2009 11:14:33
    AEOFFICE.DLL : 8.1.0.33 196987 Bytes 31.12.2008 00:02:25
    AEHEUR.DLL : 8.1.0.86 1552759 Bytes 22.01.2009 15:36:10
    AEHELP.DLL : 8.1.2.0 119159 Bytes 31.12.2008 00:02:25
    AEGEN.DLL : 8.1.1.10 323957 Bytes 17.01.2009 11:24:12
    AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 11:05:56
    AECORE.DLL : 8.1.5.2 172405 Bytes 31.12.2008 00:02:25
    AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 11:05:56
    AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 09:40:02
    AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 10:27:58
    AVREP.DLL : 8.0.0.2 98344 Bytes 31.12.2008 00:02:25
    AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 12:26:37
    AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:19
    AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 13:27:46
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:02
    SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 13:49:36
    NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:07
    RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 14:45:01
    RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 14:32:05

    Konfiguration für den aktuellen Suchlauf:
    Job Name.........................: Vollständige Systemprüfung
    Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
    Protokollierung..................: niedrig
    Primäre Aktion...................: interaktiv
    Sekundäre Aktion.................: ignorieren
    Durchsuche Masterbootsektoren....: ein
    Durchsuche Bootsektoren..........: ein
    Bootsektoren.....................: C:, D:, G:,
    Durchsuche aktive Programme......: ein
    Durchsuche Registrierung.........: ein
    Suche nach Rootkits..............: aus
    Datei Suchmodus..................: Intelligente Dateiauswahl
    Durchsuche Archive...............: ein
    Rekursionstiefe einschränken.....: 20
    Archiv Smart Extensions..........: ein
    Makrovirenheuristik..............: ein
    Dateiheuristik...................: mittel

    Beginn des Suchlaufs: Mittwoch, 28. Januar 2009 20:01

    Der Suchlauf über gestartete Prozesse wird begonnen:
    Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'YzShadow.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'UberIcon Manager.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'XBoxStat.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'vialogsv.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'TUProgSt.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
    Es wurden '37' Prozesse mit '37' Modulen durchsucht

    Der Suchlauf über die Masterbootsektoren wird begonnen:
    Masterbootsektor HD0
    [INFO] Es wurde kein Virus gefunden!
    Masterbootsektor HD1
    [INFO] Es wurde kein Virus gefunden!

    Der Suchlauf über die Bootsektoren wird begonnen:
    Bootsektor 'C:\'
    [INFO] Es wurde kein Virus gefunden!
    Bootsektor 'D:\'
    [INFO] Es wurde kein Virus gefunden!
    Bootsektor 'G:\'
    [INFO] Es wurde kein Virus gefunden!

    Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
    Die Registry wurde durchsucht ( '48' Dateien ).


    Der Suchlauf über die ausgewählten Dateien wird begonnen:

    Beginne mit der Suche in 'C:\'
    C:\pagefile.sys
    [WARNUNG] Die Datei konnte nicht geöffnet werden!
    C:\System Volume Information\_restore{0D9B08C9-E909-429D-8D79-6DF88A816C44}\RP73\A0017003.exe
    [FUND] Enthält Erkennungsmuster des Wurmes WORM/Perlovga.F
    [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49b0ac08.qua erstellt ( QUARANTÄNE )
    [HINWEIS] Die Datei wurde gelöscht.
    C:\System Volume Information\_restore{0D9B08C9-E909-429D-8D79-6DF88A816C44}\RP73\A0017004.exe
    [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.LO
    [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c27fe9.qua erstellt ( QUARANTÄNE )
    [HINWEIS] Die Datei wurde gelöscht.
    C:\System Volume Information\_restore{0D9B08C9-E909-429D-8D79-6DF88A816C44}\RP73\A0017008.exe
    [FUND] Enthält Erkennungsmuster des Windows-Virus W32/Perlovga.A.1
    [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49b0ac0a.qua erstellt ( QUARANTÄNE )
    [HINWEIS] Die Datei wurde gelöscht.
    C:\System Volume Information\_restore{0D9B08C9-E909-429D-8D79-6DF88A816C44}\RP73\A0017009.exe
    [FUND] Ist das Trojanische Pferd TR/Drop.Small.apl
    [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49b0ac09.qua erstellt ( QUARANTÄNE )
    [HINWEIS] Die Datei wurde gelöscht.
    C:\System Volume Information\_restore{0D9B08C9-E909-429D-8D79-6DF88A816C44}\RP73\A0017842.exe
    [FUND] Enthält Erkennungsmuster des Windows-Virus W32/Perlovga.A.1
    [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c27fea.qua erstellt ( QUARANTÄNE )
    [HINWEIS] Die Datei wurde gelöscht.
    C:\System Volume Information\_restore{0D9B08C9-E909-429D-8D79-6DF88A816C44}\RP73\A0017843.exe
    [FUND] Ist das Trojanische Pferd TR/Drop.Small.apl
    [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49b0ac0b.qua erstellt ( QUARANTÄNE )
    [HINWEIS] Die Datei wurde gelöscht.
    C:\WINDOWS\system32\drivers\sptd.sys
    [WARNUNG] Die Datei konnte nicht geöffnet werden!
    Beginne mit der Suche in 'D:\'
    D:\System Volume Information\_restore{0D9B08C9-E909-429D-8D79-6DF88A816C44}\RP73\A0017844.exe
    [FUND] Enthält Erkennungsmuster des Windows-Virus W32/Perlovga.A.1
    [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49b0b065.qua erstellt ( QUARANTÄNE )
    [HINWEIS] Die Datei wurde gelöscht.
    D:\System Volume Information\_restore{0D9B08C9-E909-429D-8D79-6DF88A816C44}\RP73\A0017845.exe
    [FUND] Ist das Trojanische Pferd TR/Drop.Small.apl
    [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c26386.qua erstellt ( QUARANTÄNE )
    [HINWEIS] Die Datei wurde gelöscht.
    Beginne mit der Suche in 'G:\' <Volume>
    G:\System Volume Information\_restore{0D9B08C9-E909-429D-8D79-6DF88A816C44}\RP73\A0017841.exe
    [FUND] Enthält Erkennungsmuster des Windows-Virus W32/Perlovga.A.1
    [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49b0b279.qua erstellt ( QUARANTÄNE )
    [HINWEIS] Die Datei wurde gelöscht.
    G:\System Volume Information\_restore{0D9B08C9-E909-429D-8D79-6DF88A816C44}\RP73\A0017846.exe
    [FUND] Ist das Trojanische Pferd TR/Drop.Small.apl
    [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c2619a.qua erstellt ( QUARANTÄNE )
    [HINWEIS] Die Datei wurde gelöscht.
    G:\System Volume Information\_restore{705EF85C-CF36-4BE0-9790-B9DE43EF9976}\RP16\A0007879.dll
    [FUND] Ist das Trojanische Pferd TR/Agent.1470464.E
    [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49b0b27a.qua erstellt ( QUARANTÄNE )
    [HINWEIS] Die Datei wurde gelöscht.


    Ende des Suchlaufs: Mittwoch, 28. Januar 2009 20:30
    Benötigte Zeit: 29:10 Minute(n)

    Der Suchlauf wurde vollständig durchgeführt.

    9079 Verzeichnisse wurden überprüft
    272600 Dateien wurden geprüft
    11 Viren bzw. unerwünschte Programme wurden gefunden
    0 Dateien wurden als verdächtig eingestuft
    11 Dateien wurden gelöscht
    0 Viren bzw. unerwünschte Programme wurden repariert
    11 Dateien wurden in die Quarantäne verschoben
    0 Dateien wurden umbenannt
    2 Dateien konnten nicht durchsucht werden
    272587 Dateien ohne Befall
    1847 Archive wurden durchsucht
    2 Warnungen
    11 Hinweise
    Niemand hat die Absicht, eine Mauer... äh, das Internet zu zensieren!

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Antihopper ()

  • Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:01:01, on 28.01.2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    D:\Programme\Java\jre6\bin\jqs.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\system32\PnkBstrB.exe
    C:\WINDOWS\System32\TUProgSt.exe
    C:\Programme\VIA\RAID\vialogsv.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Programme\ICQ6.5\ICQ.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
    c:\programme\avira\antivir personaledition classic\avcenter.exe
    D:\Programme\Mozilla Thunderbird\thunderbird.exe
    D:\Programme\Mozilla Firefox\firefox.exe
    D:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Yodl.de - die Suchmaschine für alles!
    F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre6\bin\ssv.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [XboxStat] "C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
    O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
    O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
    O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - icq.oberon-media.com/Gameshell…st/1.0/OberonGameHost.cab
    O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
    O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
    O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
    O23 - Service: VRAID Log Service - Unknown owner - C:\Programme\VIA\RAID\vialogsv.exe

    --
    End of file - 5103 bytes


    Ich hoff mal das is das Richtige...
    Niemand hat die Absicht, eine Mauer... äh, das Internet zu zensieren!
  • Das mit svchost.exe hatte ich auch mal. Siehe dazu auch diesen post: freesoft-board.to/f17/erledigt…g-341895.html#post3055773

    Der Virus ist gelöscht, es gibt aber noch einen Registryeintrag. Windows möchte die Datei starten, da sich der Virus anscheinend in den Autostart eingenistet hat, kann aber die Datei nicht finden.

    Zur copy.exe kann ich jetzt nichts sagen.

    Du könntest im Explorer zu den jeweiligen Laufwerken/Partitionen gehen und schauen, ob du eine Autorun Datei findest. Sollte dies der fall sein, würde ich sie löschen bzw. du kannst sie ja mit dem Editor öffnen und schauen ob zufällig etwas von copy.exe drinsteht.

    Ansonsten könnte eine HijackThis Cheack nicht schaden. entweder hier posten oder selber auf der homepage auswerten lassen und gegebenenfalls die Einträge fixen.

    Edit: ok, ich war wohl etwas zu langsam

    Diese Einträge kannste fixen:

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Yodl.de - die Suchmaschine für alles!
    F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe <-- der registry eintrag ;)

    Und hier musst du selber wissen, ob du das programm kennst:

    C:\Programme\VIA\RAID\vialogsv.exe
    O23 - Service: VRAID Log Service - Unknown owner - C:\Programme\VIA\RAID\vialogsv.exe
  • Ok danke an Phili 0815. Die svchost Meldung ist weg. Jetz fehlen nur noch die copy.exe Meldungen... Leider ist keine Autorundatei auf der Platte oder der Partition vorhanden... Hat einer ne andre Lösung? Ich kann übrigens über Rechtsklick und öffnen auf die Platte/Partition zugreifen aber nicht mit Doppelklick...
    Niemand hat die Absicht, eine Mauer... äh, das Internet zu zensieren!
  • naja, gerade eben habe ich noch das gefunden, eigentlich müsste es eine autorun sein, ist auch der Grund, warum du mit rechtsklick zugreifen kannst. (ist wie bei CDs)

    Die Fehlermeldung "copy.exe konnte nicht gefunden werden"
    wird durch die autorundatei verursacht.
    die Datei kann man so entfernen.

    Beispiel auf C: Laufwerk

    start > ausführen > cmd > ok
    c:
    attrib -s -h autorun.inf
    del /q /f autorun.inf


    ch würde diesen Registry eintrag empfehlen um das Autoplay bzw. Autorun auf allen Geräten zu deaktivieren. Somit kann sich das Virus nicht zu schnell verbreiten.

    Und zwar bei Regedit zu dem Pfad navigieren:

    "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\Explorer"

    und dort als "DWORD" den Schlüssel "NoDriveTypeAutoRun" mit dem Dezimalwert "255" eingeben.
    Nach Neustart wird die Autorun-funktion auf allen Laufwerken deaktiviert und die Autorun.inf wird somit ignoriert.


    oder

    Mit dieser Registry Datei wird AutoRun Funktion auf allen Laufwerken deaktiviert:

    Ab Hier kopieren------------------

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer]
    "NoDriveTypeAutoRun"=dword:000000ff
    "NoDriveAutoRun"=dword:03ffffff

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
    "NoDriveTypeAutoRun"=dword:000000ff
    "NoDriveAutoRun"=dword:03ffffff

    Bis hier kopieren-------------------

    * Achtung * Leerzeichen bei "CurrentVersion" zwischen "Curr" und "entVersion" entfernen

    In Notepad einfügen und als NoAutoRun.reg speichern, dann ausführen und bestätigen. Nach Neustart, wird NIE MEHR Autoplay starten.


    Hast du überhaupt eingestellt, dass du alle Dateien sehen kannst? Die Autorun gehört glaube ich zu den versteckten oder den systemdateien
  • Ja ich hab das eingestellt. Und ich hab grad mal deine zweite Möglichkeit versucht (also dein zweites Zitat). Leider geht es immer noch nicht... Habs zwar jetzt hinbekommen so eine .reg datei zu erstellen aber die hat auch nichts gebracht...
    Niemand hat die Absicht, eine Mauer... äh, das Internet zu zensieren!

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Antihopper ()

  • Hi Antihopper

    Phili 0815 hat in sein letzten Zitat kurz geschrieben wie man es macht.

    Machste einfach eine neue Textdatei auf und kopieres den unteren Test rein.:

    Ab Hier kopieren------------------

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer]
    "NoDriveTypeAutoRun"=dword:000000ff
    "NoDriveAutoRun"=dword:03ffffff

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
    "NoDriveTypeAutoRun"=dword:000000ff
    "NoDriveAutoRun"=dword:03ffffff

    Bis hier kopieren-------------------

    (natürlich ohne "von hier kopieren---,bis hier kopieren--:D)

    Die Datei speicherst du dann als "NoAutoRun.reg" (Datei Name) ab, dann ausführen und bestätigen. Nach Neustart, wird NIE MEHR Autoplay starten.

    Gruß

    D-Reaper
  • Danke jetzt gehts wieder. Aber kann ich denn jetzt ohne Risiko wieder Dateien auf andere Festplatten doer so kopieren? Oder besteh die Gefahr das der Virus dann wieder auftritt?

    Danke nochmal für eure äußert tolle Hilfe zu dieser späten Stunde!
    Niemand hat die Absicht, eine Mauer... äh, das Internet zu zensieren!

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Antihopper ()

  • Der copy.exe Virus ist ein fieser Virus. er verbreitet sich auf allen Wechseldatenträgern bzw. Partitionen. Wenn der Virus immer noch auf deiner Platte ist und du nur die Autorun deaktiviertr hast, kannste du andere PCs damit anstecken, du selber wirst aber nichts mehr davon mitbekommen, da es ja deaktiviert ist. Steckst du einen MP3-Player oder anderes an deinen PC oder hast es schon gemacht, als der Virus drauf war, ist auch dort automatisch ein Virus drauf. Ich hatte mal so einen ähnlichen Virus. Allerdings hat den bei mir Bitdefender erkannt und die Autorun und copy.exe gleich gelöscht.

    Sollte keine copy.exe auf deinem PC mehr sein, nur noch die autorun, ist sie meines wissens harmlos, da nur copy.exe den Virus verbreiten kann. die Fehlermeldung kam ja auch nur, da die autorun die copy.exe nicht mehr gefunden hat, da sie ja gelöscht wurde.

    Lass mal deinen PC mit dem Bitdefender Onlinescanner scannen, der sollte auch noch die autoruns beseiten, die eigentlich noch auf deinem Rechner drauf sein müssten. Avira Antivir ist zwar Free etc, ist aber nicht das allerbeste Programm (auch die Premiumversion nicht). Es schneidet vorallem in der Virenerkennung schlecht ab. Deswegen, nimm mal noch den Bitdefender Onlinescanner um sicher zugehen und die autooruns loszuwerden.

    Dann müsste eigentlich alles wieder ok sein.

    Greets Phili 0815

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Phili 0815 ()

  • Ok ich habs mal durchlaufen lassen und es hat auch nochn bisschen was gefunden. Aber um zu testen ob der autostart jetz weg is müsste cih den erstma wieder aktivieren.

    Edit: Mit eingeschlatetm Autoplay für die Festplatten kommt wieder die Fehlermeldung. Also scheint der Scan die Autostartdateien nicht gefunden zu haben...
    Niemand hat die Absicht, eine Mauer... äh, das Internet zu zensieren!

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Antihopper ()

  • Hi Antihopper

    Mir ist eingefahlen das bei mein Kollegen das gleiche war mit der copy.exe.
    Ich hatte ihn geraten mal mit "CCCleaner" über die Platten zu ziehen und dann das Prog "combfix" oder so änlich drauf und die Copy.exe hatte kein platzmehr und ist gegangen :D

    Gruß

    D-Reaper

    PS: mit CCCleaner kann man auch die Regitry bereinigen
  • Es heißt CCleaner und der kann egientlich keine Viren entfernen. Der findet maximal temporäre Dateien und fehlerhafte Registryeinträge. ich glaube kaum, dass der groß helfen wird.

    @Antihopper. Hast du zwischendrin auch mal einen Neustart gemacht? Musste ich auch machen, nachdem ich die Dateien entfernt hatte. nach dem Neustart kamen die Meldungen nicht mehr.

    Ansonsten könntest auch mal Ad-Aware probieren. Vielleicht findet das noch etwas. Ist Freeware ;)
  • Sorry
    Ich wußt den Namen nicht mehr genau, aber Trojaner hatte sich in den System Volume Information versteckt und da konnte der Virenscanner ihn nicht löschen da der Ordner schreib geschützt ist.
    Ich glaub auch das ich dafür die Windows Recovery deakteviren mußte damit CCleaner seine arbeit machen konnte.

    Wie gesagt ist schon eine weile her.
  • Es kann sein, dass er in der registry sitzt. übrigens habe ich gerade gelesen, dass zu dem copy.exe Virus außer der autorun.inf auch eine host.exe dazugehört. Ansonsten kannste das mal durchlesen:

    DDLs sind nicht erlaubt!

    MfG Allonewalk


    Habe ich gerade gefunden, sollte nun alles entfernen.

    Greets Phili 0815

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Allonewalk ()

  • Uff vielen Dank! Jetz gehts endlich wieder. Vielen Danke an Phil 0815 für deine unerschöpfliche Geduld^^. Ich hoff doch mal das jetz wirklich alles weg ist und ich wieder in Ruhe Dateien kopieren kann :)
    Ich denke mal wir können das hier als erledigt betrachten. Danke nochmal und mfg
    Antihopper
    Niemand hat die Absicht, eine Mauer... äh, das Internet zu zensieren!