#1 28. Februar 2008 Hallo Leute Ich habe XP Pro und unter den Prozessen läuft eine svchos.bat nicht die svchost.exe sondern svchos.bat, wenn ich diese .bat suche finde ich nix, somit kann ich auch nicht sagen was das teil macht und das nervt mich. Kann mir jemand dazu was sagen. Beenden gann ich diesen Prozess, startet aber nach einem Neustart wieder. Was ist das für ein scheiß :angry:
#2 28. Februar 2008 Zuletzt von einem Moderator bearbeitet: 15. April 2017 AW: svchos.bat bitte poste mal Dein HiJackThis-Logfile um mehr Infos zu bekommen. Eine ausführliche Anleitung dazu findest du hier: Wie verwende Ich HiJackThis richtig. - RR:Board Gruß BenQ
#3 28. Februar 2008 Zuletzt von einem Moderator bearbeitet: 15. April 2017 AW: svchos.bat Code: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchos.bat C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\WinRAR\WinRAR.exe C:\Dokumente und Einstellungen\blablabla\Desktop\HijackThis.exe reicht das that´s all
#5 28. Februar 2008 AW: svchos.bat Code: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchos.bat C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\WinRAR\WinRAR.exe C:\Dokumente und Einstellungen\blablabla\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rr.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O1 - Hosts: 255.255.255.255 serial.alcohol-soft.com O2 - BHO: AcroIEHlprObj Class - {16849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {161497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {1E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {1030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: AcroIEToolbarHelper Class - {1E7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {17833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [dfsys32] "C:\WINDOWS\system32\svchos.bat" O4 - HKCU\..\Run: [dfsys32] "C:\WINDOWS\system32\svchos.bat" O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {18B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {01B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: In Blog veröffentlichen - {119C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {119C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: (no name) - {e1e2dd38-d088-4134-82b7-f1ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e1e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB1F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB1F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {6411512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191760866031 O16 - DPF: {67DABFBF-D0AB-11FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {6E32010A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1195898144812 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-144553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B768112B-7687-4FBB-A718-D4D740A5D4A8}: NameServer = 82.144.41.8 62.220.18.8 O18 - Protocol: livecall - {828030A1-22C1-4009-814F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-21C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O21 - SSODL: WPDShServiceObj - {AAA188BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
#6 28. Februar 2008 AW: svchos.bat Also dein System ist soweit "sauber" die svchost.bat liegt hier: C:\WINDOWS\system32\svchos.bat versuch diese mal zu löschen. normal oder so: starte HJT ---> Open the Misc Tools section ---> Delete a File on Reboot … Suche die zu löschende Datei und klicke auf öffnen. Nun macht dein Rechner nen Neustart. Anschließend sollte die Datei weg sein.
#7 28. Februar 2008 AW: svchos.bat das ist doch mein Problem die gibt es so nicht "svchos.bat" dort wo sie sein sollte ist nur die svchost.exe das "t" fehlt bei der .bat
#8 28. Februar 2008 AW: svchos.bat ja, aber die datei muss existieren, dann ist sie evtl versteckt. und sie heißt svchos.bat versuchmal start --> ausführen --> cmd del "C:\WINDOWS\system32\svchos.bat" Gruß BenQ
#9 28. Februar 2008 AW: svchos.bat svchos.bat konnte nicht gefunden werden, ist skurill oder im prozess steht sie und HijackThis findet das Ding?( :angry:
#10 28. Februar 2008 AW: svchos.bat Das ist merkwürdig. Bei der Beschreibung würde ich an ein schlechtes Rootkit denken was die Datei zwar versteckt aber den Prozess nicht. Versuchs mal mit F-Secures Blacklight vllt. findet das ja was. Spezieller Virenschutz: Softonic
#12 28. Februar 2008 AW: svchos.bat wäre ich (batch) viren schreiber würde ich als erstes die batch datei in den ram speicher laden und dann die datei löschen lassen. sie arbeitet dann aus dem ram heraus und kann sobald gestartet nicht mehr auf normalem wege identifiziert werden. nun, ich hab mir mal dein hijackthis logfile angesehen wiederhole den hijackthis scan und im hauptprogramm von hijackthis setzt du vor diesen einträgen einen haken. danach klickst du unten auf den button fixxed checked. dann startest du den rechner neu und gehst direkt in den abgesicherten modus (kurz vor windows F8 drücken) im abgesicherten modus wiederholst du den hijackthis scan und speicherst das neue logfile. das zeigst du dann mir. Code: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rr.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHlprObj Class - {16849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {161497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {1E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {1030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: AcroIEToolbarHelper Class - {1E7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {17833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [dfsys32] "C:\WINDOWS\system32\svchos.bat" O4 - HKCU\..\Run: [dfsys32] "C:\WINDOWS\system32\svchos.bat" O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {18B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {01B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: In Blog veröffentlichen - {119C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {119C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: (no name) - {e1e2dd38-d088-4134-82b7-f1ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e1e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB1F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB1F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {6411512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191760866031 O16 - DPF: {67DABFBF-D0AB-11FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {6E32010A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1195898144812 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-144553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B768112B-7687-4FBB-A718-D4D740A5D4A8}: NameServer = 82.144.41.8 62.220.18.8 O18 - Protocol: livecall - {828030A1-22C1-4009-814F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-21C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe ok, das wäre die radikal - kur, aber alles punkte, die man nicht braucht. px, was bitteschön ist www .rr. de hast du das manuell angepasst?
#13 28. Februar 2008 AW: svchos.bat Code: Logfile of HijackThis v1.99.1 Scan saved at 22:21:55, on 28.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\Emirate\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe ok hijack findet nichts mehr, gefunzt?, aber was war das für ein scheiss www .rr. de wurde manuell angepasst Bewertung ist an alle raus danke für die Mühe
#14 29. Februar 2008 AW: svchos.bat ah moment, ich bin noch nicht fertig. jetzt lädst du dir icesword IceSword - Download - CHIP startest das programm gehst hier in den dateimanager des programmes und schaust, ob du die svhos.bat finden kannst. wenn ja, erstelle eine kopie davon mit dem programm, speichere die kopie als svhos.bat.backup auf dem desktop, und benenne die datei im system32 ordner um. die backup datei zeigst du dann mir. - zip / rar bei xup hochladen, link per pn. würde mich stark wundern, wenn du keine datei finden kannst. außerdem, ein letztes hijackthis logfile, dieses mal nicht aus dem abgesciherten modus. gruß spotting
#15 1. März 2008 AW: svchos.bat was ich aus dem quellcode hab herauslesen oder besser meine erahnen zu können war, dass einige dateien von der batch beim start erzeugt werden / geladen werden. desweiteren unterbindet die batch, dass diese dateien oder die batch selber vom system erkannt werden können. soweit liese sich alles noch reparieren. dann gibt es einige modifizierungen an deinem system. es werden hintertüren an geöffnet, die es ermöglichen, jederzeit wieder deinen pc zu identifizieren, die malware die sich noch auf dem pc befindet automatisch zu starten. das is leider nicht zu reparieren. dann gibt es noch einige aufzeichnungsmodifikationen, die z.B. nach msn passwörtern auf der festplatte sucht und diese an das internet weitergibt. fazit, für 360 kb wirklich gute arbeit. fazit für dich, zuerst formatieren. komplett. alles. jedes mb all deiner festplatten. dann alle passwörter ändern.. glaub mir, das geht am schnellsten und ist als einziges wirklich zuverlässig. Danke Digger