#2 7. Februar 2007 AW: scvhost TROJANER help! Dan scheint wohl irgendeine Software mit dem Trojaner verseucht zu sein. Hilft wohl nurnoch, noch mal alles platt zu machen und nur software aus sicherer quellen zu installiern
#3 7. Februar 2007 AW: scvhost TROJANER help! wenn sie aktiv sind,dann kannste sie nur in abgesicherte Modus probieren,sie zu löschen. Aber TuneUp,ist für sowas,total fehl am Platz,trojaner zu aufspüren,oder zu"bekämpfen". Ich würde es mal mit,Spybot probieren,und auch mal ein logfile auswerten lassen,mit hijackthis.
#4 7. Februar 2007 AW: scvhost TROJANER help! jo ich weiß ich habs beim startup manager entdeckt (ich wollte es ja nich mit tuneup löschen) ich poste euch mal die file von hijack this Logfile of HijackThis v1.99.1 Scan saved at 17:53:15, on 07.02.2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\scvhost.exe C:\Programme\avmwlanstick\wlangui.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Java\jre1.5.0_10\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Rar$EX01.781\HijackThis.exe F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe F3 - REG:win.ini: run=C:\WINDOWS\scvhost.exe O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [icq lite] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [msconfig] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [icq lite] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [Update Checker] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [AntiVir] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunOnce: [] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunOnce: [Windows Update] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunOnce: [msconfig] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunOnce: [icq lite] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunOnce: [Update Checker] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunOnce: [AntiVir] C:\WINDOWS\scvhost.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
#5 7. Februar 2007 AW: scvhost TROJANER help! upp die datei doch bitte mal bei VirusTotal - Free Online Virus, Malware and URL Scanner und mach nen screeny vom ergebnis.
#7 7. Februar 2007 AW: scvhost TROJANER help! arg. 1. hast du die svchost.exe (windowseigen) und nicht die scvhost.exe geupped. 2. musst du, wie steht, 4-6 min. warten, erst dann kommt nach und nach das ergebnis des scans. ps: die befallene datei ist C:\WINDOWS\scvhost.exe
#8 7. Februar 2007 AW: scvhost TROJANER help! nein, die fertige Statuslog meint er. Was dort auf den Bild zu sehen ist, zeigt nur das du in der "Warteschlange" bist. Du musst halt ~4 Minuten warten und dann durchsucht er online die scvhost.exe mit den gängigsten AntiViren Programmen. Edit: daedalus war schneller x_X
#9 7. Februar 2007 AW: scvhost TROJANER help! Also Ich hatte auch mal das Problem und habe mein PC im "abgesicherten Modus" gestartet und danach mit Hijack die infenzierte Datei loggen lassen danach vom Laptop die Datei draufgeknallt. greetz
#11 7. Februar 2007 AW: scvhost TROJANER help! bist du sicher, dass du in C:\Windows und nicht C:\Windows\System32 nachgeschaut hast? bist du zudem sicher, dass du die anzeige von versteckten dateien (attrib +h) aktiviert hast? lässt sich in den explorer-optionen ändern. wenns dann noch immer nich sichtbar is, würd ich mal mit "rootkit hunter" o.ä. drüber.
#12 7. Februar 2007 AW: scvhost TROJANER help! ja versteckte dateien anzeigen undso hab ich schon haken rein gemacht.. und ich hab nich beim system 32 geguckt sondern unter WINDOWS. rootkit hunter was ist das? edit habs geladen aber man kann es nich installieren weil es ne SH datei ist.
#13 7. Februar 2007 AW: scvhost TROJANER help! ah sry rootkit hunter war nur für linux, try rootkit revealer http://download.sysinternals.com/Files/RootkitRevealer.zip. doc: http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx zudem rootkit
#14 7. Februar 2007 AW: scvhost TROJANER help! soll ich von dem ergebnis auch nen screen machen? oder kann man die fehler mit dem proggi löschen?
#15 7. Februar 2007 AW: scvhost TROJANER help! Was für ein Betriebssystem verwendest du? Ich: Windows XP (Pro) wenn überhaupt sonst Debian (weil Ich mit WINXX nicht abgebe!)
#16 7. Februar 2007 AW: scvhost TROJANER help! du hast nen W32/Agobot-ID fix mal das mit hijackthis: C:\WINDOWS\scvhost.exe wenns nicht weggeht versuchs mit killbox dann musste 2 sachenn in der reg wegmachen hier is mal ne anleitung dafür Entfernung: Überprüfen Sie Ihre Administratorkennwörter und die Sicherheit in Ihrem Netzwerk. Bearbeiten der Registrierungseinträge: Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor. Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ scvhost.exe=scvhost.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices scvhost.exe=scvhost.exe. Löschen Sie die Einträge, sofern sie existieren. Schließen Sie den Registrierungseditor. wenn das alles klappt machste mal nen neuen hijackthis scann
#17 7. Februar 2007 AW: scvhost TROJANER help! ich hab home edition und vista ultimate drauf... sollte ich lieber ultimate nutzen und xp löschen? is der virus dann weg? ja ne edit: wart ma ich lösche es eben von der regisrty
#18 7. Februar 2007 AW: scvhost TROJANER help! nicht verzagen. mach erstmal das, was lamagra vorgeschlagen hat, veruschs mit hijackthis selbst zu fixen, vielleicht wird die datei auch sichtbar, wenn der prozess beendet wurde... die zeiten sind vorbei, in denen mensch gleich formatieren musste, wenn nen system befallen war ^^
#19 7. Februar 2007 AW: scvhost TROJANER help! ? in der regisrty is nix edit gefunden edit2: lol beim startup manager sieht man ihn immer noch und hijackthis auch... Logfile of HijackThis v1.99.1 Scan saved at 18:48:34, on 07.02.2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\scvhost.exe C:\Programme\avmwlanstick\wlangui.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Java\jre1.5.0_10\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Rar$EX00.469\HijackThis.exe F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe F3 - REG:win.ini: run=C:\WINDOWS\scvhost.exe O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [icq lite] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [msconfig] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [icq lite] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [Update Checker] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [AntiVir] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunOnce: [] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunOnce: [Windows Update] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunOnce: [msconfig] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunOnce: [icq lite] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunOnce: [Update Checker] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunOnce: [AntiVir] C:\WINDOWS\scvhost.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
#20 7. Februar 2007 AW: scvhost TROJANER help! sagmal hast eigentlich keinen virescanner installiert? also. du musst folgende einträge aus dem autostart entfernen bzw die dienste deaktivieren: O4 - HKLM\..\Run: [] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [icq lite] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [msconfig] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [icq lite] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [Update Checker] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [AntiVir] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunOnce: [] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunOnce: [Windows Update] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunOnce: [msconfig] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunOnce: [icq lite] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunOnce: [Update Checker] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunOnce: [AntiVir] C:\WINDOWS\scvhost.exe geht am besten von hand oder via tweak xp, advanced xp tweak oder ähnliches, gibt ja hunderte.. beende dann den prozess scvhost.exe via task manager, wenn das nicht geht via process explorer von sysinternals. dann überprüfst du, ob du nun zugriff auf die datei hast und sie löschen kannst. das folgende sollteste eigentlich mit hijackthis selbst wegkriegen: F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe F3 - REG:win.ini: run=C:\WINDOWS\scvhost.exe anschliessend am besten mal restarten und wiederum mit hijackthis nachprüfen, ober noch da is.
#21 7. Februar 2007 AW: scvhost TROJANER help! virenscanner hab ich aber zu der regisrty.. ich lösche es aber es kommt immer wieder alles weg hijackthis hat geholfen big thx an dir bw is raus