[Achim_Rittner]

Ich weiß zwar nicht, was svchost.exe bewirkt, aber mein Virenscanner meldet alle 10 Sekunden, dass es sich dabei um einen Trojaner handelt. Hab meinen PC mit HijackThis überprüfen lassen, und der sagt auch, dass es gefährlich ist. Den Inhalt der .log-Datei:

Logfile of HijackThis v1.99.1
Scan saved at 13:48:44, on 06.06.2007
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\explorer.exe
D:\Neuer Ordner (2)\Unzipped\hijackthis[1]\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = IE7
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: IE7pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IE7Pro\IE7Pro.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: svchost.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IE7Pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IE7Pro\IE7Pro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: igfxcui - C:\Windows\SYSTEM32\igfxdev.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%systemroot%\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\ServiceModelInstallRC.dll,-8195 (NetMsmqActivator) - Unknown owner - C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe" -NetMsmqActivator (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%windir%\system32\inetsrv\iisres.dll,-30003 (W3SVC) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%windir%\system32\inetsrv\iisres.dll,-30001 (WAS) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

Dieser Beitrag wurde von Achim_Rittner bearbeitet: 06. Juni 2007 - 12:58

[DekenFrost]

Zitat

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe

Zitat

Der angebliche Systemprozess läuft nicht im System32 Ordner und ist deshalb als schädlich einzustufen.
Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\windows\system32\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Prozess läuft nicht im System32 Ordner!

[Spiderman]

Das sichere Vista ist verseucht, da würde ich mir aber Gedanken machen, das Sicherheitskonzept hat versagt.

svchost.exe ist ein Container für dll's die nicht selbst ins Internet können, ich halte das Container Prinzip für schlecht, die meisten PF prüfen nicht was da im Container sitzt.

Die svchost.exe wird auch für das Windows Update verwendet, ich gebe die svchost.exe nur für die kurze Zeit des Updates frei.

Bei dir ist es kein Missbrauch des Dienstes, sondern ein Trojaner mit gleichen Namen, ist auch beliebt, da viele User meinen die svchost.exe darf immer ins Internet.

Gruß
Spiderman

[Achim_Rittner]

Danke für die Antworten!
Aber was soll ich jetzt machen?

Dieser Beitrag wurde von Achim_Rittner bearbeitet: 06. Juni 2007 - 17:45

[DekenFrost]

Vor allem weil es nur eine Datei ist .. ich würde in dem Fall ruhig versuchen sie zu entfernen .. mit etwas glück ist noch nicht das gesamte System verseucht.

Es ist aber dann eben Glück.

[Gitarremann]

Zitat (MCDX: 06.06.2007, 18:53)

Die oberen zwei How to's lesen.
Erklärungen & How To's
Ach ja, aber nimms nicht so übertrieben, wie es der liebe Rika geschrieben hat.

Die Welt bricht nicht zusammen.

Bei der Bezeichnung "der Rika" komm ich irgendwie immer durcheinander beim Lesen. Ich kenne nun auch selbst 3 Rikas und die sind alle weiblich, weil das bei denen ein von Erika abgeleiteter Spitzname ist.

[Achim_Rittner]

Puh, da hab ich mir tatsächlich was eingefangen!
Hmmm...was passiert wenn ich nichts mache?
!
Ich hab kein Bock neu zu installieren. Hab ich erst vor einer Woche gemacht!

Dieser Beitrag wurde von Achim_Rittner bearbeitet: 06. Juni 2007 - 20:35

[ShadowHunter]

Wieso hast dann vor einer Woche vom sauberen System nicht einfahc nen Backup/Image gemacht?

Was passiert? Naja wer weiss was die Malware so betreibt, deine Mailpasswörter verschicken, sonstige Passwörter, persönliche Daten, nutzt deinen Rechner als Spamverteiler in nem Botnetz etc pp

Und ja Rika hat mit dem Thema als Person zumindest nichts zutun, beim Topic bleiben

[Spiderman]

Zitat (Achim_Rittner: 06.06.2007, 21:22)

Puh, da hab ich mir tatsächlich was eingefangen!
Hmmm...was passiert wenn ich nichts mache?
!
Ich hab kein Bock neu zu installieren. Hab ich erst vor einer Woche gemacht!

Hast du UAC aktiv ?

Ich würde zumindest eine Systemwiederherstellung vor dem Datum des Befalls machen, und den Rechner mit mindestens 2 guten Virenscannern scannen.

Sicher ist aber nur eine neue Installation, denn egal was du machst, es gibt nunmal unbekannte Viren/Trojaner die nicht erkannt werden.

Gruß
Spiderman

[burning-joe]

Würde dir auch empfehlen, nochmals neu zu installieren. Das hat dann auch mindestens zwei Vorteile.
Erstens kannst du dir dann gleich nach dem Neuinstallieren ein Image machen --> spart dir beim nächsten mal Zeit. Zweitens hast du dann die Möglichkeit, dein Sicherheitskonzept nochmal zu verfeinern, bevor es versagt hat.

[Achim_Rittner]

Und wie ist das bei Partitionen?
Ich hab nämlich noch eine zweite Partition für die eigenen Dateien.

Und noch was: Wie ist es mit Savegames von SW Battlefront II, Empire at War und so weiter?
Können die auch befallen werden?

[ShadowHunter]

Wenn die andere Partition aktiv im System mit verfügbar ist, kann die auch befallen sein. Gab z.b so nen Virus der danna lle .exe files verseuchte und unbrauchbar machte.
Die Savegames sind eher unwahrscheinlich theoretisch aber möglich.
Wie im Sticky erklärt ist halt das ganze einfach nicht mehr vertrauenswürdig, du musst halt selbst entscheiden inwieweit dir das alles wichtig ist.

Aber lerne bitte eins daraus -> Backups. Zumindest von wichtigen Daten.