WinFuture-Forum.de: Svchost - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
  • 2 Seiten +
  • 1
  • 2

Svchost Trojaner


#1 Mitglied ist offline   Doominator2004 

geschrieben 11. Oktober 2007 - 07:58

Hallo, ich habe ein riesiges Problem, undzwar habe ich heute morgen TuneUp gestartet und wollten den Autostarter konfigurieren und was sehe ich dort... einen Trojaner Namens Svchost.
Ich habe in versucht im Abgesicherten Modus zulöschen ohne Erfolg.
Ich bräuchte dringend eure Hilfe <_<

Habe euch meine Hijack Log hinterlassen.

HiJackFree Logfile v3.0
Scan gespeichert um 08:50:57, am 11.10.2007
Betriebssystem: Windows XP Service Pack 2 (Windows NT 5.1.2600)
MSIE: Internet Explorer v 6.0 Service Pack 2 (6.0.2900.2180)

Aktive Prozesse:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\a-squared HiJackFree\a2hijackfree.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = <a href="http://www.google.com/custom?domains=entre...439752189615153" target="_blank">http://www.google.com/custom?domains=entre...439752189615153</a>
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = <a href="http://www.google.com/ie" target="_blank">http://www.google.com/ie</a>
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = <a href="http://www.entretieneteds.vze.com" target="_blank">http://www.entretieneteds.vze.com</a>
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Links
O2 - BHO: - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS\scvhost.exe
O7 - Regedit - Aktiv
O8 - Extra Kontextmenü Eintrag: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra "Tools" menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Toolbars\INTERN~1\favicon.ico
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFBAR.ICO
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra "Tools


Liebe Grüße Killuminati

Dieser Beitrag wurde von Doominator2004 bearbeitet: 11. Oktober 2007 - 08:20

0

Anzeige



#2 Mitglied ist offline   OlGu 

  • Gruppe: Moderation
  • Beiträge: 1.379
  • Beigetreten: 11. März 05
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:Dresden

geschrieben 11. Oktober 2007 - 08:01

svchost.exe
0

#3 Mitglied ist offline   Doominator2004 

geschrieben 11. Oktober 2007 - 08:20

Das hilft mir leider nicht weiter =(
0

#4 Mitglied ist offline   Alucard89 

  • Gruppe: aktive Mitglieder
  • Beiträge: 877
  • Beigetreten: 19. April 07
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:Gelsenkirchen | +51° 31' 21.46&quot;, +7° 1' 15.19&quot;
  • Interessen:Computer!!!!

geschrieben 11. Oktober 2007 - 08:24

Ich glaube zu mienen, das er dir sagen will, falscher alarm von tuneup.
Ansonsten zieh dir mal spybot druff und lass den durchrennen.
Mfg,
Alucard

Eingefügtes BildEingefügtes Bild
Eingefügtes Bild --->>> PC [plz, comment up:03.01.2008]
Eingefügtes Bild --->>> Schlepptop (Notebook)
Eingefügtes Bild
visit us @ati-forum.de
0

#5 Mitglied ist offline   OlGu 

  • Gruppe: Moderation
  • Beiträge: 1.379
  • Beigetreten: 11. März 05
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:Dresden

geschrieben 11. Oktober 2007 - 08:33

Beitrag anzeigenZitat (Doominator2004: 11.10.2007, 09:20)

Das hilft mir leider nicht weiter =(

Wer bzw. welches Programm sagt dir denn, das "svchost.exe" ein Trojaner sei?!
Hier noch die Erklärung von Microsoft: http://support.micro...om/kb/314056/de
0

#6 Mitglied ist offline   Alucard89 

  • Gruppe: aktive Mitglieder
  • Beiträge: 877
  • Beigetreten: 19. April 07
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:Gelsenkirchen | +51° 31' 21.46&quot;, +7° 1' 15.19&quot;
  • Interessen:Computer!!!!

geschrieben 11. Oktober 2007 - 08:44

Stand oben: TuneUp sagt es ihm <_<
Mfg,
Alucard

Eingefügtes BildEingefügtes Bild
Eingefügtes Bild --->>> PC [plz, comment up:03.01.2008]
Eingefügtes Bild --->>> Schlepptop (Notebook)
Eingefügtes Bild
visit us @ati-forum.de
0

#7 Mitglied ist offline   OlGu 

  • Gruppe: Moderation
  • Beiträge: 1.379
  • Beigetreten: 11. März 05
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:Dresden

geschrieben 11. Oktober 2007 - 08:49

Beitrag anzeigenZitat (Alucard89: 11.10.2007, 09:44)

Stand oben: TuneUp sagt es ihm <_<

Sicher?! Er schreibt, das er mit TuneUp den Autostarter konfigurieren wollte...und mir wäre neu, wenn dieser Trojaner erkennt.
0

#8 Mitglied ist offline   Alucard89 

  • Gruppe: aktive Mitglieder
  • Beiträge: 877
  • Beigetreten: 19. April 07
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:Gelsenkirchen | +51° 31' 21.46&quot;, +7° 1' 15.19&quot;
  • Interessen:Computer!!!!

geschrieben 11. Oktober 2007 - 09:10

Ehrlich gesagt, habe ich noch nie TuneUp benutzt^^
Aber s wie er es beschreibt hat er es mit TuneUp erfahren, kann ja sein das TuneUp auch die SVchost anzeigt, und er deshalb denkt es wäre n Trojaner...
Mfg,
Alucard

Eingefügtes BildEingefügtes Bild
Eingefügtes Bild --->>> PC [plz, comment up:03.01.2008]
Eingefügtes Bild --->>> Schlepptop (Notebook)
Eingefügtes Bild
visit us @ati-forum.de
0

#9 Mitglied ist offline   Doominator2004 

geschrieben 11. Oktober 2007 - 10:37

Folgendes steht im TuneUp StartUp Manager zum folgenden Objekt.

Trojaner "Scvhost"
Warnung: Gefährliche Anwendung (Trojaner)! Wir empfehlend dringend diesen Starteintrag zu entfernen.

Und dieser Eintrag ist 10 mal dort drin.
0

#10 Mitglied ist offline   SunsEt 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.110
  • Beigetreten: 08. Oktober 04
  • Reputation: 0
  • Wohnort:Quedlinburg

geschrieben 11. Oktober 2007 - 10:45

es ist aber ein unterschied ob du sVChost (windowsprozess) oder sCVhost meinst. letzteres ist natürlich ein virus. weitere schritte sollten klar sein.

Dieser Beitrag wurde von SunsEt bearbeitet: 11. Oktober 2007 - 10:57

0

#11 Mitglied ist offline   Doominator2004 

geschrieben 11. Oktober 2007 - 10:52

Gibt es auch andere Wege ausser Format C:
0

#12 Mitglied ist offline   SunsEt 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.110
  • Beigetreten: 08. Oktober 04
  • Reputation: 0
  • Wohnort:Quedlinburg

geschrieben 11. Oktober 2007 - 10:59

wenn du dir anschließend sicher sein möchtest das der virus entfernt wurde - Nein
0

#13 _Hinterwäldler_

  • Gruppe: Gäste

geschrieben 12. Oktober 2007 - 10:33

Beitrag anzeigenZitat (Doominator2004: 11.10.2007, 08:58)

Hallo, ich habe ein riesiges Problem, undzwar habe ich heute morgen TuneUp gestartet und wollten den Autostarter konfigurieren und was sehe ich dort... einen Trojaner Namens Svchost.
Ich habe in versucht im Abgesicherten Modus zulöschen ohne Erfolg.

1. Sollen wir dir vorlesen, was auf den von OlGu verlinkten Seiten steht oder bist du der deutschen Schriftsprache im vollen Umfang mächtig?
2. Wer zum Teufel hat dir auf diesem Brett empfohlen TuneUp zu benutzen? Wenn du einen Tweaker brauchst, dann benutze wenigstens den: http://www.hinterwae...pertweaker.html Bei diesem könne wir dir jederzeit helfen.
3. Wenn du glaubst, das es eine Malware ist, so lasse diese Datei von http://www.virustotal.com/de/ oder http://virusscan.jotti.org/de/ untersuchen. Der Speicherort ist offensichtlich bekannt und darum kein Problem.

Dieser Beitrag wurde von Hinterwäldler bearbeitet: 12. Oktober 2007 - 10:45

0

#14 Mitglied ist offline   abferber 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.905
  • Beigetreten: 04. November 06
  • Reputation: 1

geschrieben 12. Oktober 2007 - 10:47

witzig

ich hab 4 svchost prozesse, was ich grad nicht peile ist warum die bei ihm im hijack log als scvhost prozesse angezeigt werden

Zitat

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS\scvhost.exe


demnach habt ihr u.a. grad icq und antivir als trojaner entlarvt
0

#15 Mitglied ist offline   kxxx 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.036
  • Beigetreten: 10. Dezember 03
  • Reputation: 31
  • Geschlecht:Männlich
  • Wohnort:Elsenfeld

geschrieben 12. Oktober 2007 - 10:55

abferber: Hast du schon mal dran gedacht, das der Virus/Trojaner die betreffenden Einträge befallen hat?
Der Staat ist eine Notordnung gegen das Chaos (Gustav Heinemann, ehemaliger Bundespräsident)

Ich glaube mit dem Chaos wären wir oft besser bedient (kxxx, verarschter Bürger)
0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0