hi,

hab jetzt schon 3 stunden damit verbracht informationen über svhost.exe (NICHT DIE SVCHOST.EXE) rauszubekommen.

Als erstes hab ich versucht einen neuen patch für win 2000 zu installieren, danach ging erstmal gar nichts mehr. (explorer.exe verursachte einen fehler... blablabla) wieder deinstalliert und das svhost.exe problem besteht weiterhin.

bei start des systems kommt ein windows fenster mit svhost.exe konnte nicht gestartet werden...

registry hab ich überprüft, steht nichts drin. im system32 ist diese datei auch nicht vorhanden. in der win.ini ist auch nichts vorhanden.

meine frage nun, was kann ich noch tun und inwiefern schadet mir svhost.exe wenn ich nichts tue?

hier der auszug aus hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 14:16:23, on 03.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Safety\AV\AVGUARD.EXE
C:\Programme\Safety\AV\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Safety\Norton\GhostStartService.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\anvshell.exe
C:\Programme\Safety\ZoneAlarm\zlclient.exe
C:\Programme\Safety\AV\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\MSOFFICE\Office\FINDFAST.EXE
C:\Programme\MSOFFICE\Office\OSA.EXE
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\silversurfer\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
F3 - REG:win.ini: run=C:\WINNT\system32\svhost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\programme\zubehör\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Safety\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [System backup] C:\WINNT\system32\msxmidi.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Safety\AV\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [System backup] C:\WINNT\system32\msxmidi.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\MSOFFICE\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\MSOFFICE\Office\OSA.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/30745504...dxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB0C45C8-A0A7-4C62-B34F-14355AA662E5}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\Safety\AV\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\Safety\AV\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Safety\Norton\GhostStartService.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

hoffe dass mir jemand helfen kann.
über eine Neuinstallation hab ich auch schon nachgedacht...
hab noch ein ziemlich aktuelles, sauberes image.

grüsse.

@randra

Zitat:

hab jetzt schon 3 stunden damit verbracht informationen über svhost.exe (NICHT DIE SVCHOST.EXE) rauszubekommen.

Und was hast du rausbekommen?

Zitat:

Als erstes hab ich versucht einen neuen patch für win 2000 zu installieren

Das war wahrscheinlich schon zu spät: You can’t clean a compromised system by patching it. Patching only removes the vulnerability. Upon getting into your system, the attacker probably ensured that there were several other ways to get back in.

Zitat:

registry hab ich überprüft, steht nichts drin. im system32 ist diese datei auch nicht vorhanden. in der win.ini ist auch nichts vorhanden.

Wenn ich mich auf diesen Eintrag beziehe:
F3 - REG:win.ini: run=C:\WINNT\system32\svhost.exe, gehe ich davon aus, dass du schlecht gesucht hast.

Zitat:

meine frage nun, was kann ich noch tun und inwiefern schadet mir svhost.exe wenn ich nichts tue?

Um deine Frage zu beantworten braucht man die Informationen von dieser Datei. Such sie aus und lasse hier online überprüfen.

Zitat:

MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Na so was Exotisches! Hast du noch irgendwo IE4.0 parat?Hast du von Sicherhetlücken schon was gehört ?.

Zitat:

F3 - REG:win.ini: run=C:\WINNT\system32\svhost.exe

Das bitte jedenfalls fixen

Zitat:

O4 - HKLM\..\Run: [System backup] C:\WINNT\system32\msxmidi.exe

Wenn du dieses Programm kennst, lass es gut sein.

Zitat:

Zitat von Rene-gad

Wenn ich mich auf diesen Eintrag beziehe:
F3 - REG:win.ini: run=C:\WINNT\system32\svhost.exe, gehe ich davon aus, dass du schlecht gesucht hast.

falsch. in der win.ini steht diese zeile definitiv nicht drin!
folgendes steht drin:

; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
MAPIX=1
OLEMessaging=1
CMC=1
CMCDLLNAME=mapi.dll
CMCDLLNAME32=MAPI32.DLL
MAPIXVER=1.0.0.1
[MCI Extensions.BAK]
asf=MPEGVideo
asx=MPEGVideo
ivf=MPEGVideo
m3u=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo
mpv2=MPEGVideo
wax=MPEGVideo
wm=MPEGVideo
wma=MPEGVideo
wmv=MPEGVideo
wvx=MPEGVideo
[T-Online Software]
path4=C:\ONLINE\T-ONLINE\BSW4\ONLINE.EXE
path=C:\ONLINE\T-ONLINE\BSW4\ONLINE.EXE
Version=4.007
[T-Online-Decoder]
Path4=C:\ONLINE\T-ONLINE\BSW4\ONLINE.EXE
Path=C:\ONLINE\T-ONLINE\BSW4\ONLINE.EXE
Version=4.007
[WS_FTP]
VERSION=2000.02.23
DIR=C:\Programme\Zubehör\WS_FTP
DEFDIR=C:\Programme\Zubehör\WS_FTP
GROUP=WS_FTP
INSTOPTS=4
[WS_FTP95]
VERSION=2000.02.23
[MS User Info]
DefName=silver
DefCompany=
[MSAPPS]
MSAPPS=C:\WINNT\MSAPPS
ORGCHART=C:\WINNT\MSAPPS\ORGCHART
ARTGALRY=C:\WINNT\MSAPPS\ARTGALRY
MSGRAPH5=C:\WINNT\MSAPPS\MSGRAPH5
SHEETCNV=C:\WINNT\MSAPPS\SHEETCNV
TEXTCONV=C:\WINNT\MSAPPS\TEXTCONV
GRPHFLT=C:\WINNT\MSAPPS\GRPHFLT
WORDART=C:\WINNT\MSAPPS\WORDART
PROOF=C:\WINNT\MSAPPS\PROOF
EQUATION=C:\WINNT\MSAPPS\EQUATION
MSQUERY=C:\WINNT\MSAPPS\MSQUERY

und, was jetzt?

Zitat:

Zitat von Rene-gad

Um deine Frage zu beantworten braucht man die Informationen von dieser Datei. Such sie aus und lasse hier online überprüfen.

(svhost.exe) wenn ich sie finden würde hätte ich das schon längst gemacht, aber auch nach dem x. mal dursuchen der festplatte ist sie einfach nicht vorhanden!

Zitat:

Zitat von Rene-gad

Wenn du dieses Programm kennst, lass es gut sein.

was meinst du damit? (msxmidi.exe) auch diese datei ist nicht vorhanden!!!

grüsse.

@randra

Zitat:

(svhost.exe) wenn ich sie finden würde hätte ich das schon längst gemacht, (msxmidi.exe) auch diese datei ist nicht vorhanden!!!

Wenn HJT findet diese Dateien und du nicht - heißt es: du hast schlecht bzw. falsch gesucht.
Mach deinen WinExplorer auf, gehe auf Extras/Ordneroptionen/Ansicht/Geschützte und Systemdateien Ausblenden - grünes Pünktchen weg. Weiter nach unten scrollen. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen - Pünktchen setzen.
Beim Suchen: Weitere Optionen/Systemordner durchsuchen, Versteckte Elemente durchsuchen, Unterordner durchsuchen - gegen diesen 3 Haken setzen. Suche wiederholen.

Zitat:

Zitat von Rene-gad

@randra

Wenn HJT findet diese Dateien und du nicht - heißt es: du hast schlecht bzw. falsch gesucht.
Mach deinen WinExplorer auf, gehe auf Extras/Ordneroptionen/Ansicht/Geschützte und Systemdateien Ausblenden - grünes Pünktchen weg. Weiter nach unten scrollen. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen - Pünktchen setzen.

diese enstellung ist bei mir vorhanden...

Zitat:

Zitat von Rene-gad

Beim Suchen: Weitere Optionen/Systemordner durchsuchen, Versteckte Elemente durchsuchen, Unterordner durchsuchen - gegen diesen 3 Haken setzen. Suche wiederholen.

das hat jetzt was gebracht. (unter 2000 heißt es etwas anders ist ja aber egal)

mit der suche nach dateien oder ordnern kam
allerdings keine svhost.exe sondern nur eine
svhost.exe.q_63A0_q.ini raus,
in der foldgendes drinsteht:

[Info]
StartVersion=1
File=C:\WINNT\system32\svhost.exe
Name=svhost.exe
Rating=217
Description=
Company_Product=-
Service=
Type=0
Visible=0
Win=0
M=1004
T=32
Ports=
DelDate=38475
DelDateTime=03.05.2005 13:54:39
[Start]
sKey=win.ini
Key=29
Desc=
Name=run

visible hab ich dann mal auf 1 gesetzt aber die datei svhost.exe unter system32 kam trotzdem nicht zum vorschein.

desweiteren tauchten noch
svhost.exe.q_63A0_q.ini.old

mit der suche nach enthaltenem text (svhost.exe) tauchten folgende dateien auf:
wieder
svhost.exe.q_63A0_q.ini.old
svhost.exe.q_63A0_q.ini
aus dem ordner SecTaskMan (???)

history.dat aus dem profil vom firefox
user.dmp vom drwatson
und natürlich aus dem hijackthis.log file

auf der suche nach dateien oder ordnern kam für
msxmidi.exe nichts raus,
mit der suche nach enthaltenem text:
history.dat aus dem profil vom firefox
und natürlich aus dem hijackthis.log file
und noch in ein paar (5) dateien im internet logs ordner unter winnt
was meinst du, lohnt es sich noch rumzusuchen, oder wär eine Neuinstallation angesagt? oder gibt es sonst welche lösungsansätze?

grüsse.

Mache mal doch lieber einen eScan.
http://www.trojaner-board.de/42731-escan-anleitung.html
Poste dann das Log hier.

Dein IE könnte auch mal ein Update vertragen

@randra

Zitat:

File=C:\WINNT\system32\svhost.exe

Und lasse bitte die Datei bei http://virusscan.jotti.org/ online prüfen

Zitat:

Zitat von Rene-gad

@randra

Und lasse bitte die Datei bei http://virusscan.jotti.org/ online prüfen

diese datei gibt es definitv nicht... ich denke dass ich sie schon gelöscht habe..

aber: in der datei explorer.exe kam folgendes mit dem virusscan raus:

AntiVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found modification of Win32.Beavis.5106
F-Prot Antivirus Found nothing
Fortinet Found W32/Bube.I
Kaspersky Anti-Virus Found Virus.Win32.Bube.l
mks_vir Found W32.Bube.J
NOD32 Found nothing
Norman Virus Control Found nothing
VBA32 Found Win32.Worm.Bube.l


das sagt jetzt auch der e-scan aufs erste...

aber nochmal svhost.exe ist definitiv nicht mehr vorhanden! sorry, falls ich zu blöd bin, aber sie ist einfach nicht mehr da!

@randra

Zitat:

diese datei gibt es definitv nicht...svhost.exe ist definitiv nicht mehr vorhanden!

Gibt's aber diese svhost.exe.q_63A0_q.ini und die möchtest du bei Jotii überprüfen.

Zitat:

in der datei explorer.exe kam folgendes mit dem virusscan raus:
Win32.Bube.l

Ich würde dir empfeheln, dein System neu aufzuspielen. Anleitung - Link in meiner Signatur. Bitte auf die 12 Punkte aufpassen.

escan:

File C:\WINNT\Explorer.EXE infected by "Virus.Win32.Bube.l" Virus. Action Taken: No Action Taken.
File C:\WINNT\Explorer.exe infected by "Virus.Win32.Bube.l" Virus. Action Taken: No Action Taken.
File C:\WINNT\ServicePackFiles\i386\explorer.exe infected by "Virus.Win32.Bube.l" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\dllcache\explorer.exe infected by "Virus.Win32.Bube.l" Virus. Action Taken: No Action Taken.

überprüfung der ini:
alles ok...

das dachte ich mir schon mit dem aufspielen...
werde deine punkte beachten, und danke nochmals...

@randra
Normalerweise ist Tabula Ras nur bei Backdoors unumgänglich. Da wir nicht feststellen konnten, was unter svhost.exe sich versteckt hat, und noch dazu - dieser komische Dropper Bube - na ja, nach dem format c:\ kannst du definitiv ruhig bleiben.