Vielleicht hilft folgendes jemandem für eine Lösung meines Problems. Hab in der Registrierung
alle scvhost.exe Dateien mit Pfad herausgeschrieben:

HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603
Name-> 000 Typ-> REG_SZ Wert-> scvhost.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A6D05071-EAC0-A000-B09B-D3BF7AD855F2}
Name-> StubePath Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Name-> AntiVir Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe
Name-> UpdateChecker Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe
Name-> WindowsUpdate Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Name-> (Standard) Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe
Name-> AntiVir Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe
Name-> icq lite Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe
Name-> msconfig Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe
Name-> UpdateChecker Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe
Name-> WindowsUpdate Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RUNSERVICES
Name-> (Standard) Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe
Name-> AntiVir Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe
Name-> icq lite Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe
Name-> msconfig Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe
Name-> UpdateChecker Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe
Name-> WindowsUpdate Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
Name-> C:/WINDOWS/SCVHOST.EXE Typ-> REG_SZ Wert-> C:/WINDOWS/SCVHOST.EXE:*:Enabled:Microsoft Windows

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
Name-> C:/WINDOWS/SCVHOST.EXE Typ-> REG_SZ Wert-> C:/WINDOWS/SCVHOST.EXE:*:Enabled:Microsoft Windows

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
Name-> C:/WINDOWS/SCVHOST.EXE Typ-> REG_SZ Wert-> C:/WINDOWS/SCVHOST.EXE:*:Enabled:Microsoft Windows

HKEY_USERS\S-1-5-21-3621066256-2668779938-3439846143-1005\Software\Microsoft\Search Assistant\ACMru\5603
Name-> 000 Typ-> REG_SZ Wert-> scvhost.exe

@MightyMarc:
Mein AntiVir war nicht deaktiviert, allerdings befinden sich in dem Ordner eine reboot.exe und eine restart.exe !
Das Fenster, welches ich sagte dass sich kurz öffnet, beinhaltet den Text
>>Der Befehl "find" ist entweder falsch geschrieben oder konnte nicht gefunden werden.<< (War nur durch einen Screenshot zu entziffern)

Was vielleicht noch erwähnenswert ist: Seit einiger Zeit werden einige Symbole im Systemtray nicht mehr angezeigt, kommen mal und gehen dann wieder. Z.B. AntiVir und Lautstärke wurden lange nicht angezeigt und tauchten dann wieder auf (Avira war aber immer aktiv!)

Versuch es mal im abgesicherten Modus.

Hab es im abgesicherten probiert und ging auch nicht. Hab bisher Avira, Kaspersky, Microsoft AntiVir, Blacklight, AVG 7.5 drüber laufen lassen und keiner Fand was. Heute hab ich dann noch spybot versucht, welcher auch 28 Probleme feststellte (die meisten waren verfolgende cookies) und 2 davon waren Smitfraud-C. und Smitfraud-C.Keylogger, diese Meldungen wurden auch noch gezeigt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter/FirewallDisableNotify!=dword:0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter/AntiVirusOverride!=dword:0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter/AntiVirusDisableNotify!=dword:0
Ging dann in den abgesicherten Modus und fixte, was beim HJT online check rot markiert war. Nun sind die scvhost.exe aus dem HJTLogFile weg, in der Regestrierung aber immer noch da. Auch Spybot findet immer noch alles wie zuvor....

Liegt das evtl daran dass Smitfraud nicht funktioniert da es ein "Befehlsskript von Windows NT" ist und ich XP habe?

Wenn ich alle scvhost.exe Dateien aus der Registry raus lösche wird mir das auch nicht viel weiter helfen oder? Es war meines Wissens noch kein Wurm, Virus, Trojaner o.ä. aktiv. Und gefunden hat mein Virenscanner bisher auch nur Trojaner oder ScriptViren welche meines Wissens auch nicht aktiv waren.

Zitat:

Zitat von happyHardcore11

Liegt das evtl daran dass Smitfraud nicht funktioniert da es ein "Befehlsskript von Windows NT" ist und ich XP habe?

Windows XP ist Windows NT 5.1

Zitat:

Wenn ich alle scvhost.exe Dateien aus der Registry raus lösche wird mir das auch nicht viel weiter helfen oder?

Aller Vermutung nach bring das exakt genau gar nichts.

Zitat:

Es war meines Wissens noch kein Wurm, Virus, Trojaner o.ä. aktiv. .

Die Registrierungseinträge sprechen da eine andere Sprache.

Lade Dir mal dieses Tool und lasse es im abgesicherten Modus laufen.

Gruß

Marc

hab grad noch escan drüber laufen lassen, der hat noch einiges gefunden. Hier mal ein kleiner Ausschnitt:
Fri May 04 22:05:43 2007 => ***** Scanning Registry and File system for Adware/Spyware *****
Fri May 04 22:05:43 2007 => Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\Andreas\LOKALE~1\Temp\spydb.avs, Size: 226330].
Fri May 04 22:05:46 2007 => Indexed Spyware Databases Successfully Created...

Fri May 04 22:07:03 2007 => System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Entries Removed.
Fri May 04 22:07:03 2007 => Object "maxsearch Adware" found in File System! Action Taken: Entries Removed.

Fri May 04 22:07:05 2007 => Offending file found: C:\install.dat
Fri May 04 22:07:05 2007 => System found infected with zlob Trojan-Downloader (install.dat)! Action taken: Entries Removed.
Fri May 04 22:07:05 2007 => Object "zlob Trojan-Downloader" found in File System! Action Taken: Entries Removed.

Fri May 04 22:07:21 2007 => Checking MountPoints2 Registry Key...
Fri May 04 22:07:21 2007 => Checking CLSID Reference Entries...
Fri May 04 22:07:21 2007 => Entry "HKCR\AOLCoach.TrainerOCXCtrl.10" refers to invalid object .

Das Tool werd ich auch gleich mal testen!!

Poste bitte erst das Ergebnis der find.bat (siehe eScan-Anleitung)!

Zitat:

Um eScan zu aktualisieren, musst du nun zum Ordner 'C:\Bases_X' navigieren und die 'kavupd.exe' ausführen. Ein kleines DOS - Fenster öffnet sich, Signaturen werden erneuert und wird nach getaner Arbeit wieder geschlossen.

Nachdem ich das mit dem auswerten der eScan Datei nicht ganz auf die Reihe bekam, mach ich jetzt nochmal alles genau nach Anleitung. Hab den Link fürn Download von eScan benutzt, Download2 geklickt und mwav.exe nach 'C:\Bases_X' entpackt. Allerdings gibts bei mir keine 'kavupd.exe'. Da dies eine Aktualisierung sein soll, wäre sie wohl doch nicht ganz unwichtig?!

Zitat:

Zitat von happyHardcore11

Hab den Link fürn Download von eScan benutzt, Download2 geklickt und mwav.exe nach 'C:\Bases_X' entpackt. Allerdings gibts bei mir keine 'kavupd.exe'. Da dies eine Aktualisierung sein soll, wäre sie wohl doch nicht ganz unwichtig?!

Hmmm, mir wäre wohler, wenn Du die richtige Anleitung nehmen würdest. Gehe nicht über Los, erstelle keinen Ordner bases_x, suche keine Datei namens kavupd.exe und lade die neuste Version der find.bat.
Starte (wie in der Anleitung beschrieben) eScan und klicke (wie in der Anleitung beschrieben) auf Update/Aktualisieren. Versuche es bei Bedarf (wie nicht in der Anleitung beschrieben) solange bis das Update funktioniert hat (u.U. 3 - 8 mal).

Gruß

Marc

Der eScan ist durchgelaufen, fand lediglich noch 31 Fehler und von den "5 Critical Objects" im letzten Scan (war nicht im abgesicherten Modus) ist nichts mehr zu sehen!?
Zur Info:
Führte gestern noch den ersten Schritt von AVZ (wieder nicht im abgesicherten Modus) aus sprich:
"Haken bei 'Healing/Quarantine and Advanced System Investigation' setzen, 4. Klicken Sie auf das Icon Execute selected scripts; Die Log-Datei virusinfo_syscure.zip wird im Unterverzeichnis ..\LOG gespeichert
5. Nach dem Ausführen des Scripts starten Sie Ihr PC neu."
Danach hab ich den Rechner runter gefahren. Aber durch diesen Schritt werden doch noch keine Schädlinge entfernt!?

Wenn ich die find.bat in der cmd ausführe heißt es, der Befehl "findstr" ist entweder falsch geschrieben oder konnte nicht gefunden werden. Beim doppelklick auf die find.bat verschwindet das Fenster gleich wieder. Eine entsprechende Datei escan_neu.txt taucht auch nicht auf.

Post jetzt mal den Schluss des eScanLogs, vielleicht sagt der ja auch schon genug aus:

Sat May 05 15:36:54 2007 => ***** Scanning complete. *****

Sat May 05 15:36:54 2007 => Total Objects Scanned: 138531
Sat May 05 15:36:54 2007 => Total Critical Objects: 0
Sat May 05 15:36:54 2007 => Total Disinfected Objects: 0
Sat May 05 15:36:54 2007 => Total Objects Renamed: 0
Sat May 05 15:36:54 2007 => Total Deleted Objects: 0
Sat May 05 15:36:54 2007 => Total Errors: 31
Sat May 05 15:36:54 2007 => Time Elapsed: 01:27:01
Sat May 05 15:36:54 2007 => Virus Database Date: 5/5/2007
Sat May 05 15:36:54 2007 => Virus Database Count: 313448

Sat May 05 15:36:54 2007 => Scan Completed.

Zitat:

Zitat von happyHardcore11

Wenn ich die find.bat in der cmd ausführe heißt es, der Befehl "findstr" ist entweder falsch geschrieben oder konnte nicht gefunden werden. Beim doppelklick auf die find.bat verschwindet das Fenster gleich wieder. Eine entsprechende Datei escan_neu.txt taucht auch nicht auf.

Das klingt nicht gut. Die Fehler würden mich aber interessieren. Lade die Datei mwav.log bitte bei file-upload.net hoch und poste den Downloadlink hier oder sende ihn mir per PM.

Poste hier nochmal schnell die zwei Download Links des eScanLogs:

Dieser ist vom eScan vom 04.05.07.


Und hier gehts zum eScanLog der einen Tag später durchlief.

Gruß Andy

Hier das eine Log vom 4. Mai

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.05.01.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.1.9
Sprache: English
Virus-Datenbank Datum: 4/13/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri May 04 22:07:03 2007 => System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Entries Removed.
Fri May 04 22:07:05 2007 => System found infected with zlob Trojan-Downloader (install.dat)! Action taken: Entries Removed.
Fri May 04 22:07:03 2007 => Object "maxsearch Adware" found in File System! Action Taken: Entries Removed.
Fri May 04 22:07:05 2007 => Object "zlob Trojan-Downloader" found in File System! Action Taken: Entries Removed.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Fri May 04 23:30:35 2007 => File C:\Programme\smitfraud\SmitfraudFix.zip/SmitfraudFix/Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: File Deleted.
Fri May 04 23:30:36 2007 => File C:\Programme\smitfraud\SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: File Deleted.
Fri May 04 23:35:55 2007 => File C:\system volume information\_restore{AE8C560C-AEE7-4C54-AB1D-014009397F0B}\RP1\A0001396.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: File Deleted.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Fri May 04 22:07:05 2007 => Offending file found: C:\install.dat
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
Fri May 04 23:24:41 2007 => C:\Programme\Open_Office\OpenOfficeorgPortable\App\openoffice\program\dict_ja.dll not Scanned. Possibly password protected...
Fri May 04 23:24:44 2007 => C:\Programme\Open_Office\OpenOfficeorgPortable\App\openoffice\program\fwk680mi.dll not Scanned. Possibly password protected...
Fri May 04 23:24:45 2007 => C:\Programme\Open_Office\OpenOfficeorgPortable\App\openoffice\program\icudt26l.dll not Scanned. Possibly password protected...
Fri May 04 23:31:43 2007 => C:\Programme\Nero\Nero-7.7.5.1_all_trial.exe not Scanned. Possibly password protected...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri May 04 23:37:42 2007 => Total Critical Objects: 5
Fri May 04 23:37:42 2007 => Total Disinfected Objects: 0
Fri May 04 23:37:42 2007 => Total Objects Renamed: 0
Fri May 04 23:37:42 2007 => Total Deleted Objects: 398
Fri May 04 23:37:42 2007 => Total Errors: 399
Fri May 04 23:37:42 2007 => Time Elapsed: 01:32:37
Fri May 04 23:37:42 2007 => Total Objects Scanned: 136335
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri May 04 22:05:06 2007 => Memory Check: Enabled
Fri May 04 22:05:06 2007 => Registry Check: Enabled
Fri May 04 22:05:06 2007 => System Folder Check: Disabled
Fri May 04 22:05:06 2007 => System Area Check: Disabled
Fri May 04 22:05:06 2007 => Services Check: Enabled
Fri May 04 22:05:06 2007 => Drive Check: Disabled
Fri May 04 22:05:06 2007 => All Drive Check :Enabled
Fri May 04 22:05:06 2007 => All Drive Check :Enabled
--------------------------------------------------
C:\mwav.log
--------------------------------------------------

Batchstart: 17:12:02,00
Batchende: 17:12:14,92


Das zweite Log zeigt keinen Schädlingsbefall. Wie geht es dem Rechner denn?

Dem Rechner gehts eigentlich bestens!!! Hab nur beim runter fahren manchmal eine Fehlermeldung von SetPoint, das kommt aber von meiner Logitech Maus. Schätze da wurde etwas mit gelöscht.
Ansonsten ist in der Registry immer noch die scvhost.exe des öfteren zu finden;

HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603
Name->007 / Wert-> scvhost.exe


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\reg
Name-> a Typ-> REG_SZ Wert-> C:/Dokumente und Einstellungen/Name/Eigene Dateien/Regedit/scvhost.reg
Name-> b Typ-> REG_SZ Wert-> C:/Dokumente und Einstellungen/Name/Eigene Dateien/Regedit/DateienScvhost.reg

HKEY_CURRENT_USER\Software\Neuber GbR\Security Task Manager\Cache
Name-> C:/WINDOWS/scvhost.exe Typ-> REG_SZ Wert-> 32

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
Name-> Command Typ-> REG_SZ Wert-> C:/WINDOWS/scvhost.exe
Name-> item Typ-> REG_SZ Wert-> scvhost

HKEY_USERS\S-1-5-21-3621066256-2668779938-3439846143-1005\Software\Microsoft\Search Assistant\ACMru\5603
Name-> 007 Typ-> REG_SZ Wert-> scvhost.exe

HKEY_USERS\S-1-5-21-3621066256-2668779938-3439846143-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\reg
Name-> a Typ-> REG_SZ Wert-> C:/Dokumente und Einstellungen/Andreas/Eigene Dateien/Regedit/scvhost.reg
Name-> b Typ-> REG_SZ Wert-> C:/Dokumente und Einstellungen/Andreas/Eigene Dateien/Regedit/DateienScvhost.reg

HKEY_USERS\S-1-5-21-3621066256-2668779938-3439846143-1005\Software\Neuber GbR\Security Task Manager\Cache
Name-> C:/WINDOWS/scvhost.exe Typ-> REG_SZ Wert-> 32

Das rot markierte war ein dem Ordner Regedit, den ich unter Eigene Dateien erstellte und darin die .reg Files aus der Registry exportierte zum Scan bei Virustotal.

Bei dem blau markierten wurde der Name von "000" auf "007" geändert.

3 neue Prozesse laufen im Taskmanager:
cidaemon.exe
cisvc.exe
wsntfy.exe

Nach ein bisschen googlen sollen das aber Win-Prozesse vom Indexdienst sein. Liefen vorher allerdings noch nie im TaskManager.

Gruß Andy