| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Hab ich mir was eingefangen (scvhost)?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
27.12.2007, 13:05
| #1 |
 |  Hab ich mir was eingefangen (scvhost)? Hallo! Ich bin mir nicht sicher, ob ich mir was eingefangen habe, denn mein System läuft recht stabil. Beim hochfahren dauerts etwas länger, das wars. Aber wenn ich registry clean starte, habe ich im startup organizer 13 Einträge scvhost.exe. Allesamt für Programme, die ich längst gelöscht habe. Die Einträge dort löschen bringt nix, nach Neustart sind die wieder da. Im angegebenen Pfad Windows/system32 existiert die Datei allerdings gar nicht. Über die Windows-Suche finde ich auch nur eine Datei: scvhost.exe-1f6b4dc9.pf im Ordner Windows/prefetch Was ist da los bei mir? Schon mal Danke für evt. Hilfe |
|
27.12.2007, 13:33
| #2 |
| | Hab ich mir was eingefangen (scvhost)? hab exakt das gleiche problem.
__________________windows hochfahren dauert um einiges länger, pc deutlich langsamer und beim taskmanager unter prozesse ist es etwa 5-6 mal drinnen. hab hier eh auch schon nen thread aufgemacht, hoffen wir das beste |
|
27.12.2007, 14:18
| #3 |
| | Hab ich mir was eingefangen (scvhost)? Im Taskmanager unter Prozesse hab ich nur 6x svchost. (Was jawohl in Ordnung ist). scvhost ist da garnicht drinne.
__________________ |
|
27.12.2007, 14:26
| #4 |
  | Hab ich mir was eingefangen (scvhost)? Hallo nurmaso auch für dich: erstelle bitte ein HJT Log und poste es hier. Links und persönliche Daten entschärfen nicht vergessen. also http:// in h**p:// umändern. Schau nach, ob du alle Dateien angezeigt bekommst. Wenn eine scvhost.exe vorhanden ist, also im HJT Log auftaucht, dann gilt auch kein Onlinebanking, kein eBay und was sonst noch ein Passwort benötigt. Rechner vom Netz wenn unbeaufsichtigt. |
|
27.12.2007, 14:34
| #5 |
| | Hab ich mir was eingefangen (scvhost)? Hier das Logfile. Links und persönliche Daten hab ich keine gesehen. scvhost ist ca. 20x vorhanden. Die Datei ist doch unter d:/windows vorhanden. (Windows-Suche fand komischerweise nix.) Hab die Datei bei Virus Total überprüft. Ist ein Trojaner. Was nun? Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:34:56, on 27.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\ZoneLabs\vsmon.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\system32\nvsvc32.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\Explorer.exe D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe D:\WINDOWS\system32\RUNDLL32.EXE D:\Programme\BUFFALO\NASNAVI\NasNavi.exe D:\Programme\Mozilla Thunderbird\thunderbird.exe D:\Programme\Mozilla Firefox\firefox.exe D:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe F3 - REG:win.ini: run=D:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Windows Update] D:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [msconfig] D:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [icq lite] D:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [Update Checker] D:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [AntiVir] D:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [] D:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [Windows Update] D:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [msconfig] D:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [icq lite] D:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [Update Checker] D:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [AntiVir] D:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [] D:\WINDOWS\scvhost.exe O4 - HKLM\..\RunOnce: [Windows Update] D:\WINDOWS\scvhost.exe O4 - HKLM\..\RunOnce: [msconfig] D:\WINDOWS\scvhost.exe O4 - HKLM\..\RunOnce: [icq lite] D:\WINDOWS\scvhost.exe O4 - HKLM\..\RunOnce: [Update Checker] D:\WINDOWS\scvhost.exe O4 - HKLM\..\RunOnce: [AntiVir] D:\WINDOWS\scvhost.exe O4 - HKLM\..\RunOnce: [] D:\WINDOWS\scvhost.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: BUFFALO NAS Navigator.lnk = D:\Programme\BUFFALO\NASNAVI\NasNavi.exe O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - D:\Programme\iPod\bin\iPodService.exe (file missing) O23 - Service: Macromedia Licensing Service - Unknown owner - D:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 5228 bytes Geändert von nurmaso (27.12.2007 um 14:39 Uhr) Grund: Informationen ergänzt |
|
27.12.2007, 14:57
| #6 |
| | Hab ich mir was eingefangen (scvhost)? Siehst du alle Dateien? Einstellung unter Explorer, Extras, Ordneroptionen und Ansicht wie auf der angehängten Grafik Dann hätte ich gleich noch eine Aufgabe die Datei D:\WINDOWS\scvhost.exe bei VirusTotal - Free Online Virus and Malware Scan überprüfen lassen. Ergebnis hier dann posten. Geändert von blow-in (27.12.2007 um 15:48 Uhr) |
|
27.12.2007, 19:58
| #7 |
| | Hab ich mir was eingefangen (scvhost)? Ja, ich sehe alle Dateien. Hab die Datei doch im Windows-Ordner gefunden. Nur über die Windows Suche kam nix. Virus Total hatte ich doch schon gemcht. Ist ein Trojaner. Das Ergebnis: AhnLab-V3 2007.12.28.10 2007.12.27 Win-Trojan/Xema.variant AntiVir 7.6.0.46 2007.12.27 BDS/Agent.YE Authentium 4.93.8 2007.12.27 - Avast 4.7.1098.0 2007.12.26 Win32:VB-BLW AVG 7.5.0.516 2007.12.27 BackDoor.Generic5.OYG BitDefender 7.2 2007.12.27 - CAT-QuickHeal 9.00 2007.12.27 - ClamAV 0.91.2 2007.12.27 PUA.Packed.Themida DrWeb 4.44.0.09170 2007.12.27 - eSafe 7.0.15.0 2007.12.26 Win32.Trojan eTrust-Vet 31.3.5406 2007.12.27 - Ewido 4.0 2007.12.27 - FileAdvisor 1 2007.12.27 High threat detected Fortinet 3.14.0.0 2007.12.27 BDoor.ASB!tr.bdr F-Prot 4.4.2.54 2007.12.26 W32/Heuristic-162!Eldorado F-Secure 6.70.13030.0 2007.12.27 W32/Smalldoor.AIHZ Ikarus T3.1.1.15 2007.12.27 MemScanBackdoor.VB.BKC Kaspersky 7.0.0.125 2007.12.27 - McAfee 5194 2007.12.27 BackDoor-ASB Microsoft 1.3109 2007.12.27 Trojan:Win32/Malagent NOD32v2 2750 2007.12.27 - Norman 5.80.02 2007.12.27 W32/Smalldoor.AIHZ Panda 9.0.0.4 2007.12.27 Trj/Downloader.MDW Prevx1 V2 2007.12.27 Generic.Malware Rising 20.24.32.00 2007.12.27 - Sophos 4.24.0 2007.12.27 - Sunbelt 2.2.907.0 2007.12.27 Backdoor.Unidentified.gen Symantec 10 2007.12.27 Backdoor.Trojan TheHacker 6.2.9.171 2007.12.27 W32/Behav-Heuristic-064 VBA32 3.12.2.5 2007.12.26 - VirusBuster 4.3.26:9 2007.12.27 - Webwasher-Gateway 6.6.2 2007.12.27 Trojan.Backdoor.Agent.YE |
|
| Themen zu Hab ich mir was eingefangen (scvhost)? |
| clean, datei, eingefangen, einträge, gefangen, gelöscht, gen, hochfahren, länger, längst, löschen, neustart, nicht sicher, ordner, organizer, programme, recht, registry, scvhost, starte, startup, system |
Hybrid-Darstellung
