Svchost mit Antivir gelöscht was jetzt ? Bitte dringend

SandroTorrent · 09.01.2008, 20:14

Hallo mein Laptop ist sehr langsam geworden dachte mach mal einen Virenscan ! Hatte dann 9 Trojaner drauf unter anderem auf der svchost.exe datei im System 32 Ordner. Bei jedem Neustart zeigt er an "Svchost.exe konnte nicht gefunden werden". Wenn ich auf der externen Festplatte was mache oder mit einem USB Stick sagt er Explorer musste beendet werden. Ist jetzt sehr sehr langsam und lädt nur wenn es ihm passt ! Danke für die Hilfe !!!
Unten das Logfile BITTE BITTE

Logfile of HijackThis v1.99.1
Scan saved at 20:07:42, on 09.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 8.0\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Power Manager\PM.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\Programme (Setup`s)\utorrent.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Master\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.tuwien.ac.at
F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 8.0\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 8.0\SCIEPlgn.dll
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=www.tuwien.ac.at
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 8.0\avp.exe" -r (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

**Sunny** · 09.01.2008, 20:28

Hallo SandroTorrent und Willkommen!

Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen:

SDFix

* Lade das SDFix herunter und speichere es auf deinem Desktop.

* Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
* Starte deinen Rechner neu auf, in den abgesicherten Modus

* Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann.
* Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
* Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
* Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
* Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

-SilverDragon- · 09.01.2008, 20:38

Hallo

Warscheinlich kommt die Meldung, das die Datei Scvhost nicht gestartet werden kann, weil der Virenscanner die gelöscht hat, aber sie gestartet werden soll, durch den Registry Eintrag.

Code:

ATTFilter

F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe

Diese Datei NICHT mit der Systemdatei svchost verwechseln!

svchost.exe
Die scvhost gehört zu einem Trojaner.

Dann gibt es noch die svhost.exe
svhost.exe

Es gibt noch viele weitere Dateien, die der svchost sehr ähnlich sehen,
aber die svchost ist die Richtige

SandroTorrent · 09.01.2008, 21:07

Danke für die schnelle hilfe !!!!!!

SDFix: Version 1.125

Run by Master on 09.01.2008 at 20:51

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\DOKUME~1\Master\Desktop\SDFix

Safe Mode:
Checking Services:

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...

Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\offlog.txt - Deleted

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.

Final Check:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-09 20:58:15
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:e6d33d06
"s2"=dword:04927ba9
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:9b,a6,45,94,e0,e9,c7,e5,8c,a4,26,06,33,96,3e,fc,06,0b,48,f6,97,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:b7,d4,1e,04,00,a1,a8,67,a0,df,38,0a,c7,76,4e,28,25,ec,b7,40,17,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,4d,8e,8f,af,0a,ca,c7,d3,95,f0,43,a1,1b,1c,ed,58,b3,..
"khjeh"=hex:f5,23,23,55,72,31,32,db,6a,bb,4f,e9,83,7d,a1,59,45,26,75,93,3a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:0d,30,fb,f6,30,1d,95,74,de,ec,79,f9,a3,8e,4e,c9,0e,06,7c,70,67,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:b7,d4,1e,04,00,a1,a8,67,a0,df,38,0a,c7,76,4e,28,25,ec,b7,40,17,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,4d,8e,8f,af,0a,ca,c7,d3,95,f0,43,a1,1b,1c,ed,58,b3,..
"khjeh"=hex:f5,23,23,55,72,31,32,db,6a,bb,4f,e9,83,7d,a1,59,45,26,75,93,3a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:54,21,30,de,93,18,63,29,a9,86,ba,04,21,a3,0b,d4,ff,12,37,45,dd,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:9b,a6,45,94,e0,e9,c7,e5,8c,a4,26,06,33,96,3e,fc,06,0b,48,f6,97,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services:
------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\LimeWire\\LimeWire.exe"="C:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Dokumente und Einstellungen\\Master\\Desktop\\utorrent.exe"="C:\\Dokumente und Einstellungen\\Master\\Desktop\\utorrent.exe:*:Enabled:æTorrent"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"F:\\Programme (Setup`s)\\utorrent.exe"="F:\\Programme (Setup`s)\\utorrent.exe:*:Enabled:æTorrent"
"C:\\Programme\\Gemeinsame Dateien\\Nero\\Nero Web\\SetupX.exe"="C:\\Programme\\Gemeinsame Dateien\\Nero\\Nero Web\\SetupX.exe:*:Enabled:Nero ControlCenter"
"C:\\Dokumente und Einstellungen\\Master\\Lokale Einstellungen\\Temp\\OnlineUpdate8\\SetupXu.exe"="C:\\Dokumente und Einstellungen\\Master\\Lokale Einstellungen\\Temp\\OnlineUpdate8\\SetupXu.exe:*:Enabled:Nero ControlCenter"
"C:\\Programme\\Nero\\Nero8\\Nero Home\\NeroHome.exe"="C:\\Programme\\Nero\\Nero8\\Nero Home\\NeroHome.exe:*:Enabled:Nero Home"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath "

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files:
---------------

File Backups: - C:\DOKUME~1\Master\Desktop\SDFix\backups\backups.zip

Files with Hidden Attributes:

Sun 25 Nov 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Wed 28 Nov 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\11ff9edcc14d824e43781892eb21a97b\BIT1.tmp"
Tue 16 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\df5639f970beb9dd53a1263e6651362c\BIT3.tmp"
Sat 24 Nov 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\df5639f970beb9dd53a1263e6651362c\BIT5.tmp"

Finished!

Hijackthis:::

Logfile of HijackThis v1.99.1
Scan saved at 21:06:20, on 09.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Power Manager\PM.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Master\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.tuwien.ac.at
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 8.0\SCIEPlgn.dll
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=www.tuwien.ac.at
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

SandroTorrent · 09.01.2008, 21:11

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F88F-C125

Verzeichnis von C:\

09.01.2008 20:56 704.643.072 pagefile.sys
08.01.2008 15:52 50 AUTOEXEC.BAT
22.11.2007 23:21 251.184 ntldr
05.11.2007 10:56 211 boot.ini
16.10.2007 22:55 45 TEST.XML
12.10.2007 19:00 1.759 FSC-DeskUpdate.txt
12.10.2007 18:44 0 MSDOS.SYS
12.10.2007 18:44 0 IO.SYS
12.10.2007 18:44 0 CONFIG.SYS
12.10.2007 18:35 211 BOOT.BKK
04.08.2004 04:00 4.952 bootfont.bin
04.08.2004 04:00 47.564 NTDETECT.COM
12 Datei(en) 704.949.048 Bytes
0 Verzeichnis(se), 19.300.880.384 Bytes frei

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F88F-C125

Verzeichnis von C:\WINDOWS\system32

09.01.2008 19:51 2.206 wpa.dbl
09.01.2008 19:50 127.704 FNTCACHE.DAT
02.01.2008 19:19 634 MAPISVC.INF
12.12.2007 03:01 266.378 TZLog.log
03.12.2007 00:00 18.684.536 MRT.exe

1996 Datei(en) 428.796.926 Bytes
0 Verzeichnis(se), 19.300.753.408 Bytes frei

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F88F-C125

Verzeichnis von C:\WINDOWS\Prefetch

09.01.2008 21:08 11.336 FIND.EXE-0EC32F1E.pf
09.01.2008 21:08 14.336 CMD.EXE-087B4001.pf
09.01.2008 21:08 112.822 WINRAR.EXE-3588DFE8.pf
09.01.2008 21:06 45.638 NOTEPAD.EXE-336351A9.pf
09.01.2008 21:06 15.398 HIJACKTHIS.EXE-22123A0D.pf
09.01.2008 21:03 26.540 WUAUCLT.EXE-399A8E72.pf
09.01.2008 21:03 98.182 FIREFOX.EXE-1D57670A.pf
09.01.2008 21:02 71.796 WINWORD.EXE-259486DA.pf
09.01.2008 21:02 42.862 READER_SL.EXE-1EA4C8B2.pf
09.01.2008 21:02 14.500 WMPNSCFG.EXE-094B04CE.pf
09.01.2008 21:02 18.366 IMAPI.EXE-0BF740A4.pf
09.01.2008 21:02 10.720 PM.EXE-2D7F93FE.pf
09.01.2008 21:01 12.392 DUMPREP.EXE-1B46F901.pf
09.01.2008 21:01 8.760 NEROCHECK.EXE-1BD71082.pf
09.01.2008 21:01 21.904 VERCLSID.EXE-3667BD89.pf
09.01.2008 21:00 5.576 CLIPTEXT.EXE-0E210B94.pf
09.01.2008 21:00 17.224 FIND.EXE-19A69638.pf
09.01.2008 21:00 8.630 SWREG.EXE-31AAB9F1.pf
09.01.2008 20:59 1.365.382 NTOSBOOT-B00DFAAD.pf
09.01.2008 20:42 36.658 WMIPRVSE.EXE-28F301A9.pf
09.01.2008 20:37 5.682 ISADMIN.EXE-1630F239.pf
09.01.2008 20:31 16.606 LOGONUI.EXE-0AF22957.pf
09.01.2008 20:31 34.032 SDFIX.EXE-1CCCEA20.pf
09.01.2008 20:14 80.946 AVP.EXE-3A8CDFFC.pf
09.01.2008 20:13 43.168 MSIEXEC.EXE-2F8A8CAE.pf
09.01.2008 20:04 66.380 MSIMN.EXE-0B61806C.pf
09.01.2008 20:04 22.034 MSMSGS.EXE-32066BA5.pf
09.01.2008 19:57 103.966 PHOTOSNAPVIEWER.EXE-1BCDA4AE.pf
09.01.2008 19:54 58.854 UTORRENT.EXE-04A35BC1.pf
09.01.2008 19:41 16.542 UTORRENT.EXE-267132B0.pf
09.01.2008 15:34 591.854 Layout.ini
09.01.2008 15:16 6.126 LOGON.SCR-151EFAEA.pf
09.01.2008 15:00 42.190 AVNOTIFY.EXE-0B59FC42.pf
09.01.2008 14:59 36.742 UPDATE.EXE-3A80F1D2.pf
09.01.2008 14:59 15.330 PREUPD.EXE-18CBCD87.pf
09.01.2008 14:37 24.522 NMBGMONITOR.EXE-0BC10095.pf
09.01.2008 14:37 65.090 NMIndexStoreSvr.exe-1DBCF9FD.pf
09.01.2008 14:37 65.388 SHOWTIME.EXE-1713ECDC.pf
09.01.2008 14:30 15.036 NMINDEXINGSERVICE.EXE-19799BA6.pf
09.01.2008 08:56 66.426 UPDATE.EXE-150D4058.pf
09.01.2008 08:56 68.538 UPDATE.EXE-2F2F771B.pf
09.01.2008 04:29 229.890 HELPSVC.EXE-2878DDA2.pf
09.01.2008 03:39 39.124 UTORRENT.EXE-2EF2130C.pf
08.01.2008 20:15 98.486 DFRGNTFS.EXE-269967DF.pf
08.01.2008 20:15 57.722 DEFRAG.EXE-273F131E.pf
08.01.2008 18:47 15.166 RUNDLL32.EXE-451FC2C0.pf
08.01.2008 18:45 109.296 NEROSTARTSMART.EXE-0A488AA3.pf
08.01.2008 18:41 69.370 DRWTSN32.EXE-2B4B52AC.pf
08.01.2008 18:41 24.760 DWWIN.EXE-30875ADC.pf
08.01.2008 18:39 68.982 MUVEEAPP.EXE-01819C0E.pf
08.01.2008 18:22 74.300 ACRORD32.EXE-153330F0.pf
08.01.2008 15:49 102.200 EXPLORER.EXE-082F38A9.pf
08.01.2008 15:43 16.900 RUNDLL32.EXE-146D9EC8.pf
08.01.2008 14:32 101.342 REGISTRYCLEANER.EXE-17B6D63B.pf
08.01.2008 14:32 87.878 SYSTEMOPTIMIZER.EXE-2D3174F1.pf
08.01.2008 14:32 69.600 ONECLICKMAINTENANCE.EXE-05D14B98.pf
56 Datei(en) 4.569.490 Bytes
0 Verzeichnis(se), 19.300.782.080 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F88F-C125

Verzeichnis von C:\WINDOWS

09.01.2008 21:03 1.974.806 WindowsUpdate.log
09.01.2008 20:57 0 0.log
09.01.2008 20:56 2.048 bootstat.dat
09.01.2008 20:48 157.972 ntbtlog.txt
09.01.2008 20:44 17.210 SchedLgU.Txt
09.01.2008 14:40 69 NeroDigital.ini
09.01.2008 08:56 4.603 KB941644.log
09.01.2008 08:56 4.525 KB943485.log
08.01.2008 19:15 118.316 setupapi.log
08.01.2008 15:52 10.596 wmsetup.log
28.12.2007 04:06 216 wiadebug.log
26.12.2007 14:13 50 wiaservc.log
26.12.2007 10:12 151 PhotoSnapViewer.INI
25.12.2007 01:17 670 wmsetup10.log
22.12.2007 03:00 119.989 iis6.log
22.12.2007 03:00 36.450 comsetup.log
22.12.2007 03:00 22.101 ntdtcsetup.log
22.12.2007 03:00 6.156 ocmsn.log
22.12.2007 03:00 5.606 tabletoc.log
22.12.2007 03:00 1.393 imsins.log
22.12.2007 03:00 50.786 tsoc.log
22.12.2007 03:00 7.269 KB946627.log
22.12.2007 03:00 19.494 netfxocm.log
22.12.2007 03:00 52.488 ocgen.log
22.12.2007 03:00 5.562 msgsocm.log
22.12.2007 03:00 8.260 MedCtrOC.log
22.12.2007 03:00 111.285 FaxSetup.log
22.12.2007 03:00 33.820 msmqinst.log
12.12.2007 16:49 375 COVERE~1.INI
12.12.2007 03:02 1.393 imsins.BAK
12.12.2007 03:02 16.300 KB937894.log
12.12.2007 03:02 15.865 KB942840.log
12.12.2007 03:01 26.960 KB942763.log
12.12.2007 03:01 12.797 KB941569.log
12.12.2007 03:01 94.097 updspapi.log
12.12.2007 03:01 14.837 KB941568.log
12.12.2007 03:01 18.978 KB942615.log
12.12.2007 03:00 12.371 KB944653.log

130 Datei(en) 13.883.520 Bytes
0 Verzeichnis(se), 19.300.769.792 Bytes frei

----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F88F-C125

Verzeichnis von C:\WINDOWS\tasks

09.01.2008 20:56 6 SA.DAT
07.01.2008 20:12 276 AppleSoftwareUpdate.job
04.01.2008 17:15 398 1-Klick-Wartung.job
04.08.2004 04:00 65 desktop.ini
4 Datei(en) 745 Bytes
0 Verzeichnis(se), 19.300.773.888 Bytes frei

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F88F-C125

Verzeichnis von C:\WINDOWS\temp

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F88F-C125

Verzeichnis von C:\DOKUME~1\Master\LOKALE~1\Temp

09.01.2008 21:08 109.631 filelist.txt
09.01.2008 21:07 16.384 ~DFD00E.tmp
09.01.2008 21:02 512 ~DF340C.tmp
09.01.2008 21:02 512 ~DF30B1.tmp
4 Datei(en) 127.039 Bytes
0 Verzeichnis(se), 19.300.773.888 Bytes frei

**Sunny** · 09.01.2008, 21:12

Registry Search

Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen.

Hier das Programm herunterladen -> RegSearch by Bobbi Flekman
Das Archiv entpacken und die regsearch.exe mit einem doppelklick starten.
Danach in den weißen Feldern (Search String) nach Dateien oder Schlüsseln suchen lassen. (auch mehrere Dateien gleichzeitig)

Zitat:

scvhost

Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen.

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

SandroTorrent · 09.01.2008, 21:16

was muss ich dem programm bei search string eingeben ? Danke

**Sunny** · 09.01.2008, 21:17

Zitat:

Zitat von SandroTorrent

was muss ich dem programm bei search string eingeben ? Danke

scvhost

(ohne Smilie!)

SandroTorrent · 09.01.2008, 21:19

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 09.01.2008 21:18:00 for strings:
; 'scvhost'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP8\profiles\SystemWatch\profiles\Hips\settings\vAppList\0012]
"AppName"="C:\\WINDOWS\\scvhost.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{B1B5B04F-A20B-A6E0-E050-F0F00BCD201C}]
"StubPath"="C:\\WINDOWS\\scvhost.exe"

; End Of The Log...

-SilverDragon- · 09.01.2008, 21:24

Hallo
Hast du die scvhost gelöscht? Wenn Nein, lösch sie.

SandroTorrent · 09.01.2008, 21:33

ComboFix 08-01-10.2 - Master 2008-01-09 21:20:14.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.100 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Master\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-10 bis 2008-01-10 ))))))))))))))))))))))))))))))
.

2008-01-09 21:19 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-09 20:48 . 2008-01-09 20:48 <DIR> d-------- C:\WINDOWS\ERUNT
2008-01-09 20:34 . 2008-01-10 21:27 1,394,720 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-09 20:34 . 2008-01-10 21:25 16,772 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-08 15:54 . 2008-01-08 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\Master\Anwendungsdaten\muvee Technologies
2008-01-08 15:52 . 2008-01-08 15:52 <DIR> d-------- C:\Programme\muvee Technologies
2008-01-08 15:52 . 2008-01-08 15:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\muvee Technologies
2008-01-08 15:52 . 2008-01-08 15:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\muvee Technologies
2008-01-01 12:00 . 2008-01-01 12:00 <DIR> d-------- C:\Programme\Avira
2008-01-01 12:00 . 2008-01-01 12:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-01-01 10:14 . 2008-01-01 10:14 <DIR> d-------- C:\Programme\Apple Software Update
2008-01-01 10:14 . 2008-01-01 10:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2007-12-26 10:11 . 2007-12-26 10:12 151 --a------ C:\WINDOWS\PhotoSnapViewer.INI
2007-12-23 11:07 . 2007-12-23 11:07 <DIR> d--h----- C:\WINDOWS\PIF
2007-12-16 11:12 . 2007-12-16 11:12 <DIR> d-------- C:\Programme\freewareboard
2007-12-16 10:45 . 2007-12-16 12:29 90,980 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-12-16 10:45 . 2007-12-16 12:29 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-12-16 10:43 . 2008-01-09 19:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2007-12-13 20:56 . 2007-12-13 20:56 <DIR> d-------- C:\Programme\LimeWire
2007-12-12 16:49 . 2007-12-12 16:49 375 --a------ C:\WINDOWS\COVERE~1.INI

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-09 19:31 --------- d-----w C:\Dokumente und Einstellungen\Master\Anwendungsdaten\uTorrent
2008-01-08 18:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-01-08 14:52 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-08 14:10 --------- d-----w C:\Dokumente und Einstellungen\Master\Anwendungsdaten\LimeWire
2008-01-02 18:18 --------- d-----w C:\Programme\Ontrack
2007-12-16 09:43 --------- d-----w C:\Programme\Kaspersky Lab
2007-12-13 21:10 --------- d-----w C:\Dokumente und Einstellungen\Master\Anwendungsdaten\Skype
2007-12-09 13:10 --------- d-----w C:\Programme\Ebner
2007-12-09 10:36 --------- d-----w C:\Programme\Native Instruments
2007-11-30 17:19 --------- d-----w C:\Dokumente und Einstellungen\Master\Anwendungsdaten\Ahead
2007-11-29 11:22 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2007-11-29 11:19 --------- d-----w C:\Programme\Nero
2007-11-29 11:19 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2007-11-25 19:04 --------- d-----w C:\Programme\Windows Media Connect 2
2007-11-22 22:42 96,256 ----a-w C:\WINDOWS\system32\drivers\sptddrv1.sys
2007-11-22 22:42 --------- d-----w C:\Programme\Microsoft ActiveSync
2007-11-15 18:08 --------- d-----w C:\Dokumente und Einstellungen\Master\Anwendungsdaten\SecondLife
2007-11-14 17:15 13,860 ----a-w C:\WINDOWS\system32\drivers\klop.dat
2007-11-14 17:02 10,011 ----a-w C:\WINDOWS\system32\drivers\klnetinf.sys
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PowerManager"="C:\Programme\Power Manager\PM.exe" [2005-04-19 16:22 163840]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 04:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Apoint"=C:\Programme\Apoint2K\Apoint.exe
"ATIPTA"=C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
"SMSERIAL"=sm56hlpr.exe
"PowerManager"=C:\Programme\Power Manager\PM.exe

R0 KLBG;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\DRIVERS\klbg.sys [2007-10-24 14:16]
R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2007-11-06 13:22]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 04:00]
R3 EKBfltr;ENE Keyboard Controller;C:\WINDOWS\system32\DRIVERS\EKBfltr.sys [2005-01-14 16:22]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2007-10-31 12:58]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-05-30 17:49]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B1B5B04F-A20B-A6E0-E050-F0F00BCD201C}]
C:\WINDOWS\scvhost.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-01-04 16:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-01-07 19:12:14 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-10 21:27:07
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-10 21:28:38 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-10 20:28:34
.
2007-12-22 02:00:48 --- E O F ---

SandroTorrent · 09.01.2008, 21:34

Warum soll ich sie jetzt löschen ???

-SilverDragon- · 10.01.2008, 12:08

Die Scvhost löschen, weil sie ja schädlich ist,
WENN sie noch im System ist

Svchost mit Antivir gelöscht was jetzt ? Bitte dringend

Plagegeister aller Art und deren Bekämpfung: Svchost mit Antivir gelöscht was jetzt ? Bitte dringend