Svchost.com Virus (Selbstheilend) zerstört System
 

Hallo,
ich habe seit längerer Zeit (etwa 5 Monate) ein Problem auf meinem Windows- Rechner (Windows 10, x64), dass mich bereits mehrere Male dazu gezwungen hat, ihn zurückzusetzten. Ich spreche von einem Virus, der bekannt ist als ein Hijacker in C:\Windows\svchost.com. Er sorgt dafür, dass Windows nach einem Programm fragt, womit eine .exe Datei geöffnet werden soll, wenn ich versuche, per Doppelklick eine .exe Datei auszuführen (als wäre es eine PDF Datei o.Ä.). Es existiert auch eine Datei in C:\Windows\system32\svchost.exe, die auch dorthin gehört, allerdings ist die svchost.com bedrohlich (sie hat zwar die Endung com, ist aber ein Prozess, der auch das Anwendungssymbol besitzt). Ich habe als erstes versucht, die Datei natürlich zu löschen. Sie ließ sich auch nach dem beenden des dazugehörigen Prozesses löschen, tauchte aber nach jedem Versuch , eine Datei mit Doppelklick zu starten, wieder auf. Es ist möglich, den Explorer über "Dieser PC" mit einem Doppelklick auszuführen. Mithilfe der Windows-Suche und im Explorer ist es möglich, Programme im Administratormodus zu starten. Es ist nicht möglich, über Win+R die Registry oder andere Programme zu starten (daher musste ich für alle die Explorer+ AdminRechte Start Methode anwenden), und es ist auch nicht möglich, den Task-Manager und den Explorer über ihre entsprechende Tastenkombination aufzurufen. Der Task-Manager lässt sich nicht über die Task-Leiste starten. Google Chrome lässt sich übrigens mit keiner der möglichen Methoden, die aufgezählt wurden, starten. Ganz grob sind das die "normalen" Symptome, die meine Arbeit am PC wirklich erschweren. Dazu kommen jetzt noch ein paar komische Sachen. Die Symbole von Verknüpfungen wie zum Beispiel Chrome auf meinem Desktop sind verpixelt. Die Verknüpfungen verweisen jedoch auf das normale dazugehörige Programm. Die Anzeige für die Stromversorgung ist in "Symbole für die Anzeige auf der Taskleiste auswählen" angewählt, jedoch ist sie nicht in der Leiste zu sehen. Außerdem befindet sich in "Symbole für die Anzeige auf der Taskleiste auswählen" ein Reiter mit "Setup.exe , installer", der zwar nicht angehakt war, aber zugegeben verdächtig aussieht. Ich habe im Nachhinein meine Registry auf svchost.com durchsuchen lassen und fand wichtige Ergebnisse. In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command sowie in HKEY_CLASSES_ROOT\exefile \shell\open\command befinden sich in der Zeichenfolge " Standart" statt "%1" %* : C:\Windows\svchost.com "%1" %*. Löschen des Pfades im Eintrag bringt nichs, alles heilt sich selbst.

Das ist alles, was ich bis jetzt über den Virus weiß. Ich habe keinen Schimmer woher er herkommt und wie ich ihn beseitigen kann. Er hat sich auch erst Wochen nachdem ich ein neues Programm installiert habe (Notepad++), aktiviert. Es gibt keine Programme auf meinem PC, die irgendwie verdächtig sind, und alles was mir verdächtig vorkam, habe ich deinstalliert. Das Problem ist, dass auch Programminterne Vorgänge nicht funktionieren, da eine weitere exe ohne Administratorechte von der momentan benutzen Oberfläche verwendet werden möchte, es sich aber durch den Virus nicht startet. Ich habe echt keine Lust meinen PC nochmals zurückzusetzten, ich wäre dankbar für jede Hilfe.
(Windows Defender findet nichts)
(Exterminate-it! findet die svchost Einträge, löscht sie aber nur)
(sfc /scannow läuft gerade durch .)

Drkplz!

Klingt alles wenig nachvollziehbar was du da schreibst.

1. svchost.exe ist normalerweise eine legitime Systemdatei
2. woher willst du wissen, dass das bei dir ein Schädling ist? Nur weil dein Rechner spinnt weißt du bitte woger genau, dass genau diese Datei ein Schädling sein soll?
3. seit 5 Monaten? Was bitte hast du da gemacht?
4. kein Schädling überlebt eine Neuinstallation - entweder bildest du dir nen Schädling ein oder du führst jedes Mal aufs Neue irgendeinen Mist aus nach der Neuinstallation, denn magic malware gibt es nicht, es gibt immer einen Übertragungsweg - FALLS DENN ÜBERHAUPT es hier um einen Schädling geht!

Tut mir Leid, wenn ich mich nicht klar genug ausgedrückt habe. Ich habe erwähnt, dass svchost.exe in system32 eine normale Systemdatei ist. Svchost.com (Betonung auf com) befindet sich im Windows Ordner. Der ist sehr wohl schädlich und wird bei einer einzigen Google suche tausend Fach erwähnt. Allerdings führen alle Lösungen dazu, die Datei zu löschen, was bei mir eben nicht funktioniert. Ich weiß, dass 5 Monate eine lange Zeit sind. Nach dem Aufsetzen(clean installiert über stick) können selbstverständlich keine Dateien übrig bleiben. Allerdings weiß ich nicht, welches Programm, dass ich mir hole, den Virus erst auslöst. Ich habe alle Möglichkeiten in Betracht gezogen, allerdings bin ich bis heute nicht fündig geworden. Mein Ziel in diesem Thema ist es, eine Methode zu finden, diesen Virus zu entfernen oder andere Menschen zu finden, die denselben Virus haben, um dann Gemeinsamkeiten bei Programmen zu finden. Aber svchost.com ist definitiv schädlich!

Na dann schauen wir mal was FRST sagt


Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

FRST
 

So,
Im Anhang befinden sich die zwei Dateien, wobei in der Addition das svchost Problem identifiziert wurde.

FRST.txt
 

Tut mir Leid, hab ich übersehen :crazy:
FRST Logfile:
[CODE]Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 16.05.2018 01
durchgeführt von Semih (Administrator) auf SEMIH-PC (22-05-2018 12:35:18)
Gestartet von C:\Users\Semih\Downloads
Geladene Profile: Semih (Verfügbare Profile: Semih)
Platform: Windows 10 Pro Version 1709 16299.431 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: Chrome)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(AMD) C:\Windows\System32\atiesrxx.exe
(AMD) C:\Windows\System32\atieclxx.exe
(Microsoft Corporation) C:\Program Files\Common Files\microsoft shared\ClickToRun\OfficeClickToRun.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnhService.exe
(Razer Inc.) C:\Program Files (x86)\Razer\Razer Cortex\RzKLService.exe
(Conexant Systems Inc.) C:\Windows\System32\CxAudMsg64.exe
(Microsoft Corporation) C:\Windows\System32\OpenWith.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
() C:\Program Files\WindowsApps\Microsoft.SkypeApp_12.1813.286.0_x64__kzf8qxf38zg5c\SkypeHost.exe
(Conexant Systems, Inc.) C:\Program Files\CONEXANT\cAudioFilterAgent\CAudioFilterAgent64.exe
(Microsoft Corporation) C:\Program Files\WindowsApps\Microsoft.WindowsStore_11804.1001.10.0_x64__8wekyb3d8bbwe\WinStore.App.exe
() C:\Program Files\WindowsApps\Microsoft.ZuneVideo_10.17122.16211.1000_x64__8wekyb3d8bbwe\Video.UI.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe
(Microsoft Corporation) C:\Program Files\Common Files\microsoft shared\ClickToRun\OfficeClickToRun.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe
(Microsoft Corporation) C:\Program Files\Microsoft Office\root\vfs\ProgramFilesCommonX64\Microsoft Shared\OFFICE16\OLicenseHeartbeat.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe

==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [SecurityHealth] => C:\Program Files\Windows Defender\MSASCuiL.exe [630168 2017-09-29] (Microsoft Corporation)
HKLM\...\Run: [cAudioFilterAgent] => C:\Program Files\Conexant\cAudioFilterAgent\cAudioFilterAgent64.exe [601944 2015-08-14] (Conexant Systems, Inc.)
HKLM\...\Run: [SmartAudio] => C:\Program Files\CONEXANT\SAII\SACpl.exe [1830616 2014-04-10] (Conexant Systems, Inc.)
HKU\S-1-5-21-955420491-2437861774-2557101489-1001\...\Run: [OneDrive] => C:\Users\Semih\AppData\Local\Microsoft\OneDrive\OneDrive.exe [1665696 2018-05-19] ()
HKU\S-1-5-21-955420491-2437861774-2557101489-1001\...\Run: [Discord] => C:\Users\Semih\AppData\Local\Discord\app-0.0.300\Discord.exe [57821176 2018-01-08] (Discord Inc.)
HKU\S-1-5-21-955420491-2437861774-2557101489-1001\...\Run: [EnableLUA] => C:\Users\Semih\AppData\Local\Temp\System.exe <==== ACHTUNG
GroupPolicy: Beschränkung ? <==== ACHTUNG

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Hosts: 127.0.0.1 www.r2rdownload.com
Tcpip\Parameters: [DhcpNameServer] 192.168.1.1
Tcpip\..\Interfaces\{41844db6-3911-483d-bb4b-33507837444f}: [DhcpNameServer] 192.168.1.1
Tcpip\..\Interfaces\{d89f2c5c-9b32-429a-9da7-670a687806af}: [DhcpNameServer] 192.168.178.1 192.168.0.1

Internet Explorer:
==================
BHO: IDM integration (IDMIEHlprObj Class) -> {0055C089-8582-441B-A0BF-17B458C2A3A8} -> C:\Program Files (x86)\Internet Download Manager\IDMIECC64.dll [2017-12-14] (Internet Download Manager, Tonec Inc.)
BHO: Lync Browser Helper -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> C:\Program Files\Microsoft Office\root\Office16\OCHelper.dll [2018-05-20] (Microsoft Corporation)
BHO-x32: IDM integration (IDMIEHlprObj Class) -> {0055C089-8582-441B-A0BF-17B458C2A3A8} -> C:\Program Files (x86)\Internet Download Manager\IDMIECC.dll [2017-12-14] (Internet Download Manager, Tonec Inc.)
BHO-x32: Lync Browser Helper -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> C:\Program Files\Microsoft Office\root\VFS\ProgramFilesX86\Microsoft Office\Office16\OCHelper.dll [2018-04-01] (Microsoft Corporation)
BHO-x32: Microsoft OneDrive for Business Browser Helper -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF}

FRST Additions Logfile:
--- --- ---

--- --- ---

FRST.txt richtig
 

FRST Logfile:
--- --- ---

Gewerblich genutzter Rechner? Oder gibts eine andere Erklärung dafür, dass du derartige dicke Software auf diesem Rechner hast?

Nein, das ist alles privat von mir in Nutzung, Office 365 habe ich eine Subscription und BorisFX benutze ich als Plugin bei Vegas (Sapphire um genau zu sein). Der PC packt das locker.

Es ging nicht darum ob der PC das mit seiner Hardware packt, sondern ob das legitime Software ist. Da das ja nicht gewerblich ist, gibts du ja offensichtlich nen vierstelligen Betrag für dieses reine private Vergnügen aus.

Nein ganz sicher nicht:D
Für Vegas gibt es mittlerweile das Angebot, monatlich zu zahlen, und meine Office 365 subscription befindet sich in der 30 tätigen Testphase. Sie Setups waren von den jeweiligen Seiten, deshalb glaube ich nicht, dass sie den svchost.com Virus ausgelöst haben könnten.

Du bist dir also 100%ig sicher, dass das Originalversionen sind?


Schädlinge suchen mit Kaspersky TDSS-Killer

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Teil 1
 

Teil 2
 

[/CODE]

Razer ist sicher (scannt mal gerne im Dateispeicher rum, daer der Eintrag)

GoogleUpdateService ist verdächtig (den hab ich oft mal im Task-Manager gesehen, ohne Grund)

easyanticheat & BattleEyeService gehören zu einem Spiel und sind in der Struktur ähnlich wie Malware, daher der Eintrag (sicher)

OneDrive- keine Ahnung:lach:, wenn da die Malware drin steckt, wäre es komisch.

Anleitung nicht richtig gelesen. Du hast weder den tdsskiller richtig eingestellt, noch hast du darauf geachtet, dass nichts voreilig gelöscht werden soll.

Teil 1
 

Teil 2
 

Es wurde noch nichts gelöscht, ich hab rechtzeitig den Task beendet, ich bin etwas zu voreilig, aber das ist jetzt der log mit den richtigen Einstellungen. :)

Dein System ist völlig im Eimer.

Wenn man mal eine Prüfsumme von einer infizierten Datei von deinem Rechner bei Virustotal eingibt, landet man zB auf diese Auswertung --> https://www.virustotal.com/de/file/b...9913/analysis/

Der W32/Neshta ist ein Fileinfector. Das zu bereinigen kannste vergessen. Du wirst wohl jedes Mal nach einer Neuinstallation eine infizierte Datei erneut ausgeführt haben. Dann ist es auch nun wahrlich kein Wunder, dass du jedesmal den Mist neu hast.

Mach eine saubere Neuinstallation, Daten sichern, aber nur reine Datendateien, keine Programme, Spiele oder Setups, also nix Ausführbares (zB *.exe, *.msi) - sichern kannst du Musik, Videos, Bilder. Am besten über ein Live-Linux wie zB Ubuntu MATE im Ausprobiermodus.

😂😂😂 in Ordnung, wird gemacht

Schön. Und das nächste mal Finger weg vom Crack! :kloppen: