svchost.exe?!?
 

naja ich komm nimma mitn pc ins inet. bin am latop. wenn ich starte steht immer svchost.exe nicht gefunden.bitte löschen sie den eintrag aus der registry. weiß jetz net ob ich richtig geschriebn hab. er fragt ja auch nimma automatisch beim browserstart nach der inet verbindung... is warscheinlich eh n trojaner, kenn das wo her. mein log pls help sonst komm ich nimma ins netz.

Logfile of HijackThis v1.99.1
Scan saved at 15:09:39, on 10.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5296.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\c0nd!\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.aon.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aon.at
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telekom Austria
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local>
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhostexe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhostexe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D051324-676A-4F6B-B933-3C150F915B90}: NameServer = 195.3.96.67,195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{60C24229-8B1C-4BBF-BC27-07578FCEF279}: NameServer = 195.3.96.67,195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{845A84D2-E05F-4A9C-81D1-ADEBCAC231CB}: NameServer = 195.3.96.67,195.3.96.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{1D051324-676A-4F6B-B933-3C150F915B90}: NameServer = 195.3.96.67,195.3.96.68
O17 - HKLM\System\CS2\Services\Tcpip\..\{1D051324-676A-4F6B-B933-3C150F915B90}: NameServer = 195.3.96.67,195.3.96.68
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Das schaut doch irgendwie noch nem Backdoor aus....

Kann das jemand bestätigen?


Das schaut nicht so aus, als könnte es funtionieren. Was liefert denn:

reg query "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess"

Lasse diese Datei
C:\WINDOWS\system32\scvhostexe

hier prüfen:
Jotti

Teile die Ergebnisse mit.

@MM
Warst bischen schneller:party:

also hab die datei auf den usb geladen und auf dem laptop bei jotti raufgeladen.


ES WURDEN KEINE VIREN ENTDECKT. arrr

Das verwundert mich jetzt aber einigermaßen.

Du hast die Datei svchost.exe oder scvhost.exe hochgeladen?

mh ne svchost ^^. aber wie die fehlermeldungen schon schreiben scvchost ist nicht vorhanden. wie soll ich die dann finden -.-

sry for doppelpost aber JETZ SCHLÄGTS 13

kann den windows firewall net starten und die systemwiederherstellung wurde vom "administrator" deaktiviert. boa alta da bekomm ich zustände.... arrrr:teufel2:


edit: grad gefunden http://www.fileresearchcenter.com/S/....EXE-3606.html

Um zu sehen, was sich alles im System befindet, mache einen escan. Halte Dich genau an die Anleitung und poste das mit der find.bat erzeugte Log.
http://www.trojaner-board.de/showthread.php?t=17492

hat nix zusammengebracht. ich verfüge an dem pc ja über kein inet. also. ewido hat den starteintrag wo er nach dem zeug fragt deaktiviert. mh mal net schlecht. trotzdem kann ich auch nicht im abgesichertem modus das system wiederherstellen. wenn ich wenigstens das zusammen bringen würde... irgendwas versucht mein inet zu blocken. zbs wenn ich die inetanbieter cd einlege und das modem konfiguriere passiert gaar nix, er ladebalken geht hin und her hin und her.... ohne ergebnis. also versucht was das inet zu blockiern auf jede erdenkliche art. mitn laptop geht das modem und die cd... also von da her...

sry for doppelpost. pls ich brauch halt schnell help. muss unbedingt mit meinem stand pc online!!!