Scvhost.exe ???
 

nach neuafsetzen war der backdoor virus wieder da!
www.testvirus.de zeigt mir offene 135 und 445 port an / sasser blaster befall
[grauer werden die Haare]
mein HJT-log, direkt nach neuaufsetzen:
Logfile of HijackThis v1.99.1
Scan saved at 21:25:56, on 06.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
G:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\CTFMON.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
D:\BASEC\Downloads\HijackThis.exe

O4 - HKLM\..\Run: [Ashampoo FireWall] "G:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: g:\program files\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: g:\program files\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: g:\program files\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: g:\program files\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: g:\program files\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: g:\program files\ashampoo\ashampoo firewall\spi.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9410A4F-F60D-45DC-BB4B-35766174984F}: NameServer = 213.191.92.86 213.191.74.18
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe


mir gefallen die nichtlöschbaren spi.dll dateien nicht
mein administratorpasswort wird auch nicht mehr erkannt!
nach dem ersten sinnvollen tip werde ich mein system nochmal neuaufbaun
Wer kann mir helfen?

Hast du alle Hinweise zur Neuinstallation beachtet und umgesetzt? Besonders wichtig ist, das Service Pack 2 OFFLINE zu installieren, erst mit dem eingespielten SP2 kann man einigermaßen sicher ins Internet gehen und sich die weiteren Updates einspielen.
Dein Hijackthis-Logfile sieht jedenfalls merkwürdig aus, die Liste der laufenden Prozesse ist viel zu klein.

Welcher? Wie hast du das geschafft?
Im abgesicherten Modus? Rechner, die so wenig am Laufen haben, funktioniern gar nicht=> nichts kann dich vom richtigen Neuaufsetzen abhalten ;)
Die gehören zu deiner Firewall :huepp:
Du hast doch ein ganz neues System. Was hat dein altes Password hier zu suchen?
Hast du mal die gute Anleitung? Wenn nein:
http://www.trojaner-board.de/12154-a...sicherung.html

EDIT: moin cosinus :party:

ich hab die englische version xpproSP2 offline installiert, aber auch formatiert von cd

und eine einzelne scvhost.exe finde ich im sys32-ordner nicht, die ich löschen soll..

kannst du mir kürz und bündig in 5 schgritten erklärn, wie ich das beheben kann?
ich denke mir ich könnte eine neue platte kaufen, hab den virus dann wieder drauf

net.rar

Ich habe extra für Eure Majestät eine Schritt-Für-Schritt Anleitung verlinkt. Mehr kann ich nichts tun.

Wenn du ein englisches WinXP hast, brauchst du auf das SP2 in englisch ;)
Hattest du denn auf evtl. anderen Partitionen noch Programme, die du behalten hast? Diese auch ausgeführt?
Hast du das Logfile im normalen oder im abgesicherten Modus erstellt?
Wenn da tatsächlich wieder ein Backdoor das "frische" System infiziert hat, bleibt dir nur das neu aufsetzen. Dann geh aber auch richtig vor nach der Anleitung zum Neuaufsetzen hier im Board. Ebenfalls eine gute Anleitung, also einen Installa-Guide, findest du hier.

:-( [und wie sieht euer abgesicherter modus aus?]
..bitte empfehlt mir die nötigsten programme, das mein pc auf der sicheren seite ist! ich benutz den peerguardian2 seit längerem nich mehr, aber ich weiß nicht ob das das problem

danke
:party:
jetz brauch ich erstmal n bier...
:party:

etz im meiner xtra internet-anmeldedomäne schauts irgendwie besser au und meine lanverbindung wird mir etz voll angezeigt, nicht mehr "keine konnektivität"!
was hat das zu bedeuten?

kannst du mir einige pflichttools und progs mitteilen?

wäre sicher noch hilfreich

danke

ja danke das man dann echt keine antwort mehr kriegt, scheiße.....
mein pc läuft etz wieder gut,...

aber nennt mir trotzdem irgendwelche pflichtprogz,

danke im voraus, wenn einer antworten würde

Geduld scheint nicht gerade deine Stärke zu sein... :schmoll:
Und du hast die anderen Fragen, die ich stellte noch nicht beantwortet.
Was meinst du mit "Pflichtprogz"? Kein Programm ist wirklich Pflicht, Sicherheitsprogramme auch nicht, sondern nur eine Ergänzung zu deinem Sicherheitskonzept.

Siehe auch hier und hier.

Indem man den Rechner entsprechend absichert. Möglichkeiten:

- Router mit Firewall einsetzen
- alle unnötigen Netzwerkdienste beenden
- Windows Firewall einschalten
usw.

Surfen nur mit eingeschränkten Rechten mit einem aktuellen Firefox. Regelmäßig Backups und Systemimages erstellen.

bitte um entschuldigung, war wegen dem pc sehr in rage :koch: , aber das hat sich dank eurer hilfe auch wieder gelegt...
was ich hier im board nicht mehr finde ist "unnötige windows dienste beenden" ich hab das vor meiner letzten neuaufsetzen in ner signatur entdeckt.

Logfile of HijackThis v1.99.1
Scan saved at 03:48:46, on 09.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\eigene Programme\BillP Studios\WinPatrol\winpatrol.exe
C:\WINDOWS\system32\ctfmon.exe
C:\eigene Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Eigene Programme\Secretmaker\secretmaker.exe
C:\eigene Programme\Winamp\winampa.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\****\Desktop\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\EIGENE~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeHelper Class - {A491D208-B353-490F-B81A-A8A3DC97042D} - C:\WINDOWS\system32\smiehlp.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /****
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinPatrol] C:\eigene Programme\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\eigene Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: SECRETMAKER.lnk = C:\Eigene Programme\Secretmaker\secretmaker.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'smnsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{4AE9F8CF-441B-4410-9105-E8D623783D31}: NameServer = 213.191.92.86 213.191.74.18
O17 - HKLM\System\CS1\Services\Tcpip\..\{4AE9F8CF-441B-4410-9105-E8D623783D31}: NameServer = 213.191.92.86 213.191.74.18
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

etz läuft mein rechner wieder, evtl. kann hier noch einer was rauserkennen, das doch noch zum problem werden könnte.
Danke
net.rar