scvhost.exe - bitte mal einen Blick auf die Log-File werfen..
 

Guten Tag,
ich hab durch Zufall in der msconfig eine scvhost.exe Datei gefunden. Im Task Manager ist diese jedoch nirgends aufgeführt, was ich dachte, dass bei diesen Dateien der Fall ist. Jedenfalls hab ich jetzt mal HiJackThis laufen lassen wo sich dann doch ein paar dieser .exe-Dateien wiederfinden. Denke dass das nur Viren sein können?! Für eine Stellungnahme zu folgendem wäre ich euch sehr dankbar:
Logfile of HijackThis v1.99.1
Scan saved at 12:14:04, on 03.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\Anti_Vir_Kaspersky\avp.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Acer\Empowering Technology\eLock\LockServ.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\WINDOWS\BUtilityBar\BisonBar.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Anti_Vir_Kaspersky\avp.exe
C:\Acer\Empowering Technology\eLock\Monitor\LockMon.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\dllhost.exe
C:\DOKUME~1\Andreas\LOKALE~1\Temp\RtkBtMnt.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\Programme\Opera\Opera.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Arcor Content
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Arcor Content
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Arcor Content
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Arcor Content
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Live Search:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = Arcor Content
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [eLockMonitor] C:\Acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 1
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [BisonBar] C:\WINDOWS\BUtilityBar\BisonBar.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [kav] "C:\Programme\Anti_Vir_Kaspersky\avp.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl06a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [] C:\WINDOWS\scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\Phonostar_Player\phonostar\ps_timer.exe
O4 - Startup: Outlook.lnk = C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Anti_Vir_Kaspersky\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yaho...st20040510.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1167828011737
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programme\Anti_Vir_Kaspersky\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LockServ - Unknown owner - C:\Acer\Empowering Technology\eLock\LockServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Gruß Andy

Sieht eig. ganz ok aus, lad die scvhost.exe mal bei Virustotal oder Jotti hoch.

Ansonsten hast du sehr viel auf deinem PC, vielleicht mal überdenken was du wirklich brauchst.

Ich dachte dass die scvhost.exe in jedem Fall ein Virus oder ähnliches wäre... Dann ist dem wohl nicht so??
Wie funktioniert das mit Virustotal? Muss ich da die Datei aus dem regedit als E-mail-Angang schicken?

Hab etwas viel Zeug drauf, das ist richtig ja. Miste ab und zu mal wieder aus.

Aber danke schon mal für die Info vorab!!

Ja sie ist auf jeden Fall einer...aber welcher? ;)
Du musst die Datei bei virustotal bzw. jotti hochladen sie wird dann online von den besten virenscannern gescannt, poste anschließend das vollständige Ergebnis!

finde ich eigentlich nicht, denn die scvhost.exe ist im startup drinnen, und scvhost.exe ist nie gut.(--> W32/Agobot)
ich tippe mal auf rootkits:balla:
lass dein system doch bitte mit f-secure blacklight scannen und poste den log

Wie finde ich die Datei überhaupt?
z.b.:
HKLM\..\RunServices: [AntiVir] C:\WINDOWS\scvhost.exe
Im Verzeichnis C:/Windows/ finde ich die Datei nicht. Im regedit kann ich zwar die scvhost.exe sehen, aber nicht speichern (im regedit werden ja auch keine Dateien angezeigt oder??)

eben, das könnte sich als problem erweisen, deshalb mache zuerst einen scan mit f-secure blacklightund poste dann das log.
rootkits können dateien/prozesse o.ä verbergen, das könnt der grund sein, weshalb du die datei nicht findest.

f-secure blacklight ist gerade fertig geworden mit scannen, hat aber auch nichts gefunden!!! Avira hat auch noch was für die Rootkits, lass es grad noch laufen, wird aber wohl auch nicht mehr bringen...
Gibts sonst noch ne Möglichkeit (vielleicht mal ausser formatieren) was ich machen könnte??

Avira bleibt bei 84.1 Prozent stehen und macht nichts mehr. Das hatte ich schon mal. Liegt das vermutl daran, dass auch avira von der scvhost.exe betroffen ist!??

HKLM\..\RunServices: [AntiVir] C:\WINDOWS\scvhost.exe

tja, wenn kein viren/rootkitscanner etwas findet, und die datei gar nicht vorhanden ist,ist das schon seltsam.
kannst du bitte alle registry einträge wo die scvhost drin ist, mal rausschreiben und posten?(noch nix löschen!!!)
sonst weiss ich wirklich nicht weiter, denn antivir und f-secure sind ja eigentlich zuverlässig.

//edit: gib mal unter start-->ausführen-->services.msc ein und suche nach einem eintrag wo scvhost oder antivir drin vorkommt, und psote diese.

hmm, bei 84% das müsste ja eigentlich etwa die stelle sein, wo der ordner c:\WINDOWS\* überprüft wird, hast du antivir den schon mal in safe mode versucht, den komplettscan zu machen?

Lade Dir Smitfraud.
* Doppelklick auf die smitfraud.cmd
* "1" eingeben und mit ENTER bestätigen.
* Das Log hier posten

Gruß

Marc

Als ich mit diesem Text fast fertig war, entschied sich der Rechner für einen Neustart :headbang:
@mightyMarc:
Nachdem ich die .zip -Datei entpackt hatte, doppelklickte ich auf smitfraudFix.cmd (einzige .cmd -Endung), ein Eingabefenster öffnete sich für 1 sec und war wieder weg.

@::--::
Bei den Diensten steht ganz normal AntiVir /status->gestartet /Starttyp->automatisch /anmelden als->lokales system
scvhost.exe ist hier nicht zu finden!

In der Registrierung ist scvhost.exe unter HKLM/Software/Microsoft/Windows/CurrentVersion/Run und ...CurrenVersion/RUNSERVICES zu finden. Betroffen sind hierbei: Name-> (Standard), icp lite, AntiVir, msconfig, Windows Update, Update Checker
bei allen ist der Typ->REG_SZ und der Wert->C:/Windows/scvhost.exe

Ach ja, die 84 % sind nur beim scannen nach Rootkits. Da wo er dann stehen bleibt, zeigt er nur HKLM[...] (oder ähnlich) an, also keine Datei oder sonstiges was er gerade überprüft. Ansonsten läuft Avira ganz normal und ist auch schon nach ca 4..5 Stunden fertig!! AVG brauch ca 1,5Std, überprüft aber nur ca die hälfte an Dateien.
Aber nein, im abgesicherten Modus hab ich es noch nicht probiert. Werd ich wohl heut Abend noch testen.

Trotzdem mal vielen Dank für euer Bemühen!!!!! Und hoffe noch auf weitere Ratschläge. Komme dann heut abend wieder...

Ich hoffe Dein AntiVir Guard war deaktiviert. wenn nicht löscht/verschiebt er die restart.exe und die reboot.exe die sich in dem Ordner befinden.

Vielleicht hilft folgendes jemandem für eine Lösung meines Problems. Hab in der Registrierung
alle scvhost.exe Dateien mit Pfad herausgeschrieben:

HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603
Name-> 000 Typ-> REG_SZ Wert-> scvhost.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A6D05071-EAC0-A000-B09B-D3BF7AD855F2}
Name-> StubePath Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Name-> AntiVir Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe
Name-> UpdateChecker Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe
Name-> WindowsUpdate Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Name-> (Standard) Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe
Name-> AntiVir Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe
Name-> icq lite Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe
Name-> msconfig Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe
Name-> UpdateChecker Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe
Name-> WindowsUpdate Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RUNSERVICES
Name-> (Standard) Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe
Name-> AntiVir Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe
Name-> icq lite Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe
Name-> msconfig Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe
Name-> UpdateChecker Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe
Name-> WindowsUpdate Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
Name-> C:/WINDOWS/SCVHOST.EXE Typ-> REG_SZ Wert-> C:/WINDOWS/SCVHOST.EXE:*:Enabled:Microsoft Windows

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
Name-> C:/WINDOWS/SCVHOST.EXE Typ-> REG_SZ Wert-> C:/WINDOWS/SCVHOST.EXE:*:Enabled:Microsoft Windows

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
Name-> C:/WINDOWS/SCVHOST.EXE Typ-> REG_SZ Wert-> C:/WINDOWS/SCVHOST.EXE:*:Enabled:Microsoft Windows

HKEY_USERS\S-1-5-21-3621066256-2668779938-3439846143-1005\Software\Microsoft\Search Assistant\ACMru\5603
Name-> 000 Typ-> REG_SZ Wert-> scvhost.exe

@MightyMarc:
Mein AntiVir war nicht deaktiviert, allerdings befinden sich in dem Ordner eine reboot.exe und eine restart.exe !
Das Fenster, welches ich sagte dass sich kurz öffnet, beinhaltet den Text
>>Der Befehl "find" ist entweder falsch geschrieben oder konnte nicht gefunden werden.<< (War nur durch einen Screenshot zu entziffern)

Was vielleicht noch erwähnenswert ist: Seit einiger Zeit werden einige Symbole im Systemtray nicht mehr angezeigt, kommen mal und gehen dann wieder. Z.B. AntiVir und Lautstärke wurden lange nicht angezeigt und tauchten dann wieder auf (Avira war aber immer aktiv!)

Versuch es mal im abgesicherten Modus.

Hab es im abgesicherten probiert und ging auch nicht. Hab bisher Avira, Kaspersky, Microsoft AntiVir, Blacklight, AVG 7.5 drüber laufen lassen und keiner Fand was. Heute hab ich dann noch spybot versucht, welcher auch 28 Probleme feststellte (die meisten waren verfolgende cookies) und 2 davon waren Smitfraud-C. und Smitfraud-C.Keylogger, diese Meldungen wurden auch noch gezeigt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter/FirewallDisableNotify!=dword:0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter/AntiVirusOverride!=dword:0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter/AntiVirusDisableNotify!=dword:0
Ging dann in den abgesicherten Modus und fixte, was beim HJT online check rot markiert war. Nun sind die scvhost.exe aus dem HJTLogFile weg, in der Regestrierung aber immer noch da. Auch Spybot findet immer noch alles wie zuvor....

Liegt das evtl daran dass Smitfraud nicht funktioniert da es ein "Befehlsskript von Windows NT" ist und ich XP habe?

Wenn ich alle scvhost.exe Dateien aus der Registry raus lösche wird mir das auch nicht viel weiter helfen oder? Es war meines Wissens noch kein Wurm, Virus, Trojaner o.ä. aktiv. Und gefunden hat mein Virenscanner bisher auch nur Trojaner oder ScriptViren welche meines Wissens auch nicht aktiv waren.

Windows XP ist Windows NT 5.1 ;)

Aller Vermutung nach bring das exakt genau gar nichts.

Die Registrierungseinträge sprechen da eine andere Sprache.

Lade Dir mal dieses Tool und lasse es im abgesicherten Modus laufen.

Gruß

Marc

hab grad noch escan drüber laufen lassen, der hat noch einiges gefunden. Hier mal ein kleiner Ausschnitt:
Fri May 04 22:05:43 2007 => ***** Scanning Registry and File system for Adware/Spyware *****
Fri May 04 22:05:43 2007 => Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\Andreas\LOKALE~1\Temp\spydb.avs, Size: 226330].
Fri May 04 22:05:46 2007 => Indexed Spyware Databases Successfully Created...

Fri May 04 22:07:03 2007 => System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Entries Removed.
Fri May 04 22:07:03 2007 => Object "maxsearch Adware" found in File System! Action Taken: Entries Removed.

Fri May 04 22:07:05 2007 => Offending file found: C:\install.dat
Fri May 04 22:07:05 2007 => System found infected with zlob Trojan-Downloader (install.dat)! Action taken: Entries Removed.
Fri May 04 22:07:05 2007 => Object "zlob Trojan-Downloader" found in File System! Action Taken: Entries Removed.

Fri May 04 22:07:21 2007 => Checking MountPoints2 Registry Key...
Fri May 04 22:07:21 2007 => Checking CLSID Reference Entries...
Fri May 04 22:07:21 2007 => Entry "HKCR\AOLCoach.TrainerOCXCtrl.10" refers to invalid object .

Das Tool werd ich auch gleich mal testen!!

Poste bitte erst das Ergebnis der find.bat (siehe eScan-Anleitung)!

Nachdem ich das mit dem auswerten der eScan Datei nicht ganz auf die Reihe bekam, mach ich jetzt nochmal alles genau nach Anleitung. Hab den Link fürn Download von eScan benutzt, Download2 geklickt und mwav.exe nach 'C:\Bases_X' entpackt. Allerdings gibts bei mir keine 'kavupd.exe'. Da dies eine Aktualisierung sein soll, wäre sie wohl doch nicht ganz unwichtig?!

Hmmm, mir wäre wohler, wenn Du die richtige Anleitung nehmen würdest. Gehe nicht über Los, erstelle keinen Ordner bases_x, suche keine Datei namens kavupd.exe und lade die neuste Version der find.bat.
Starte (wie in der Anleitung beschrieben) eScan und klicke (wie in der Anleitung beschrieben) auf Update/Aktualisieren. Versuche es bei Bedarf (wie nicht in der Anleitung beschrieben) solange bis das Update funktioniert hat (u.U. 3 - 8 mal).

Gruß

Marc

Der eScan ist durchgelaufen, fand lediglich noch 31 Fehler und von den "5 Critical Objects" im letzten Scan (war nicht im abgesicherten Modus) ist nichts mehr zu sehen!?
Zur Info:
Führte gestern noch den ersten Schritt von AVZ (wieder nicht im abgesicherten Modus) aus sprich:
"Haken bei 'Healing/Quarantine and Advanced System Investigation' setzen, 4. Klicken Sie auf das Icon Execute selected scripts; Die Log-Datei virusinfo_syscure.zip wird im Unterverzeichnis ..\LOG gespeichert
5. Nach dem Ausführen des Scripts starten Sie Ihr PC neu."
Danach hab ich den Rechner runter gefahren. Aber durch diesen Schritt werden doch noch keine Schädlinge entfernt!?

Wenn ich die find.bat in der cmd ausführe heißt es, der Befehl "findstr" ist entweder falsch geschrieben oder konnte nicht gefunden werden. Beim doppelklick auf die find.bat verschwindet das Fenster gleich wieder. Eine entsprechende Datei escan_neu.txt taucht auch nicht auf.

Post jetzt mal den Schluss des eScanLogs, vielleicht sagt der ja auch schon genug aus:

Sat May 05 15:36:54 2007 => ***** Scanning complete. *****

Sat May 05 15:36:54 2007 => Total Objects Scanned: 138531
Sat May 05 15:36:54 2007 => Total Critical Objects: 0
Sat May 05 15:36:54 2007 => Total Disinfected Objects: 0
Sat May 05 15:36:54 2007 => Total Objects Renamed: 0
Sat May 05 15:36:54 2007 => Total Deleted Objects: 0
Sat May 05 15:36:54 2007 => Total Errors: 31
Sat May 05 15:36:54 2007 => Time Elapsed: 01:27:01
Sat May 05 15:36:54 2007 => Virus Database Date: 5/5/2007
Sat May 05 15:36:54 2007 => Virus Database Count: 313448

Sat May 05 15:36:54 2007 => Scan Completed.

Das klingt nicht gut. Die Fehler würden mich aber interessieren. Lade die Datei mwav.log bitte bei file-upload.net hoch und poste den Downloadlink hier oder sende ihn mir per PM.

Poste hier nochmal schnell die zwei Download Links des eScanLogs:

Dieser ist vom eScan vom 04.05.07.


Und hier gehts zum eScanLog der einen Tag später durchlief.

Gruß Andy

Hier das eine Log vom 4. Mai

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.05.01.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.1.9
Sprache: English
Virus-Datenbank Datum: 4/13/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri May 04 22:07:03 2007 => System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Entries Removed.
Fri May 04 22:07:05 2007 => System found infected with zlob Trojan-Downloader (install.dat)! Action taken: Entries Removed.
Fri May 04 22:07:03 2007 => Object "maxsearch Adware" found in File System! Action Taken: Entries Removed.
Fri May 04 22:07:05 2007 => Object "zlob Trojan-Downloader" found in File System! Action Taken: Entries Removed.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Fri May 04 23:30:35 2007 => File C:\Programme\smitfraud\SmitfraudFix.zip/SmitfraudFix/Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: File Deleted.
Fri May 04 23:30:36 2007 => File C:\Programme\smitfraud\SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: File Deleted.
Fri May 04 23:35:55 2007 => File C:\system volume information\_restore{AE8C560C-AEE7-4C54-AB1D-014009397F0B}\RP1\A0001396.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: File Deleted.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Fri May 04 22:07:05 2007 => Offending file found: C:\install.dat
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
Fri May 04 23:24:41 2007 => C:\Programme\Open_Office\OpenOfficeorgPortable\App\openoffice\program\dict_ja.dll not Scanned. Possibly password protected...
Fri May 04 23:24:44 2007 => C:\Programme\Open_Office\OpenOfficeorgPortable\App\openoffice\program\fwk680mi.dll not Scanned. Possibly password protected...
Fri May 04 23:24:45 2007 => C:\Programme\Open_Office\OpenOfficeorgPortable\App\openoffice\program\icudt26l.dll not Scanned. Possibly password protected...
Fri May 04 23:31:43 2007 => C:\Programme\Nero\Nero-7.7.5.1_all_trial.exe not Scanned. Possibly password protected...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri May 04 23:37:42 2007 => Total Critical Objects: 5
Fri May 04 23:37:42 2007 => Total Disinfected Objects: 0
Fri May 04 23:37:42 2007 => Total Objects Renamed: 0
Fri May 04 23:37:42 2007 => Total Deleted Objects: 398
Fri May 04 23:37:42 2007 => Total Errors: 399
Fri May 04 23:37:42 2007 => Time Elapsed: 01:32:37
Fri May 04 23:37:42 2007 => Total Objects Scanned: 136335
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri May 04 22:05:06 2007 => Memory Check: Enabled
Fri May 04 22:05:06 2007 => Registry Check: Enabled
Fri May 04 22:05:06 2007 => System Folder Check: Disabled
Fri May 04 22:05:06 2007 => System Area Check: Disabled
Fri May 04 22:05:06 2007 => Services Check: Enabled
Fri May 04 22:05:06 2007 => Drive Check: Disabled
Fri May 04 22:05:06 2007 => All Drive Check :Enabled
Fri May 04 22:05:06 2007 => All Drive Check :Enabled
--------------------------------------------------
C:\mwav.log
--------------------------------------------------

Batchstart: 17:12:02,00
Batchende: 17:12:14,92


Das zweite Log zeigt keinen Schädlingsbefall. Wie geht es dem Rechner denn?

Dem Rechner gehts eigentlich bestens!!! Hab nur beim runter fahren manchmal eine Fehlermeldung von SetPoint, das kommt aber von meiner Logitech Maus. Schätze da wurde etwas mit gelöscht.
Ansonsten ist in der Registry immer noch die scvhost.exe des öfteren zu finden;

HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603
Name->007 / Wert-> scvhost.exe


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\reg
Name-> a Typ-> REG_SZ Wert-> C:/Dokumente und Einstellungen/Name/Eigene Dateien/Regedit/scvhost.reg
Name-> b Typ-> REG_SZ Wert-> C:/Dokumente und Einstellungen/Name/Eigene Dateien/Regedit/DateienScvhost.reg

HKEY_CURRENT_USER\Software\Neuber GbR\Security Task Manager\Cache
Name-> C:/WINDOWS/scvhost.exe Typ-> REG_SZ Wert-> 32

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
Name-> Command Typ-> REG_SZ Wert-> C:/WINDOWS/scvhost.exe
Name-> item Typ-> REG_SZ Wert-> scvhost

HKEY_USERS\S-1-5-21-3621066256-2668779938-3439846143-1005\Software\Microsoft\Search Assistant\ACMru\5603
Name-> 007 Typ-> REG_SZ Wert-> scvhost.exe

HKEY_USERS\S-1-5-21-3621066256-2668779938-3439846143-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\reg
Name-> a Typ-> REG_SZ Wert-> C:/Dokumente und Einstellungen/Andreas/Eigene Dateien/Regedit/scvhost.reg
Name-> b Typ-> REG_SZ Wert-> C:/Dokumente und Einstellungen/Andreas/Eigene Dateien/Regedit/DateienScvhost.reg

HKEY_USERS\S-1-5-21-3621066256-2668779938-3439846143-1005\Software\Neuber GbR\Security Task Manager\Cache
Name-> C:/WINDOWS/scvhost.exe Typ-> REG_SZ Wert-> 32

Das rot markierte war ein dem Ordner Regedit, den ich unter Eigene Dateien erstellte und darin die .reg Files aus der Registry exportierte zum Scan bei Virustotal.

Bei dem blau markierten wurde der Name von "000" auf "007" geändert.

3 neue Prozesse laufen im Taskmanager:
cidaemon.exe
cisvc.exe
wsntfy.exe

Nach ein bisschen googlen sollen das aber Win-Prozesse vom Indexdienst sein. Liefen vorher allerdings noch nie im TaskManager.

Gruß Andy

Kannst Du die Schlüssel löschen?

Heisst das Dings wsntfy.exe oder wscntfy.exe?

Uuups, es heißt "wscntfy.exe". Da hat sich ein Tippfehler eingeschlichen :D

Die Einträge konnte ich alle löschen, schau dann später noch mal wie es nach dem Neustart aussieht. Spybot findet auch nur noch verfolgende Cookies, welche wohl nichts ungewöhnliches sind... Frag mich nur warum ich Smitfraud-C. so einfach mit Spybot löschen konnte, wenn es bei anderen solche Probleme verursacht... war wohl nicht aktiv?

Die gestern gelöschten Schlüssel sind nicht mehr aufgetaucht, eScan findet 33 Error, und sonst ist auch alles bestens. Ich denke mal, dass sich jetzt keine Schädlinge mehr im System befinden sollten...

Vielen Dank speziell an MightyMarc für die hervorragende Hilfe und die schnellen Antworten!!

:party:

Gruß, Andy