Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Hab ich mir was eingefangen (scvhost)? (https://www.trojaner-board.de/47416-hab-mir-eingefangen-scvhost.html)

nurmaso 27.12.2007 13:05
Hab ich mir was eingefangen (scvhost)?
 
Hallo!

Ich bin mir nicht sicher, ob ich mir was eingefangen habe, denn mein System läuft recht stabil. Beim hochfahren dauerts etwas länger, das wars.

Aber wenn ich registry clean starte, habe ich im startup organizer 13 Einträge scvhost.exe. Allesamt für Programme, die ich längst gelöscht habe. Die Einträge dort löschen bringt nix, nach Neustart sind die wieder da. Im angegebenen Pfad Windows/system32 existiert die Datei allerdings gar nicht.

Über die Windows-Suche finde ich auch nur eine Datei: scvhost.exe-1f6b4dc9.pf im Ordner Windows/prefetch

Was ist da los bei mir?

Schon mal Danke für evt. Hilfe

stratos911 27.12.2007 13:33
hab exakt das gleiche problem.
windows hochfahren dauert um einiges länger, pc deutlich langsamer und beim taskmanager unter prozesse ist es etwa 5-6 mal drinnen.

hab hier eh auch schon nen thread aufgemacht, hoffen wir das beste

nurmaso 27.12.2007 14:18
Im Taskmanager unter Prozesse hab ich nur 6x svchost. (Was jawohl in Ordnung ist). scvhost ist da garnicht drinne.

blow-in 27.12.2007 14:26
Hallo nurmaso

auch für dich: erstelle bitte ein HJT Log und poste es hier. Links und persönliche Daten entschärfen nicht vergessen. also http:// in h**p:// umändern.
Schau nach, ob du alle Dateien angezeigt bekommst.
Wenn eine scvhost.exe vorhanden ist, also im HJT Log auftaucht, dann gilt auch kein Onlinebanking, kein eBay und was sonst noch ein Passwort benötigt. Rechner vom Netz wenn unbeaufsichtigt.

nurmaso 27.12.2007 14:34
Hier das Logfile. Links und persönliche Daten hab ich keine gesehen. scvhost ist ca. 20x vorhanden.
Die Datei ist doch unter d:/windows vorhanden. (Windows-Suche fand komischerweise nix.)
Hab die Datei bei Virus Total überprüft.
Ist ein Trojaner. Was nun?


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:34:56, on 27.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\BUFFALO\NASNAVI\NasNavi.exe
D:\Programme\Mozilla Thunderbird\thunderbird.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe
F3 - REG:win.ini: run=D:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Update] D:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [msconfig] D:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [icq lite] D:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Update Checker] D:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [AntiVir] D:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [] D:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [Windows Update] D:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [msconfig] D:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [icq lite] D:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [Update Checker] D:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [AntiVir] D:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [] D:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [Windows Update] D:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [msconfig] D:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [icq lite] D:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [Update Checker] D:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [AntiVir] D:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [] D:\WINDOWS\scvhost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: BUFFALO NAS Navigator.lnk = D:\Programme\BUFFALO\NASNAVI\NasNavi.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - D:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - D:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5228 bytes

blow-in 27.12.2007 14:57
Liste der Anhänge anzeigen (Anzahl: 1)
Siehst du alle Dateien?
Einstellung unter Explorer, Extras, Ordneroptionen und Ansicht wie auf der angehängten Grafik

Dann hätte ich gleich noch eine Aufgabe die Datei D:\WINDOWS\scvhost.exe bei VirusTotal - Free Online Virus and Malware Scan überprüfen lassen.
Ergebnis hier dann posten.

nurmaso 27.12.2007 19:58
Ja, ich sehe alle Dateien. Hab die Datei doch im Windows-Ordner gefunden. Nur über die Windows Suche kam nix.

Virus Total hatte ich doch schon gemcht. Ist ein Trojaner.
Das Ergebnis:


AhnLab-V3 2007.12.28.10 2007.12.27 Win-Trojan/Xema.variant
AntiVir 7.6.0.46 2007.12.27 BDS/Agent.YE
Authentium 4.93.8 2007.12.27 -
Avast 4.7.1098.0 2007.12.26 Win32:VB-BLW
AVG 7.5.0.516 2007.12.27 BackDoor.Generic5.OYG
BitDefender 7.2 2007.12.27 -
CAT-QuickHeal 9.00 2007.12.27 -
ClamAV 0.91.2 2007.12.27 PUA.Packed.Themida
DrWeb 4.44.0.09170 2007.12.27 -
eSafe 7.0.15.0 2007.12.26 Win32.Trojan
eTrust-Vet 31.3.5406 2007.12.27 -
Ewido 4.0 2007.12.27 -
FileAdvisor 1 2007.12.27 High threat detected
Fortinet 3.14.0.0 2007.12.27 BDoor.ASB!tr.bdr
F-Prot 4.4.2.54 2007.12.26 W32/Heuristic-162!Eldorado
F-Secure 6.70.13030.0 2007.12.27 W32/Smalldoor.AIHZ
Ikarus T3.1.1.15 2007.12.27 MemScanBackdoor.VB.BKC
Kaspersky 7.0.0.125 2007.12.27 -
McAfee 5194 2007.12.27 BackDoor-ASB
Microsoft 1.3109 2007.12.27 Trojan:Win32/Malagent
NOD32v2 2750 2007.12.27 -
Norman 5.80.02 2007.12.27 W32/Smalldoor.AIHZ
Panda 9.0.0.4 2007.12.27 Trj/Downloader.MDW
Prevx1 V2 2007.12.27 Generic.Malware
Rising 20.24.32.00 2007.12.27 -
Sophos 4.24.0 2007.12.27 -
Sunbelt 2.2.907.0 2007.12.27 Backdoor.Unidentified.gen
Symantec 10 2007.12.27 Backdoor.Trojan
TheHacker 6.2.9.171 2007.12.27 W32/Behav-Heuristic-064
VBA32 3.12.2.5 2007.12.26 -
VirusBuster 4.3.26:9 2007.12.27 -
Webwasher-Gateway 6.6.2 2007.12.27 Trojan.Backdoor.Agent.YE

blow-in 27.12.2007 20:45
Das du Virustotal schon gemacht hast ist ja gut den den hättest du aber auch schon posten können. Eine Frage noch, machst du mit dem PC Onlinebanking, eBay käufe/verkäufe oder spielst du Internetspiele?
Welche Sicherheitsprogramme hast du auf deinem Rechner?
Ich sehe nur Zonelabs.:confused:

nurmaso 28.12.2007 10:00
Ich hab im Moment alle Software gelöscht, da ich ja den Vedacht hatte, dass sich was eingeschlichen hat, und ich dem auf die Spur kommen wollte.

Sonst nutze ich AntiVir, Ewido Security Suite und Ad-Aware, wobei es letzeres afair nicht mehr gibt bzw. es jetzt mit zu Ewido gehört.

AntiVir fand aber schon länger nix mehr. Jetzt hab ich nochmal AntiVir installiert, da ja laut VirusTotal AntiVir auch was fand.
Und siehe da: Sofort hats scvhost gefunden (als ob es wusste, was ich von ihm will ;-) ). In Quarantäne verschoben, neu gebootet. Dann musste ich etliche male 'scvhost konnte nicht gefunden werden' quittieren. Also hab ich noch mal im Registry Clean Startup Organizer alle scvhosts gelöscht. Sie kommen nicht wieder!

Beim starten allerdings steht die 'Willkommen'-Schrift ewig und einmal muss ich 'scvhost konnte nicht gefunden werden' quittieren.

Neuer HijackThis.log, ein scvhost-registry Eintrag ist noch vorhanden:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:55:48, on 28.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\BUFFALO\NASNAVI\NasNavi.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Dokumente und Einstellungen\Administrator\Desktop\something.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: BUFFALO NAS Navigator.lnk = D:\Programme\BUFFALO\NASNAVI\NasNavi.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - D:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - D:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4669 bytes

blow-in 28.12.2007 15:04
Das die scvhost.exe ein Backdoor Trojaner ist sagt dir was?
Und so wie sie in deinem HJT stehen, waren sie auch voll am wirken.
Eine Reinigung ergibt kein sicheres System.
Wenn du noch einige Dateien sichern möchtest, können wir noch vorher etwas machen. Aber keine ausführbaren Dateien.
Sag was du machen möchtest.

nurmaso 28.12.2007 17:13
Dass ich das System neu machen muss, hab ich mir schon gedacht.

Daten will ich natürlich vorher sichern. Fotos etc.
Ich war jetzt schon dabei, alles auf meine externe Festplatte rüberzuschieben (natürlich nicht die Systempartition). Allerdings weiss ich nicht, ob das sicher ist, denn schliesslich kann es auch sein, dass in irgendnem Ordner sich noch was versteckt hat.

Also was jetzt am Besten tun?

blow-in 28.12.2007 17:44
Hallo nurmaso
Dann geh doch über suchen auf deine Festplatte und stelle ein, *.mp3, *.jpg und was du noch für Dateien sichern willst. Aufpassen bei *.doc und*.xls und ähnliche da gibt es Makros die auch gefährlich sein können. Von diesen Dateien würde ich nur die Inhalte kopieren in eine neue Datei. Bei jedem Ergebnis würde ich die entsprechenden Dateien dann in einen neuen Ordner mit den entsprechenden Namen kopieren. So kann es nicht passieren, das aus einem Ordner versehentlich auch eine versteckte ausführbare Datei kopiert wird. Also nicht einen Ordner komplett kopieren. In solchen Ordnern sind ja auch *.ini Dateien:nixda:
Nach dem Neuaufsetzen natürlich die externe FP erst mit einem AVP überprüfen:rolleyes:

nurmaso 28.12.2007 18:10
Jetzt hab ich natürlich schon einiges Ordnerweise kopiert. Danach die externe Platte nur mit nem AVP zu checken ist dann wahrscheinlich witzlos. Aber dann kann ich ja die Methode beim zurückkopieren anwenden und dann nochmal die externe Platte formatieren.

Sind Bild- und Videodateien denn bedenkenlos? Ich erinner mich da wage, mit Videodataien vor längerem schonmal Probleme gehabt zu haben.

blow-in 28.12.2007 18:16
Hast du die Ordner verschoben :kloppen: oder kopiert. Wenn du sie nur kopiert hast, kannst du ja nochmal anfangen. Aber vorher die Externe löschen bzw. die Ordner.
Ach so wegen der Videodateien. Ich denke mal das geht so schon.

nurmaso 28.12.2007 18:40
Verschoben natürlich...

Naja mach ich den Rest mal fertig, und dann das System neu...


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:28 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19