Fehlermeldung im Fenster “C:\WINDOWS\System32\scvhost.exe”Thema ist geschlossen! |
|
---|---|
Thema ist geschlossen! |
|
02.05.2004, 20:50
...neu hier
Beiträge: 7 |
|
|
|
02.05.2004, 20:59
Member
Beiträge: 1122 |
#2
Ist ein Virus also:
1.)Deaktiviere mal die Systemwiederherstellung. ( Klick mich ) 2.)Starte deinen Rechner im Abgesicherten Modus. ( Klick mich ) 3,)Scanne deinen Rechner. 4.)Freuen. MFG DAFRA P.s. Wenn er dann immer noch da ist, poste mal ein Hijackthis Log. Unten stehts wies geht. Dieser Beitrag wurde am 02.05.2004 um 21:00 Uhr von Dafra editiert.
|
|
|
02.05.2004, 21:10
Moderator
Beiträge: 6466 |
#3
Ich vermute dennoch einen Wurm oder Backdoor, oder....ich sehe das zum ersten mal, mhhhh.
Lade Dir unter http://www.spywareinfo.com/~merijn/downloads.html bitte Hijackthis runter, erstelle ein Log und poste es bitte hier. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
02.05.2004, 21:15
Member
Beiträge: 1122 |
#4
Also das liebe Prog, mit dem Namen scvhost.exe versucht einen Ftp server zu starte, auf horesaft.alt-bin.com zu connecten. Ich denke auch das es ein Backdoor ist.
MFG DAFRA |
|
|
02.05.2004, 21:25
Moderator
Beiträge: 6466 |
|
|
|
02.05.2004, 21:40
...neu hier
Themenstarter Beiträge: 7 |
#6
Hallo - vielen Dank erst mal an alle - bin SEHR beeindruckt von der SCHNELLIGKEIT und FREUNDLICHKEIT!!! DANKE!!!
Also: hab das Progr. runtergeladen und gescant und da kam das zum Vorschein - nur: was sagt das ? *bettel* *lach* Ganz lieben Gruß aus Mainz! Logfile of HijackThis v1.97.7 Scan saved at 21:43:39, on 02.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\System32\cisvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\System32\cidaemon.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE C:\Programme\TEXTware\HotKey\Twalink.exe C:\Programme\Orthograf\ORTHOZA.EXE C:\Programme\frnDSL\frnDSL.exe C:\Programme\Internet Explorer\IEXPLORE.EXE D:\Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [scvhost.exe] scvhost.exe O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\RunServices: [scvhost.exe] scvhost.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: Orthograf Zwischenablage-Konverter.LNK = C:\Programme\Orthograf\ORTHOZA.EXE O4 - Global Startup: HotKey.lnk = C:\Programme\TEXTware\HotKey\Twalink.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {0713E8D2-850A-101B-AFC0-4210102A8DA7} (Microsoft ProgressBar Control, version 5.0 (SP2)) - http://bin.mcafee.com/molbin/Shared/ComCtl32/6,0,80,22/ComCtl32.cab O16 - DPF: {2253F320-AB68-4A07-917D-4F12D8884A06} (ChainCast VMR Client Proxy) - http://www.streamaudio.com/download/ccpm_0237.cab O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://bin.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,5/mcinsctl.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37980.1136111111 O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab O16 - DPF: {F7DC2A2E-FC34-11D3-B1D9-00A0C99B41BB} (Zoom Class) - http://www.zoomify.com/download/zoomify305.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F4676439-2EAE-4EFA-B8A9-4B981D2A16A8}: NameServer = 194.97.173.125 194.97.3.83 |
|
|
03.05.2004, 11:29
Moderator
Beiträge: 6466 |
|
|
|
03.05.2004, 14:32
Ehrenmitglied
Beiträge: 29434 |
#8
HKLM\..\Run: [scvhost.exe] scvhost.exe
O4 - HKLM\..\RunServices: [scvhost.exe] scvhost.exe Einmal durch das Fixen aus dem Autostart (nach dem Fixen booten) gehst du in den abgesicherten Modus (F8 beim Hochfahren druecken) scvhost.exe muessen in der Registry (unter Run und Runservice ) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run -- UND--- Runservice manuell geloescht werden, wenn der Antivir. es im abgesicherten Modus nicht tut, sonst kommt der Virus immer wieder. MdG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 03.05.2004 um 14:34 Uhr von Sabina editiert.
|
|
|
04.05.2004, 20:52
...neu hier
Themenstarter Beiträge: 7 |
#9
liebe mitstreiter am pc,
komm leider erst heute wieder an die kiste und auch daru, mich bei euch HERZLICH ZU BEDANKEN - hab nur leider ein problem: so viel versteh ich nicht von den pc's, daß ich irgendwie wüßte, was Sabina, Dafra und Joschi geschrieben haben. alls virenscans waren ohne ergebnis. ist denn scvhost.exe der virus und nicht ein normales win-programm? und was heißt: O4 - HKLM\..\Run: [scvhost.exe] scvhost.exe O4 - HKLM\..\RunServices: [scvhost.exe] scvhost.exe ...wären zu fixen (Button: Fix checked) und: Einmal durch das Fixen aus dem Autostart (nach dem Fixen booten) gehst du in den abgesicherten Modus (F8 beim Hochfahren druecken) SORRY daß ich so blö d bin ;-((( *lach* und Gruß und Dank aus mainz G. |
|
|
04.05.2004, 20:57
Member
Beiträge: 1122 |
#10
Also svchost ist schon ein Windows Programm(Dienst)
aber die Datei heist scvhost (also nix gutes) Du makiert also die Einträge und klickst auf den Button "Fix Check". Dann machst du das: 1.)Deaktiviere mal die Systemwiederherstellung. ( Klick mich ) 2.)Starte deinen Rechner im Abgesicherten Modus. ( Klick mich ) Und scannst nochmal. Dann müsste er runter sein. MFG DAFRA |
|
|
04.05.2004, 22:34
...neu hier
Themenstarter Beiträge: 7 |
#11
hallo dafra, hallo andere mitstreiter,
DANKE erstmal für alle mühe.. was ich rausbekommen hab (ja, abges. mdus und keine sys. wiederherst., das klappt *stol* *lach*): das scvhost.exe steht zwar im fenster, existiert aber nicht als dsateil is nur täuschung! das scannen ergab: trojaner Qhosts.apd das tierchen is wohl "selten" aber ich habs halt. hier die "offiziellen" infos: http://vil.nai.com/vil/content/v_124880.htm leider klap da der link auf das entfernungs-werkzeug nicht... beim stöbern in google und verschiedene foren kam ich drauf: symptome stimmen, insbesondere das unterdrücken der anti-viren-software. wurde angeblich entfernt, blieb aber - ahc das war bei den anderen so. es wurden 2datieen bei %win%\system32 angegeben: MSAWINDOWS.exe MSRV32.exe beide sind aber bei mir nicht vorhanden, also versteckt sich das viech wohl unter einem anderen deckmalten... naja im moment bin ich eher ratlos... seh mich schon win und alle anderen programme neu aufspielen ;-((( |
|
|
05.05.2004, 10:44
Ehrenmitglied
Beiträge: 29434 |
#12
Hallo Gehard
Ich habe mir dein Log noch einmal angesehen. Fixe mit Hilfe des HijackThis nach Dafras Anleitungen folgendes und danach startest du den Rechner neu. Beim Hochfahren drueckst du F8 und gehst in den abgesicherten Modus. Dort scannst du mit dem Antivirus. ----------------------------------------------------------------------------- Fixen: C:\Programme\frnDSL\frnDSL.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [scvhost.exe] scvhost.exe O4 - HKLM\..\RunServices: [scvhost.exe] scvhost.exe NEUSTARTEN......beim Hochfahren F8 druecken und in den abgesicherten Modus gehen. Scanne mit dem Antivir. NEUSTARTEN Mache einen Online-Virenscann http://housecall.trendmicro.com/ Sieh mal, was das fuer ein Programm ist: frnDSL.exe ---------------------------------------------------- mit Kaspersky ueberpruefen: scvhost.exe ,frnDSL.exe http://www.kaspersky.com/remoteviruschk.html http://www.liutilities.com/products/wintaskspro/processlibrary/scvhost/ Scvhost Description: Added to the system as a result of the W32/Agobot-S virus that is an IRC backdoor Trojan and network worm. W32/Agobot-S copies itself to network shares with weak passwords and attempts to spread to computers using the DCOM Rcomputer and the Rcomputer locator --------------------------------------------------------------------------------- Manuelles Entfernen (im abgesicherten Modus) Start<Ausfuehren<regedit reinschreiben Es oeffnet sich die Registry HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices dort auf der rechten Seite scvhost.exe loeschen MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.05.2004 um 10:55 Uhr von Sabina editiert.
|
|
|
05.05.2004, 16:16
...neu hier
Themenstarter Beiträge: 7 |
#13
Hallo liebe Sabina
vielen dank erst mal... manuell entfernen hat in 5 min. funktioniert, das war ne einfache übung ;-))) fesnter geht nicht mehr auf, antivir und firewall laufen wieder, also daumen halten *lach* alles andere klappte leider nicht. auch die links, die du netterweise angegeben hattest, konnten nicht aufgerufen werden. warum auch immer... das teil scheint jedenfalls ziemlich fies gewesen zu sein, aucdh wenn es nur selten vorkommen soll. also: vielen dank nochmal für hilfe und mühe, find es kalsse das das die leut hier machen, ich kann da lieder nix erwiedern (vielleicht haste ja mal ne frage zu kunst, oder so *grins*) lieben gruß aus mainz G. |
|
|
05.05.2004, 17:13
Ehrenmitglied
Beiträge: 29434 |
#14
Hallo Gerhard,
http://housecall.trendmicro.com/ Online-Virenscheck Sieh mal, was das fuer ein Programm ist: frnDSL.exe ---------------------------------------------------- mit Kaspersky ueberpruefen: scvhost.exe ,frnDSL.exe http://www.kaspersky.com/remoteviruschk.html http://www.liutilities.com/products/wintaskspro/processlibrary/scvhost/ Die Sites lassen sich mit dem IE und dem Firefox wunderbar aufrufen, Versuche es noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.05.2004 um 17:14 Uhr von Sabina editiert.
|
|
|
23.06.2004, 21:00
...neu hier
Beiträge: 1 |
#15
Hi!
Wie kommt dieser Spybot in den Rechner??? Ich habe bei meinem Schwiegervater die Sygate FW 5.5 laufen und eigentlich alles safe (irrglaube?)... Wie kommt das ding da rein??? Bitte um antworten! mfg Daniel |
|
|
vielleicht kann mir jemand bei folgendem problem helfen:
wenn ich win xp hochfahre und mich anmelde, erhallte ich in einem eigenen Fenster mit dem Tiete “C:\WINDOWS\System32\scvhost.exe” (sieht aus, wie früger die DOS-Ebene...) jedesmal die nachfolgende Fehlermeldung.
Dabei hab ich noch festgestellt, daß die auto-Protektion von NAV nicht mehr einzuschalten ist und auch in Internet-Secutity nicht mehr läuft...
(setzt sich dann ewig fort, bis das Fenster geschlossen wird...)
Auf Viren mehrfach und mit verschiedenen Programmen gecant, nix gefunden ;-(((
wäre toll, wenn mir jemand helfen könnte! Vielen Dank im Voraus!
Fehlermeldung im Fenster “C:\WINDOWS\System32\scvhost.exe”
[5/10] Command line: ""...
[5/10] Detected CPU: Vendor: "AMD" Name: "Athlon XP 0.18u Socket A (Thoroughbre
d)" Family: 6 Model: 8 Stepping: 1
[5/10] CPU: Enhanced 3dNow! support activated!
[1/10] LeakerBot (0.3.0) "Release" on "Win32" starting up...
[2/10] Debugging with debuglevel of 10...
[5/10] Assigning base subsystems...
[5/10] Initializing base subsystems...
[5/10] KillProcess(): Own thread token opened.
[5/10] KillProcess(): Privileges adjusted.
[5/10] KillProcess(): Privileges dropped.
[5/10] Installing bot...
[5/10] Checking for multiple copies...
[5/10] First copy running...
[5/10] Adding registry autostart...
[7/10] Initializing RNG...
[7/10] Starting the startup thread...
[2/10] CThread::Start(cthread.cpp): Starting CStartupThread thread using Create
Thread().
[5/10] Initializing subsystems...
[5/10] Starting threads...
[2/10] CThread::Start(cthread.cpp): Starting CIRC thread using CreateThread().
[2/10] CThread::Start(cthread.cpp): Starting CThread thread using CreateThread(
).
[2/10] CThread::Start(cthread.cpp): Starting CThread thread using CreateThread(
).
[7/10] Starting the main loop...
[5/10] CStartupThread::Run(): Checking if host can spam AOL.
[5/10] CStartupThread::Run(): Checking the hosts speed.
[5/10] CSocketServer(0x00AAB3A0h): Binding FTP to port 2029.
[5/10] CSocketServer(0x00AAB3A0h): FTP listening on port 2029 (listening socket
: 248).
[5/10] CSocketServer(0x00AAB3A0h): Creating new socket.
[5/10] CSocketServer(0x00AAB3A0h): Waiting for connection.
[5/10] CStartupThread::Run(): Executing ONSTARTUPFIN script.
[2/10] CThread::RunWrapper(cthread.cpp): CStartupThread thread exiting (4 threa
ds).
[4/10] CIRC(0x00A50048h): Trying to connect to "horesaft.alt-bin.com:12000"...
[4/10] CIRC(0x00A50048h): Connection to "horesaft.alt-bin.com:12000" failed!
[5/10] CSocketServer(0x00AAAA44h): Binding SendFile to port 31910.
[5/10] CSocketServer(0x00AAAA44h): SendFile listening on port 31910 (listening
socket: 236).
[5/10] CSocketServer(0x00AAAA44h): Creating new socket.
[5/10] CSocketServer(0x00AAAA44h): Waiting for connection.
[4/10] CIRC(0x00A50048h): Trying to connect to "horesaft.alt-bin.com:12000"...
[4/10] CIRC(0x00A50048h): Connection to "horesaft.alt-bin.com:12000" failed!
[1/10] CIRC(0x00A50048h): Giving up root server "horesaft.alt-bin.com:12000" af
ter 2 retries!
[4/10] CIRC(0x00A50048h): Flushed DNS Cache!
[4/10] CIRC(0x00A50048h): Trying to connect to "horesaft.alt-bin.com:12000"...
[4/10] CIRC(0x00A50048h): Connection to "horesaft.alt-bin.com:12000" failed!
[4/10] CIRC(0x00A50048h): Trying to connect to "horesaft.alt-bin.com:12000"...
[4/10] CIRC(0x00A50048h): Connection to "horesaft.alt-bin.com:12000" failed!
[1/10] CIRC(0x00A50048h): Giving up root server "horesaft.alt-bin.com:12000" af
ter 2 retries!