Scvhost.exe, Internat.exe und ungewollter verbindungsaufbau

#1 hallo zusammen,

könnte mir bitte jemand helfen??
seit gestern möchte sich mein pc immer wieder eigenständig mit dem internet verbinden. ich habe antivir und outpost als sicherheit vorgeschaltet. mein rechner hat von microsoft das aktuelle update. trotzdem hat sich gestern scvhost.exe eingenistet (der verbindungsaufbau wird von outpost momentan unterdrückt). im folgenden habe ich noch meinen log von hijak angefügt. wie werd ich das problem wider los? befinden sich in der log noch andere besorgnis erregende viren, trojaner und co??? und was ist internat.exe??

Logfile of HijackThis v1.97.7
Scan saved at 09:42:43, on 24.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\svchost.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\SCVHOST.EXE
C:\WINNT\system32\internat.exe
E:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\CardPrograms\SC-QuickBurner\SCMSwitch.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX03.936\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PMXInit] C:\WINNT\system32\pmxinit.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINNT\system32\SCVHOST.EXE
O4 - HKLM\..\Run: [RegCompres] C:\WINNT\system32\REGCPM32.EXE
O4 - HKLM\..\RunServices: [MSStartOptimizer] C:\WINNT\system32\SCVHOST.EXE
O4 - HKLM\..\RunServices: [RegCompres] C:\WINNT\system32\REGCPM32.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader resident.lnk = E:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: SC-Master Tray Switch.lnk = C:\Programme\CardPrograms\SC-QuickBurner\SCMSwitch.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: WebSpeech (HKLM)
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Trashcan (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37999.0783449074
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{539E4735-B28B-4645-ABE1-D936665FC97D}

erstmal vielen dank im voraus!

dipa


ich möchte noch etwas anfügen

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab

diese zeile wurde mir eben bei einem weiteren scan mit ausgegeben.

der versuch des pcs das internet ungewünscht anzuwählen ist immer noch vorhanden.

HILFE....
was kann ich tun???

dipa

#2 @dipa
Fixe mit dem HijackThis

O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINNT\system32\SCVHOST.EXE
O4 - HKLM\..\RunServices: [MSStartOptimizer] C:\WINNT\system32\SCVHOST.EXE
O4 - HKLM\..\Run: [RegCompres] C:\WINNT\system32\REGCPM32.EXE
O4 - HKLM\..\RunServices: [RegCompres] C:\WINNT\system32\REGCPM32.EXE

neustarten

Lade den escan...mwav.exe und scanne \alle Dateien\
Poste dann, was der Scanner gefunden hat und das neue Log noch einmal.
http://www.mwti.net/antivirus/free_utilities.asp


mache noch einmal einen onlinescann
http://uk.trendmicro-europe.com/enterprise/products/housecall_launch.php

MfG
Sabina
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=BKDR_AGOBOT.NR
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_DASMIN.B&VSect=T
__________
MfG Sabina

rund um die PC-Sicherheit

#3 hallo sabina,

vielen dank für die unterstützung!!!

anbei das neue logfile. ich habe in der zwischenzeit einiges gelöscht und verändert. durch das fixen und löschen des scvhosts und des realplayers hat sich das problem mit dem einwahlwunsch des pcs erledigt. nach wie vor habe ich etwas sorge, dass sich trotzdem auf meinem rechner etwas befindet, was dort nicht hin gehört. insbesondere befinden sich in meiner favoriten liste nicht mehr alle eintragungen, und dies, obwohl nur ich zugang zum rechner habe und ich keine favoriten gelöscht habe. ähnliche veränderungen im ordner des outlock express. extra angelegte ordner sind nicht mehr vorhanden und ordnernamen wurden verändert!

wieso lässt die outpost firewall einen virus durch und wieso schlägt antivir nicht alarm???? (SCVHOST.EXE)

befindet sich in dem beigefügten logfile etwas??

nochmals besten dank!!!

Logfile of HijackThis v1.97.7
Scan saved at 17:33:31, on 02.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\svchost.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINNT\system32\internat.exe
E:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\CardPrograms\SC-QuickBurner\SCMSwitch.exe
C:\Programme\WinZip\WZQKPICK.EXE
E:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.754\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PMXInit] C:\WINNT\system32\pmxinit.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Photo Loader resident.lnk = E:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: SC-Master Tray Switch.lnk = C:\Programme\CardPrograms\SC-QuickBurner\SCMSwitch.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: WebSpeech (HKLM)
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Trashcan (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37999.0783449074
O17 - HKLM\System\CCS\Services\Tcpip\..\{539E4735-B28B-4645-ABE1-D936665FC97D}: NameServer = 192.168.121.252,192.168.121.253

#4 dipa


Das Log ist sauber.

outlock express. extra angelegte ordner sind nicht mehr vorhanden und ordnernamen wurden verändert! .....das Beste ist, du suchst dir einen anderen, externen Mail-Anbieter..Outlook ist ein absolutes Sicherheitsrisiko !!
Was die Viren alles veraendern und an wie viele Leute du verseuchte Mail geschickt hast...daran darf man gar nicht denken .....

Hast du immer die Updates von Antivirus gemacht ?
die Auswirkung von Sasser und Blaster ist, dass bei Infizierung "Hintertuerchen "geoeffnet wurden", welche sich nun bestimmte vorprogrammierte Viren zu Nutze machen.

Mache mal von der Site von Outpost einen portscann.
Dieser Sicherheitsservice wird sicherlich angeboten. Dabei wird der Computer gescannt und es wird festgestellt, wo Sicherheitsluecken bestehen.
Es gibt auch noch andere Tools . die Portscann machen ...Sicherheitsportscann, will ich sagen.....suche mal danach ...googeln.

MfG
Sabina



Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!!
Start<Systemsteuerung<Verwaltung<Dienste
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Bloß eine kurze Anmerkung

Zitat

und was ist internat.exe??

Ein kurzer Einblick in Windows Systemprozesse.Darunter ist auch internat.exe zu finden.
Zwar ist Security Task Manager der beste mir bekannte Task Manager doch Process Explorer,
Freeware und viel schlanker bleibt mein persönlicher Favorit.

Zitat

wieso lässt die outpost firewall einen virus durch...

Immer wieder der Irrglaube daß eine Firewall vor Viren schützt.
Es sind eine handvoll Schädlinge (z.B:Sasser,Blaster) die sich durch freigegebene Dienste/offene Ports verbreiten.Diese kann eine Firewall verhindern,ein sicher konfiguriertes BS ohne Firewall übrigens auch.
Alle andere Schädlinge die durch eine mehr oder weniger bewußte Installation auf dem PC gelangen,können von keiner Firewall aufgefangen werden

Gruß
Ajax

#6 hallo sabina,
hallo ajax,

DANKE!

mein antivir wird fast täglich abgedatet umso verwunderlicher ist es, dass es nicht anschlägt. ich habe auf einer anderen seite folgendes gefunden:

Kopieren Sie einfach die folgende Zeile in eine leere Textdatei und benennen Sie diese in EICAR.com um:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Die so erzeugte Datei ist völlig ungefährlich, besitzt aber eine Standardsignatur, die von jedem am Markt erhältlichen Antivirenprogramm entdeckt werden sollte.

antivir schlägt dabei nicht an!!!

zu der info einen anderen mail-anbieter zu suchen: welchen? und bleibt nicht outlook und internet explorer im hintergrund (und mit den selben risiken) vorhanden? ist doch fest mit dem betriebssystem verbunden?

einen portscan und alle anderen verfügbaren tests habe ich über folgende seite (von outpost vorgeschlagen) gemacht: http://www.pcflank.com/scanner1.htm?from=menu
alles sicher?! (haha, hat er mit dem laufenden scv-host auch gesagt!)

soll ich antivir und outpost rausschmeißen? gibt es da was vernünftigeres? oder mache ich was falsch?

im log-betrachter des outpost habe ich unter erlaubten verbindungen einige gesehen, mit denen ich nichts anfangen kann, aber wenn ich sie blocke bekomme ich keine seiten angezeigt...

zb
12:04:20 services.exe UDP 255.255.255.255 BOOTPS Allow Outgoing DHCP
12:04:20 SYSTEM UDP localhost(verschiedene) BOOTPC Allow Outgoing DHCP
12:04:57 avgnt.exe TCP localhost 18350 Allow Loopback
12:04:58 NETBIOS UDP 192.168.121.255 NETBIOS_NS Erlaube NetBIOS Kommunikation
12:05:04 avguard.exe TCP localhost 1026 Localhost-Verbindung
12:05:59 msimn.exe TCP pop3.arcor.de POP3 Receive mail by Outlook Express
12:16:48 iexplore.exe TCP board.protecus.de HTTP Internet Explorer HTTP connection
12:16:58 services.exe UDP 145.253.2.196 DNS Allow DNS Resolving

soll ich da was ändern?

nochmals vielen dank!

dipa

#7 Sollte dir in der Tat die Sicherheit deines PC's etwas bedeuten wäre der Wechsel zu einem anderen Browser (Firefox,Mozilla oder Opera) der erste logischer Schritt.

Zitat

soll ich antivir und outpost rausschmeißen? gibt es da was vernünftigeres? oder mache ich was falsch?

Antivir ist nicht unbedingt der Renner dafür aber kostenlos und bietet auch einen elementaren Schutz.Falls Dir nicht zu teuer,könntest Du es mit KAV versuchen.Jedenfalls zuerst eine Trial downloaden und testen.
Wenn man eine FW benutzt sollte man sich auch die notwendige Grundkenntnisse aneignen um sie verstehen und konfigurieren zu können.Ansonsten wird eine jede Kleinigkeit zu einem Riesenproblem.Lesematerial gibt es im Netz zur Genüge.Elementare Begriffe wie DHCP,Loopback NetBios oder DNS werden ausführlich beschrieben.
Die Logs deiner Firewall sind übrigens OK.
Eine sehr gute Anleitung für eine sichere Konfiguration des BS auch ohne FW gibt's hier.

Gruß
Ajax