SCVhost kommt immer wieder...

#0
07.11.2003, 17:39
...neu hier

Beiträge: 8
#1 Hallo alle zusammen,
hab endlich herausbekommen, das ich SCVhost als problem habe, hab ihn gelöscht, und er kommt aber immer wieder. was kann ich machen.
Bitte mir als Leihen etwas einfacher erklären wenn es jemand weiß.
wäre super, wenn mir jemand helfen könnte!!!!
LG kirsche
Seitenanfang Seitenende
07.11.2003, 20:59
exp
zu Gast
#2 Gib doch mal ein paar Angaben zu deinem System, dein OS und meinst du wirklich SCVhost oder meinst svchost? Wenn erster könnte das ein Anzeichen für den W32Agobot sein, der sich als scvhost einträgt. Schau mal ob du diese beiden Einträge in der Registry findest:

HKEY_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run\Config Loader = scvhost.exe

und

HKEY_Local_Machine\Software\Microsoft\Windows\CurrentVersion\RunServices\Config Loader = scvhost.exe

Wie man in die Registry kommt weisst du und wie man sich dort bewegt? Start->Ausführen und das Eingabefeld regedit eingeben, dann Enter drücken. Dann jeweils auf die +Pluszeichen vor den Einträgen anklicken damit sich die Verzeichnisse öffnen. Das machst du solange bis du zu den genannten Einträgen vorkommst. Wenn du das geschafft hast meldest du dich wieder, solltest du dir das Teil (Den Wurm) eingefangen haben helfen dir die User hier weiter ihn loszuwerden. Es könnte auch sein du musst Patches nachinstallieren, siehe dazu

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

und

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-001.asp

exp
Seitenanfang Seitenende
07.11.2003, 21:34
...neu hier

Themenstarter

Beiträge: 8
#3 also,
es ist scvhost, und ich würde gerne in der registry nachsehen, aber die schließt sich nach 1-2 sekunden von selbst.
oS: XP professional (da der pc unter dem Me(offiziell registriert) völlig kaputt war hab ich mir eine version von einem bekannten geborgt, da ich gerade in finnland bin, und keine andere chance auf einen funktionierenden PC gehabt habe, bekomme ich probleme wenn ich update?)
aber ich bin mit dem regcleaner rübergegangen, und der hat 2 einträge vonscvhost gefunden. das war heute nachmittag.
jetzt is die exe schon wieder da, aber der regcleaner findet nichts mehr.
Ich bin gerade beim updaten von Windows. aber der ist mir auch schon einige male abgebrochen worden.
Seitenanfang Seitenende
07.11.2003, 22:24
...neu hier

Themenstarter

Beiträge: 8
#4 hab grad noch etwas gefunden, lsass.exe
gehört anscheinend auch zu agobot.
Ich hab antivir am pC, doch die sind anscheinend net schnell, da steht auf der HP nix von agobot.
Seitenanfang Seitenende
07.11.2003, 23:19
exp
zu Gast
#5 Da du offensichtlich mit einer nicht lizenzierten Version herumhantierst ist der Thread für mich an dieser Stelle beendet.

exp
Seitenanfang Seitenende
08.11.2003, 01:03
Member

Beiträge: 41
#6 format C:

Dann hast du den Virus UND die unlizenzierte Version los ;)
__________
Hab ich "NULL" gewählt?
Seitenanfang Seitenende
08.11.2003, 05:26
Member

Beiträge: 117
#7 Tolle "Hilfe" hier. Sind wir neuerdings Moral- und Sittenwächter von Microsofts Gnaden oder wollen wir uns hier gegenseitig helfen? ;)

Ich für meinen Teil gehe jedenfalls "in dubio pro reo" davon aus, das "kirsche" sich ein Original geborgt hat und der Bekannte die Lizenz derzeit nicht verwendet. Irgendwelche Einwände dagegen? Oder Beweise für eine andere Lage des Sachverhaltes? ;)

Sorry, EXP, aber für so wenig Plan und Denke riskierst Du hier eine ganz schön dicke Lippe.


@Kirsche:

Mach' dir auf einem SAUBEREN System mal eine Bootdisk fertig - oder besorge Dir irgendwoher eine funktionierende, bootfähige Knoppix-CD. Knoppix hatte bisher leider das Problem, das der Schreibzugriff auf NTFS-Partitionen relativ riskant bis unmöglich war. Allerdings könnte sich das in einer neuen Version geändert haben. Knoppix kannst Du ziehen über http://www.knoppix.net/get.php .

Sollte es sich um eine NTFS-Partition handeln, kannst Du den PE-Builder ( http://www.nu2.nu/pebuilder/ ) verwenden oder "einfach" die Partition mit einem entsprechenden Tool in eine FAT32-Partition umformatieren. Normalerweise sollte das ohne Datenverlust möglich sein.

Dann bootest Du mal von diesem "sauberen" System und jagst mal einen aktuellen Virenscanner über die Festplatte drüber. Der sollte natürlich zum beim Boot-Vorgang verwendeten Betriebssystem passen. ;)

Im Zweifelsfall vielleicht F-PROT - den gibt es für alle möglichen Betriebssysteme und ist ebenfalls aus dem Internet zu laden: http://www.f-prot.com/download/home_user/ .


Vielleicht sind deine Probleme damit schon gelöst ... wenn nicht, frag' halt nochmal nach. Hier sind nicht alle Typen so selbstherrlich wie das obige Beispiel.

Kleine Ergänzung noch: Bei "Updates" wird es wahrscheinlich wirklich Schwierigkeiten geben. Allerdings sind beim Download und beim Einspielen von Security-Patches keinerlei Probleme zu erwarten, die bekommst Du über http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/default.htm , ohne grossartig was an Daten preisgeben zu müssen.


Gruss

Aahz
Dieser Beitrag wurde am 08.11.2003 um 06:21 Uhr von Aahz editiert.
Seitenanfang Seitenende
08.11.2003, 11:10
exp
zu Gast
#8 @Aahz ... wie darf ich diesen Satz verstehen "Sorry, EXP, aber für so wenig Plan und Denke riskierst Du hier eine ganz schön dicke Lippe". Ich wusste ja nicht das du der große Chef und Allwissende bist, wenigstens hast du die Beweise für einen Sachverhalt, vielleicht auch nur in den Analen des Abgrunds... du hast deinen Standpunkt, ich den meinen und von der Seite anquatschen Junge lasse ich mich nicht von dir.. Da dies der Diskussion hier abträglich ist und nur dem Forum schadet, verzieh mich aus den Foren. Byebye
Seitenanfang Seitenende
08.11.2003, 13:39
Moderator

Beiträge: 7805
#9

Zitat

Aahz postete
Sollte es sich um eine NTFS-Partition handeln, kannst Du den PE-Builder ( http://www.nu2.nu/pebuilder/ ) verwenden oder "einfach" die Partition mit einem entsprechenden Tool in eine FAT32-Partition umformatieren. Normalerweise sollte das ohne Datenverlust möglich sein.


Was empfiehlst du da jemanden, dessen System und dessen Wissenstand du nicht kennst?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.11.2003, 15:17
Moderator
Avatar joschi

Beiträge: 6466
#10 Das Vorhandensein eine scvhost.exe kann verschiedene Ursachen habe, als da wären:
W32.HLLW.Gaobot.AE
Backdoor.Sdbot.N
W32.Blaster
Und vermutlich noch etliche andere. Wenn Du auf der Homepage von Antivr keine Hinweise auf W32Agobot findest, muss das nichts sagen, denn die die Hersteller der Anitviren-Software taufen die Würmer, Viren mit recht unterschiedlichen Namen. Also, den Scanner updaten, nochmals laufen lassen. Es handelt sich mit grösster Sicherheit um keine exotische Malware, von daher wird Antivir das schon packen. Updaten ist ganz wichtig.
Zusätzlich und speziell in deinem Fall:
http://lab1.de/?dl=autostartmanager-setup.exe runterladen. Es lässt dich die Starteinträge der Registry löschen, deaktivieren, ohnem, dass Du den Registry-Editor öffnen musst.

Meine Damen und Herren ! Waas auch der einzelne Standpunkt des einzelnen sein mag, respektiert es und bleibt freundlich, wenn das nicht möglich ist, ignoriert es ;) .
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
09.11.2003, 00:13
...neu hier

Themenstarter

Beiträge: 8
#11 Danke euch allen vielmals,
auch wenn ich einigen ohne dies beabsichtigt zu haben auf den fuß getreten bin. Das mit der nicht lizensierten version,um das zu klären, ist eine außnahme in einer problemsituation. ich werde es nun alleine versuchen um niemandem in seinen wertvorstellungen zu treffen, obwohl ich es ferwerflicher finde normale nichtswissende enduser mit viren usw zu strafen, als meine AUSNAHME. Es gibt sehr nette und hilfsbereite Menschen hier, und das finde ich bewundernswert!!!
Danke euch trotzdem vielmals, alles liebe
kirsche
Seitenanfang Seitenende
09.11.2003, 05:21
Member

Beiträge: 117
#12 @raman:

Was ich so jemandem empfehle? Zu fragen, wenn er mit den genannten Instrumenten nicht umgehen kann. ;)


@kirsche:

EINE Sache hast Du in diesem Thread wohl in jedem Fall gelernt: keine Fragen zu beantworten, die niemand gestellt hat. Hier hat kein Mensch nach der Lizenz für dein System gefragt. Ich glaube, das Forum, sogar das Internet wäre ziemlich leer, wenn sich da nur die User ohne Raubkopien tummeln dürften. ;)

Ich kenne nicht einen einzigen fähigen PC-Besitzer, der wirklich noch nie eine Raubkopie verwendet hat - und sei es nur vorläufig oder zu Testzwecken.

Wenn ich hier von "fähigen" PC-Besitzern spreche, meine ich eigentlich die, die auf ihren PCs schon mal mehr als nur die beim Kauf mitgelieferte Software installiert und benutzt haben. Und ich denke, diese Schwelle ist nicht zu hoch angesetzt.

Ich selbst teste auch gerne mal eine Software vor dem Kauf - und wurde so schon vor vielen teuren Fehl-Käufen bewahrt.

Also kein Grund, sich zu entschuldigen. Kennst Du den Spruch "Wer ohne Sünde ...!"?

Und nachdem der Einzige, der sich hier mokiert hat, ja das Forum / die Foren-Welt verlassen will: frag', wenn Du ein Problem hast.

Nur "sprechenden" Menschen kann man helfen.


Gruss

Aahz
Seitenanfang Seitenende