Fehlermeldung im Fenster “C:\WINDOWS\System32\scvhost.exe”

#1 halli,

vielleicht kann mir jemand bei folgendem problem helfen:
wenn ich win xp hochfahre und mich anmelde, erhallte ich in einem eigenen Fenster mit dem Tiete “C:\WINDOWS\System32\scvhost.exe” (sieht aus, wie früger die DOS-Ebene...) jedesmal die nachfolgende Fehlermeldung.

Dabei hab ich noch festgestellt, daß die auto-Protektion von NAV nicht mehr einzuschalten ist und auch in Internet-Secutity nicht mehr läuft...

(setzt sich dann ewig fort, bis das Fenster geschlossen wird...)

Auf Viren mehrfach und mit verschiedenen Programmen gecant, nix gefunden ;-(((

wäre toll, wenn mir jemand helfen könnte! Vielen Dank im Voraus!

Fehlermeldung im Fenster “C:\WINDOWS\System32\scvhost.exe”

[5/10] Command line: ""...
[5/10] Detected CPU: Vendor: "AMD" Name: "Athlon XP 0.18u Socket A (Thoroughbre
d)" Family: 6 Model: 8 Stepping: 1
[5/10] CPU: Enhanced 3dNow! support activated!
[1/10] LeakerBot (0.3.0) "Release" on "Win32" starting up...
[2/10] Debugging with debuglevel of 10...
[5/10] Assigning base subsystems...
[5/10] Initializing base subsystems...
[5/10] KillProcess(): Own thread token opened.
[5/10] KillProcess(): Privileges adjusted.
[5/10] KillProcess(): Privileges dropped.
[5/10] Installing bot...
[5/10] Checking for multiple copies...
[5/10] First copy running...
[5/10] Adding registry autostart...
[7/10] Initializing RNG...
[7/10] Starting the startup thread...
[2/10] CThread::Start(cthread.cpp): Starting CStartupThread thread using Create
Thread().
[5/10] Initializing subsystems...
[5/10] Starting threads...
[2/10] CThread::Start(cthread.cpp): Starting CIRC thread using CreateThread().
[2/10] CThread::Start(cthread.cpp): Starting CThread thread using CreateThread(
).
[2/10] CThread::Start(cthread.cpp): Starting CThread thread using CreateThread(
).
[7/10] Starting the main loop...
[5/10] CStartupThread::Run(): Checking if host can spam AOL.
[5/10] CStartupThread::Run(): Checking the hosts speed.
[5/10] CSocketServer(0x00AAB3A0h): Binding FTP to port 2029.
[5/10] CSocketServer(0x00AAB3A0h): FTP listening on port 2029 (listening socket
: 248).
[5/10] CSocketServer(0x00AAB3A0h): Creating new socket.
[5/10] CSocketServer(0x00AAB3A0h): Waiting for connection.
[5/10] CStartupThread::Run(): Executing ONSTARTUPFIN script.
[2/10] CThread::RunWrapper(cthread.cpp): CStartupThread thread exiting (4 threa
ds).
[4/10] CIRC(0x00A50048h): Trying to connect to "horesaft.alt-bin.com:12000"...
[4/10] CIRC(0x00A50048h): Connection to "horesaft.alt-bin.com:12000" failed!
[5/10] CSocketServer(0x00AAAA44h): Binding SendFile to port 31910.
[5/10] CSocketServer(0x00AAAA44h): SendFile listening on port 31910 (listening
socket: 236).
[5/10] CSocketServer(0x00AAAA44h): Creating new socket.
[5/10] CSocketServer(0x00AAAA44h): Waiting for connection.
[4/10] CIRC(0x00A50048h): Trying to connect to "horesaft.alt-bin.com:12000"...
[4/10] CIRC(0x00A50048h): Connection to "horesaft.alt-bin.com:12000" failed!
[1/10] CIRC(0x00A50048h): Giving up root server "horesaft.alt-bin.com:12000" af
ter 2 retries!
[4/10] CIRC(0x00A50048h): Flushed DNS Cache!
[4/10] CIRC(0x00A50048h): Trying to connect to "horesaft.alt-bin.com:12000"...
[4/10] CIRC(0x00A50048h): Connection to "horesaft.alt-bin.com:12000" failed!
[4/10] CIRC(0x00A50048h): Trying to connect to "horesaft.alt-bin.com:12000"...
[4/10] CIRC(0x00A50048h): Connection to "horesaft.alt-bin.com:12000" failed!
[1/10] CIRC(0x00A50048h): Giving up root server "horesaft.alt-bin.com:12000" af
ter 2 retries!

#2 Ist ein Virus also:

1.)Deaktiviere mal die Systemwiederherstellung. ( Klick mich )
2.)Starte deinen Rechner im Abgesicherten Modus. ( Klick mich )
3,)Scanne deinen Rechner.
4.)Freuen.

MFG
DAFRA


P.s.
Wenn er dann immer noch da ist, poste mal ein Hijackthis Log.
Unten stehts wies geht.

#3 Ich vermute dennoch einen Wurm oder Backdoor, oder....ich sehe das zum ersten mal, mhhhh.
Lade Dir unter http://www.spywareinfo.com/~merijn/downloads.html bitte Hijackthis runter, erstelle ein Log und poste es bitte hier.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#4 Also das liebe Prog, mit dem Namen scvhost.exe versucht einen Ftp server zu starte, auf horesaft.alt-bin.com zu connecten. Ich denke auch das es ein Backdoor ist.
MFG
DAFRA

#5 Tatsächlich Scvhost....habe das komplett "überlesen". Das Auge interpretiert eben doch, bevor man zu Ende gelesen hat :-).
__________
Durchsuchen --> Aussuchen --> Untersuchen

#6 Hallo - vielen Dank erst mal an alle - bin SEHR beeindruckt von der SCHNELLIGKEIT und FREUNDLICHKEIT!!! DANKE!!!

Also: hab das Progr. runtergeladen und gescant und da kam das zum Vorschein - nur: was sagt das ? *bettel* *lach*

Ganz lieben Gruß aus Mainz!

Logfile of HijackThis v1.97.7
Scan saved at 21:43:39, on 02.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\cidaemon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Programme\TEXTware\HotKey\Twalink.exe
C:\Programme\Orthograf\ORTHOZA.EXE
C:\Programme\frnDSL\frnDSL.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [scvhost.exe] scvhost.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [scvhost.exe] scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Orthograf Zwischenablage-Konverter.LNK = C:\Programme\Orthograf\ORTHOZA.EXE
O4 - Global Startup: HotKey.lnk = C:\Programme\TEXTware\HotKey\Twalink.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0713E8D2-850A-101B-AFC0-4210102A8DA7} (Microsoft ProgressBar Control, version 5.0 (SP2)) - http://bin.mcafee.com/molbin/Shared/ComCtl32/6,0,80,22/ComCtl32.cab
O16 - DPF: {2253F320-AB68-4A07-917D-4F12D8884A06} (ChainCast VMR Client Proxy) - http://www.streamaudio.com/download/ccpm_0237.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://bin.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,5/mcinsctl.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37980.1136111111
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F7DC2A2E-FC34-11D3-B1D9-00A0C99B41BB} (Zoom Class) - http://www.zoomify.com/download/zoomify305.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4676439-2EAE-4EFA-B8A9-4B981D2A16A8}: NameServer = 194.97.173.125 194.97.3.83

#7 O4 - HKLM\..\Run: [scvhost.exe] scvhost.exe
O4 - HKLM\..\RunServices: [scvhost.exe] scvhost.exe

...wären zu fixen (Button: Fix checked)
und Dafras beschriebenen Schritte umsetzen.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#8 HKLM\..\Run: [scvhost.exe] scvhost.exe
O4 - HKLM\..\RunServices: [scvhost.exe] scvhost.exe

Einmal durch das Fixen aus dem Autostart (nach dem Fixen booten)
gehst du in den abgesicherten Modus (F8 beim Hochfahren druecken)


scvhost.exe muessen in der Registry (unter Run und Runservice )
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run -- UND--- Runservice
manuell geloescht werden, wenn der Antivir. es im abgesicherten Modus nicht tut, sonst kommt der Virus immer wieder.


MdG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#9 liebe mitstreiter am pc,

komm leider erst heute wieder an die kiste und auch daru, mich bei euch HERZLICH ZU BEDANKEN - hab nur leider ein problem: so viel versteh ich nicht von den pc's, daß ich irgendwie wüßte, was Sabina, Dafra und Joschi geschrieben haben.

alls virenscans waren ohne ergebnis.

ist denn scvhost.exe der virus und nicht ein normales win-programm?

und was heißt:
O4 - HKLM\..\Run: [scvhost.exe] scvhost.exe
O4 - HKLM\..\RunServices: [scvhost.exe] scvhost.exe
...wären zu fixen (Button: Fix checked)


und:
Einmal durch das Fixen aus dem Autostart (nach dem Fixen booten)
gehst du in den abgesicherten Modus (F8 beim Hochfahren druecken)

SORRY daß ich so blö d bin ;-(((

*lach* und Gruß und Dank aus mainz
G.

#10 Also svchost ist schon ein Windows Programm(Dienst)
aber die Datei heist scvhost (also nix gutes)

Du makiert also die Einträge und klickst auf den Button "Fix Check".
Dann machst du das:

1.)Deaktiviere mal die Systemwiederherstellung. ( Klick mich )
2.)Starte deinen Rechner im Abgesicherten Modus. ( Klick mich )

Und scannst nochmal.
Dann müsste er runter sein.
MFG
DAFRA

#11 hallo dafra, hallo andere mitstreiter,

DANKE erstmal für alle mühe..

was ich rausbekommen hab (ja, abges. mdus und keine sys. wiederherst., das klappt *stol* *lach*):
das scvhost.exe steht zwar im fenster, existiert aber nicht als dsateil is nur täuschung!
das scannen ergab: trojaner Qhosts.apd

das tierchen is wohl "selten" aber ich habs halt. hier die "offiziellen" infos: http://vil.nai.com/vil/content/v_124880.htm

leider klap da der link auf das entfernungs-werkzeug nicht...

beim stöbern in google und verschiedene foren kam ich drauf: symptome stimmen, insbesondere das unterdrücken der anti-viren-software.

wurde angeblich entfernt, blieb aber - ahc das war bei den anderen so.

es wurden 2datieen bei %win%\system32 angegeben:
MSAWINDOWS.exe
MSRV32.exe

beide sind aber bei mir nicht vorhanden, also versteckt sich das viech wohl unter einem anderen deckmalten...

naja im moment bin ich eher ratlos... seh mich schon win und alle anderen programme neu aufspielen ;-(((

#12 Hallo Gehard
Ich habe mir dein Log noch einmal angesehen.

Fixe mit Hilfe des HijackThis nach Dafras Anleitungen folgendes und danach startest du den Rechner neu.
Beim Hochfahren drueckst du F8 und gehst in den abgesicherten Modus.

Dort scannst du mit dem Antivirus.
-----------------------------------------------------------------------------
Fixen:


C:\Programme\frnDSL\frnDSL.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [scvhost.exe] scvhost.exe
O4 - HKLM\..\RunServices: [scvhost.exe] scvhost.exe


NEUSTARTEN......beim Hochfahren F8 druecken und in den abgesicherten Modus gehen.

Scanne mit dem Antivir.

NEUSTARTEN

Mache einen Online-Virenscann

http://housecall.trendmicro.com/


Sieh mal, was das fuer ein Programm ist: frnDSL.exe
----------------------------------------------------
mit Kaspersky ueberpruefen:
scvhost.exe ,frnDSL.exe
http://www.kaspersky.com/remoteviruschk.html

http://www.liutilities.com/products/wintaskspro/processlibrary/scvhost/

Scvhost
Description: Added to the system as a result of the W32/Agobot-S virus that is an IRC backdoor Trojan and network worm. W32/Agobot-S copies itself to network shares with weak passwords and attempts to spread to computers using the DCOM Rcomputer and the Rcomputer locator
---------------------------------------------------------------------------------
Manuelles Entfernen (im abgesicherten Modus)

Start<Ausfuehren<regedit reinschreiben

Es oeffnet sich die Registry

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

dort auf der rechten Seite scvhost.exe loeschen

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo liebe Sabina

vielen dank erst mal...

manuell entfernen hat in 5 min. funktioniert, das war ne einfache übung ;-))) fesnter geht nicht mehr auf, antivir und firewall laufen wieder, also daumen halten *lach*

alles andere klappte leider nicht. auch die links, die du netterweise angegeben hattest, konnten nicht aufgerufen werden. warum auch immer...

das teil scheint jedenfalls ziemlich fies gewesen zu sein, aucdh wenn es nur selten vorkommen soll.

also: vielen dank nochmal für hilfe und mühe, find es kalsse das das die leut hier machen, ich kann da lieder nix erwiedern (vielleicht haste ja mal ne frage zu kunst, oder so *grins*)

lieben gruß aus mainz
G.

#14 Hallo Gerhard,

http://housecall.trendmicro.com/
Online-Virenscheck

Sieh mal, was das fuer ein Programm ist: frnDSL.exe
----------------------------------------------------
mit Kaspersky ueberpruefen:
scvhost.exe ,frnDSL.exe
http://www.kaspersky.com/remoteviruschk.html

http://www.liutilities.com/products/wintaskspro/processlibrary/scvhost/

Die Sites lassen sich mit dem IE und dem Firefox wunderbar aufrufen,
Versuche es noch einmal.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hi!

Wie kommt dieser Spybot in den Rechner???

Ich habe bei meinem Schwiegervater die Sygate FW 5.5 laufen und eigentlich alles safe (irrglaube?)...

Wie kommt das ding da rein???

Bitte um antworten!

mfg Daniel