Guten Tag,
ich hab durch Zufall in der msconfig eine scvhost.exe Datei gefunden. Im Task Manager ist diese jedoch nirgends aufgeführt, was ich dachte, dass bei diesen Dateien der Fall ist. Jedenfalls hab ich jetzt mal HijackThis laufen lassen wo sich dann doch ein paar dieser .exe-Dateien wiederfinden. Denke dass das nur Viren sein können?! Für eine Stellungnahme zu folgendem wäre ich euch sehr dankbar:
Logfile of HijackThis v1.99.1
Scan saved at 12:14:04, on 03.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\Anti_Vir_Kaspersky\avp.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Acer\Empowering Technology\eLock\LockServ.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\WINDOWS\BUtilityBar\BisonBar.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Anti_Vir_Kaspersky\avp.exe
C:\Acer\Empowering Technology\eLock\Monitor\LockMon.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\dllhost.exe
C:\DOKUME~1\Andreas\LOKALE~1\Temp\RtkBtMnt.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\Programme\Opera\Opera.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Arcor Content
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Arcor Content
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Arcor Content
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Arcor Content
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Live Search:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = Arcor Content
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [eLockMonitor] C:\Acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 1
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [BisonBar] C:\WINDOWS\BUtilityBar\BisonBar.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [kav] "C:\Programme\Anti_Vir_Kaspersky\avp.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl06a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [] C:\WINDOWS\scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\Phonostar_Player\phonostar\ps_timer.exe
O4 - Startup: Outlook.lnk = C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Anti_Vir_Kaspersky\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yaho...st20040510.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1167828011737
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programme\Anti_Vir_Kaspersky\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LockServ - Unknown owner - C:\Acer\Empowering Technology\eLock\LockServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Gruß Andy

Sieht eig. ganz ok aus, lad die scvhost.exe mal bei Virustotal oder Jotti hoch.

Ansonsten hast du sehr viel auf deinem PC, vielleicht mal überdenken was du wirklich brauchst.

Ich dachte dass die scvhost.exe in jedem Fall ein Virus oder ähnliches wäre... Dann ist dem wohl nicht so??
Wie funktioniert das mit Virustotal? Muss ich da die Datei aus dem regedit als E-mail-Angang schicken?

Hab etwas viel Zeug drauf, das ist richtig ja. Miste ab und zu mal wieder aus.

Aber danke schon mal für die Info vorab!!

Ja sie ist auf jeden Fall einer...aber welcher?
Du musst die Datei bei virustotal bzw. jotti hochladen sie wird dann online von den besten virenscannern gescannt, poste anschließend das vollständige Ergebnis!

Zitat:

Zitat von Apocalypt

Sieht eig. ganz ok aus [...]

finde ich eigentlich nicht, denn die scvhost.exe ist im startup drinnen, und scvhost.exe ist nie gut.(--> W32/Agobot)
ich tippe mal auf rootkits
lass dein system doch bitte mit f-secure blacklight scannen und poste den log

Wie finde ich die Datei überhaupt?
z.b.:
HKLM\..\RunServices: [AntiVir] C:\WINDOWS\scvhost.exe
Im Verzeichnis C:/Windows/ finde ich die Datei nicht. Im regedit kann ich zwar die scvhost.exe sehen, aber nicht speichern (im regedit werden ja auch keine Dateien angezeigt oder??)

Zitat:

Zitat von happyHardcore11

Wie finde ich die Datei überhaupt?

eben, das könnte sich als problem erweisen, deshalb mache zuerst einen scan mit f-secure blacklightund poste dann das log.
rootkits können dateien/prozesse o.ä verbergen, das könnt der grund sein, weshalb du die datei nicht findest.

f-secure blacklight ist gerade fertig geworden mit scannen, hat aber auch nichts gefunden!!! Avira hat auch noch was für die Rootkits, lass es grad noch laufen, wird aber wohl auch nicht mehr bringen...
Gibts sonst noch ne Möglichkeit (vielleicht mal ausser formatieren) was ich machen könnte??

Avira bleibt bei 84.1 Prozent stehen und macht nichts mehr. Das hatte ich schon mal. Liegt das vermutl daran, dass auch avira von der scvhost.exe betroffen ist!??

HKLM\..\RunServices: [AntiVir] C:\WINDOWS\scvhost.exe

tja, wenn kein viren/rootkitscanner etwas findet, und die datei gar nicht vorhanden ist,ist das schon seltsam.
kannst du bitte alle registry einträge wo die scvhost drin ist, mal rausschreiben und posten?(noch nix löschen!!!)
sonst weiss ich wirklich nicht weiter, denn antivir und f-secure sind ja eigentlich zuverlässig.

//edit: gib mal unter start-->ausführen-->services.msc ein und suche nach einem eintrag wo scvhost oder antivir drin vorkommt, und psote diese.

hmm, bei 84% das müsste ja eigentlich etwa die stelle sein, wo der ordner c:\WINDOWS\* überprüft wird, hast du antivir den schon mal in safe mode versucht, den komplettscan zu machen?

Lade Dir Smitfraud.
* Doppelklick auf die smitfraud.cmd
* "1" eingeben und mit ENTER bestätigen.
* Das Log hier posten

Gruß

Marc

Als ich mit diesem Text fast fertig war, entschied sich der Rechner für einen Neustart
@mightyMarc:
Nachdem ich die .zip -Datei entpackt hatte, doppelklickte ich auf smitfraudFix.cmd (einzige .cmd -Endung), ein Eingabefenster öffnete sich für 1 sec und war wieder weg.

@::--::
Bei den Diensten steht ganz normal AntiVir /status->gestartet /Starttyp->automatisch /anmelden als->lokales system
scvhost.exe ist hier nicht zu finden!

In der Registrierung ist scvhost.exe unter HKLM/Software/Microsoft/Windows/CurrentVersion/Run und ...CurrenVersion/RUNSERVICES zu finden. Betroffen sind hierbei: Name-> (Standard), icp lite, AntiVir, msconfig, Windows Update, Update Checker
bei allen ist der Typ->REG_SZ und der Wert->C:/Windows/scvhost.exe

Ach ja, die 84 % sind nur beim scannen nach Rootkits. Da wo er dann stehen bleibt, zeigt er nur HKLM[...] (oder ähnlich) an, also keine Datei oder sonstiges was er gerade überprüft. Ansonsten läuft Avira ganz normal und ist auch schon nach ca 4..5 Stunden fertig!! AVG brauch ca 1,5Std, überprüft aber nur ca die hälfte an Dateien.
Aber nein, im abgesicherten Modus hab ich es noch nicht probiert. Werd ich wohl heut Abend noch testen.

Trotzdem mal vielen Dank für euer Bemühen!!!!! Und hoffe noch auf weitere Ratschläge. Komme dann heut abend wieder...

Zitat:

Zitat von happyHardcore11

@mightyMarc:
Nachdem ich die .zip -Datei entpackt hatte, doppelklickte ich auf smitfraudFix.cmd (einzige .cmd -Endung), ein Eingabefenster öffnete sich für 1 sec und war wieder weg.

Ich hoffe Dein AntiVir Guard war deaktiviert. wenn nicht löscht/verschiebt er die restart.exe und die reboot.exe die sich in dem Ordner befinden.