Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: svhost.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.05.2005, 13:16   #1
randra
 
svhost.exe - Standard

svhost.exe



hi,

hab jetzt schon 3 stunden damit verbracht informationen über svhost.exe (NICHT DIE SVCHOST.EXE) rauszubekommen.

Als erstes hab ich versucht einen neuen patch für win 2000 zu installieren, danach ging erstmal gar nichts mehr. (explorer.exe verursachte einen fehler... blablabla) wieder deinstalliert und das svhost.exe problem besteht weiterhin.

bei start des systems kommt ein windows fenster mit svhost.exe konnte nicht gestartet werden...

registry hab ich überprüft, steht nichts drin. im system32 ist diese datei auch nicht vorhanden. in der win.ini ist auch nichts vorhanden.

meine frage nun, was kann ich noch tun und inwiefern schadet mir svhost.exe wenn ich nichts tue?

hier der auszug aus hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 14:16:23, on 03.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Safety\AV\AVGUARD.EXE
C:\Programme\Safety\AV\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Safety\Norton\GhostStartService.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\anvshell.exe
C:\Programme\Safety\ZoneAlarm\zlclient.exe
C:\Programme\Safety\AV\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\MSOFFICE\Office\FINDFAST.EXE
C:\Programme\MSOFFICE\Office\OSA.EXE
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\silversurfer\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
F3 - REG:win.ini: run=C:\WINNT\system32\svhost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\programme\zubehör\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Safety\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [System backup] C:\WINNT\system32\msxmidi.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Safety\AV\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [System backup] C:\WINNT\system32\msxmidi.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\MSOFFICE\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\MSOFFICE\Office\OSA.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/30745504...dxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB0C45C8-A0A7-4C62-B34F-14355AA662E5}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\Safety\AV\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\Safety\AV\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Safety\Norton\GhostStartService.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

hoffe dass mir jemand helfen kann.
über eine Neuinstallation hab ich auch schon nachgedacht...
hab noch ein ziemlich aktuelles, sauberes image.

grüsse.

Alt 03.05.2005, 13:46   #2
Rene-gad
 
svhost.exe - Standard

svhost.exe



@randra
Zitat:
hab jetzt schon 3 stunden damit verbracht informationen über svhost.exe (NICHT DIE SVCHOST.EXE) rauszubekommen.
Und was hast du rausbekommen?
Zitat:
Als erstes hab ich versucht einen neuen patch für win 2000 zu installieren
Das war wahrscheinlich schon zu spät: You can’t clean a compromised system by patching it. Patching only removes the vulnerability. Upon getting into your system, the attacker probably ensured that there were several other ways to get back in.
Zitat:
registry hab ich überprüft, steht nichts drin. im system32 ist diese datei auch nicht vorhanden. in der win.ini ist auch nichts vorhanden.
Wenn ich mich auf diesen Eintrag beziehe:
F3 - REG:win.ini: run=C:\WINNT\system32\svhost.exe, gehe ich davon aus, dass du schlecht gesucht hast.
Zitat:
meine frage nun, was kann ich noch tun und inwiefern schadet mir svhost.exe wenn ich nichts tue?
Um deine Frage zu beantworten braucht man die Informationen von dieser Datei. Such sie aus und lasse hier online überprüfen.
Zitat:
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)
Na so was Exotisches! Hast du noch irgendwo IE4.0 parat?Hast du von Sicherhetlücken schon was gehört ?.
Zitat:
F3 - REG:win.ini: run=C:\WINNT\system32\svhost.exe
Das bitte jedenfalls fixen
Zitat:
O4 - HKLM\..\Run: [System backup] C:\WINNT\system32\msxmidi.exe
Wenn du dieses Programm kennst, lass es gut sein.
__________________


Alt 03.05.2005, 13:58   #3
randra
 
svhost.exe - Standard

svhost.exe



Zitat:
Zitat von Rene-gad

Wenn ich mich auf diesen Eintrag beziehe:
F3 - REG:win.ini: run=C:\WINNT\system32\svhost.exe, gehe ich davon aus, dass du schlecht gesucht hast.
falsch. in der win.ini steht diese zeile definitiv nicht drin!
folgendes steht drin:

; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
MAPIX=1
OLEMessaging=1
CMC=1
CMCDLLNAME=mapi.dll
CMCDLLNAME32=MAPI32.DLL
MAPIXVER=1.0.0.1
[MCI Extensions.BAK]
asf=MPEGVideo
asx=MPEGVideo
ivf=MPEGVideo
m3u=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo
mpv2=MPEGVideo
wax=MPEGVideo
wm=MPEGVideo
wma=MPEGVideo
wmv=MPEGVideo
wvx=MPEGVideo
[T-Online Software]
path4=C:\ONLINE\T-ONLINE\BSW4\ONLINE.EXE
path=C:\ONLINE\T-ONLINE\BSW4\ONLINE.EXE
Version=4.007
[T-Online-Decoder]
Path4=C:\ONLINE\T-ONLINE\BSW4\ONLINE.EXE
Path=C:\ONLINE\T-ONLINE\BSW4\ONLINE.EXE
Version=4.007
[WS_FTP]
VERSION=2000.02.23
DIR=C:\Programme\Zubehör\WS_FTP
DEFDIR=C:\Programme\Zubehör\WS_FTP
GROUP=WS_FTP
INSTOPTS=4
[WS_FTP95]
VERSION=2000.02.23
[MS User Info]
DefName=silver
DefCompany=
[MSAPPS]
MSAPPS=C:\WINNT\MSAPPS
ORGCHART=C:\WINNT\MSAPPS\ORGCHART
ARTGALRY=C:\WINNT\MSAPPS\ARTGALRY
MSGRAPH5=C:\WINNT\MSAPPS\MSGRAPH5
SHEETCNV=C:\WINNT\MSAPPS\SHEETCNV
TEXTCONV=C:\WINNT\MSAPPS\TEXTCONV
GRPHFLT=C:\WINNT\MSAPPS\GRPHFLT
WORDART=C:\WINNT\MSAPPS\WORDART
PROOF=C:\WINNT\MSAPPS\PROOF
EQUATION=C:\WINNT\MSAPPS\EQUATION
MSQUERY=C:\WINNT\MSAPPS\MSQUERY

und, was jetzt?

Zitat:
Zitat von Rene-gad
Um deine Frage zu beantworten braucht man die Informationen von dieser Datei. Such sie aus und lasse hier online überprüfen.
(svhost.exe) wenn ich sie finden würde hätte ich das schon längst gemacht, aber auch nach dem x. mal dursuchen der festplatte ist sie einfach nicht vorhanden!

Zitat:
Zitat von Rene-gad
Wenn du dieses Programm kennst, lass es gut sein.
was meinst du damit? (msxmidi.exe) auch diese datei ist nicht vorhanden!!!

grüsse.
__________________

Alt 03.05.2005, 14:32   #4
Rene-gad
 
svhost.exe - Standard

svhost.exe



@randra
Zitat:
(svhost.exe) wenn ich sie finden würde hätte ich das schon längst gemacht, (msxmidi.exe) auch diese datei ist nicht vorhanden!!!
Wenn HJT findet diese Dateien und du nicht - heißt es: du hast schlecht bzw. falsch gesucht.
Mach deinen WinExplorer auf, gehe auf Extras/Ordneroptionen/Ansicht/Geschützte und Systemdateien Ausblenden - grünes Pünktchen weg. Weiter nach unten scrollen. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen - Pünktchen setzen.
Beim Suchen: Weitere Optionen/Systemordner durchsuchen, Versteckte Elemente durchsuchen, Unterordner durchsuchen - gegen diesen 3 Haken setzen. Suche wiederholen.

Alt 03.05.2005, 15:00   #5
randra
 
svhost.exe - Standard

svhost.exe



Zitat:
Zitat von Rene-gad
@randra

Wenn HJT findet diese Dateien und du nicht - heißt es: du hast schlecht bzw. falsch gesucht.
Mach deinen WinExplorer auf, gehe auf Extras/Ordneroptionen/Ansicht/Geschützte und Systemdateien Ausblenden - grünes Pünktchen weg. Weiter nach unten scrollen. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen - Pünktchen setzen.
diese enstellung ist bei mir vorhanden...
Zitat:
Zitat von Rene-gad
Beim Suchen: Weitere Optionen/Systemordner durchsuchen, Versteckte Elemente durchsuchen, Unterordner durchsuchen - gegen diesen 3 Haken setzen. Suche wiederholen.
das hat jetzt was gebracht. (unter 2000 heißt es etwas anders ist ja aber egal)

mit der suche nach dateien oder ordnern kam
allerdings keine svhost.exe sondern nur eine
svhost.exe.q_63A0_q.ini raus,
in der foldgendes drinsteht:

[Info]
StartVersion=1
File=C:\WINNT\system32\svhost.exe
Name=svhost.exe
Rating=217
Description=
Company_Product=-
Service=
Type=0
Visible=0
Win=0
M=1004
T=32
Ports=
DelDate=38475
DelDateTime=03.05.2005 13:54:39
[Start]
sKey=win.ini
Key=29
Desc=
Name=run

visible hab ich dann mal auf 1 gesetzt aber die datei svhost.exe unter system32 kam trotzdem nicht zum vorschein.

desweiteren tauchten noch
svhost.exe.q_63A0_q.ini.old

mit der suche nach enthaltenem text (svhost.exe) tauchten folgende dateien auf:
wieder
svhost.exe.q_63A0_q.ini.old
svhost.exe.q_63A0_q.ini
aus dem ordner SecTaskMan (???)

history.dat aus dem profil vom firefox
user.dmp vom drwatson
und natürlich aus dem hijackthis.log file

auf der suche nach dateien oder ordnern kam für
msxmidi.exe nichts raus,
mit der suche nach enthaltenem text:
history.dat aus dem profil vom firefox
und natürlich aus dem hijackthis.log file
und noch in ein paar (5) dateien im internet logs ordner unter winnt
was meinst du, lohnt es sich noch rumzusuchen, oder wär eine Neuinstallation angesagt? oder gibt es sonst welche lösungsansätze?

grüsse.


Geändert von randra (03.05.2005 um 15:07 Uhr)

Alt 03.05.2005, 15:59   #6
felix1
/// Helfer-Team
 
svhost.exe - Standard

svhost.exe



Mache mal doch lieber einen eScan.
http://www.trojaner-board.de/42731-escan-anleitung.html
Poste dann das Log hier.

Dein IE könnte auch mal ein Update vertragen

Alt 03.05.2005, 16:07   #7
Rene-gad
 
svhost.exe - Standard

svhost.exe



@randra
Zitat:
File=C:\WINNT\system32\svhost.exe
Und lasse bitte die Datei bei http://virusscan.jotti.org/ online prüfen

Alt 03.05.2005, 16:17   #8
randra
 
svhost.exe - Standard

svhost.exe



Zitat:
Zitat von Rene-gad
@randra

Und lasse bitte die Datei bei http://virusscan.jotti.org/ online prüfen

diese datei gibt es definitv nicht... ich denke dass ich sie schon gelöscht habe..

aber: in der datei explorer.exe kam folgendes mit dem virusscan raus:

AntiVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found modification of Win32.Beavis.5106
F-Prot Antivirus Found nothing
Fortinet Found W32/Bube.I
Kaspersky Anti-Virus Found Virus.Win32.Bube.l
mks_vir Found W32.Bube.J
NOD32 Found nothing
Norman Virus Control Found nothing
VBA32 Found Win32.Worm.Bube.l


das sagt jetzt auch der e-scan aufs erste...

aber nochmal svhost.exe ist definitiv nicht mehr vorhanden! sorry, falls ich zu blöd bin, aber sie ist einfach nicht mehr da!

Alt 03.05.2005, 16:28   #9
Rene-gad
 
svhost.exe - Standard

svhost.exe



@randra
Zitat:
diese datei gibt es definitv nicht...svhost.exe ist definitiv nicht mehr vorhanden!
Gibt's aber diese svhost.exe.q_63A0_q.ini und die möchtest du bei Jotii überprüfen.
Zitat:
in der datei explorer.exe kam folgendes mit dem virusscan raus:
Win32.Bube.l
Ich würde dir empfeheln, dein System neu aufzuspielen. Anleitung - Link in meiner Signatur. Bitte auf die 12 Punkte aufpassen.

Alt 03.05.2005, 16:39   #10
randra
 
svhost.exe - Standard

svhost.exe



escan:

File C:\WINNT\Explorer.EXE infected by "Virus.Win32.Bube.l" Virus. Action Taken: No Action Taken.
File C:\WINNT\Explorer.exe infected by "Virus.Win32.Bube.l" Virus. Action Taken: No Action Taken.
File C:\WINNT\ServicePackFiles\i386\explorer.exe infected by "Virus.Win32.Bube.l" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\dllcache\explorer.exe infected by "Virus.Win32.Bube.l" Virus. Action Taken: No Action Taken.

überprüfung der ini:
alles ok...

das dachte ich mir schon mit dem aufspielen...
werde deine punkte beachten, und danke nochmals...

Alt 03.05.2005, 16:43   #11
Rene-gad
 
svhost.exe - Standard

svhost.exe



@randra
Normalerweise ist Tabula Ras nur bei Backdoors unumgänglich. Da wir nicht feststellen konnten, was unter svhost.exe sich versteckt hat, und noch dazu - dieser komische Dropper Bube - na ja, nach dem format c:\ kannst du definitiv ruhig bleiben.

Antwort

Themen zu svhost.exe
.exe problem, antivir, antivir update, asus, bho, desktop, einstellungen, explorer.exe, frage, ftp, hijack, hijackthis, icq, internet, internet explorer, microsoft, monitor, neue, nvcpl.dll, nvidia, problem, programme, rundll, software, svchost.exe, svhost.exe, symantec, system32, windows



Ähnliche Themen: svhost.exe


  1. Windows 7: svhost.exe hohe Auslastung
    Plagegeister aller Art und deren Bekämpfung - 02.10.2015 (7)
  2. SVHOST.exe 99% Cpu auslastung
    Alles rund um Windows - 16.11.2013 (1)
  3. svhost.exe ist es ein virus?
    Plagegeister aller Art und deren Bekämpfung - 09.09.2013 (41)
  4. svhost.exe Virus?
    Plagegeister aller Art und deren Bekämpfung - 10.06.2013 (37)
  5. svhost Trojan.Sirefef.BR
    Plagegeister aller Art und deren Bekämpfung - 18.06.2012 (93)
  6. HijackThisLogFile - svhost.exe, .. usw.
    Log-Analyse und Auswertung - 04.02.2011 (1)
  7. PC langsam durch svhost?
    Plagegeister aller Art und deren Bekämpfung - 22.08.2010 (6)
  8. SVHOST (nein nicht svChost!) svhost.exe nervt!
    Log-Analyse und Auswertung - 11.07.2010 (1)
  9. 10 oder mehr svhost.exe'n ?
    Plagegeister aller Art und deren Bekämpfung - 02.07.2010 (2)
  10. Kleine Frae zu svhost
    Plagegeister aller Art und deren Bekämpfung - 09.01.2009 (18)
  11. svhost.exe unter x64 gefährlich?
    Plagegeister aller Art und deren Bekämpfung - 16.12.2008 (2)
  12. Svhost.exe wird 12 mal ausgeführt !!??
    Mülltonne - 25.10.2008 (4)
  13. Problem mit svhost.exe
    Log-Analyse und Auswertung - 11.07.2007 (5)
  14. Hilfe svhost
    Plagegeister aller Art und deren Bekämpfung - 05.07.2007 (9)
  15. svhost.exe schlimm ?????????
    Log-Analyse und Auswertung - 22.12.2005 (8)
  16. Wieder mal SVHOST.EXE
    Log-Analyse und Auswertung - 17.09.2005 (7)
  17. svhost.exe und programmprobleme
    Plagegeister aller Art und deren Bekämpfung - 08.08.2004 (1)

Zum Thema svhost.exe - hi, hab jetzt schon 3 stunden damit verbracht informationen über svhost.exe (NICHT DIE SVCHOST.EXE) rauszubekommen. Als erstes hab ich versucht einen neuen patch für win 2000 zu installieren, danach ging - svhost.exe...
Archiv
Du betrachtest: svhost.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.