Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: svhost.exe unter x64 gefährlich?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.12.2008, 23:43   #1
el-piero
 
svhost.exe unter x64 gefährlich? - Standard

svhost.exe unter x64 gefährlich?



Hallo zusammen,
hab da eine Frage bezüglich der Sicherheit meines Systems (Windows XP x64 SP2) und hoffe ihr könnt mir kurz Auskunft geben.
In meinem Systeme Volume Information tauchte neulich laut Antivir immer wieder Malware auf (WORM/IRCBo... + TR/Spyagent...). Habe die Systemwiederherstellung deaktiviert, alle Wiederherstellungspunkte gelöscht und wieder aktiviert. Seitdem ist Ruhe was die Meldungen angeht...
ABER: die unvorsichtige Zeit im Internetz hat natürlich Spuren hinterlassen, bin da insbesondere durch HJT auf einige svhost.exe Registryeinträge gestossen:

--------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:21:34, on 15.12.2008
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP1 (6.00.3790.1830)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files (x86)\ICQ6.5\ICQ.exe
C:\WINDOWS\SysWOW64\ctfmon.exe
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files (x86)\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files (x86)\Bonjour\mDNSResponder.exe
C:\Programme\Silvercrest MTS2118 driver\KMWDSrv.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Program Files (x86)\Java\jre1.6.0_07\bin\jucheck.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: UserInit=userinit
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~3\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [GEST] cQE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Supports RAS Connections] svhost.exe
O4 - HKLM\..\RunServices: [Supports RAS Connections] svhost.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Supports RAS Connections] svhost.exe
O4 - HKCU\..\Run: [ICQ] "C:\Program Files (x86)\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\RunServices: [Supports RAS Connections] svhost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O8 - Extra context menu item: Append to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~3\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~3\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~3\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MI699F~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {9E214F45-89C2-4DE3-94A9-530EB1D05F7E} (QuestActiveX Class) - h**p://w**.quest3d.com/Quest3D_WebInstall.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~3\MICROS~1\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2saag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe (file missing)
O23 - Service: Event Log (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files (x86)\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HTTP SSL (HTTPFilter) - Unknown owner - C:\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files (x86)\iPod\bin\iPodService.exe
O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Programme\Silvercrest MTS2118 driver\KMWDSrv.exe
O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - C:\WINDOWS\system32\msdtc.exe (file missing)
O23 - Service: Net Logon (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NT LM Security Support Provider (NtLmSsp) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)
O23 - Service: IPSEC Services (PolicyAgent) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Protected Storage (ProtectedStorage) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Remote Desktop Help Session Manager (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe (file missing)
O23 - Service: Security Accounts Manager (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: TabletService - Unknown owner - C:\WINDOWS\system32\Tablet.exe (file missing)
O23 - Service: Virtual Disk Service (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe (file missing)
O23 - Service: Volume Shadow Copy (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe (file missing)
O23 - Service: WMI Performance Adapter (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe (file missing)

--
End of file - 8853 bytes
--------------------------------

Den Registryeintrag svhost.exe - mit Sicherheit Malware - hab ich mal stehen lassen.
Jetzt die Frage: die entsprechenden Dateien kann ich nicht mehr auf meinem Rechner finden (Suche auch nach Systemdateien, Systemdateien sichtbar). Vielleicht sind sie bei meinem letzten Scan entfernt worden. Da waren sie wohl mit Sicherheit. Können die genannten Malwarevarianten (auch die oben genannten im Volume Information Ordner) auf meinem 64bit-System massiv Schaden angerichtet haben? Hab nur die Info gefunden, dass ich gegen Root-Kits wohl (noch) sicher sein soll.
Fällt euch noch "Unangenehmes" in meinem Logfile auf?

Dank im Voraus!
Lieben Gruß aus Kassel!
Pierre

Alt 16.12.2008, 06:01   #2
nochdigger
 
svhost.exe unter x64 gefährlich? - Standard

svhost.exe unter x64 gefährlich?



Moin

Zitat:
hab da eine Frage bezüglich der Sicherheit meines Systems...
in deinem Fall stellst du diese nur durch eine Neuinstallation wieder her, da du diesen Freund,
W32/Rbot-GXH Win32 worm - Sophos security analysis
ThreatExpert Report
im System hast/hattest.

Ändere nach der Neuinstallation oder von einem sauberen System aus alle deine Pass- und Kennwörter.
Wenn du eine Sicherung deiner Daten durchführen möchtest,
lass die Finger von ausführbare Dateien
und Dateien aus unsicheren Quellen wie P2P.
Musik, Videos, Bilder und Officedateien können i.d.R. problemlos gesichert werden,
sollten aber vor dem wiederverwenden mit einem aktuellem Antivirenprogramm überprüft werden.

MFG
__________________

__________________

Alt 16.12.2008, 11:24   #3
el-piero
 
svhost.exe unter x64 gefährlich? - Standard

svhost.exe unter x64 gefährlich?



Ok Danke,
hatte dies fast befürchtet.
Hatte gehofft, der Wurm könnte das 64bit-System nicht angreifen, aber es steht ja in der Registry...

Schönen Tag noch!
__________________

Antwort

Themen zu svhost.exe unter x64 gefährlich?
antivir, antivirus, avg, avira, bho, bonjour, browser, c.exe, c:\windows\system32\services.exe, cdburnerxp, desktop, ellung, excel, firefox, frage, gefährlich?, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet explorer, magix, malware, mozilla, performance, policyagent, security, senden, server, services.exe, sicherheit, software, svhost.exe, syswow64, windows, windows xp



Ähnliche Themen: svhost.exe unter x64 gefährlich?


  1. SVHOST.exe 99% Cpu auslastung
    Alles rund um Windows - 16.11.2013 (1)
  2. svhost.exe ist es ein virus?
    Plagegeister aller Art und deren Bekämpfung - 09.09.2013 (41)
  3. svhost.exe Virus?
    Plagegeister aller Art und deren Bekämpfung - 10.06.2013 (37)
  4. PUP-Toolbar - gefährlich oder nicht gefährlich?
    Plagegeister aller Art und deren Bekämpfung - 12.07.2012 (3)
  5. svhost Trojan.Sirefef.BR
    Plagegeister aller Art und deren Bekämpfung - 18.06.2012 (93)
  6. HijackThisLogFile - svhost.exe, .. usw.
    Log-Analyse und Auswertung - 04.02.2011 (1)
  7. PC langsam durch svhost?
    Plagegeister aller Art und deren Bekämpfung - 22.08.2010 (6)
  8. SVHOST (nein nicht svChost!) svhost.exe nervt!
    Log-Analyse und Auswertung - 11.07.2010 (1)
  9. 10 oder mehr svhost.exe'n ?
    Plagegeister aller Art und deren Bekämpfung - 02.07.2010 (2)
  10. Kleine Frae zu svhost
    Plagegeister aller Art und deren Bekämpfung - 09.01.2009 (18)
  11. Svhost.exe wird 12 mal ausgeführt !!??
    Mülltonne - 25.10.2008 (4)
  12. Problem mit svhost.exe
    Log-Analyse und Auswertung - 11.07.2007 (5)
  13. Hilfe svhost
    Plagegeister aller Art und deren Bekämpfung - 06.07.2007 (9)
  14. svhost.exe schlimm ?????????
    Log-Analyse und Auswertung - 22.12.2005 (8)
  15. Wieder mal SVHOST.EXE
    Log-Analyse und Auswertung - 17.09.2005 (7)
  16. svhost.exe
    Plagegeister aller Art und deren Bekämpfung - 03.05.2005 (10)
  17. svhost.exe und programmprobleme
    Plagegeister aller Art und deren Bekämpfung - 08.08.2004 (1)

Zum Thema svhost.exe unter x64 gefährlich? - Hallo zusammen, hab da eine Frage bezüglich der Sicherheit meines Systems (Windows XP x64 SP2) und hoffe ihr könnt mir kurz Auskunft geben. In meinem Systeme Volume Information tauchte neulich - svhost.exe unter x64 gefährlich?...
Archiv
Du betrachtest: svhost.exe unter x64 gefährlich? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.