Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Svchost.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.02.2010, 13:17   #1
paul210
 
Svchost.exe - Standard

Svchost.exe



Guten Tag

Beim starten des Rechners kommen folgende Meldungen
Rundl32.exe fehler
Dann windows/system32/svchost.exe
und mein Antivir zeigt ständig HTML/ADODB.exploit.gen


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:15:01, on 04.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
E:\WINDOWS\SOUNDMAN.EXE
E:\Programme\Java\jre6\bin\jusched.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\CyberLink\PowerCinema\PCMService.exe
E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Java\jre6\bin\jqs.exe
E:\Programme\Windows Media Player\WMPNSCFG.exe
E:\Programme\Windows Live\Messenger\msnmsgr.exe
E:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
E:\Programme\Cyberlink\Shared files\RichVideo.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
E:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
E:\WINDOWS\system32\wscntfy.exe
E:\Programme\PC Connectivity Solution\ServiceLayer.exe
E:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
E:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
E:\Programme\Spybot - Search & Destroy\SpybotSD.exe
E:\Programme\TuneUp Utilities 2010\OneClick.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
E:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
E:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - E:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "E:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PCSuiteTrayApplication] E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [uTorrent] "E:\Programme\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [WMPNSCFG] E:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [msnmsgr] "E:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Armhlp] rundll32.exe "E:\Dokumente und Einstellungen\whynot\Anwendungsdaten\Adobe\Update\clinat.dat""
O4 - HKCU\..\Run: [DWQueuedReporting] "E:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - E:\Programme\Xilisoft\Download YouTube Video\upod_link.HTM
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - E:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - E:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1258305614234
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - E:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - E:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - E:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - E:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - E:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - E:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - E:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - E:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9005 bytes
Wer kann mir weiter helfen
Vielen Dank

Alt 04.02.2010, 14:07   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Svchost.exe - Standard

Svchost.exe



Hallo und

Bitte das Log von AntiVir nachreichen!

Danach diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!


Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Alt 05.02.2010, 14:14   #3
Bugger
 
Svchost.exe - Standard

Antivir zeigt ständig HTML/ADODB.exploit.gen



> rundll32 error
> O4 - HKCU\..\Run: [Armhlp] rundll32.exe "E:\Dokumente und Einstellungen\whynot\Anwendungsdaten\Adobe\Update\clinat.dat""

Das ist ein Schädling, siehe
rundll32.exe+"Adobe\Update"

> Dann windows/system32/svchost.exe
> und mein Antivir zeigt ständig HTML/ADODB.exploit.gen

svchost ist nur der "Überdienst" für viele kleiner, die aus .dlls geladen werden. Schädlinge könne leicht ihre .dll's unetrschieben. Mehr bei svchost.exe. Checke alle svchost dll's mit Svchost Prozess Analyser
__________________

Alt 05.02.2010, 14:27   #4
paul210
 
Svchost.exe - Standard

Svchost.exe



Danke für ihre Anworten
Das Logfile vo Antivir zeigt In der Datei 'E:\Dokumente und Einstellungen\whynot\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1PBMIGK0\thread1[1].script'
wurde ein Virus oder unerwünschtes Programm 'HTML/ADODB.Exploit.Gen' [HTML/ADODB.Exploit.Gen] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Wen ich auf verweigern drücke erscheint ein Fenster Microsoft Visual C+++ Runtime
Windows/system3/svchost.exe ständig das geht mir auf die Nerven

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3691
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.02.2010 11:43:48
mbam-log-2010-02-05 (11-43-48).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 116200
Laufzeit: 13 minute(s), 42 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kgootkit (Rootkit.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
E:\Dokumente und Einstellungen\whynot\Eigene Dateien\downloads\License Manager.exe (Trojan.Agent) -> Quarantined and deleted successfully.
E:\WINDOWS\system32\drivers\KGootkit.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
E:\Dokumente und Einstellungen\whynot\Anwendungsdaten\addons.dat (Bifrose.Trace) -> Quarantined and deleted successfully.


was muss ich machen windows neu intall

Vielen Dank

Alt 05.02.2010, 15:44   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Svchost.exe - Standard

Svchost.exe



Oje, Rootkits!
Bitte ein Log mit GMER machen und posten, dann sehen wir weiter.

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 07.02.2010, 14:40   #6
paul210
 
Svchost.exe - Standard

Svchost.exe



Rootkit quick scan 2010-02-07 14:34:37
Windows 5.1.2600 Service Pack 3
Running: 7eh5mmpe.exe; Driver: E:\DOKUME~1\whynot\LOKALE~1\Temp\kxaiapod.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Vielen Dank

Alt 08.02.2010, 11:32   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Svchost.exe - Standard

Svchost.exe



Hast Du GMER genau nach Anleitung ausgeführt? Das Log sieht ein wenig dürftig aus
Wenn Du alles richtig gemacht hast, dann mach jetzt einfach mal einen Durchgang mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.02.2010, 19:13   #8
paul210
 
Svchost.exe - Standard

Svchost.exe



cosinus Danke
ich werde mich nochmal melden

Antwort

Themen zu Svchost.exe
adobe, antivir, avira, bho, dateien, download, einstellungen, excel, explorer, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, messenger, microsoft, object, programme, realplayer, rundll, senden, software, starten, svchost.exe, windows xp, wmp



Ähnliche Themen: Svchost.exe


  1. svchost.exe ( Svchost Prozess Analyser)
    Log-Analyse und Auswertung - 23.09.2011 (7)
  2. 10x svchost.exe
    Log-Analyse und Auswertung - 13.04.2011 (1)
  3. svchost Virus ! C:\Benutzer\Windows\Install\svchost.exe - WORM/Rebhip.A.318
    Plagegeister aller Art und deren Bekämpfung - 20.01.2011 (1)
  4. svchost.bat? Was ist das?
    Plagegeister aller Art und deren Bekämpfung - 19.01.2011 (43)
  5. svchost.exe
    Log-Analyse und Auswertung - 07.12.2010 (1)
  6. svchost.exe 100%
    Plagegeister aller Art und deren Bekämpfung - 15.09.2010 (13)
  7. Svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 30.06.2010 (2)
  8. TR/Crypt.ZPACK.Gen in C:\Temp\bcot.tmp\svchost.exe , C:\Temp\qmub.tmp\svchost.exe usw
    Plagegeister aller Art und deren Bekämpfung - 12.04.2010 (1)
  9. Svchost.exe
    Log-Analyse und Auswertung - 25.02.2009 (3)
  10. Svchost.exe ca 20 mal
    Alles rund um Windows - 05.01.2008 (2)
  11. svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 26.12.2007 (3)
  12. svchost
    Log-Analyse und Auswertung - 14.12.2007 (8)
  13. svchost.exe
    Mülltonne - 21.10.2007 (1)
  14. Svchost.exe
    Log-Analyse und Auswertung - 26.09.2007 (11)
  15. svchost.exe??
    Plagegeister aller Art und deren Bekämpfung - 22.12.2005 (3)
  16. 5 svchost.exe!?
    Log-Analyse und Auswertung - 03.04.2005 (5)
  17. svchost.exe
    Log-Analyse und Auswertung - 27.02.2005 (1)

Zum Thema Svchost.exe - Guten Tag Beim starten des Rechners kommen folgende Meldungen Rundl32.exe fehler Dann windows/system32/svchost.exe und mein Antivir zeigt ständig HTML/ADODB.exploit.gen Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:15:01, on - Svchost.exe...
Archiv
Du betrachtest: Svchost.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.