netstat.exe geht nicht zu löschen
 

hallo,


ich hoffe ihr könnt mir hier weiterhelfen. ich bekomme seit ca. 4 wochen immer diese nervige ilead.itak.it werbung. mittlerweile habe ich schon in erfahrung gebracht das die netstat.exe der übeltäter ist nur diese datei kommt nach löschung innerhalb von 5 sekunden immer wieder. selbst wenn man eine txt datei unter gleichen namen schreibgeschützt anlegt wird diese überschrieben. ich weiß wirklich nicht mehr weiter. diese exe ist wirklich eine harte nuss.

hoffe auf hilfe.

Hallo Russell,
mach ein Hijack This Logfile und einen EScan.Die Downloads und Anleitungen dazu findest du unter "Anleitungen,FAQ,Links" hier auf der Startseite.
Beachte genauestens die Vorgehensweise bei Beiden !
Poste die Logfiles beide hier.
Irrlicht

Logfile of HijackThis v1.99.1
Scan saved at 22:46:35, on 30.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
D:\***\Verschiedenes\AVGUARD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\***\Verschiedenes\AVWUPSRV.EXE
C:\Programme\Trojancheck 6\tcguard.exe
D:\***\Verschiedenes\AVGNT.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
D:\***\Verschiedenes\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\NetLimiter\NetLimiter.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\System32\taskmgr.exe
D:\***\Verschiedenes\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\***\Verschiedenes\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Rulez\Verschiedenes\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\***\Verschiedenes\Spybot - Search & Destroy\TeaTimer.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{241DFD21-6E9C-4056-9A21-A8AF254E1CC7}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{241DFD21-6E9C-4056-9A21-A8AF254E1CC7}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{241DFD21-6E9C-4056-9A21-A8AF254E1CC7}: NameServer = 192.168.2.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{241DFD21-6E9C-4056-9A21-A8AF254E1CC7}: NameServer = 192.168.2.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\***\Verschiedenes\AVGUARD.EXE
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\***\Verschiedenes\AVWUPSRV.EXE
O23 - Service: Microsoft (c) SQL Server (MSSQL SERVER) - Unknown owner - c:\windows\system32\svrany.exe (file missing)
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\Programme\OfficeUpdate11\Cabs\msapi.exe" /service (file missing)

Hallo Russell,
das hatten wir schon mal :
Suchbegriff: 192.168.2.1
Adresse: whois.arin.net
Suchergebnis:


OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US

NetRange: 192.168.0.0 - 192.168.255.255
CIDR: 192.168.0.0/16
NetName: IANA-CBLK1
NetHandle: NET-192-168-0-0-1
Parent: NET-192-0-0-0-0
NetType: IANA Special Use
NameServer: BLACKHOLE-1.IANA.ORG
NameServer: BLACKHOLE-2.IANA.ORG
Comment: This block is reserved for special purposes.
Comment: Please see RFC 1918 for additional information.
Comment:
RegDate: 1994-03-15
Updated: 2002-09-16

OrgAbuseHandle: IANA-IP-ARIN
OrgAbuseName: Internet Corporation for Assigned Names and Number
OrgAbusePhone: +1-310-301-5820
OrgAbuseEmail: abuse@iana.org

OrgTechHandle: IANA-IP-ARIN
OrgTechName: Internet Corporation for Assigned Names and Number
OrgTechPhone: +1-310-301-5820
OrgTechEmail: abuse@iana.org
Das kommt raus bei dem hier :
O17 - HKLM\System\CCS\Services\Tcpip\..\{241DFD21-6E9C-4056-9A21-A8AF254E1CC7}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{241DFD21-6E9C-4056-9A21-A8AF254E1CC7}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{241DFD21-6E9C-4056-9A21-A8AF254E1CC7}: NameServer = 192.168.2.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{241DFD21-6E9C-4056-9A21-A8AF254E1CC7}: NameServer = 192.168.2.1
Was aht dich davon abgehalten das Service Pack 2 zu installieren ?
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Nun warten wir mal den EScan ab.......
Irrlicht

im moment hab ich schon 70 fehler und 21 critical objekts.

na klasse jetzt habe ich einen escan durchgeführt aber konnte den logfile nicht abspeichern weil er zu groß war.

Thu Mar 30 23:41:31 2006 => ERROR!!! Invalid Entry WebCheck = %system%\webcheck.dll (in key SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad). No Action Taken.

Thu Mar 30 23:41:33 2006 => ERROR!!! Invalid Entry {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %system%\webcheck.dll (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.

Thu Mar 30 23:41:43 2006 => ERROR!!! Invalid Entry c:\windows\system32\svrany.exe in SYSTEM\CurrentControlSet\Services\MSSQL SERVER...

Thu Mar 30 23:41:45 2006 => ERROR!!! Invalid Entry "C:\Programme\OfficeUpdate11\Cabs\msapi.exe" /service in SYSTEM\CurrentControlSet\Services\r_server...

Thu Mar 30 23:42:04 2006 => System found infected with rapidblaster Spyware/Adware ({01fc5803-8644-45d7-877b-5a3924d8ecc4})! Action taken: No Action Taken.
Thu Mar 30 23:42:04 2006 => System found infected with istbar Spyware/Adware ({aa8c93e1-7e5f-497e-b67c-cc8fe2a40d3b})! Action taken: No Action Taken.
Thu Mar 30 23:42:04 2006 => System found infected with exact advertising Spyware/Adware ({0a8ce102-fa03-4612-9bee-7fe5452f4cb1})! Action taken: No Action Taken.
Thu Mar 30 23:42:04 2006 => System found infected with rapidblaster Spyware/Adware ({15e7d23b-736e-46fa-bffd-cbec4126befd})! Action taken: No Action Taken.
Thu Mar 30 23:42:04 2006 => System found infected with istbar Spyware/Adware ({2ddd90d6-f153-4ea7-a324-4b2d83d1027e})! Action taken: No Action Taken.
Thu Mar 30 23:42:05 2006 => System found infected with istbar Spyware/Adware ({9ce15eb5-6b39-4656-9e1f-2d219ee42e0e})! Action taken: No Action Taken.
Thu Mar 30 23:42:06 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\webspecials !!!
Thu Mar 30 23:42:06 2006 => Object "web specials Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Mar 30 23:42:06 2006 => Offending Key found: HKLM\Software\kazaa !!!
Thu Mar 30 23:42:06 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Mar 30 23:42:06 2006 => Offending Key found: HKCU\Software\kazaa !!!
Thu Mar 30 23:42:06 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Mar 30 23:42:07 2006 => Offending file found: C:\WINDOWS\nail.exe
Thu Mar 30 23:42:07 2006 => System found infected with aurora Spyware/Adware (nail.exe)! Action taken: No Action Taken.

Thu Mar 30 23:42:07 2006 => Offending file found: C:\WINDOWS\System32\imgconv.dll
Thu Mar 30 23:42:07 2006 => System found infected with istbar Spyware/Adware (imgconv.dll)! Action taken: No Action Taken.

Thu Mar 30 23:42:07 2006 => Offending file found: C:\WINDOWS\System32\k.exe
Thu Mar 30 23:42:07 2006 => System found infected with media pass Spyware/Adware (k.exe)! Action taken: No Action Taken.

Thu Mar 30 23:42:07 2006 => Offending file found: C:\WINDOWS\System32\poller.exe
Thu Mar 30 23:42:07 2006 => System found infected with aurora Spyware/Adware (poller.exe)! Action taken: No Action Taken.

Thu Mar 30 23:42:07 2006 => Offending file found: C:\WINDOWS\System32\vp.dat
Thu Mar 30 23:42:07 2006 => System found infected with deskad.service Spyware/Adware (vp.dat)! Action taken: No Action Taken.

Thu Mar 30 23:42:07 2006 => Offending Folder found: C:\Programme\clocksync
Thu Mar 30 23:42:07 2006 => Object "clocksync Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Mar 30 23:42:07 2006 => Offending file found: C:\DOKUME~1\***\LOKALE~1\Temp\uppicsvr.exe
Thu Mar 30 23:42:07 2006 => System found infected with delfin media viewer Spyware/Adware (uppicsvr.exe)! Action taken: No Action Taken.

Thu Mar 30 23:42:13 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\outlook logging\firstrun.log
Thu Mar 30 23:42:13 2006 => System found infected with clientman Spyware/Adware (firstrun.log)! Action taken: No Action Taken.

Thu Mar 30 23:42:13 2006 => Offending Folder found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\temp.fr89ec\navhelper
Thu Mar 30 23:42:13 2006 => Object "navhelper Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Mar 30 23:42:13 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\uppicsvr.exe
Thu Mar 30 23:42:13 2006 => System found infected with delfin media viewer Spyware/Adware (uppicsvr.exe)! Action taken: No Action Taken.

Thu Mar 30 23:42:16 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nsv\keys.dat
Thu Mar 30 23:42:16 2006 => System found infected with startsurfing Spyware/Adware (keys.dat)! Action taken: No Action Taken.

Thu Mar 30 23:43:19 2006 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AbetterInternet.zip is Not Scanned
Thu Mar 30 23:43:19 2006 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AbetterInternet.zip not Scanned. Possibly password protected...
Thu Mar 30 23:43:19 2006 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip
Thu Mar 30 23:43:19 2006 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip is Not Scanned
Thu Mar 30 23:43:19 2006 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip not Scanned. Possibly password protected...
Thu Mar 30 23:43:19 2006 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BlazeFindBrowserhelper.zip
Thu Mar 30 23:43:19 2006 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BlazeFindBrowserhelper.zip is Not Scanned
Thu Mar 30 23:43:19 2006 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BlazeFindBrowserhelper.zip not Scanned. Possibly password protected...
Thu Mar 30 23:43:19 2006 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BlazeFindBrowserhelper1.zip





Fri Mar 31 00:26:13 2006 => Total Objects Scanned: 53101
Fri Mar 31 00:26:13 2006 => Total Critical Objects: 43
Fri Mar 31 00:26:13 2006 => Total Disinfected Objects: 0
Fri Mar 31 00:26:13 2006 => Total Objects Renamed: 0
Fri Mar 31 00:26:13 2006 => Total Deleted Objects: 0
Fri Mar 31 00:26:13 2006 => Total Errors: 74
Fri Mar 31 00:26:13 2006 => Time Elapsed: 00:45:22
Fri Mar 31 00:26:13 2006 => Virus Database Date: 3/28/2006
Fri Mar 31 00:26:13 2006 => Virus Database Count: 184466

Mal total OT: hab ja noch nie gesehen, dass jemand mit einer 192.168.x.x IP ne whois-Abfrage macht...

You made my day.

ich versteh nicht ganz???

Eine whois-Abfrage liefert Dir den Namen des Eigentümers einer bestimmten IP oder Domain. 192.168.x.x, wie auch 10.x.x.x 172.16.x.x und 169.254.x.x sind private IP-Adressen, was bedeutet, dass sie im Internet nicht auftauchen und deswegen auch eine whois-Abfrage kein Ergebnis liefern kann.

http://de.wikipedia.org/wiki/Private_IP-Adresse
http://de.wikipedia.org/wiki/Whois

ich sollte einen logfile machen und hier posten. das habe ich getan. ich bin leider kein fachmann.

@MightyMarc,

:daumenhoc

dartus

Der kurze Off Topic Kommentar von mir ist etwas ausgeartet. Sorry. Der Kommentar war nicht an Dich gerichtet, sondern an irrlicht.

Da ich nicht weiter die Bereinigung stören will, schleich ich mich und hinterlasse die geordneten Logeinträge:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Mar 30 23:42:04 2006 => System found infected with rapidblaster Spyware/Adware ({01fc5803-8644-45d7-877b-5a3924d8ecc4})! Action taken: No Action Taken.
Thu Mar 30 23:42:04 2006 => System found infected with istbar Spyware/Adware ({aa8c93e1-7e5f-497e-b67c-cc8fe2a40d3b})! Action taken: No Action Taken.
Thu Mar 30 23:42:04 2006 => System found infected with exact advertising Spyware/Adware ({0a8ce102-fa03-4612-9bee-7fe5452f4cb1})! Action taken: No Action Taken.
Thu Mar 30 23:42:04 2006 => System found infected with rapidblaster Spyware/Adware ({15e7d23b-736e-46fa-bffd-cbec4126befd})! Action taken: No Action Taken.
Thu Mar 30 23:42:04 2006 => System found infected with istbar Spyware/Adware ({2ddd90d6-f153-4ea7-a324-4b2d83d1027e})! Action taken: No Action Taken.
Thu Mar 30 23:42:05 2006 => System found infected with istbar Spyware/Adware ({9ce15eb5-6b39-4656-9e1f-2d219ee42e0e})! Action taken: No Action Taken.
Thu Mar 30 23:42:07 2006 => System found infected with aurora Spyware/Adware (nail.exe)! Action taken: No Action Taken.
Thu Mar 30 23:42:07 2006 => System found infected with istbar Spyware/Adware (imgconv.dll)! Action taken: No Action Taken.
Thu Mar 30 23:42:07 2006 => System found infected with media pass Spyware/Adware (k.exe)! Action taken: No Action Taken.
Thu Mar 30 23:42:07 2006 => System found infected with aurora Spyware/Adware (poller.exe)! Action taken: No Action Taken.
Thu Mar 30 23:42:07 2006 => System found infected with deskad.service Spyware/Adware (vp.dat)! Action taken: No Action Taken.
Thu Mar 30 23:42:07 2006 => System found infected with delfin media viewer Spyware/Adware (uppicsvr.exe)! Action taken: No Action Taken.
Thu Mar 30 23:42:13 2006 => System found infected with clientman Spyware/Adware (firstrun.log)! Action taken: No Action Taken.
Thu Mar 30 23:42:13 2006 => System found infected with delfin media viewer Spyware/Adware (uppicsvr.exe)! Action taken: No Action Taken.
Thu Mar 30 23:42:16 2006 => System found infected with startsurfing Spyware/Adware (keys.dat)! Action taken: No Action Taken.
Thu Mar 30 23:42:06 2006 => Object "web specials Spyware/Adware" found in File System! Action Taken: No Action Taken.
Thu Mar 30 23:42:06 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Thu Mar 30 23:42:06 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Thu Mar 30 23:42:07 2006 => Object "clocksync Spyware/Adware" found in File System! Action Taken: No Action Taken.
Thu Mar 30 23:42:13 2006 => Object "navhelper Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Thu Mar 30 23:42:07 2006 => Offending file found: C:\WINDOWS\nail.exe
Thu Mar 30 23:42:07 2006 => Offending file found: C:\WINDOWS\System32\imgconv.dll
Thu Mar 30 23:42:07 2006 => Offending file found: C:\WINDOWS\System32\k.exe
Thu Mar 30 23:42:07 2006 => Offending file found: C:\WINDOWS\System32\poller.exe
Thu Mar 30 23:42:07 2006 => Offending file found: C:\WINDOWS\System32\vp.dat
Thu Mar 30 23:42:07 2006 => Offending file found: C:\DOKUME~1\***\LOKALE~1\Temp\uppicsvr.exe
Thu Mar 30 23:42:13 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\outlook logging\firstrun.log
Thu Mar 30 23:42:13 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\uppicsvr.exe
Thu Mar 30 23:42:16 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nsv\keys.dat
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Thu Mar 30 23:42:07 2006 => Offending Folder found: C:\Programme\clocksync
Thu Mar 30 23:42:13 2006 => Offending Folder found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\temp.fr89ec\navhelper
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Thu Mar 30 23:42:06 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\webspecials !!!
Thu Mar 30 23:42:06 2006 => Offending Key found: HKLM\Software\kazaa !!!
Thu Mar 30 23:42:06 2006 => Offending Key found: HKCU\Software\kazaa !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Hallo Russell,

downloade Dir
Regseeker
Killbox
und
clearprog 1.4.1 final.

Starte "clearprog" -> Häkchen bei alles Löschen -> auf Löschen klicken

Bereinige mir Regseeker Deine Registry

Starte Killbox
Option "delete on reboot"
Kopiere folgede Datei in die Box:
C:\WINDOWS\nail.exe
C:\WINDOWS\System32\imgconv.dll
C:\WINDOWS\System32\k.exe
C:\WINDOWS\System32\poller.exe
C:\WINDOWS\System32\vp.dat
jeweils auf das weiße Kreuz mit rotem Hintergrund klicken und erst nach der letzten Datei die Frage nach einem Neustart bejahen.

dartus

habe ich alles ausgeführt.


Logfile of HijackThis v1.99.1
Scan saved at 17:16:38, on 31.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\*\Verschiedenes\AVGUARD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\*\Verschiedenes\AVWUPSRV.EXE
C:\Programme\Trojancheck 6\tcguard.exe
D:\*\Verschiedenes\AVGNT.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
D:\*\Verschiedenes\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\*\Verschiedenes\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\*\Verschiedenes\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\*\Verschiedenes\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\*\Verschiedenes\Spybot - Search & Destroy\TeaTimer.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\*\Verschiedenes\AVGUARD.EXE
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\*\Verschiedenes\AVWUPSRV.EXE
O23 - Service: Microsoft (c) SQL Server (MSSQL SERVER) - Unknown owner - c:\windows\system32\svrany.exe (file missing)
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\Programme\OfficeUpdate11\Cabs\msapi.exe" /service (file missing)

habe versucht netstat.exe mit killbox zu entfernen aber das ding kommt immer wieder.

weiß wirklich keiner wie ich diese ileaditrack.it werbung wegbekomme?:mad:

Wo genau befindet sich die netstat.exe und was sagt jotti dazu?

windows\system32\netstat.exe

jotti sagt immer nur bitte warten.

hier nochmal mein logfile. vielleicht ist ja auch eine andere datei der übeltäter.

Logfile of HijackThis v1.99.1
Scan saved at 19:15:48, on 31.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\*\Verschiedenes\AVGUARD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\*\Verschiedenes\AVWUPSRV.EXE
C:\Programme\Trojancheck 6\tcguard.exe
D:\*\Verschiedenes\AVGNT.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
D:\*\Verschiedenes\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\wuauclt.exe
D:\*\Verschiedenes\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\*\Verschiedenes\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\*\Verschiedenes\Spybot - Search & Destroy\TeaTimer.exe

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\*\Verschiedenes\AVGUARD.EXE
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\*\Verschiedenes\AVWUPSRV.EXE
O23 - Service: Microsoft (c) SQL Server (MSSQL SERVER) - Unknown owner - c:\windows\system32\svrany.exe (file missing)
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\Programme\OfficeUpdate11\Cabs\msapi.exe" /service (file missing)

Dann warten wir bis jotti wieder will. Derweil könntest Du als kleine ABM noch einen Scan mit rootkit revealer durchführen (Scan starten und dann nichts mehr am Rechner machen bis der Scan fertig ist):
http://www.sysinternals.com/Utilitie...tRevealer.html

werde ich machen nur im moment läuft noch escan. wie kann ich da eigentlich die viruss log information kopieren und dann hier einfügen. mit markieren und rechter maus geht es nicht. habe aktuell 17 kritische objekte.

[_] Du hast die Anleitung gelesen

eher überflogen. aber jetzt weiß ich bescheid. danke.

hier nun der escan:


Thu Mar 30 23:47:32 2006 => File C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\firlnin.exe tagged as "not-a-virus:AdWare.Win32.DelphinMediaViewer.f". Action Taken: No Action Taken.

Thu Mar 30 23:47:48 2006 => File C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\temp.fr89EC\NavHelper\v2.0.4c\NHelper.dll tagged as "not-a-virus:AdWare.Win32.NavExcel.f". Action Taken: No Action Taken.

Thu Mar 30 23:47:48 2006 => File C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\temp.fr89EC\NavHelper\v2.0.4c\NHUninstaller.exe tagged as "not-a-virus:AdWare.Win32.NavExcel". Action Taken: No Action Taken.

Thu Mar 30 23:47:48 2006 => File C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\temp.fr89EC\NavHelper\v2.0.4c\NHUpdater.exe tagged as "not-a-virus:AdWare.Win32.NavExcel.b". Action Taken: No Action Taken.


Thu Mar 30 23:47:48 2006 => Scanning File C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\temp.fr89EC\NavHelper\v2.0.4c\NHUpdater.exe

Thu Mar 30 23:47:48 2006 => File C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\temp.fr89EC\NavHelper\v2.0.4c\NHUpdater.exe tagged as "not-a-virus:AdWare.Win32.NavExcel.b". Action Taken: No Action Taken.

Thu Mar 30 23:47:48 2006 => Scanning File C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\temp.fr89EC\NavHelper\v2.0.4c\v2.0.4c.b.cab

Thu Mar 30 23:47:48 2006 => File C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\temp.fr89EC\NavHelper\v2.0.4c\v2.0.4c.b.cab tagged as "not-a-virus:AdWare.Win32.NavExcel.f". Action Taken: No Action Taken.

Thu Mar 30 23:48:01 2006 => File C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\uppicsvr.exe tagged as "not-a-virus:AdWare.Win32.DelphinMediaViewer.f". Action Taken: No Action Taken.


Thu Mar 30 23:48:03 2006 => File C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\webr.exe tagged as "not-a-virus:AdWare.Win32.WebRebates.a". Action Taken: No Action Taken.

Thu Mar 30 23:52:14 2006 => File C:\MSOCache\LsaExt.dll tagged as not-a-virus:PSWTool.Win32.PWDump.3. No Action Taken.

Thu Mar 30 23:52:15 2006 => File C:\MSOCache\PwDump3.exe tagged as not-a-virus:PSWTool.Win32.PWDump.3. No Action Taken.

Thu Mar 30 23:52:15 2006 => File C:\MSOCache\pwservice.exe tagged as not-a-virus:PSWTool.Win32.PWDump.3. No Action Taken.

Thu Mar 30 23:53:29 2006 => File C:\Programme\Gemeinsame Dateien\Uninstall Information\RemoveDisplayUtility.exe tagged as "not-a-virus:AdWare.Win32.DelphinMediaViewer.f". Action Taken: No Action Taken.

Fri Mar 31 00:05:56 2006 => File C:\WINDOWS\system32\k.exe tagged as not-a-virus:NetTool.Win32.PsKill. No Action Taken.

Fri Mar 31 00:06:24 2006 => File C:\WINDOWS\system32\nsvsvc\nsv.ocx tagged as "not-a-virus:AdWare.Win32.DelphinMediaViewer.c". Action Taken: No Action Taken.


Fri Mar 31 00:06:24 2006 => File C:\WINDOWS\system32\nsvsvc\nsvs.dll tagged as "not-a-virus:AdWare.Win32.DelphinMediaViewer.f". Action Taken: No Action Taken.

Fri Mar 31 00:07:01 2006 => File C:\WINDOWS\system32\spool\svchost.exe tagged as not-a-virus:Server-FTP.Win32.Serv-U.5000. No Action Taken.

Fri Mar 31 00:07:07 2006 => File C:\WINDOWS\system32\unregister.exe tagged as "not-a-virus:AdWare.Win32.VB.f". Action Taken: No Action Taken.

Fri Mar 31 00:07:59 2006 => File D:\*\neue bilder.exe tagged as "not-a-virus:AdWare.Win32.ISearch.c". Action Taken: No Action Taken.

Fri Mar 31 00:21:07 2006 => File D:\*\Verschiedenes\3point_setup.exe tagged as "not-a-virus:AdWare.Win32.AlexaBar.a". Action Taken: No Action Taken.

Fri Mar 31 00:22:02 2006 => File D:\*\Verschiedenes\burn4free_setup_1100.exe tagged as "not-a-virus:AdWare.Win32.NavExcel.d". Action Taken: No Action Taken.

Fri Mar 31 00:22:33 2006 => File D:\*\Verschiedenes\internet-spy.zip tagged as not-a-virus:Monitor.Win32.IESpy.120. No Action Taken.

Fri Mar 31 00:22:33 2006 => File D:\*\Verschiedenes\InternetSpy-setup.exe tagged as not-a-virus:Monitor.Win32.IESpy.120. No Action Taken.

Hallo,

trotz der vielen Falschmeldungen im eScan, hast Du scheinbar diesen hier.
Um sicherzugehen, scanne die Datei
C:\WINDOWS\system32\spool\svchost.exe
bei virustotal.com. Poste das Ergbnis hier.
Sollte sich der Verdacht bestätigen, heißt es Neu Aufsetzen.

Gruß

Schrulli

hier das ergebnis.

Antivirus Version Update Result
AntiVir 6.34.0.14 04.01.2006 Heuristic/Crypted.Layered
Avast 4.6.695.0 04.01.2006 no virus found
AVG 386 03.31.2006 no virus found
Avira 6.34.0.54 04.01.2006 no virus found
BitDefender 7.2 04.01.2006 Trojan.ServU.G
CAT-QuickHeal 8.00 03.31.2006 no virus found
ClamAV devel-20060202 03.30.2006 no virus found
DrWeb 4.33 04.01.2006 BackDoor.Servu.5000
eTrust-InoculateIT 23.71.117 04.01.2006 no virus found
eTrust-Vet 12.4.2145 03.31.2006 no virus found
Ewido 3.5 03.31.2006 no virus found
Fortinet 2.71.0.0 04.01.2006 no virus found
F-Prot 3.16c 03.30.2006 no virus found
Ikarus 0.2.59.0 04.01.2006 no virus found
Kaspersky 4.0.2.24 04.01.2006 not-a-virus:Server-FTP.Win32.Serv-U.5000
McAfee 4731 03.31.2006 potentially unwanted program ServU-Daemon
NOD32v2 1.1466 03.31.2006 a variant of Win32/ServU-Daemon
Norman 5.70.10 03.31.2006 no virus found
Panda 9.0.0.4 03.31.2006 Application/ServUBased.A
Sophos 4.04.0 04.01.2006 Troj/ServU-Gen
Symantec 8.0 04.01.2006 no virus found
TheHacker 5.9.7.123 04.01.2006 no virus found
UNA 1.83 03.30.2006 no virus found
VBA32 3.10.5 03.31.2006 BackDoor.Servu.5000

Hallo,

der Verdacht hat sich bestätigt. Das heißt für Dich neu aufsetzten.
Nimm diesen Rechner sofort vom Netz, der er installiert einen FTP Server auf Deinem System, was je nach vom dem Verursacher, abgelegten Daten, komische Probleme mit der Staatsanwaltschaft nach sich ziehen kann.

Beachte beim Neuaufsetzen die in meiner Signatur verlinkte Aneleitung zum Thema.

Gruß

Schrulli

was heißt neu aufsetzen? die komplette festplatte formatieren? und was meinst du mit staatsanwaltschaft?

ich habe mir das mal durchgelesen ud glaube nicht das ich das hinkriege da ich kein computerfachmann bin. kann man da garnichts anderes machen?

Hallo,

zum Thema Neuaufsetzen mehr hier.
Mit Staatsanwaltschaft meine ich, dass andere die Möglichkeit haben Deinen Rechner als Datenablageplatz zu nutzen, dabei kann einem so einiges euf den Rechner gelegt werden, urherberrechtlich geschützes Material ist hier wohl noch das kleinste Übel. Desweiteren kann man dannn auch alle Deine Eigaben, z.B. beim Onlinebanking filtern und die Pin/Tans selber nutzen.

Gruß

Schrulli

danke.


wie konnte ich mir sowas nur einfangen. habe bisher noch keine dateien gefunden die von anderen sind. kann ich auch glück haben das keiner meinen rechner ausspioniert oder ist das fakt? mach zwar kein online-banking aber ich habe zb ein konto bei betandwin.

Hallo,
sagen kann Dir das mit Gewissheit niemand, daher solltest Du alle Passwörter ändern. Der Trojaner selbst enthält keine solche Routine, kann aber wie beschrieben entsprechende Software nachladen.
Die Bereinigung Deines System dauert ja auch schon länger und die sind ja schon gelöscht, könnten solche Funktionalität enthalten haben.

Gruß

Schrulli

besten dank erstmal. ich werde das jemanden machenlassen der etwas mehr ahnung hat als ich.

siehe Veraltetes Betriebssystem ohne die nötigen Sicherheitsupdates, evtl. in Verbindung mit riskantem Surfverhalten oder einem nervösem Klickfinger.

Gruß :daumenhoc
Yopie

ich wollte jetzt windows updaten aber das funktioniert irgendwie auch nicht. updates wurden zwar durchgeführt aber übernehmen tut der computer diese nicht. ich habe immernoch pack 1. woran kann das liegen?

ein weiteres problem das ich habe: meine iexplore.exe ist verschwunden. ich habe schon versucht den internet explorer neu zu installieren aber dann bekomme ich immer die meldung das eine neuere version bereits auf meinem system vorhanden ist was allerdings nicht stimmt da ich nur 6 sp1 habe.

ich weiß nicht mehr weiter.:(

Hallo

hier SP2 als Link, Link.

hier ein Link für alle Patches nach SP2 Link.

Downloaden, installieren und dannach einen OnlineVirenscan.

Gruß

Schrulli

dank dir. hoffentlich klappt es.

hat geklappt. danke.


Logfile of HijackThis v1.99.1
Scan saved at 12:57:05, on 02.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
D:\Programme\tulox Freeware-Wörterbuch (Englisch)\FreeDict.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Rulez\Verschiedenes\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\NetLimiter\NetLimiter.exe
D:\Programme\eMule\emule.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Rulez\Verschiedenes\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVAUTODELETE] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\UPGRADE\upgrade.exe" /restart
O4 - HKLM\..\Run: [tuloxFreeWBE] D:\Programme\tulox Freeware-Wörterbuch (Englisch)\FreeDict.exe AUTOSTART
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Rulez\Verschiedenes\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1143938603109
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1143939650578

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Microsoft (c) SQL Server (MSSQL SERVER) - Unknown owner - c:\windows\system32\svrany.exe (file missing)
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\Programme\OfficeUpdate11\Cabs\msapi.exe" /service (file missing)

Hallo Russell,
hast du den Rechner neuaufgesetzt oder nur das SP2 drauf gemacht ?
Viel geschickter wäre es wenn du Schrullis Link nimmst und dir das SP2 auf CD brennst,die nachfolgenden Patches kannst du erst mal vernachlässigen.Wenn du dann den Rechner neu gemacht hast ,kommt das SP2 drauf ,noch bevor du eine Verbindung ins Netz machst.Danach holst du dir die übrigen Patches bei MS.
So steht`s auch in der Anleitung,die man auch als PDF ausdrucken kann (gaaanz unten)
Irrlicht

ich habe nochmal eine frage:
ist es richtig das ich die svchost nun einmal im system32, einmal im service pack files und einmal im system32\spool ordner habe?

würde den rechner gerne neu aufsetzen nur ich denke das ich das nicht hinbekomme und dann garnichts mehr geht bzw viele dateien weg sind die ich nicht verlieren will.

Brenn die Daten, die du nicht verlieren willst, vorher auf CD/DVD. Aber mit der aktuellen Betriebssysteminstallation solltest du nicht mehr arbeiten!

Gruß :daumenhoc
Yopie

was muss ich denn dann ales neu installieren? nur das sp2?

Alles. Betriebssystem, Updates, Programme. Denn nach dem Formatieren ist die Festplatte leer!

Beschäftige dich mit dem Link zum Neuaufsetzen in meiner Signatur, da steht nämlich alles drin!

Gruß :daumenhoc
Yopie

ich habe nach dem update nun noch einmal die svchost.exe bei virustotal scannen lassen und nun scheint die exe wieder sauber zu sein.
Antivirus Version Update Result
AntiVir 6.34.0.14 04.03.2006 no virus found
Avast 4.6.695.0 04.03.2006 no virus found
AVG 386 04.03.2006 no virus found
Avira 6.34.0.54 04.03.2006 no virus found
BitDefender 7.2 04.03.2006 no virus found
CAT-QuickHeal - 03.31.2006 no virus found
ClamAV devel-20060202 04.03.2006 no virus found
DrWeb 4.33 04.03.2006 no virus found
eTrust-InoculateIT 23.71.118 04.02.2006 no virus found
eTrust-Vet 12.4.2146 04.03.2006 no virus found
Ewido 3.5 04.03.2006 no virus found
Fortinet 2.71.0.0 04.03.2006 no virus found
F-Prot 3.16c 03.30.2006 no virus found
Ikarus 0.2.59.0 04.03.2006 no virus found
Kaspersky 4.0.2.24 04.03.2006 no virus found
McAfee 4732 04.03.2006 no virus found
NOD32v2 1.1467 04.02.2006 no virus found
Norman 5.90.15 04.03.2006 no virus found
Panda 9.0.0.4 04.03.2006 no virus found
Sophos 4.04.0 04.03.2006 no virus found
Symantec 8.0 04.03.2006 no virus found
TheHacker 5.9.7.124 04.03.2006 no virus found
UNA 1.83 04.03.2006 no virus found
VBA32 3.10.5 04.03.2006 no virus found

Hallo Russell,
ein Trojaner verschwindet nicht einfach so......Nur weil du ein Servicepack/Update drübergespielt hast.Bist du dir sicher die richtige svchost.exe gescannt zu haben ? War es diese hier ? :C:\WINDOWS\system32\spool\svchost.exe
Du hast im Regelfall mehrere dieser svchost.exen am laufen.
Es ist verständlich das man sich vor der Neuinstallation fürchtet.
Es sollte dir aber auch verständlich sein ,das du hier keine weitere Hilfe erhalten wirst.
Die Links zur Neuinstallation hast du bekommen.Mehr ist dazu nicht mehr zu sagen.
Irrlicht