PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : scvhost.exe


BlackDesert
09.04.2010, 22:28
Hallo also hatte bis vorhin noch ne Datei aufm Rechner die twain_x86.exe hies.. die hab ich glaube mal weg bekommen aber nun habe ich ein Problem mit dem Virus der als scvhost.exe getarnt ist.. weis einer wie ich den losbekomm, ohne gleich meinen Rechner wieder zu Formatieren??, das hab ich nämlich scho. vorn paar Tagen gemacht.. :( Hab Avira Free Lizenz.. und hier der Hijackthislog

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:20:43, on 09.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\SysMetrix\SysMetrix.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\360desktop\360desktop.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\360desktop\360desktopd.exe
C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wpabaln.exe
c:\programme\avira\antivir desktop\avcenter.exe
c:\programme\avira\antivir desktop\avscan.exe
C:\Programme\Miranda IM\miranda32.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\BLACKD~1\LOKALE~1\Temp\Rar$EX00.515\pr ocexp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SysMetrix] C:\Programme\SysMetrix\SysMetrix.exe
O4 - HKLM\..\Run: [HKLM] C:\sys\scvhost.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [360desktop] "C:\Programme\360desktop\360desktop.exe"
O4 - HKCU\..\Run: [HKCU] C:\sys\scvhost.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\sys\scvhost.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\sys\scvhost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Programme\Alex Feinman\ISO Recorder\ImapiHelper.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

--
End of file - 4220 bytes


Hoffe auf schnelle Hilfe..

MfG BlackDesert
mbeezy
09.04.2010, 22:32
C:\sys\scvhost.exe

Like whaaaaaaaat?

Im abgesicherten Modus oder unter einem Linux OS starten und löschen.
poddels
09.04.2010, 22:35
Abgesicherter Modus
C:\sys\scvhost.exe -> löschen

Dann Registry und die Einträge löschen
HKCU\..\Run: [HKCU] C:\sys\scvhost.exe
HKLM\..\Run: [HKLM] C:\sys\scvhost.exe
HKLM\..\Policies\Explorer\Run: [Policies] C:\sys\scvhost.exe
HKCU\..\Policies\Explorer\Run: [Policies] C:\sys\scvhost.exe

Dann neustarten und schaun ob der Prozess noch da is

//Edit: Mal wieder zu langsam =/
BlackDesert
09.04.2010, 22:42
Herzlichen Dank euch zwei, werds eben mal Testen ;)
cookie-exploit
09.04.2010, 22:54
..es könnte auch sein das er sich immer wieder repliziert(persistant), dann hilft einfaches löschen nichts ;)
und das entfernen der registrykeys genauso wenig^^
ykjfh
09.04.2010, 22:56
was sollte man dann machen?
mbeezy
09.04.2010, 22:57
Wie funktioniert das denn, mh? Ich rate mal: 2 Prozesse, der eine überwacht den anderen bzw. dessen Registry-Einträge und schreibt die neu rein, wenn die gelöscht werden. Oder so?
BlackDesert
09.04.2010, 23:00
So okay, hab geschaut ist alles raus danke für die hilfe, wende mich nochma an euch, wenn er sich replizieren wird :D, aber es ist nichts da ( hoffe das bleibt so :D )
breez
09.04.2010, 23:50
Ich habe gestern einige SourceCodes bezüglich des replizieren gelesen. Manche Malware repliziert sich als "jemand anders", wenn der alte Pfad "entdeckt" wurde. Für alle Fälle würde ich mir auch mal die anderen Reigstry-Einträge anschauen..
mbeezy
10.04.2010, 01:09
Poly-/Metamorphistische Trojaner? Mhh... ;)
breez
13.04.2010, 13:56
Nein so meinte ich das nicht.
In der Exe sind dann zB. 20 verschiedene Pfade gespeichert, von denen nur einer nur genutzt wird. Wenn das Programm merkt, dass der Registry-Eintrag oder die Exe dazu gelöscht wurde, kopiert es sich automatisch in einen neuen Pfad und setzt enstprechende Registry-Einträge.
sketax
13.04.2010, 14:06
teste doch mal das progg security task manager (http://www.neuber.com/taskmanager/deutsch/index.html). das hat mir immer gut geholfen, wenn ich weiss wonach ich suchen muss :P es gibt auch eine einschätzunge zum gefährdungsgrad an, wobei das natürlich nichts heissen muss aber als orientierungshilfe schonmal ganz gut. Achja und unten rechts gibt es ein "Detail-Feld" dort wird der gerade angeklickte prozess erklärt und so kann man auch in die eigenschaften von dem teil reinschauen :)