scvhost.exe

[BlackDesert]

Hallo also hatte bis vorhin noch ne Datei aufm Rechner die twain_x86.exe hies.. die hab ich glaube mal weg bekommen aber nun habe ich ein Problem mit dem Virus der als scvhost.exe getarnt ist.. weis einer wie ich den losbekomm, ohne gleich meinen Rechner wieder zu Formatieren??, das hab ich nämlich scho. vorn paar Tagen gemacht.. Hab Avira Free Lizenz.. und hier der Hijackthislog

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:20:43, on 09.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\SysMetrix\SysMetrix.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\360desktop\360desktop.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\360desktop\360desktopd.exe
C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wpabaln.exe
c:\programme\avira\antivir desktop\avcenter.exe
c:\programme\avira\antivir desktop\avscan.exe
C:\Programme\Miranda IM\miranda32.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\BLACKD~1\LOKALE~1\Temp\Rar$EX00.515\pr ocexp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SysMetrix] C:\Programme\SysMetrix\SysMetrix.exe
O4 - HKLM\..\Run: [HKLM] C:\sys\scvhost.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [360desktop] "C:\Programme\360desktop\360desktop.exe"
O4 - HKCU\..\Run: [HKCU] C:\sys\scvhost.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\sys\scvhost.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\sys\scvhost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Programme\Alex Feinman\ISO Recorder\ImapiHelper.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

--
End of file - 4220 bytes

Hoffe auf schnelle Hilfe..

MfG BlackDesert

[mbeezy]

C:\sys\scvhost.exe

Like whaaaaaaaat?

Im abgesicherten Modus oder unter einem Linux OS starten und löschen.

[poddels]

Abgesicherter Modus
C:\sys\scvhost.exe -> löschen

Dann Registry und die Einträge löschen
HKCU\..\Run: [HKCU] C:\sys\scvhost.exe
HKLM\..\Run: [HKLM] C:\sys\scvhost.exe
HKLM\..\Policies\Explorer\Run: [Policies] C:\sys\scvhost.exe
HKCU\..\Policies\Explorer\Run: [Policies] C:\sys\scvhost.exe

Dann neustarten und schaun ob der Prozess noch da is

//Edit: Mal wieder zu langsam =/

[BlackDesert]

Herzlichen Dank euch zwei, werds eben mal Testen

[cookie-exploit]

..es könnte auch sein das er sich immer wieder repliziert(persistant), dann hilft einfaches löschen nichts
und das entfernen der registrykeys genauso wenig^^

[ykjfh]

was sollte man dann machen?

[mbeezy]

Wie funktioniert das denn, mh? Ich rate mal: 2 Prozesse, der eine überwacht den anderen bzw. dessen Registry-Einträge und schreibt die neu rein, wenn die gelöscht werden. Oder so?

[BlackDesert]

So okay, hab geschaut ist alles raus danke für die hilfe, wende mich nochma an euch, wenn er sich replizieren wird , aber es ist nichts da ( hoffe das bleibt so )

[breez]

Ich habe gestern einige SourceCodes bezüglich des replizieren gelesen. Manche Malware repliziert sich als "jemand anders", wenn der alte Pfad "entdeckt" wurde. Für alle Fälle würde ich mir auch mal die anderen Reigstry-Einträge anschauen..

[mbeezy]

Poly-/Metamorphistische Trojaner? Mhh...