svchost.exe und andere Trojaner (reloaded)

25Antworten
  1. #1
    Avatar von jinx
    jinx ist offline
    Themen Starter

    Title
    Benutzer
    seit
    06.05.2006
    Ort
    Ey, na hier!
    Beiträge
    570

    Standard svchost.exe und andere Trojaner (reloaded)

    HÜLFÄÄ!!

    habe gerade diverse Meldungen bekommen, die mich schwer beunruhigen: https://img.photobucket.com/albums/v114/lilix1313/db.jpgund die oben genannte scvhost.exe. Wie immer verfahren? Sprich, alles im abgesicherten Modus löschen und dann neu scannen (auch im abges. Mod.?)?
    Anbei noch mein Logfile:
    Logfile of HijackThis v1.99.1
    Scan saved at 22:30:51, on 20.09.2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16705)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
    C:\WINDOWS\System32\gearsec.exe
    C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMP\_VWUPSRV.EXE
    C:\WINDOWS\System32\UAService7.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\AGRSMMSG.exe
    C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\System32\hphmon05.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\Windows Live\Messenger\usnsvc.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Dokumente und Einstellungen\Christina Bouchard\Eigene Dateien\download-programme\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.gmx.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_2008_e-version\TrayServer.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O14 - IERESET.INF: START_PAGE_URL=https://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q304&bd=pavili on&pf=laptop
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - https://update.microsoft.com/microsoftup ... 8856724061
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload2.macromedia.com/get/s ... wflash.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
    O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.ex e
    O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMP\_VWUPSRV.EXE
    O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
    LG, jinx

    PS: Die Trojaner befinden sich momentan in Quarantäne.

  2. #2
    Avatar von computerdirk
    computerdirk ist offline

    Title
    Benutzer
    seit
    07.01.2005
    Ort
    Ilsede
    Beiträge
    12.171

    Standard Re: svchost.exe und andere Trojaner

    Hallöchen,

    von wo hast du denn diese Meldungen bekommen? Also ich meine von welchem Programm?

    Also in deinem Logfile ist tatsächlich ein Trojaner zu sehen. Aber wenn dein Antivirenprogramm ihn erkennt, dann sollte es den Trojaner auch entfernen können.

    Vorher aber die Systemwiederherstellung deaktivieren.

    Im Logfile könntest du folgende Einträge fixen ( beheben ):

    Code:
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
    O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\
    O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMP\_VWUPSRV.EXE
    Wobei der letzte Eintrag nach Antivir aussieht. Aber der dürfte eigentlich nicht im temporären Verzeichnis liegen.

    Dann den Rechner neu starten und dann die .exe Dateien in den entsprechenden Pfaden suchen und löschen.

    Aber nur dort!!!

    Dann noch mal einen Scan mit dem Ativirenprogramm und HijackThis machen.

  3. #3
    Avatar von schmidtchen
    schmidtchen ist offline

    Title
    Moderator
    seit
    07.08.2005
    Ort
    Schleswig-Holstein
    Beiträge
    9.272

    Standard Re: svchost.exe und andere Trojaner

    Moin,
    auffällig ist auch das Datum der Einträge.
    Hast du 4 Wochen nicht nach Viren gescannt?

  4. #4
    Avatar von jinx
    jinx ist offline
    Themen Starter

    Title
    Benutzer
    seit
    06.05.2006
    Ort
    Ey, na hier!
    Beiträge
    570

    Standard Re: svchost.exe und andere Trojaner

    Hiya,

    danke Dir. Ja, der letzte Eintrag ist AntiVir und soweit ich weiß immer da
    Habe soweit (bis auf erneuten Check) alles getan, allerdings bereitet mir der Teil mit
    Dann den Rechner neu starten und dann die .exe Dateien in den entsprechenden Pfaden suchen und löschen. Aber nur dort!!!
    Schwierigkeiten. Im besagten Ordner finde ich nach dem Fixen mit HijackThis unter 'drivers' nämlich keine SVCHOST.EXE. Die einzigen, die ich gefunden habe, sind bei Service-Pack Files, Service Pack Unistall, und dann im Windows-Prefetch-Ordner:
    SVCHOST.EXE 0EB47E31.pf
    SVCHOST.EXE3530F672.pf
    und genau diese beiden sind auch die einzigen, die gestern etwa zu dem Zeitpunkt geändert wurden, als ich die Virusmeldung erhielt. Soll ich also nur die löschen (ist ja nicht der angegebene Ordner) und alle anderen nicht?

    LG, jinx

  5. #5
    Avatar von computerdirk
    computerdirk ist offline

    Title
    Benutzer
    seit
    07.01.2005
    Ort
    Ilsede
    Beiträge
    12.171

    Standard Re: svchost.exe und andere Trojaner

    Hallöchen,

    also ich würde diese Dateien lieber belassen. Wenn es keine weitere Meldung mehr gibt, dann ist es ja erstmal nicht schlecht. Du kannst ja noch mal ein aktuelles Logfile mit HijackThis erstellen und hier reinstellen. Dann schauen wir noch mal...

  6. #6
    Avatar von jinx
    jinx ist offline
    Themen Starter

    Title
    Benutzer
    seit
    06.05.2006
    Ort
    Ey, na hier!
    Beiträge
    570

    Standard Re: svchost.exe und andere Trojaner

    Hiya,

    okay, dann scanne ich jetzt mal - im abgesichterten Modus ist doch richtig oder?
    Und was genau ist denn diese SVCHOST.EXE? Die taucht so oft auf, aber ich habe keine Ahnung, was sie genau tut.

    LG, jinx

  7. #7
    Avatar von Fabi
    Fabi ist offline

    Title
    Moderator
    seit
    20.10.2006
    Ort
    Hessen
    Beiträge
    8.272

    Standard Re: svchost.exe und andere Trojaner

    Hi,

    SVCHOST.EXE ist ein Bestandteil von Windows.

  8. #8
    Avatar von Q-Max
    Q-Max ist offline

    Title
    Moderator
    seit
    19.05.2008
    Ort
    Laatzen bei Hannover
    Beiträge
    11.775

    Standard Re: svchost.exe und andere Trojaner

    @Fabi: nicht zwingend. Das ist eines der bescheidenen Errungenschaften von Windows. Windows startet diesen Prozess etliche Male und man ganz schlecht erkennen wozu er nun wirklich gehört......

    und deshalb nehmen sich manche Viren eben diesen Namen und mischen sich unter die anderen tatsächlichen Windowsprozesse dieses Namens.

    LG

  9. #9
    Avatar von jinx
    jinx ist offline
    Themen Starter

    Title
    Benutzer
    seit
    06.05.2006
    Ort
    Ey, na hier!
    Beiträge
    570

    Standard Re: svchost.exe und andere Trojaner

    Ja und was heisst das jetzt? Löschen oder nicht?

    Ich stelle mal die Ergebnisse des Antivir-Scans hier rein, wenn es okay ist:

    Avira AntiVir Personal
    Erstellungsdatum der Reportdatei: Sonntag, 21. September 2008 17:37

    Es wird nach 1627335 Virenstämmen gesucht.

    Lizenznehmer: Avira AntiVir PersonalEdition Classic
    Seriennummer: 0000149996-ADJIE-0001
    Plattform: Windows XP
    Windowsversion: (Service Pack 3) [5.1.2600]
    Boot Modus: Normal gebootet
    Benutzername: SYSTEM
    Computername: LILITH

    Versionsinformationen:
    BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
    AVSCAN.EXE : 8.1.4.7 315649 Bytes 18.07.2008 09:23:47
    AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 09:23:47
    LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 09:23:48
    LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 09:23:48
    ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 19:32:43
    ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 08:59:28
    ANTIVIR2.VDF : 7.0.6.153 3341312 Bytes 12.09.2008 16:04:06
    ANTIVIR3.VDF : 7.0.6.189 223744 Bytes 21.09.2008 14:31:16
    Engineversion : 8.1.1.34
    AEVDF.DLL : 8.1.0.5 102772 Bytes 20.04.2008 21:29:48
    AESCRIPT.DLL : 8.1.0.76 319867 Bytes 18.09.2008 22:08:30
    AESCN.DLL : 8.1.0.23 119156 Bytes 18.07.2008 09:23:49
    AERDL.DLL : 8.1.1.2 438644 Bytes 18.09.2008 22:08:29
    AEPACK.DLL : 8.1.2.1 364917 Bytes 18.07.2008 09:23:49
    AEOFFICE.DLL : 8.1.0.25 196986 Bytes 18.09.2008 22:08:28
    AEHEUR.DLL : 8.1.0.59 1438071 Bytes 18.09.2008 22:08:27
    AEHELP.DLL : 8.1.0.15 115063 Bytes 30.05.2008 06:37:04
    AEGEN.DLL : 8.1.0.36 315764 Bytes 19.08.2008 20:41:34
    AEEMU.DLL : 8.1.0.7 430452 Bytes 01.08.2008 07:26:48
    AECORE.DLL : 8.1.1.11 172406 Bytes 04.09.2008 09:14:10
    AEBB.DLL : 8.1.0.1 53617 Bytes 18.07.2008 09:23:49
    AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 09:23:47
    AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 09:23:47
    AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 07:26:47
    AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 09:23:47
    AVARKT.DLL : 1.0.0.23 307457 Bytes 20.04.2008 21:29:47
    AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 09:23:46
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 20.04.2008 21:29:48
    SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 09:23:48
    NETNT.DLL : 8.0.0.1 7937 Bytes 20.04.2008 21:29:47
    RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 09:23:32
    RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 09:23:32

    Konfiguration für den aktuellen Suchlauf:
    Job Name.........................: Vollständige Systemprüfung
    Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
    Protokollierung..................: niedrig
    Primäre Aktion...................: interaktiv
    Sekundäre Aktion.................: ignorieren
    Durchsuche Masterbootsektoren....: ein
    Durchsuche Bootsektoren..........: ein
    Bootsektoren.....................: C:,
    Durchsuche aktive Programme......: ein
    Durchsuche Registrierung.........: ein
    Suche nach Rootkits..............: ein
    Datei Suchmodus..................: Intelligente Dateiauswahl
    Durchsuche Archive...............: ein
    Rekursionstiefe einschränken.....: 20
    Archiv Smart Extensions..........: ein
    Makrovirenheuristik..............: ein
    Dateiheuristik...................: hoch

    Beginn des Suchlaufs: Sonntag, 21. September 2008 17:37

    Der Suchlauf nach versteckten Objekten wird begonnen.
    c:\windows\system32\tdsserrors.log
    [INFO] Die Datei ist nicht sichtbar.
    [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49496f39.qua erstellt ( QUARANTÄNE )
    c:\windows\system32\tdssevri.dll
    [INFO] Die Datei ist nicht sichtbar.
    [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.rfw
    [INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
    [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4aaca4ea.qua erstellt ( QUARANTÄNE )
    c:\windows\system32\tdsshpue.dll
    [INFO] Die Datei ist nicht sichtbar.
    [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.rfv
    [INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
    [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4aae9cb2.qua erstellt ( QUARANTÄNE )
    c:\windows\system32\tdssinit.dll
    [INFO] Die Datei ist nicht sichtbar.
    [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4aa3747a.qua erstellt ( QUARANTÄNE )
    c:\windows\system32\tdssjjsm.dll
    [INFO] Die Datei ist nicht sichtbar.
    [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4aa52dc2.qua erstellt ( QUARANTÄNE )
    c:\windows\system32\tdssl.dll
    [INFO] Die Datei ist nicht sichtbar.
    [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4aa7058a.qua erstellt ( QUARANTÄNE )
    c:\windows\system32\tdssovqt.dll
    [INFO] Die Datei ist nicht sichtbar.
    [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49496f3a.qua erstellt ( QUARANTÄNE )
    c:\windows\system32\tdssservers.dat
    [INFO] Die Datei ist nicht sichtbar.
    [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4abbd51b.qua erstellt ( QUARANTÄNE )
    c:\windows\system32\tdssuqoi.dll
    [INFO] Die Datei ist nicht sichtbar.
    [FUND] Ist das Trojanische Pferd TR/Dldr.FraudLoad.vbxt
    [INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
    [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4abd8ee3.qua erstellt ( QUARANTÄNE )
    c:\windows\system32\drivers\tdssjcxe.sys
    [INFO] Die Datei ist nicht sichtbar.
    [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4ff6780b.qua erstellt ( QUARANTÄNE )
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\T DSSserv\modules
    [INFO] Der Registrierungseintrag ist nicht sichtbar.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\T DSSserv\start
    [INFO] Der Registrierungseintrag ist nicht sichtbar.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\T DSSserv\type
    [INFO] Der Registrierungseintrag ist nicht sichtbar.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\T DSSserv\imagepath
    [INFO] Der Registrierungseintrag ist nicht sichtbar.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Sa feboot\Minimal\tdssjcxe.sys
    [INFO] Der Registrierungseintrag ist nicht sichtbar.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Sa feboot\Minimal\tdssserv.sys
    [INFO] Der Registrierungseintrag ist nicht sichtbar.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Sa feboot\Network\tdssjcxe.sys
    [INFO] Der Registrierungseintrag ist nicht sichtbar.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Sa feboot\Network\tdssserv.sys
    [INFO] Der Registrierungseintrag ist nicht sichtbar.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\T DSSserv\modules
    [INFO] Der Registrierungseintrag ist nicht sichtbar.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\T DSSserv\start
    [INFO] Der Registrierungseintrag ist nicht sichtbar.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\T DSSserv\type
    [INFO] Der Registrierungseintrag ist nicht sichtbar.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\T DSSserv\imagepath
    [INFO] Der Registrierungseintrag ist nicht sichtbar.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Sa feboot\Minimal\tdssjcxe.sys
    [INFO] Der Registrierungseintrag ist nicht sichtbar.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Sa feboot\Minimal\tdssserv.sys
    [INFO] Der Registrierungseintrag ist nicht sichtbar.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Sa feboot\Network\tdssjcxe.sys
    [INFO] Der Registrierungseintrag ist nicht sichtbar.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Sa feboot\Network\tdssserv.sys
    [INFO] Der Registrierungseintrag ist nicht sichtbar.
    Es wurden '75101' Objekte überprüft, '26' versteckte Objekte wurden gefunden.

    Der Suchlauf über gestartete Prozesse wird begonnen:
    Durchsuche Prozess 'PhotoFiltre.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'hphmon05.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'UAService7.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess '_VWUPSRV.EXE' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'gearsec.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'DevSvc.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

    Es wurden '33' Prozesse mit '33' Modulen durchsucht

    Der Suchlauf über die Masterbootsektoren wird begonnen:
    Masterbootsektor HD0
    [INFO] Es wurde kein Virus gefunden!

    Der Suchlauf über die Bootsektoren wird begonnen:
    Bootsektor 'C:\'
    [INFO] Es wurde kein Virus gefunden!

    Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

    Die Registry wurde durchsucht ( '70' Dateien ).


    Der Suchlauf über die ausgewählten Dateien wird begonnen:

    Beginne mit der Suche in 'C:\'
    C:\hiberfil.sys
    [WARNUNG] Die Datei konnte nicht geöffnet werden!
    C:\pagefile.sys
    [WARNUNG] Die Datei konnte nicht geöffnet werden!


    Ende des Suchlaufs: Sonntag, 21. September 2008 19:01
    Benötigte Zeit: 1:24:48 Stunde(n)

    Der Suchlauf wurde vollständig durchgeführt.

    7394 Verzeichnisse wurden überprüft
    360908 Dateien wurden geprüft
    3 Viren bzw. unerwünschte Programme wurden gefunden
    0 Dateien wurden als verdächtig eingestuft
    0 Dateien wurden gelöscht
    0 Viren bzw. unerwünschte Programme wurden repariert
    10 Dateien wurden in die Quarantäne verschoben
    0 Dateien wurden umbenannt
    2 Dateien konnten nicht durchsucht werden
    360903 Dateien ohne Befall
    7959 Archive wurden durchsucht
    2 Warnungen
    10 Hinweise
    75101 Objekte wurden beim Rootkitscan durchsucht
    26 Versteckte Objekte wurden gefunden
    Diese versteckten Objekte habe ich in Quarantäne verschoben, war das falsch? Und der Rest der gefundenen Viren ist auch dort - dort lassen oder ....?

    LG, die besorgte jinx

  10. #10
    Avatar von computerdirk
    computerdirk ist offline

    Title
    Benutzer
    seit
    07.01.2005
    Ort
    Ilsede
    Beiträge
    12.171

    Standard Re: svchost.exe und andere Trojaner

    Hallöchen,

    dein Antivir hat ja einige Dateien in die Quarantäne verschoben und dort sind sie ja sicher aufgehoben. Von da aus können sie keinen Schaden mehr machen. Und wenn der Rechner einige Tage problemlos gelaufen ist, dann kannst du diese Dateien in der Quarantäne endgültig löschen.

    Sollte der Rechner aber Probleme machen, dann könnte es sein das eine wichtige Datei irrtümlich in die Quarantäne verschoben wurde...

  11. #11
    Avatar von jinx
    jinx ist offline
    Themen Starter

    Title
    Benutzer
    seit
    06.05.2006
    Ort
    Ey, na hier!
    Beiträge
    570

    Standard Re: svchost.exe und andere Trojaner

    Hiya,

    okay, danke Euch für die schnelle und gute Hilfe!! *Kuchen und Blumen verteil*
    Werde dann doch mal wieder braver meine Antivirenchecks durchführen - allerdings frage ich mich, was denn genau der Unterschied zwischen den langen Checks und dem generellen Check (also ständig aktiviertes AntiVir-Programm) ist. Nach welchen Kriterien untersucht denn letzterer im Gegensatz zu ersterem?

    LG, jinx

  12. #12
    Avatar von Fabi
    Fabi ist offline

    Title
    Moderator
    seit
    20.10.2006
    Ort
    Hessen
    Beiträge
    8.272

    Standard Re: svchost.exe und andere Trojaner

    Hi,

    der vollständige Systemcheck untersucht das gesamte System (also alle Dateien) nach Viren, während das aktivierte AntiVir-Programm (AntiVir Guard) nur die Daten kontrolliert, die gerade auf die Festplatte geschrieben und von der Festplatte gelesen werden.

  13. #13
    Avatar von jinx
    jinx ist offline
    Themen Starter

    Title
    Benutzer
    seit
    06.05.2006
    Ort
    Ey, na hier!
    Beiträge
    570

    Standard Re: svchost.exe und andere Trojaner

    Hiya,

    um mal laientypisch-peinlich zu fragen: wenn bei Komplett-Check A alles okay ist und beispielsweise ein Trojaner das System befällt, dann wird er doch theoretisch sofort erkannt oder? Wie bleibt er denn in manchen Fällen erst noch getarnt und wird dann erst bei Check B auffällig?

    LG, jinx

  14. #14
    Avatar von jinx
    jinx ist offline
    Themen Starter

    Title
    Benutzer
    seit
    06.05.2006
    Ort
    Ey, na hier!
    Beiträge
    570

    Standard Re: svchost.exe und andere Trojaner (reloaded)

    Und schon wieder ich:

    Gleich heute früh meldete sich das nächste Problem: AntiVir hat eine Datei gemeldet, die ich in Quarantäne verschoben habe: laut Meldung enthält sie das 'Erkennungsmuster des Rootkits RKIT/Clbd.KF'. Wieder alles checken, in Pfaden suchen und entfernen etc.? Oder muss ich noch was beachten?

    Anbei schon mal mein Logfile:
    Logfile of HijackThis v1.99.1
    Scan saved at 12:36:37, on 23.09.2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16705)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
    C:\WINDOWS\System32\gearsec.exe
    C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMP\_VWUPSRV.EXE
    C:\WINDOWS\System32\UAService7.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\AGRSMMSG.exe
    C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\System32\hphmon05.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\Windows Live\Messenger\usnsvc.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
    C:\Dokumente und Einstellungen\Christina Bouchard\Eigene Dateien\download-programme\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.gmx.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_2008_e-version\TrayServer.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O14 - IERESET.INF: START_PAGE_URL=https://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q304&bd=pavili on&pf=laptop
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - https://update.microsoft.com/microsoftup ... 8856724061
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload2.macromedia.com/get/s ... wflash.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
    O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.ex e
    O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMP\_VWUPSRV.EXE
    O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
    LG, jinx

  15. #15
    Avatar von schmidtchen
    schmidtchen ist offline

    Title
    Moderator
    seit
    07.08.2005
    Ort
    Schleswig-Holstein
    Beiträge
    9.272

    Standard Re: svchost.exe und andere Trojaner (reloaded)

    Moin,
    es mag nicht ganz schlüssig sein, aber diese beiden Einträge werden als schädlich angesehen obwohl sie einen Bezug zu AntiVir vorgeben:
    C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMP\_VWUPSRV.EXE

    C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMP\_VWUPSRV.EXE
    Ich würde sie im abgesicherten Modus fixen.
    Dann auch das ganze AntiVir deinstallieren und lieber neu aus dem Internet laden.

    https://www.dirks-computerecke.de/antivir-1.htm
    danach einrichten, updaten und erneut scannen.

  16. #16
    Avatar von jinx
    jinx ist offline
    Themen Starter

    Title
    Benutzer
    seit
    06.05.2006
    Ort
    Ey, na hier!
    Beiträge
    570

    Standard Re: svchost.exe und andere Trojaner (reloaded)

    Hiya,

    irgendwie sieht aber speziell das nach Meldungen aus, die ich immer von AntiVir bekomme und die hier im Forum als nicht weiter bedenklich eingestuft wurden; z.B. hier https://www.dirks-computerecke.de/forum/topic8535.html oder hier https://www.dirks-computerecke.de/for...ic5592-15.html. Egal, wo und wie ich die fixe, die taucht immer wieder auf.

    Ansonsten gab es nix Auffälliges? Dann bin ich ja erstmal etwas ruhiger, danke Dir *Muffins durchs Netz schick*. Werde gleich mal AntiVir neu installieren und schauen, ob das was hilft.
    Hätte noch eine Frage zur Systemwiederherstellung, die ich ja bei solchen o.g. Checks imer deaktivieren soll: ist es besser, sie generell in diesem Zustand zu lassen oder eher nicht? Habe eigentlich schon viel damit retten können, deshalb fand ich sie recht gut.

    LG, jinx

  17. #17
    Avatar von schmidtchen
    schmidtchen ist offline

    Title
    Moderator
    seit
    07.08.2005
    Ort
    Schleswig-Holstein
    Beiträge
    9.272

    Standard Re: svchost.exe und andere Trojaner (reloaded)

    Moin,
    sorry, ich habe versehentlich 2x den gleichen Eintrag hier reinkopiert, die als 'schädlich' erkannt werden. Es ist neben >
    C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMP\_VWUPSRV.EXE
    als 2ter >
    O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMP\_VWUPSRV.EXE
    Diese Einträge kommen mir auch sehr eigenartig vor. Aber in letzter Zeit häufen sich die Meldungen über Trojaner, die unverfängliche oder bekannte Namen vortäuschen.
    Ich selbst habe diese Dateien nicht im Ordner 'Temp'. Leider kann man das nicht 1:1 verfolgen, weil der Pfad nicht vollständig ausgeschrieben ist.
    Sollte beim Fixen doch das richtige AntiVir Schaden nehmen wäre die DE- und die anschließende Neuinstallation- wie beschrieben- das kleinere Übel.
    Systemwiederherstellung:
    Es wird empfohlen sie vor dem Fixen mit HjT zu deaktivieren. Sollte sich tatsächlich etwas eingenistet haben und du greifst auf einen früheren Zeitpunkt in der Wiederherstellung zurück, erzeugst du den ursprünglichen Zustand und du hast das Problem wieder. Deshalb ist es besser, wenn du nach der Wiederaktivierung nur den einen Punkt zur Verfügung hast, der dabei neu erzeugt wird.
    Quarantäne bei AntiVir
    Was sich darin befindet ist erst mal unschädlich. Es gibt einige wenige Fälle, wo eine Falschmeldung erfolgt so dass man darauf zurückgreifen könnte.
    Wenn sich herausstellt, dass nach einiger Zeit dein PC keinerlei Fehlverhalten zeigt, kannst du die Dateien sehr wohl löschen:
    Im linken Menü findest du 'Verwaltung', darunter 'Quarantäne'. Die Einträge markieren und oben auf das Papierkorb-Symbol klicken.

  18. #18
    Avatar von jinx
    jinx ist offline
    Themen Starter

    Title
    Benutzer
    seit
    06.05.2006
    Ort
    Ey, na hier!
    Beiträge
    570

    Standard Re: svchost.exe und andere Trojaner (reloaded)

    Hiya,

    also, diese Datei (habe nur eine gefunden und zwar erstere) habe ich dreimal gefixt und sie ist jedes Mal wieder da. Mittlerweile habe ich mir von CHIP das neueste AntiVir PE Classic heruntergeladen, das alte komplett gelöscht und das neue installiert. Und schon wieder habe ich daraus resultierend zwei neue Fragen:
    a) Mit dem alten Programm sind ja wohl auch alle Quarantäne-Dateien futsch - ist das gut oder schlecht? Ich meine, die Dinger bleiben doch dann nicht ungeschüzt auf meiner Festplatte oder? (Zugegeben, mag 'ne blöde Frage sein, aber ich will sicher sein.)
    b) Es gibt von AntiVir noch ein Extra-Rootkit-Programm - ist das ein Zusatz zu dem bereits integrierten Rootkit-Sucher oder ....?

    LG, jinx

  19. #19
    Avatar von Q-Max
    Q-Max ist offline

    Title
    Moderator
    seit
    19.05.2008
    Ort
    Laatzen bei Hannover
    Beiträge
    11.775

    Standard Re: svchost.exe und andere Trojaner (reloaded)

    Hi,

    das können zwar Trojaner sein, müssen aber nicht zwingend. Es besteht ebenso die Möglichkeit von fehlgeschlagenenen Updates von Antivir.

    Dazu gibt es folgende Lösung:

    Drücke Start => Ausführen und dann in das Fenster schreiben
    sc stop TmpUpSrv => OK

    ein wenig warten und dann
    sc delete TmpUpSrv => OK

    Danach mit dem Windows-Explorer die Datei
    C:\DOKUME~1
    \Dein Benutzername\LOKALE EINSTELLUNGEN\TEMP\_VWUPSRV.EXE
    löschen => PC neu starten.

    Dann müsste die Fehlermeldung beseitigt sein.

    Alternativ kannst du auch mittels CCleaner Antivir deinstallieren. Das ist gründlicher als Windows selbst. Danach löscht du die Dateien in dem oben genannten Ordner. Danach empfehle ich noch eine Fehlerbereinigung der Registry mittels CCleaner.

    Danach den Rechner neu starten. Jetzt kannst du noch mal zur Kontrolle einen Scan mit Hijackthis machen. Wenn das kein Virus/ Trojaner war, sollte dein System jetzt komplett sauber sein.

    Danach Antivir neuinstallieren und gut.....

    LG

  20. #20
    Avatar von schmidtchen
    schmidtchen ist offline

    Title
    Moderator
    seit
    07.08.2005
    Ort
    Schleswig-Holstein
    Beiträge
    9.272

    Standard Re: svchost.exe und andere Trojaner (reloaded)

    Moin,
    ehe es zu unübersichtlich wird, fangen wir doch bitte mal in Ruhe bei Null an und vergessen auch die Vorläufer dieses Threads.
    Grundsätzlich ist es bei Befall immer angesagt, sowohl mit einem Viren- als auch mit einem Malware-Scanner im 'abgesicherten Modus' zu arbeiten.
    Den Grund, die Systemwiederherstellung zu deaktivieren habe ich schon genannt.

    Nun zu deiner aktuellsten Situation:
    1.
    das neueste AntiVir PE Classic heruntergeladen, das alte komplett gelöscht und das neue installiert
    a. hast du das alte deinstalliert?
    b. Dann das neue installiert?
    c. Konfiguriert (Rootkitscan-Option ist vorhanden)
    d. Auch upgedatet?
    e. Hast du damit einen kompletten Scan durchgeführt?

    Mit welchem Ergebnis?
    2.
    a. Hast du ein aktuell upgedatetes Spywareprogramm und
    b. damit gescannt?

    Mit welchem Ergebnis?

    3.
    a. Wenn Meldungen vorliegen: Bei Malware beseitigen lassen, bei Viren in Quarantäne.
    b. Wenn bei beiden keine Befunde gemeldet werden, machst du erneut einen Scan mit HjT und postet das Logfile.
    (wo der 023-Eintrag geblieben ist, wird sich dann herausstellen)

  21. #21
    Avatar von schmidtchen
    schmidtchen ist offline

    Title
    Moderator
    seit
    07.08.2005
    Ort
    Schleswig-Holstein
    Beiträge
    9.272

    Standard Re: svchost.exe und andere Trojaner (reloaded)

    Moin,
    sorry @ Q-Max, dein Ansatz ist sicher der einfachere aber so daneben liege ich doch sicher auch nicht?

  22. #22
    Avatar von Q-Max
    Q-Max ist offline

    Title
    Moderator
    seit
    19.05.2008
    Ort
    Laatzen bei Hannover
    Beiträge
    11.775

    Standard Re: svchost.exe und andere Trojaner (reloaded)

    ne, das war alles schon so richtig was du vorgeschlagen hast.

    Aber der gute Jinx hat sich wieder so verzettelt, dass man ja gar nicht mehr durchblickt was nun noch Sache ist.

    Und Virenscan und Hijackthis hat er ja nun schon mehrfach durchlaufen lassen, so dass ich davon ausgehe, dass ein Virenproblem zumindest nicht mehr vorliegt.

    Also soll er doch oben drauf mal eine saubere Deinstallation fahren. Damit sollte sich das Problem endgültig in Luft aufgelöst haben.

    LG

  23. #23
    Avatar von jinx
    jinx ist offline
    Themen Starter

    Title
    Benutzer
    seit
    06.05.2006
    Ort
    Ey, na hier!
    Beiträge
    570

    Standard Re: svchost.exe und andere Trojaner (reloaded)

    Hiya,

    auch wenn die Jinx zeitweilig etwas konfus agieren mag - wobei ich mich für meine Unaufmerksamkeit bezüglich der Systemwiederherstellung entschuldige - finde ich nicht, dass sie sich so extrem 'verzettelt' hat, aber egal. Zurück zum Problem: wie ich bereits sagte, habe ich natürlich
    1a) das alte AntiVir DEinstalliert und bin auch schon mit dem CCleaner drüber gegangen
    b) die neue Version INstalliert
    c) + d) + e) durchgeführt.
    Das Ergebnis sind mehre neue Funde:
    C:\WINDOWS\system32\TDSSevri.dll
    [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.rfw
    [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '492c1059.qua' verschoben!
    C:\WINDOWS\system32\TDSShpue.dll
    [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.rfv
    [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '492c105e.qua' verschoben!
    C:\WINDOWS\system32\TDSSuqoi.dll
    [FUND] Ist das Trojanische Pferd TR/Dldr.FraudLoad.vbxt
    [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '492c1060.qua' verschoben!
    C:\WINDOWS\system32\drivers\TDSSjcxe.sys
    [FUND] Ist das Trojanische Pferd TR/Peed.A.830
    [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '492c1097.qua' verschoben!
    2) Ich besitze 'Spybot - Search and Destroy', mache aber nachher gerne auch noch einen Scan mit AdAware.
    Sollte mein Logfile mit dem Spybot-Scan also nix wert sein, einfach ignorieren:
    Logfile of HijackThis v1.99.1
    Scan saved at 19:14:30, on 23.09.2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16705)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\System32\hphmon05.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
    C:\WINDOWS\System32\gearsec.exe
    C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\UAService7.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Dokumente und Einstellungen\Christina Bouchard\Eigene Dateien\download-programme\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.gmx.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_2008_e-version\TrayServer.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O14 - IERESET.INF: START_PAGE_URL=https://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q304&bd=pavili on&pf=laptop
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - https://update.microsoft.com/microsoftup ... 8856724061
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload2.macromedia.com/get/s ... wflash.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
    O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.ex e
    O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
    LG, jinx

    PS: Zumindest die VWUPSRV.EXE hat sich endlich aufgelöst - großes Danke an Q-Max.

  24. #24
    Avatar von Q-Max
    Q-Max ist offline

    Title
    Moderator
    seit
    19.05.2008
    Ort
    Laatzen bei Hannover
    Beiträge
    11.775

    Standard Re: svchost.exe und andere Trojaner (reloaded)

    ach du bist ein "die", kann doch keiner ahnen (mein ägüptisch ist nicht so gut)

    ein Problem weniger, aber du scheinst da ja noch ein paar andere Bösewichte auf deiner Platte zu haben, die vorher noch nicht da waren. Gast du Antivir nicht aktuell gehalten oder den Guard ausgeschaltet ?

    Nun bleibt ja nichts als erst mal die Dateien zu löschen und immer wieder zu scannen ob sich da noch was meldet. Es könnte natürlich auch sein, das du schon eine Hintertür in der Firewall offen hast und dich ständig neu infizierst. Mach die doch mal komplett dicht, so das sich jede aus- und eingehende Verbindung melden muss.

    LG

  25. #25
    Avatar von jinx
    jinx ist offline
    Themen Starter

    Title
    Benutzer
    seit
    06.05.2006
    Ort
    Ey, na hier!
    Beiträge
    570

    Standard Re: svchost.exe und andere Trojaner (reloaded)

    Hiya,

    Dir sei gnädigst verziehen :P

    Doch, doch, ich bin immer brav am Updaten und der Guard ist auch immer an - allerdings hat vor zwei Tagen irgendwas zweimal meine Windows-Firewall für ein paar Sekunden ausgeschaltet - ist aber alles wieder okay - dachte ich zumindest. Sollte ich für die nächste Zeit das Kästchen 'Keine Ausnahmen zulassen' zusätzlich aktivieren oder hast Du vielleicht noch einen besseren Tip? Achja - ich habe auch einen Router, und der hat doch soweit ich weiß, eh eine eigene Firewall oder liege ich da falsch?

    LG, jinx

  26. #26
    Avatar von Q-Max
    Q-Max ist offline

    Title
    Moderator
    seit
    19.05.2008
    Ort
    Laatzen bei Hannover
    Beiträge
    11.775

    Standard Re: svchost.exe und andere Trojaner (reloaded)

    Hi,
    wenn sich die Firewall von allein abschaltet, geh mal davon aus, dass da noch was am knabbern ist. Die Firewall machst du so dicht das jedes Programm fragen muss wenn es raus will. Und die Routerfirewall würde ich auch so dicht wie möglich machen. Das kann zwar zur Folge haben das du nicht mehr ohne Probleme rauskommst, aber dann musst du eben jede einzelne Verbindung kontrollieren und verifizieren, dass da kein Virus werkelt.

    Und scan dein System nach jedem Löschen noch einmal. Wenn Antivir dann wieder was findet, poste mal den Dateinamen. Eventuell musst du dir dann ein spezielles Tool runterladen um den Virus zu vernichten. Das muss man dann von Fall zu Fall sehen...

    LG

Ähnliche Themen

  1. Svchost.exe

    Von telecaster95 im Forum Mainboard, CPU und RAM
    Antworten: 2
    Letzter Beitrag: 03.05.2011, 20:10
  2. Trojaner Adspy, Avira startet nicht und andere Probleme

    Von Mimero im Forum Antivirus und PC Sicherheit
    Antworten: 41
    Letzter Beitrag: 06.06.2009, 08:14
  3. Problem (svchost.exe)

    Von PSMONSTER im Forum Anwendersoftware
    Antworten: 8
    Letzter Beitrag: 08.03.2007, 11:31
  4. svchost.exe

    Von azuzi im Forum Antivirus und PC Sicherheit
    Antworten: 4
    Letzter Beitrag: 17.12.2006, 11:45
  5. SVCHOST.exe

    Von Cleriker im Forum Antivirus und PC Sicherheit
    Antworten: 2
    Letzter Beitrag: 16.10.2006, 15:58
Diese Seite benutzt Cookies Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Infos zum Datenschutz