Datei svhost.exe nicht auffindbar

von **Roter Bruder** am 19.01.2006, 17:35

Hallo, wäre für Hilfe sehr dankbar.

Seit einiger Zeit erscheint nach dem Starten auf dem Bildschirm das Fenster mit der Meldung "svhost.exe" konnte nicht gefunden werden.

Ich schließe dieses Fenster und starte die entsprechenden Anwendungen. Irgendwelche Störungen oder Probleme habe ich deshalb bisher nicht festgestellt. Welche Fehlfunktionen könnten auftreten und welche Abhilfe ist möglich, damit das Fenster sich nicht mehr öffnet?

von **automatix** am 19.01.2006, 17:37

Bitte erst mal dein Hijackthis Log posten.

Hijackthis:
http://www.chip.de/downloads/c1_downloads_13011934.html

Lade/entpacke HijackThis in einem Ordner -->

Do a system scan and save a logfile --> Save --> Savelog --> es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

von **Roter Bruder** am 19.01.2006, 18:05

automatix hat geschrieben:Bitte erst mal dein Hijackthis Log posten.

Hijackthis:
http://www.chip.de/downloads/c1_downloads_13011934.html

Lade/entpacke HijackThis in einem Ordner -->

Do a system scan and save a logfile --> Save --> Savelog --> es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

Bin bis zum "alles markieren gekommen. Und dann? Du hast es hier mit einem ziemlichen PC-Esel zu tun.

von **automatix** am 19.01.2006, 18:10

In der Textdatei:

Bearbeiten -> alles markieren -> Bearbeiten -> kopieren -> und dann hier einfügen.

von **Roter Bruder** am 19.01.2006, 18:22

automatix hat geschrieben:In der Textdatei:

Bearbeiten -> alles markieren -> Bearbeiten -> kopieren -> und dann hier einfügen.

Logfile of HijackThis v1.99.1
Scan saved at 17:00:38, on 19.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\KMaestro\KMaestro.exe
C:\Programme\Browser MOUSE\mouse32a.exe
C:\Programme\iSaver\iSaverCtrl.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Heiko\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gmx.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von GMX
F2 - REG:system.ini: Shell=Explorer.exe svhost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {60DF4425-F36F-42D7-AECF-A409EBE4558C} - C:\Programme\SimonTools\CyberGhost2006\tbcghost.dll
O3 - Toolbar: Schnäppchenjagd - {9C94AE97-8B76-56E2-6986-2E89A982769D} - C:\WINDOWS\system32\9C94AE~1.DLL
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [KeyMaestro] C:\KMaestro\KMaestro.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [iSaverCtrl] C:\Programme\iSaver\iSaverCtrl.exe --startup
O4 - HKLM\..\Run: [ALDI_NORD_FotoSuite_Download] "C:\Programme\ALDI Foto Service Nord\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Autoupdate Service] C:\Dokumente und Einstellungen\Heiko\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XW8JDT8D\hta[1].exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\MSOffice\Office10\OSA.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\9C94AE~1.DLL/MENUSEARCH.HTM
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MSOffice\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {2922EFEE-10BD-4F0D-AB9E-DAEFFE782CEF} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {2922EFEE-10BD-4F0D-AB9E-DAEFFE782CEF} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.gmx.de
O15 - Trusted Zone: http://secure.gestrip.com (HKLM)
O15 - Trusted Zone: http://update.randhi.com (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex ... 0-3-17.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 9558393515
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/S ... anager.ocx
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA73839A-6157-4861-9D70-181D9F5CACCC}: NameServer = 217.237.149.161 217.237.150.97
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - net (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

von **automatix** am 19.01.2006, 20:38

Kann es sein, dass du nicht svhost sondern svchost meinst?

Erst mal muss das System gesäubert werden. Da sind einige Sachen die da nicht hingehören. -> Malware.

Dessen werden sich die Kollegen(in) von der Rubrik Online- und PC-Sicherheit annehmen.

Vielleicht ist dann die Meldung auch weg.

von **Roter Bruder** am 19.01.2006, 21:38

automatix hat geschrieben:Kann es sein, dass du nicht svhost sondern svchost meinst?
Erst mal muss das System gesäubert werden. Da sind einige Sachen die da nicht hingehören. -> Malware.
Dessen werden sich die Kollegen(in) von der Rubrik Online- und PC-Sicherheit annehmen.
Vielleicht ist dann die Meldung auch weg.

Es handelt sich eindeutig um "svhost".

Danke! Hoffe, daß sich dann jemand zum Thema meldet.

von **Folken** am 19.01.2006, 23:45

Ich habe keine Ahnung wofür die exe gut sein sollte, aber ich habe gelesen das die Message verschwindet wenn du die Datei im Abgesicherten-Modus löscht.

von **automatix** am 20.01.2006, 13:29

Damit die Meldung erst mal weg ist, bitte bei folgenden Eintrag im Hijackthis einen Haken setzen und dann auf "Fix checked" klicken.

F2 - REG:system.ini: Shell=Explorer.exe svhost.exe

Dann neu starten. Wenn er dann noch da ist bitte melden.

Die Logfile Auswertung folgt.

von **Roter Bruder** am 20.01.2006, 18:29

automatix hat geschrieben:Damit die Meldung erst mal weg ist, bitte bei folgenden Eintrag im Hijackthis einen Haken setzen und dann auf "Fix checked" klicken.
F2 - REG:system.ini: Shell=Explorer.exe svhost.exe
Dann neu starten. Wenn er dann noch da ist bitte melden.
Die Logfile Auswertung folgt.

Meldung taucht nicht mehr auf. Bis hierhin erstmal vielen Dank!

Habe meine "Reinigungsprogramme" "Kaspersky Antivirus Personal" und "Spybot - Search and Destroy" einige Tage nicht angewendet. Kann es sein, daß daher - wie Du geschrieben hast - einige Sachen auchtauchen (Malware), die "da nicht hingehören"?
Für Auswertung und entsprechende Maßnahmen und Tipps für Prophlaxe wäre ich trotzdem sehr dankbar.

von **automatix** am 20.01.2006, 19:52

In deinem Logfile sind einige Einträge die entfernt werden müssen. Aber wie schon gesagt, um die Auswertung kümmern sich andere im Forum.

von **Roter Bruder** am 23.01.2006, 01:52

automatix hat geschrieben: Aber wie schon gesagt, um die Auswertung kümmern sich andere im Forum.

Darf ich mich nochmal leise in Erinnerung bringen?

von **GrayGhost** am 23.01.2006, 02:27

Hallo,
auf jeden fall hast du dir was eingefangen.
Mache zunächst alle notwendigen Sicherheits Updates
Starte dann E-Scan im Abgesicherten Modus:

http://www.trojaner-info.de/hijacker/escan.shtml

Wenn das durchgelaufen ist, mache ein neues HiJackThis Logfile und poste das Resultat.

von **Roter Bruder** am 23.01.2006, 21:39

GrayGhost hat geschrieben:Mache zunächst alle notwendigen Sicherheits Updates
Starte dann E-Scan im Abgesicherten Modus:

Wie geht das?

von **automatix** am 23.01.2006, 23:28

Roter Bruder hat geschrieben:Darf ich mich nochmal leise in Erinnerung bringen?

Ich habe eine PM an Yourhighness geschickt.

Datei svhost.exe nicht auffindbar

Datei svhost.exe nicht auffindbar

Ähnliche Themen

Wer ist online?