scvhost.exe???

[Halamacha]

hi,
ich habe mir hier schon einige themen durchgelesen und bemerkt das scvhost.exe ein virus ist! denn bei mir kommt auch immer wenn ich windows starte ein fehler mit c:windows\system32\scvhost.exe.
hier habe ich auch mal mein hijackthis log:


Logfile of HijackThis v1.99.1
Scan saved at 16:52:20, on 25.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Power-Admin\Desktop\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.bearshare.com/help/cantconnect.htm
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: N.Cs4 - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - C:\WINDOWS\system32\wsock32.sys
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [Synchronization Agent] "C:\Programme\Sync Manager\agent\syncagent.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{61D212F7-5341-4331-8D3A-6D20178125BE}: NameServer = 192.168.178.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe




was soll ich jetzt machen??? bitte um schnelle hilfe

[gipsy111]

Hi,

arbeite dies ab! Es ist der Backdoor.Win32.Ciadoor.13

1. CleanUp

stelle den CleanUp genauso ein, wie hier angegeben: (+ PC neustarten)
http://virus-protect.org/cleanup.html
___________________________________________________________

2. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: N.Cs4 - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - C:\WINDOWS\system32\wsock32.sys
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\system32\svchost.exe (file missing)

PC neustarten
___________________________________________________________

3.
gehe in die Registry...du müsstest nun eigentlich wieder in die Registry kommen....

Start --> Ausführen --> regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001" --> auf 0 stellen (wenn vorhanden)
DisableRegistryTools = "dword:00000001" --> auf 0 stellen (wenn vorhanden)

HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn. Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein
___________________________________________________________

4.
Klick Start>> Ausführen>> schreibe Services.msc und Klick OK!
"Eigenschaften" >> Click "Stop">> Starttyp "deaktiviert"

Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
__________________________________________________________

5. Datfindbat
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
___________________________________________________________

6. echo.zip
echo.zip --> entpacken --> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip

[Montrey]

wieso ist eine svchost.exe gefährlich habe 4stück im task drinne !

[gipsy111]

Das ist aber scvhost.exe

Bitte verwechsle nicht scvhost.exe mit svchost.exe

scvhost.exe ist ein Virus

svchost.exe ist kein Virus

[Halamacha]

hi.

danke für die schnelle hilfe aber leider habe ich ein paar probs

also. bei mir gibt es kein HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

also bei mir is nach windows kein system da?!?

desshalb ist auch noch meine eingabeauforderung deaktiviert und ich kann die datfind.bat nicht ausführen??!? gibt es da noch einen anderen weg oder liegt das daran das ich nur ein eingeschrekter benutzer bin (aber bevor ich das mit dem virus hatte konnt ich die eingabeaufforedeung benutzen!).

[Halamacha]

ok hab das problem gelöst aber jetzt weiß ich nicht was ich mit den system32, temp, system und s textdokumenten machen soll. und was soll ich mit dem kopierten text von echo.bat machen????

[Halamacha]

naja dann zeig ich hier mal die ergebnisse:

system32:

25.07.2006 18:41 63.184 nvapps.xml
25.07.2006 18:23 63.266 perfc009.dat
25.07.2006 18:23 403.664 perfh009.dat
25.07.2006 18:23 76.204 perfc007.dat
25.07.2006 18:23 418.954 perfh007.dat
25.07.2006 18:23 973.996 PerfStringBackup.INI
25.07.2006 16:20 2.206 wpa.dbl
24.07.2006 16:04 0 msxver64.sqr
24.07.2006 10:42 259.840 FNTCACHE.DAT
22.07.2006 23:31 98.304 CmdLineExt.dll
19.07.2006 23:29 125.690 LoopyMusic.wav
19.07.2006 23:29 146.650 BuzzingBee.wav
19.07.2006 11:35 34.308 BASSMOD.dll
19.07.2006 11:08 10.752 pxwma.dll
19.07.2006 11:08 108.544 pxcpyi64.exe
19.07.2006 11:08 103.936 pxinsi64.exe
18.07.2006 16:06 1.536.151 ckl009.dat
10.07.2006 21:16 186.413 scvhost.exe
30.06.2006 17:35 94.208 adminmgr.exe
24.06.2006 17:27 223 prs.dll
01.06.2006 19:09 208.896 NVUNINST.EXE
01.06.2006 19:09 208.896 nvudisp.exe


sytem:


25.07.2006 18:46 21.504 ~06B733.tmp
25.07.2006 18:18 159 wiadebug.log
25.07.2006 18:18 0 0.log
25.07.2006 18:18 2.048 bootstat.dat
25.07.2006 18:16 13.186 SchedLgU.Txt
25.07.2006 18:16 50 wiaservc.log
25.07.2006 18:16 68.994 WindowsUpdate.log
25.07.2006 16:50 21.504 ~023A71.tmp
25.07.2006 16:46 119.036 ntbtlog.txt
25.07.2006 16:31 21.504 ~074011.tmp
25.07.2006 16:14 1.180.612 setupapi.log
23.07.2006 17:13 202 NeroDigital.ini
22.07.2006 22:35 1.941.972 startup
22.07.2006 22:34 1.519 OEWABLog.txt
22.07.2006 22:34 17.611 wmsetup.log
22.07.2006 22:25 118.724 DirectX.log
22.07.2006 17:58 72 sysInf.dat
22.07.2006 16:24 369 nsw.log
22.07.2006 14:45 720.896 iun6002ev.exe
21.07.2006 21:18 28.473 MedCtrOC.log
21.07.2006 21:18 398.204 FaxSetup.log
21.07.2006 21:18 479.321 iis6.log
21.07.2006 21:18 144.666 comsetup.log
21.07.2006 21:18 86.729 ntdtcsetup.log
21.07.2006 21:18 3.869 imsins.log
21.07.2006 21:18 189.016 tsoc.log
21.07.2006 21:18 22.492 ocmsn.log
21.07.2006 21:18 20.427 msgsocm.log
21.07.2006 21:18 203.880 ocgen.log
21.07.2006 21:18 20.534 tabletoc.log
21.07.2006 21:18 133.344 msmqinst.log
21.07.2006 21:18 70.721 netfxocm.log
20.07.2006 21:55 283 gfscore.ini
20.07.2006 21:55 173 save
19.07.2006 23:29 60.416 ALCFDRTM.EXE
19.07.2006 23:29 60.416 ALCFDRTM.VER
13.07.2006 23:14 999 win.ini
10.07.2006 17:19 289 system.ini
09.07.2006 22:33 378 wmsetup10.log
09.07.2006 14:47 115 AIMPR.INI
08.07.2006 18:33 186.767 setupact.log
30.06.2006 10:48 62 ANS2000.INI
30.06.2006 10:48 20 akebook.ini
30.06.2006 10:48 4 a3kebook.ini
24.06.2006 20:33 591 pcasav.ini
23.06.2006 21:17 0 musicmaker.INI
20.06.2006 18:40 1.485 RouterControl_Uninstall.in
19.06.2006 21:11 10.752 startup.exe
22.04.2006 17:05 316.640 WMSysPr9.prx
21.04.2006 21:47 23 BlendSettings.ini
19.04.2006 12:15 277 SIERRA.INI
17.04.2006 15:02 754 WORDPAD.INI
17.04.2006 00:05 2.560 _MSRSTRT.EXE
16.04.2006 23:38 0 PROTOCOL.INI
11.04.2006 00:06 335 nsreg.dat
11.04.2006 00:06 11.554 mozver.dat
10.04.2006 10:28 48 scmate.ini


s:

25.07.2006 19:13 0 sys.txt
25.07.2006 19:05 10.461 system.txt
25.07.2006 19:02 2.240 systemtemp.txt
25.07.2006 18:59 102.952 system32.txt
25.07.2006 18:18 1.610.612.736 pagefile.sys
25.07.2006 18:09 2.527 Neu Textdokument (3).txt
25.07.2006 18:09 3.562 Neu Textdokument (2).txt
25.07.2006 17:51 240 datFind.zip
25.07.2006 17:51 235 echo.zip
25.07.2006 17:49 601 1.txt
25.07.2006 17:48 339.099 CleanUp451.exe
25.07.2006 16:50 58 Neu Textdokument.txt
01.06.2006 18:48 225 boot.ini

echo:

10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 98E1-D42D

Verzeichnis von C:\WINDOWS\Downloaded Program Files

14.02.2006 07:24 <DIR> .
14.02.2006 07:24 <DIR> ..
0 Datei(en) 0 Bytes

Anzahl der angezeigten Dateien:
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 3.261.661.184 Bytes frei



naja da sind die ergebnisse

[Montrey]

lol kann ich nur dazu sagen habe mich verlesen OK meine güte mach doch net gleich son drama raus !

[gipsy111]

avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Files to delete:

C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\system32\wsock32.sys

klicke die "grüne Ampel" im Avenger
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten.

**
poste das log vom avenger, was erscheint

________________________________________________________

[Halamacha]

bei avenger kam folgendes bei raus:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wcsyrfjp

*******************

Script file located at: \??\C:\WINDOWS\goknpxvi.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C:WINDOWS\system32\ckl009.dat for deletion
Deletion of file C:WINDOWS\system32\ckl009.dat failed!

Could not process line:
C:WINDOWS\system32\ckl009.dat
Status: 0xc000003a



Could not open file C:WINDOWS\system32\PrefStringBackup.INI for deletion
Deletion of file C:WINDOWS\system32\PrefStringBackup.INI failed!

Could not process line:
C:WINDOWS\system32\PrefStringBackup.INI
Status: 0xc000003a



Could not open file C:WINDOWS\system32\scvhost.exe for deletion
Deletion of file C:WINDOWS\system32\scvhost.exe failed!

Could not process line:
C:WINDOWS\system32\scvhost.exe
Status: 0xc000003a


Completed script processing.

*******************

Finished! Terminate.

[Halamacha]

30.06.2006 17:35 94.208 adminmgr.exe
24.06.2006 17:27 223 prs.dll

is das für mich. wenn ja was soll ich damit machen???

[Nikita]

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\adminmgr.exe
C:\WINDOWS\system32\prs.dll

poste die reporte

[Nikita]

wieso ist eine svchost.exe gefährlich habe 4stück im task drinne !

ol kann ich nur dazu sagen habe mich verlesen OK meine güte mach doch net gleich son drama raus !

Montrey

ich moechte deine unqualifizierten Beitraege nicht mehr in der Sicherheit sehen.
Verstanden ?
poste wo du willst, aber nicht mehr in der Sicherheit

[Halamacha]

ich kann nicht auf den link
, weil ich jetzt mit meinem notebook im internet bin und mit dem infizierten pc nicht mher reinkomme. gibt es dafür auch ein programm oder so???

[Nikita]

nun, ich empfehle dir, zu formatieren, der Rechner ist kompromitiert, jemand kann alles verfolgen, was du auf dem Rechner anstellst, also alle passworte, Tastenanschlaege, alle Seiten, auf denen du surfst.