1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

c:\windows\system32\scvhost.exe

Discussion in 'Windows XP / Server 2003/2008 / Vista' started by DanielDiana, Oct 3, 2006.

Thread Status:
Not open for further replies.
  1. DanielDiana

    DanielDiana ROM

    Hallo zusammen,

    nachdem ich den Virenscanner AVG laufen lassen habe, hat dieser c:\windows\system32\scvhost.exe einen Trojaner entdeckt und gelöscht. Nach Neustarten des PCs kommt jetzt folgende Fehlermeldung: "c:\windows\system32\scvhost.exe konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang."

    Was muß ich machen, damit Windows wieder normal bootet? Für Eure Hilfe wäre ich sehr dankbar!

    Viele Grüße
    Diana
     
    DanielDiana, Oct 3, 2006
    #1
  2. Ace Piet

    Ace Piet Computerversteher

    Benutze HJT (Link in der Best-Of), um speziell die HKLM/ HKCU \...\Run -Einträge zu fixen. - Vermutung: Es gibt dort noch Einträge, die den Schädling aufrufen wollen.

    Funktioniert das System nach Wegdrücken der Meldung ansonsten normal?
     
    Ace Piet, Oct 3, 2006
    #2
  3. DanielDiana

    DanielDiana ROM

    Hi Ace Piet,

    erstmal vielen dank für deine schnelle antwort! :-)
    nur leider bin ich nicht gerade ein computer-ass.. wo ist der link best-of, ist das der komplette name???? was ist mit hklm/HKCU gemeint. wenn ich die meldung wegrücke, funktioniert alles sehr, sehr langsam und internetverbindung bricht plötzlich ab. wär super, wenn du mir weiterhelfen könntest! :-))))
    diana
     
    DanielDiana, Oct 3, 2006
    #3
  4. Ace Piet

    Ace Piet Computerversteher

    > wo ist der link best-of,...
    *klick*-> Anfrage-> Best-of: Windows 2000 Windows XP ___(wenn es klemmt)

    Klicke auf die VIOLETTE Schrift 60 cm vor Dir...
    Rest lassen wir erstmal weg.

    Nächste Frage: Wenn Du die (Start-> Programme-> Zubehör) Eingabeaufforderung aufmachst und dort NETSTAT -ano eingibst, erscheint dort eine sehr lange Liste? - Könntest Du den Inhalt (wie man das macht -> Anfrage ROTE Schrift) hier posten?
     
    Ace Piet, Oct 3, 2006
    #4
  5. DanielDiana

    DanielDiana ROM

    pui, ok, das wäre geschafft....und nun?

    Microsoft Windows XP [Version 5.1.2600]
    (C) Copyright 1985-2001 Microsoft Corp.

    C:\Dokumente und Einstellungen\Dan>netstat -ano

    Aktive Verbindungen

    Proto Lokale Adresse Remoteadresse Status PID
    TCP 0.0.0.0:7 0.0.0.0:0 ABHÖREN 1796
    TCP 0.0.0.0:9 0.0.0.0:0 ABHÖREN 1796
    TCP 0.0.0.0:13 0.0.0.0:0 ABHÖREN 1796
    TCP 0.0.0.0:17 0.0.0.0:0 ABHÖREN 1796
    TCP 0.0.0.0:19 0.0.0.0:0 ABHÖREN 1796
    TCP 0.0.0.0:80 0.0.0.0:0 ABHÖREN 3884
    TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN 1176
    TCP 0.0.0.0:443 0.0.0.0:0 ABHÖREN 3884
    TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN 4
    TCP 0.0.0.0:1097 0.0.0.0:0 ABHÖREN 4020
    TCP 0.0.0.0:3260 0.0.0.0:0 ABHÖREN 1872
    TCP 0.0.0.0:3261 0.0.0.0:0 ABHÖREN 1872
    TCP 0.0.0.0:56200 0.0.0.0:0 ABHÖREN 3884
    TCP 84.60.215.213:1096 205.188.9.54:443 HERGESTELLT 480
    TCP 84.60.215.213:1102 205.188.250.25:80 HERGESTELLT 480
    TCP 84.60.215.213:1103 64.12.29.68:443 HERGESTELLT 480
    TCP 84.60.215.213:1105 205.188.250.25:80 HERGESTELLT 480
    TCP 84.60.215.213:1106 213.132.96.121:80 WARTEND 0
    TCP 84.60.215.213:1107 217.111.81.80:80 HERGESTELLT 2692
    TCP 84.60.215.213:1108 72.14.221.99:80 HERGESTELLT 2692
    TCP 84.60.215.213:1109 81.241.40.18:57015 HERGESTELLT 3884
    TCP 84.60.215.213:1110 217.111.81.80:80 HERGESTELLT 2692
    TCP 84.60.215.213:1111 217.111.81.80:80 HERGESTELLT 2692
    TCP 84.60.215.213:1114 64.236.47.69:80 HERGESTELLT 480
    TCP 84.60.215.213:1115 64.236.47.69:80 HERGESTELLT 480
    TCP 127.0.0.1:1050 127.0.0.1:1051 HERGESTELLT 2692
    TCP 127.0.0.1:1051 127.0.0.1:1050 HERGESTELLT 2692
    TCP 127.0.0.1:1092 0.0.0.0:0 ABHÖREN 480
    TCP 127.0.0.1:1092 127.0.0.1:1112 HERGESTELLT 480
    TCP 127.0.0.1:1112 127.0.0.1:1092 HERGESTELLT 480
    TCP 127.0.0.1:10110 0.0.0.0:0 ABHÖREN 1576
    TCP 127.0.0.1:12346 0.0.0.0:0 ABHÖREN 1640
    TCP 192.168.0.1:139 0.0.0.0:0 ABHÖREN 4
    TCP [::]:7 [::]:0 ABHÖREN 1796
    TCP [::]:9 [::]:0 ABHÖREN 1796
    TCP [::]:13 [::]:0 ABHÖREN 1796
    TCP [::]:17 [::]:0 ABHÖREN 1796
    TCP [::]:19 [::]:0 ABHÖREN 1796
    TCP [::]:135 [::]:0 ABHÖREN 1176
    UDP 0.0.0.0:7 *:* 1796
    UDP 0.0.0.0:9 *:* 1796
    UDP 0.0.0.0:13 *:* 1796
    UDP 0.0.0.0:17 *:* 1796
    UDP 0.0.0.0:19 *:* 1796
    UDP 0.0.0.0:161 *:* 1836
    UDP 0.0.0.0:445 *:* 4
    UDP 0.0.0.0:1045 *:* 1256
    UDP 0.0.0.0:1070 *:* 1256
    UDP 0.0.0.0:1071 *:* 1256
    UDP 0.0.0.0:1072 *:* 1256
    UDP 0.0.0.0:1073 *:* 1256
    UDP 0.0.0.0:9370 *:* 4020
    UDP 0.0.0.0:56200 *:* 3884
    UDP 84.60.215.213:123 *:* 1220
    UDP 84.60.215.213:520 *:* 1220
    UDP 84.60.215.213:1900 *:* 1304
    UDP 127.0.0.1:123 *:* 1220
    UDP 127.0.0.1:1026 *:* 1640
    UDP 127.0.0.1:1028 *:* 1220
    UDP 127.0.0.1:1029 *:* 1220
    UDP 127.0.0.1:1093 *:* 480
    UDP 127.0.0.1:1104 *:* 3884
    UDP 127.0.0.1:1900 *:* 1304
    UDP 192.168.0.1:123 *:* 1220
    UDP 192.168.0.1:137 *:* 4
    UDP 192.168.0.1:138 *:* 4
    UDP 192.168.0.1:520 *:* 1220
    UDP 192.168.0.1:1900 *:* 1304
    UDP [::]:7 *:* 1796
    UDP [::]:9 *:* 1796
    UDP [::]:13 *:* 1796
    UDP [::]:17 *:* 1796
    UDP [::]:19 *:* 1796
     
    DanielDiana, Oct 3, 2006
    #5
  6. Ace Piet

    Ace Piet Computerversteher

    Ich hatte es nicht ausdrücklich gesagt bzw. vergessen... Bitte bei diesem Vorgang ALLE Browser-Fenster VORHER schliessen. - Bitte nochmal.
     
    Ace Piet, Oct 3, 2006
    #6
  7. DanielDiana

    DanielDiana ROM

    Microsoft Windows XP [Version 5.1.2600]
    (C) Copyright 1985-2001 Microsoft Corp.

    C:\Dokumente und Einstellungen\Dan>^netstat -ano

    Aktive Verbindungen

    Proto Lokale Adresse Remoteadresse Status PID
    TCP 0.0.0.0:7 0.0.0.0:0 ABHÖREN 1796
    TCP 0.0.0.0:9 0.0.0.0:0 ABHÖREN 1796
    TCP 0.0.0.0:13 0.0.0.0:0 ABHÖREN 1796
    TCP 0.0.0.0:17 0.0.0.0:0 ABHÖREN 1796
    TCP 0.0.0.0:19 0.0.0.0:0 ABHÖREN 1796
    TCP 0.0.0.0:80 0.0.0.0:0 ABHÖREN 3884
    TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN 1176
    TCP 0.0.0.0:443 0.0.0.0:0 ABHÖREN 3884
    TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN 4
    TCP 0.0.0.0:1097 0.0.0.0:0 ABHÖREN 4020
    TCP 0.0.0.0:3260 0.0.0.0:0 ABHÖREN 1872
    TCP 0.0.0.0:3261 0.0.0.0:0 ABHÖREN 1872
    TCP 0.0.0.0:56200 0.0.0.0:0 ABHÖREN 3884
    TCP 84.60.215.213:1172 88.144.50.202:40971 HERGESTELLT 3884
    TCP 84.60.215.213:1258 205.188.9.54:443 HERGESTELLT 480
    TCP 84.60.215.213:1808 72.14.221.104:80 WARTEND 0
    TCP 84.60.215.213:1809 72.14.221.104:80 WARTEND 0
    TCP 84.60.215.213:1823 209.85.129.147:80 WARTEND 0
    TCP 84.60.215.213:1827 145.253.66.24:80 WARTEND 0
    TCP 127.0.0.1:1092 0.0.0.0:0 ABHÖREN 480
    TCP 127.0.0.1:1092 127.0.0.1:1112 HERGESTELLT 480
    TCP 127.0.0.1:1112 127.0.0.1:1092 HERGESTELLT 480
    TCP 127.0.0.1:10110 0.0.0.0:0 ABHÖREN 1576
    TCP 127.0.0.1:12346 0.0.0.0:0 ABHÖREN 1640
    TCP 192.168.0.1:139 0.0.0.0:0 ABHÖREN 4
    TCP [::]:7 [::]:0 ABHÖREN 1796
    TCP [::]:9 [::]:0 ABHÖREN 1796
    TCP [::]:13 [::]:0 ABHÖREN 1796
    TCP [::]:17 [::]:0 ABHÖREN 1796
    TCP [::]:19 [::]:0 ABHÖREN 1796
    TCP [::]:135 [::]:0 ABHÖREN 1176
    UDP 0.0.0.0:7 *:* 1796
    UDP 0.0.0.0:9 *:* 1796
    UDP 0.0.0.0:13 *:* 1796
    UDP 0.0.0.0:17 *:* 1796
    UDP 0.0.0.0:19 *:* 1796
    UDP 0.0.0.0:161 *:* 1836
    UDP 0.0.0.0:445 *:* 4
    UDP 0.0.0.0:1045 *:* 1256
    UDP 0.0.0.0:1070 *:* 1256
    UDP 0.0.0.0:1071 *:* 1256
    UDP 0.0.0.0:1072 *:* 1256
    UDP 0.0.0.0:1073 *:* 1256
    UDP 0.0.0.0:9370 *:* 4020
    UDP 0.0.0.0:56200 *:* 3884
    UDP 84.60.215.213:123 *:* 1220
    UDP 84.60.215.213:520 *:* 1220
    UDP 84.60.215.213:1900 *:* 1304
    UDP 127.0.0.1:123 *:* 1220
    UDP 127.0.0.1:1026 *:* 1640
    UDP 127.0.0.1:1028 *:* 1220
    UDP 127.0.0.1:1029 *:* 1220
    UDP 127.0.0.1:1093 *:* 480
    UDP 127.0.0.1:1104 *:* 3884
    UDP 127.0.0.1:1900 *:* 1304
    UDP 192.168.0.1:123 *:* 1220
    UDP 192.168.0.1:137 *:* 4
    UDP 192.168.0.1:138 *:* 4
    UDP 192.168.0.1:520 *:* 1220
    UDP 192.168.0.1:1900 *:* 1304
    UDP [::]:7 *:* 1796
    UDP [::]:9 *:* 1796
    UDP [::]:13 *:* 1796
    UDP [::]:17 *:* 1796
    UDP [::]:19 *:* 1796

    C:\Dokumente und Einstellungen\Dan>^X
     
    DanielDiana, Oct 3, 2006
    #7
  8. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Wolfgang77, Oct 3, 2006
    #8
  9. Ace Piet

    Ace Piet Computerversteher

    Dein Provider ist AOL / Arcor?
    Wie gesagt: Ich sagte ALLE zu (auch Google).

    Festgestellt
    GB-Verbindung: 88.144.50.202 (Tauschpartner?) *g*
    AOL: 205.188.0.0/16 US
    Google: 72.14.221.104 + 209.85.129.147
    Arcor-Akamai.net 145.253.66.24

    Daher Vermutung: Es gibt weitere "Gäste"...

    Zusätzlich unnütze Dienste Echo, Discard, Daytime, Quote of the Day, Character Generator. - Du solltest die gelisteten PIDs (letzte Nr.) checken, ob das alles "gewollte" Programme sind.

    Ob das System sauber oder zu retten ist... 20-90 :heul:
     
    Ace Piet, Oct 4, 2006
    #9
  10. Oldmax

    Oldmax Byte

    Dein Virenscanner hat den Virus von dem Du anfangs gesprochen hast ja schon entfernt. Jetzt brauchst Du aus der Registrierung eigentlich nur noch den Aufruf entfernen.
    Start-->Ausführen-->Regedit
    Bearbeiten-->Suchen-->"scvhost.exe"
    Wenn Du den Eintrag gefunden hast, entferne die Zeile in der "scvhost.exe" steht einfach.
    Dann sollte auf jeden Fall die Fehlermeldung beim Start verschwunden sein.
     
    Oldmax, Oct 4, 2006
    #10
  11. buddy2002

    buddy2002 Megabyte

    Ich bin da auch skeptisch, ob das in diesem Fall schon reicht.Da sind doch sehr viele Ports offen, die nicht offen sein sollten.
    Eine Prozess-Analyse ist hier dringend notwendig; z.B. auch mit HijackThis.

    Es handelt sich hier ja z.T. um Listening Ports.Ist denn die XP-Firewall überhaupt aktiviert ?
     
    buddy2002, Oct 4, 2006
    #11
  12. Ace Piet

    Ace Piet Computerversteher

    :muhaha:
    Hat etwa die Qualität von "machst Du ihm wieder die Klüsen auf, dann lebt er wieder" - SCNR+OT +im nachhinein. - Scheinbar die geballte Erfahrung von 6 Jahren... - Keine Ahnung, was das erzeugt, vermutlich so alle 2 Jahre der "Jetzt muss was raus"-Virus.
    :muhaha:
     
    Ace Piet, Oct 5, 2006
    #12
Thread Status:
Not open for further replies.

Share This Page