Irgendetwas eingefangen, wie fixe ich das?

Hallo zusammen,

ich habe mir da etwas eingefangen. HijackThis sagt nach der Auswertung:

C:\WINNT\system32\svhost.exe Mit einem Antivirenscanner prüfen Böse
Böse Laufender Prozess. (svhost.exe)
Added as result of a RBOT.QG worm infection
Es liegt noch keine Besucherbewertung vor! Dies ist ein Böser Prozess! Den Prozess sollten Sie fixen und manuell löschen!

O4 - HKLM\..\Run: [Windows Update] C:\WINNT\system32\svhost.exe Böse
Böse Added as result of a W32/Sdbot-PF worm infection
Trefferquote: 87,14 % (Resultate)
Es liegt noch keine Besucherbewertung vor! Unbedingt fixen!

O4 - HKCU\..\Run: [win.com] C:\WINNT\system32\win.com Eventuell Böse
Eventuell Böse
Trefferquote: 0,00 % (Resultate)
Es liegt noch keine Besucherbewertung vor! Der Programmname scheint der gleiche zu sein, wie der Dateiname. Oft wird das von Trojanern herbeigeführt. Um ganz sicher zu sein, sollten Sie diese Datei hier überprüfen.

Wie fixe ich denn diese Prozesse? Beenden geht nicht im Windows Betrieb, wenn ich sie im angesicherten Modus lösche, sind Sie beim nächsten Start wieder da. Mein Virenscanner findet nichts!
Bitte nicht den Vorschlag formatieren und W2k neu aufspielen, das kann ich alleine.

 

Q: Was macht die svchost.exe?

"Svchost.exe" ist ein generischer Hostprozessname für Dienste, die aus Dynamic-Link Libraries heraus ausgeführt werden. Die Datei "Svchost.exe" befindet sich im Ordner "%SystemRoot%\System32". Beim Starten überprüft "Svchost.exe" den auf Dienste bezogenen Abschnitt der Registrierung, um eine Liste von Diensten zusammenzustellen, die geladen werden müssen. Es können gleichzeitig mehrere Instanzen von "Svchost.exe" ausgeführt werden. Jede Svchost-Sitzung kann eine eigene Gruppe von Diensten enthalten, sodass in Abhängigkeit davon, wie und wo "Svchost.exe" gestartet wird, verschiedene Dienste ausgeführt werden können. Dies sorgt für eine bessere Kontrolle und ein einfacheres Debuggen.

Svchost.exe-Gruppen sind in folgendem Registrierungsschlüssel angegeben:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost

Jeder Wert unter diesem Schlüssel repräsentiert eine separate Svchost-Gruppe und wird als separate Instanz angezeigt, wenn Sie aktive Prozesse einsehen. Alle Werte sind REG_MULTI_SZ-Werte. Sie enthalten die Dienste, die unter der jeweiligen Svchost-Gruppe ausgeführt werden. Jede Svchost-Gruppe kann einen oder mehrere Dienstnamen enthalten, die aus dem folgenden Registrierungsschlüssel, dessen Schlüssel Parameters einen Wert des Typs ServiceDLL beinhaltet, extrahiert werden.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service

Quelle: Chip-Forum

 

Hallo,

Für das Protokoll, Vorschlag erteilt.

@Sele
genauer lesen:
C:\WINNT\system32\svhost.exe

Grüße Jasager

 

Asche auf's greise Haupt streu.

 

Beim nächsten Neuaufsetzen Freigaben deaktivieren. http://www.sophos.de/security/analyses/w32rbotqg.html

 

OK, ich habs neu aufgesetzt, dank Acrions True Image (war mal auf einer Heft-CD) eine Sache von 12 Minuten.