svchost.exe virus Worm/Agobot 52505

Hallo Warsgof,

Du mußt neu installieren!!! (Lach, kicher).
Im Ernst: Eventuell schon, aber vielleicht hilft Dir dies: http://primehostreviews.com/delete-agobot.html

BaBa

Lincoln

Sauge http://vil.nai.com/vil/stinger/ das kanst du auch auf Diskette abspeichern

Dann im Abgesicherten Modus starten und en Scan laufen lassen

Beachte!!
Systemwiederherstellung deaktivieren!!

Sauge noch Ad Aware oder Spybot, Aktualisieren ebenfalls laufen lassen!!

http://www.computerhilfen.de/hilfen-17-30578-0.html

hmm hat leida nichts geholfen die datei wird zwar gelöscht aba beim nächstem neustart wird der virus wieda angezeigt!! und formatieren bringt leida nichts weil der gleiche virus war schon vorher da!!
hat denn niemand einen tipp?? :'(

Bist du sicher, dass du einen Virus und nicht einen Windows-Dienst killen willst? Ich weiß nicht, ob du dich da nur verschrieben hast. Aber svchost.exe gehört zu Windows. Musst du mal googeln. Der Virus trägt sich unter svhost.exe in das System ein. Siehe auch hier:
http://www.computerhilfen.de/hilfen-4-73065-0.html#331747

123 hat schon recht, aber fallst du dich wirklich verschrieben hast lade dir dies runter nach einer kostenlose registrierung und aktualisierung (online) das tool benutzen http://www.emsisoft.de/de/software/free/ das tool a² ist ein guter virenscanner (würmer u. trojaner) u. entfernen   

ach mensch ich bin langsam echt am verzweifeln gibt es den keinen der mir dabei helfen kann,da ich das problem ja schon vorher hatte!!nutzt formatieren auch nichts und sry leute hab mich vertan die ganze zeit diese datei heißt scvhost bei hijackthis !! ebenfalls falls habe ich geshen dass sich bei jedem start der cmd öffnet sich wieder schließt und dann kommt eine fehlermeldung!! ... musste geschloßen werden bla bla bla!falls es jemandem hilft..
aba vielen dank für die vielen antworten!!
würde mich über mehr freuen
MFG
Warsgof

Na dann stell doch mal dein Hijackhis-Log hier rein.

Ansonsten mal das hier ausführen:
http://www.computerhilfen.de/hilfen-17-73336-0.html

Gruß

Logfile of HijackThis v1.99.1
Scan saved at 17:09:09, on 12.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
G:\Programme\Spybot - Search & Destroy\TeaTimer.exe
G:\Programme\Valve\Steam\Steam.exe
C:\Programme\a2\a2guard.exe
C:\Programme\AceLogix\Free Ram Optimizer\fro.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\scvhost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Yassine\Desktop\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe
O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] G:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Steam] G:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "G:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\Run: [Free Ram Optimizer] C:\Programme\AceLogix\Free Ram Optimizer\fro.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

Schau im abgesicherten-Modus ob die Datei im Task-Manager oder unter den Diensten zu sehen ist und ggf beenden/anhalten wenns geht.

Dienste findest unter start->einstellungen->Systemsteuereung->Verwaltung

Dann die beiden Einträge fixen:
O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe
O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe

Danach die Datei (C:\WINDOWS\System32\scvhost.exe) löschen und neustarten und in Hijackthis nochmal kontrollieren ob die Einträge wieder auftauchen.

Wenn du nicht weist was es genau für ein Schädling ist die Datei nur umbenennen und hier prüfen:
http://www.kaspersky.com/de/remoteviruschk.html

Ansonsten das unter dem Link mit Escan machen.

Gruß

wie ich schon erwartet hatte hat nichts funktioniert!! echt dummm!!vielen dank dass ihr euch so viel mühe gegeben habt!! und das mit dem escan hat auch nicht gefunzt der virus wird imma wieder angezeit falls noch irgendjemand ne idee hat die kann er mir dann ja schreiben danke und chiao!

Ja was heisst escan hat nich funktioniert?

Was hat er gefunden?
Wo ist die Escan-check auswertung die du posten solltest?

Gruß

hmm sry aba ich hab jetzt genug und habe mein computer schon wieder formatiert und 
dabei meine internetverbindung getrennt. jetzt keine viren und alles wieder in ordnung! sry dass ich eure zeit verschwendet hab!! aba dafür weiß ich jetzt viel mehr!
THX
MFG
Warsgof

Hallo zusammen,

Ich habe genau das gleiche Problem, wie oben beschrieben. Es handelt sich auch immer wieder um diese scvhost.exe mit dem Agobot.52505, die Einträge in der Registry, kann ich auch löschen, aber dummerweise ist das Zeug nach jedem Neustart wieder da.
Jetzt will ich nun mal wissen, ob hier dieses Problem noch niemand zuvor gahabt UND gelöst hat, weil auf formatieren usw. hab ich keinen Bock.

Wenn jemand noch dieses HijackThis Zeug braucht, kann ichs ja dann mal auf Wunsch posten. Steht aber das gleiche drin bei Warsgof.

Manchmal kommt auch eine Fehlermeldung von AntiVir von einer Datei namens bleh.exe auch mit dem Agobot, scheint eher harmlos, weil ausgehen tut alles von dieser scvhost.exe.


Vielen Dank schon mal im voraus.
MfG
Tommy

joa das mit bleh.exe genau identisch!!

Ich hatte genau das gleiche Problem. Hab Antivir durchlaufen lassen, alles gelöscht, trotzdem war bei neustart alles wieder da. Die bleh.exe konnte ich löschen wie ich will, nix zu machen. Mit Hijackthis die "RUN"- Einträge gelöscht... nach dem Reboot waren die einträge wieder da. Die Registry Einträge, die ich laut einigen Seiten manuell entfernen sollte waren bei mir nicht vorhanden. Adaware, Pestpatrol, alles ohne wirkung. Schließlich hats dann mit Kasperky AntiVirus geklappt. Nach einem Festplattenscan mit der aktuellsten Version von Antivir hat Kaspersky immernoch 9 infizierte Dateien gefunden. Nach dem Löschen durch Kaspersky hab ich die "Run"-Einträge mit hijackthis erneut gelöscht.. und siehe da: Alles CLEAN! Ich hab die Seuche seit Wochen gehabt und hab nirgendwo eine Lösung gefunden, die nach dem Reboot funktioniert hat. Endlich bin ich den Mist los.

Also, haut Euch Kaspersky AntiVirus drauf (gibts bei Chip auf der CD der aktuellen Ausgabe), Löscht alle infizierten Dateien und danach fixt Ihr mit Hijackthis die Einträge, die so aussehen:

HKLM\..\Run: [Configuration Loader] scvhost.exe
HKLM\..\RunServices: [Configuration Loader] scvhost.exe

Ich hoffe es hilft Euch!!

MfG LX

Hi
Geh mal:
Start-->Ausführen-->msconfig eingeben-->Dienste-->und dan den Eintrag entfernen.


Mit freundlichen Grüßen
misskissyou

habe das selbe problem auch und kann es nicht lösen.. ich könnte heulen

Hi
Der trick is die system32.dll zu löschen!klingt zwar kritisch, is aber kein problem.Dann noch einmal hijackthis drüber und gut is!


Mit freundlichen Grüßen
misskissyou

Hi
Wenn das auch nicht geht versuch mal mit diesen Tool,den findest du unter :
http://www.bitdefender.de/html/free_tools.php?menu_id=20&letter=&page=1

Wähle aus der Liste dein Wurm und Download !


Mit freundlichen Grüßen
misskissyou

Logfile of HijackThis v1.99.1
Scan saved at 02:19:53, on 28.12.2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\System32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\PROGRA~1\DSLSPE~1\SpeedMgr.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\norton\navapsvc.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Messenger\msmsgs.exe
E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
E:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
E:\Dokumente und Einstellungen\x2x\Desktop\AntiKowBot.exe
E:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Dokumente und Einstellungen\x2x\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\norton\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\norton\NavShExt.dll
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ToADiMon.exe] E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ccApp] E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] E:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Configuration Loader] 1
O4 - HKLM\..\RunServices: [ms ownage] winPE.exe
O4 - HKLM\..\RunServices: [Configuration Loader] ??
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/int_ver32b.CAB
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.pro-support.de/scan/Msie/bitdefender.cab
O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} (Navigator Class) - http://www.nutzwerk.de/control/NutzNavi.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DAA039A-2BAE-4053-B0AB-B85C119A403F}: NameServer = 217.237.148.33 217.237.151.33
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\norton\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - E:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe




Könntet ihr mir helfen hab den W32.Bleshare virus und das in der rundll. und scvost.exe!

Hallo habe eine Lösung für das svchost.exe, copy.exe und host.exe Problem gefunden
Viren / Trojaner Infektion W32:Blast
Hier die super Anleitung
http://cgi.ebay.de/ws/eBayISAPI.dll?ViewItem&item=260526882344&ssPageName=STRK:MESELX:IT

Beste Grüße

Noch bescheuerter gehts wohl nicht mehr 

Was is das fürn honk

Die Anleitung hat übrigends schon jemand über google gefunden. Gratis und ist totaler ** Netiquette! **.