seltsamer dienst "system windows" / svchost.exe infiziert?

T

the_plague

Gast
#1
Hallo,
vor schon etwas längerer zeit fand ich eine solche Fehlermeldung in der Ereignisanzeige:

"Der Dienst "System Windows" wurde mit folgendem Fehler beendet:
Das angegebene Modul wurde nicht gefunden. "

Daraufhin bin ich neugierig geworden, von dem Dienst hatte ich noch nie was gehört. Und tatsächlich auch google und verschiedene computer-hilfs foren spuckten nichts zu dem dienst aus.

Nun, der dienst ist beendet, lässt sich auch nicht starten, eben wegen dem selben Fehler, dass er das Modul nicht findet. Der Pfad ist angeblich:"C:\WINXP\system32\svchost.exe -k netsvcs"
Daraufhin checkte ich meine svchost.exe mit Hilfe des Tools von Neuber "SvchostAnalyzer". Der gab die Warnung aus, dass dieser Dienst nicht zu windows gehört, außerdem verriet er mir den eigentlichen namen des dienstes "pqvrr", und dass die zugehörige dll "pdrlzfkb.dll" nicht gefunden werden kann.

Jetzt würde ich gerne diesen Dienst komplett löschen, das war bisher aber nicht möglich. Ich probierte es mit dem nt service manager 1.6 und manuell über die regestry. Der Schlüssel, sowie die Werte können nicht gelöscht werden. Hab alle Berechtigungen für mich auf vollzugriff gestellt, was schon mal dazu geführt hat, dass ich die Werte und Unterschlüssel sehen konnte, löschen kann man "pqvrr" aber trotzdem nicht.
Hab später noch den Tip bekommen, es mit dem Programm "NtRegEdit" zu probieren. Leider passiert rein gar nix, wenn ich den Schlüssel löschen will, nicht mal eine Fehlermeldung.

Hoffe hier kann mir wer helfen, hab ehrlich gesagt, gar keinen Bock, zu Formatieren.
Danke,
Marcel
Ergänzung ()

sry, da hab ich etwas vorschnell gepostet. hab grad nochmal probiert, die schlüssel zu löschen und tatsächlich, es funktionierte, warum auch immer. möglicherweise weil ich vorher das prorgramm nt reg opt hab drüber laufen lassen.
Dienst ist jetzt auf jeden Fall nicht mehr aufzufinden, weder in der Dienstübersicht noch in der Ereignisanzeige.

danke trotzdem, fürs lesen!
 
Dabei seit
Nov. 2003
Beiträge
9.498
#3
Der Dienst pqvrr ist kein typischer Dienst von bekannten und seltenen programmen. Viel mehr sieht es nach einem Keylogger und Passwortknacker aus. Dabei kann eine svchost.exe erstellt worden sein, die sich als Windows Dienst tarnt, aber keiner ist.
Ich empfehle dir nen guten Virenscanner und nen Malware Killer ala Malwarebytes AntiMalware. Sollte damit eigentlich gefunden und gekillt werden.
Wenn nicht, darfst du dein Windows definitiv platt machen und neu installieren. Ein kompromitiertes System kann im Zweifelsfall immer eine Hintertür offen haben und eine Virenschleuder fürs Internet darstellen.

lg fire
 

fischi1305

Lt. Commander
Dabei seit
Aug. 2009
Beiträge
1.895
#5
Man kann Dienste von Programmen, die diese hinterlassen (was eigentlich nicht der Fall sein sollte) aus der Liste der Dienste löschen. Hierzu muss man die Eigenschaften zu dem Dienst unter die Lupte nehmen und dort den Pfad zur (Dienst)-Datei notieren.
Danach mit regedit die Registry starten und den Dateinamen unter

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

suchen, indem man den Schlüssel markiert und "Suchen" auswählt.

Wird ein Eintrag unter

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gesucht er_Dienst

gefunden, so ist

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gesucht er_Dienst

zu löschen.

Nach einem Neustart ist der Dienst aus der Liste verschwunden.

P.S. Ist aus dem Netz,ist aber ein guter Tipp
 

fischi1305

Lt. Commander
Dabei seit
Aug. 2009
Beiträge
1.895
#7
um mal eins klar zu stellen,das ist kein Blödsinn,sondern auf diese Art habe ich, nach dem ich den Hoppelhasen entfernen konnte, auch diesen Dienst gefunden der dazu gehörte und ihn löschen können,ich muß nicht immer gleich format c machen, aber dieses Thema ist schon durch gekaut von anderen die mich persönlich angegriffen haben,jeder hat so seine Art mit Hoppelhasen um zu gehen,ein Versuch ist es allemal wert
 
Zuletzt bearbeitet: (verschrieben)
Top