svchost.exe in Contacts

[hyonu]

Hallo..

Mein Avira AntiVir Guard meckert ständig über die svchost.exe die sich im c:\users\name\contacts befindet. Löschen kann man sie auch mit adminrechten nicht. Nun hat AntiVir das Ding geblockt.

Ich weiss, dass die svchost.exe eigentlich ein Systemprogramm ist. Doch warum Avira ständig, liegt es nun, weil es im falschen Ordner ist?

Weiss leider nicht was ich machen soll
Die einzige Lösung scheint, den AntiVir Guard abzuschalten damit die ganzen Meldungen nicht kommen

..

 

[Engaged]

antivir abstellen o0
also mach mal mit hijackthis ne logfile und sende sie hoch bei www.hijackthis.de dann wirste ja sehen ob sie n virus ist.... ....desweiteren würde ich wenn du antivir nicht traus mal malwarebytes durch laufen lassen!
das meckert eigentlich nich bei svhost mir is kein fall bekannt o0
sollte es nach mehreren tests die negativ sind immer noch meckern kannste die entsprechende datei in den ativir einstellungen eintragen so das er sie nicht mher scannt....
...das würde ich aber nur bei selber runter geladenen sachen empfehlen die aufspringen wo du aber weist das is nix

 

[kokablue]

c:\users\name\contacts

Da sollte eigentlich keine svchost zu finden sein.
Das deutet auf einen Virus oder ähnliches hin.

 

[smoe82]

Hallo..

Mein Avira AntiVir Guard meckert ständig über die svchost.exe die sich im c:\users\name\contacts befindet. Löschen kann man sie auch mit adminrechten nicht. Nun hat AntiVir das Ding geblockt.

Das Original findest Du unter c:\windows\system32. Es ist ausgeschlossen, dass es sich bei Deiner Datei um eine Systemdatei handelt.

-> rechte Maustaste, Eigenschaften, Dateiinfo -> was steht da?

Ich weiss, dass die svchost.exe eigentlich ein Systemprogramm ist. Doch warum Avira ständig, liegt es nun, weil es im falschen Ordner ist?

Wahrscheinlich wegen der Avira Heuristik. Oder wird KONKRET ein Virus/Trojaner/Malware -Befall angezeigt?

Weiss leider nicht was ich machen soll
Die einzige Lösung scheint, den AntiVir Guard abzuschalten damit die ganzen Meldungen nicht kommen
..

Auf keinen Fall AV abschalten! Du kannst die Datei nicht löschen, da sie exklusiv gesperrt ist. Das heißt: da dieses Programm wahrscheinlich als Dienst läuft, bleibt die Datei immer gesperrt.

Meine Vorschläge:

Gehe nach Systemsteuerung / verwaltung / dienste. Läuft dort ein Dienst, der keine Beschreibung hat und bei dem alle Funktionen abgeschaltet sind, hast Du definitv einen Schädling drauf (wahrscheinlich TR/Meredrop 57x).

Lade Dir das Programm "Startup Control Panel" von Mike Lin. Dort schaust Du unter "Startup (user)", "HKLM" etc. ob Deine falsche SVCHOST dort geladen wird. Wenn ja, löscht Du den Eintrag (Achtung, nur die "falschen" svchost einträge (auf Pfad achten) löschen).

Anschließend kannst Du den PC neustarten. Sollte Dein Rechner noch nicht komplett verseucht sein, ist der Schädling nun inaktiv und Du kannst die Datei löschen. Führe anschließend einen Systemcheck durch.



Die allerbeste Lösung ist aber folgende: Auf jeden Fall "SCP" von M. Lin runterladen und den Autostart Eintrag löschen. Anschließend lädst Du Dir die "Ultimate Boot CD" (Windows Version!). Öffne das CD Image mit "Iso Buster" und kopiere Avira Commandline Scanner und F-Prot CMD-Scanner in eigene Ordner innerhalb des Images. Vergiss nicht, die VDF-Dateien bei Avira durch die aktualisierten von Deinem System zu ersetzen (die sind beim CMD-Scanner meist veraltet, autoupdate funzt bei Avira CMD nicht richtig; F-Prot kann das mit /u option). Nun brennst Du die CD und bootest davon. Das dauert leider ne Weile, anschließend bekommst Du eine Art Frontend angezeigt. Dort hangelst Du Dich auf die Kommandozeile vor und wechselst in den AviraOrdner auf der CD. Mache keinen Full scan, da der dann erstmal die CD durchsucht und allein dafür ne Stunde braucht. Mit "avscan.exe --help" erhälst Du die Befehlübersicht.


Durch diese Methode findest Du auch mit Rootkit versteckte Schädlinge relativ zuverlässig. Auf sogenannte Rootkit scanner würde ich mich nicht verlassen (jedenfalls nicht die "online" laufen, also auf dem infizierten System). Einzige Ausnahme ist das MS-Tool (ich glaube "Rootkit Revealer"). Der entfernt zwar keine RKs, zeigt aber kritische Einträge im System UND: Dein Avira Guard sollte bei versteckten Objekten dann anschlagen (denn der Revealer liest ja versteckte Objekte), kann sie aber wahrscheinlich nicht löschen oder verschieben.



Hoffe, Dir geholfen zu haben

 

[hyonu]

Wow.. das noch mal jemand in diesen thread schreibt hätt ich nicht gedacht.
Was eine Antwort bzw. Hilfe.. beeindruckend. Danke

Lustigerweise habe ich die svchost in dem Kontake Ordner bis jetzt einfach ignoriert und den AntiVir Guard immer abgeschaltet weil er andauernd gemeckert hat.

Nachdem ich deinen Post gelesen hab.. Hab ich natürlich erstmal in "Dienste" nachgeschaut.. alle Dienste hatten Beschreibungen. Dann hab ich mir die Eigenschaften der svchost.exe angeschaut.. nix besonderes (für mein Auge). .exe Anwendung. Sprache spanisch?! seltsam naja..

Hab dann die svchost gelöscht.. und es klappte.
Hat sonst nie geklappt.. aber eben gings komischerweise.. danach papierkorb geleert, fertig.

Obs wirklich ein Virus.. Trojaner etc war.. wer weiss ^^

 

[smoe82]

Wow.. das noch mal jemand in diesen thread schreibt hätt ich nicht gedacht.
Was eine Antwort bzw. Hilfe.. beeindruckend. Danke

Mir war grad so ^^

Lustigerweise habe ich die svchost in dem Kontake Ordner bis jetzt einfach ignoriert und den AntiVir Guard immer abgeschaltet weil er andauernd gemeckert hat.

Sowas sollte man niemals ignorieren!

Nachdem ich deinen Post gelesen hab.. Hab ich natürlich erstmal in "Dienste" nachgeschaut.. alle Dienste hatten Beschreibungen.

Das ist schonmal gut. Du solltest TROTZDEM auf jeden Fall Deine Startup-Einträge checken, kann sein dass der Schädling sich einfach kopiert hat und die neue Datei als Dienst registriert hat. Das würde auch erklären, warum sich diese Datei plötzlich löschen ließ.

Dann hab ich mir die Eigenschaften der svchost.exe angeschaut.. nix besonderes (für mein Auge). .exe Anwendung. Sprache spanisch?! seltsam naja..

Naja, ein bißchen Logik habe ich schon vorrausgesetzt. Nur mal so als Vergleich, ich hab unten ein Bild angehangen, wie svchost aussehen müsste (hättest ja mal mit dem Original aus c:\windoof\system32 vergleichen können) in der Beschreibung. MS-Programme sind IMMER akkurat "beschriftet" und eigentlich auch immer in Englisch.

(ah ja, sry, Du solltest bei "Version" schauen und nicht bei "Dateiinfo")

Hab dann die svchost gelöscht.. und es klappte.

Wenn Du noch eine Kopie der Datei hast / irgendwo findest, lade sie bitte bei www.virustotal.com hoch und poste hier mal das Ergebnis *interessiert_bin*

Hat sonst nie geklappt.. aber eben gings komischerweise.. danach papierkorb geleert, fertig.

Obs wirklich ein Virus.. Trojaner etc war.. wer weiss ^^

Das ist nicht "komisch", das kann durchaus eine Strategie sein. Im schlimmsten Fall hast Du ein Rootkit und dieser Alarm ist nur aufgetaucht, weil die Datei nicht sauber durch den Rootkit versteckt wurde. Durch Löschung der Datei weißt Du nicht, ob nicht noch mehr Schädlinge auf Deinem System versteckt sind.

So ein Rootkit lädt ja verschiedenen Schadcode, je nachdem was das Herrchen bei Dir erwartet zu finden. Zum Beispiel Keylogger fürs Homebanking, Stealer für Onlinegames, SMTP-Clients für Spamversand, Bot-Netz-Client und und und.

Deine svchost kann nur EIN Programm aus einem ganzen Repertoir gewesen sein!





edit: Wenn Du Dir nicht sicher bist und noch mehr Anleitung brauchst, dann mach mal bitte Screenshots Deiner Dienste (also die Übersicht, es sollte Name, ein Teil Beschreibung und Starttyp / Status zu sehen sein). Lade Dir außerdem "Startup Control Panel" und mache Screenshots der Autostarteinträge (bitte Pfade sichtbar machen). Zusätzliche kannst Du noch Hijackthis laufen lassen und das Protokoll anhängen.

Nur so kann ich Dir wirklich helfen :-)