[Microsoft Updates] svehost.exe <- äußerst schädlich ? warum ?

Hier meine log von Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 18:58:28, on 15.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\system32\PnkBstrA.exe
D:\WINDOWS\system32\PnkBstrB.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\RTHDCPL.EXE
D:\WINDOWS\system32\svehost.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\Internet Explorer\iexplore.exe
d:\programme\avira\antivir personaledition classic\avcenter.exe
D:\Programme\Winamp\winamp.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Programme\WinRAR\WinRAR.exe
D:\DOKUME~1\GNYCE~1.GNY\LOKALE~1\Temp\Rar$EX00.453 \HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Microsoft Updates] svehost.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [Microsoft Updates] svehost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{21DBE278-E57C-41B8-9E7C-C2BBD16F7426}: NameServer = 194.97.173.124,194.97.173.125
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - D:\WINDOWS\system32\PnkBstrB.exe


Virus wird in D:\WINDOWS\system32\tuvsSmNg.dll gefunden

Danke im Voraus

Es wird zeit den Pc zu formatieren, die svehost.exe ist nicht die einzigste Schädliche Datei auf dem PC!!

Die Svehost.exe ist ein Wurm mit backdoor Funktionalität.

Deswegen, formatieren und neuinstallieren!

Ich habe vor genau 1 Woche meine (betriebsneue Festplatte) formatiert und Windows neu draufgespielt.. warum sollt eich das nochmals machen. Es gibt doch sicher i.eine andere Lösung. Ich hab ca. 120Gb die ich bahalten will.. die muss ich wieda auf meiner 2 Platte machen, das dauert ja ewigkeiten.
Ich Poste gleich mal alle logs von
- Malwarebytes
- V/W-SCAN
- Kaspersky (nur XP User)
- HijackThis
 

Hör zu du hast sicher nicht nur einen backdoorer auf deinem PC.

Kannst aber mal die Reports posten.

[?] - O4 - HKLM\..\Run: [Microsoft Updates] svehost.exe
[?] - O4 - HKLM\..\RunServices: [Microsoft Updates] svehost.exe

[?] - O17 - HKLM\System\CCS\Services\Tcpip\..\{21DBE278-E57C-41B8-9E7C-C2BBD16F7426}: NameServer = 194.97.173.124,194.97.173.125 ist FREENET ...

Wo siehst Du was außer dem SVE ..... ????
 

Poster solle bei MAIL vorsichtig sein , Antivir hat KEINE Mailprüfung ....

Holla...
ein Wurm aus der "Agobot-Familie....
Sehr schön...schlimmer gehts kaum noch...
Da brauch der User nach gar nix anderem suchen...das ist völlig ausreichend...
Nur Zauberlehrlinge würden sich hier noch an einer Reinigung versuchen...
Wer etwas anderes als eine Neuinstallation vorschlägt ,disqualifiziert sich selbst als Fachmann !!

Folge dieser Anleitung und alles wird gut werden...
http://www.trojaner-board.de/51262-anleitung-neuaufsetzen-des-systems-absicherung.html
Sir Reklov