da gibt es mehrere Möglichkeiten, der einfachste ist der abgesicherte Modus. hier sollte sie nicht mitgestartet werden.

Du kannst auch versuchen die SVCHOST.EXE im Taskmanager zu beenden, die wird mit hoher wahrscheinlichkeit unter Deinem nutzeraccount ausgeführt (alle anderen svchost.exe werden unter system bzw. Lokaler Dienst ausgeführt.)

Ansonsten kannste in der Registry mal gucken was so alles mitgestartet wird.

regedit: HKLM/Software/Microsoft/Windows/CurrentVersion/Run
regedit: HKCU/Software/Microsoft/Windows/CurrentVersion/Run

wenn du dort einen Eintrag auf diese Datei findest, kannst du den wert getrost löschen.

ne svchost.exe die außerhalb von system32 läuft is unschön.

sie einfach beenden is nun wirklich keine lösung!^^

hinter der svchost.exe is sehr gern malware versteckt

http://www.malwarebytes.org/mbam.php
runterladen installieren, updaten, vollständigen systemscan machen und mal den log posten dann schauen wir mal weiter^^

ich möcht anmerken das ich kein großer fan von virenbeseitigiung bin, da man nie 100% sicher sein kann das alles weg ist.

Den Log von Scanner oder den anderen?

beides wäre klasse

ich hab ihm ja nicht dazu geraten diese nur zu beenden Ich habe Ihm den Weg gezeigt wie er den Prozess, welcher auf die exe zugreift, beendet um sie dann zu beenden.
/EDIT: LÖSCHEN!!!

Was Du Dir noch mal raussuchen kannst ist der Prozessexplorer von sysinternals
http://technet.microsoft.com/de-de/sysinternals/bb896653.asp...

Also als ich die exen im Taskmanager löschen wollte, kam ein Fenster, welches ich nicht schließen konnte.Darin stand,dass der pC gleich neu gestartet wird. Danach waren die exen wieder da. Das Ding ist ,dass ich von sowas überhaupt keine Ahnung habe. Ich hatte noch nie nen Wurm und hab noch nie einen gelöscht. Darum brauch ich leider ne idiotensichere Anleitung für Anfänger damit ich weiß was ich machen muss.^^
Vielen Dank nochmal für eure Hilfe.

hachja wenns da nur eine pauschal lösung,abgesehen von einer neu installation, geben würde würden viele ITs kein geld mehr verdienen^^

probier erstmal mit mbam, poste die beiden logs, dann werden im zweifelsfall weitere schritte folgen^^

Abgesicherter Modus:

Rechner Runterfahren. Neu Starten - Nach Deinem Biosprompt die F8 Taste drücken (ruhig öfter nach einander)

irgendwann erscheint ein Dosfenster wo du mit den Pfeiltasten den Abgesicherten Modus auswählen kannst.

Im Abgesicherten Modus solltest du die Datei und die Autorun geschichten löschen können.

pornflakes - 23 November 2010 10:05 PM

hachja wenns da nur eine pauschal lösung,abgesehen von einer neu installation, geben würde würden viele ITs kein geld mehr verdienen^^

probier erstmal mit mbam, poste die beiden logs, dann werden im zweifelsfall weitere schritte folgen^^

naahhh wer will denn da gleich aufgeben?

Das is nur ein Wurm, das is nichmal was großartig Gefährliches - es nervt nur.

ich sage nur das es keine pauschallösung gibt, nicht das ich aufgeben will, da hast du mich wohl falsch verstanden.

ich hoffe jetzt nicht das er alle svchost.exe’n löscht….

@ gine: welche soll ich denn löschen?!?

Malwarebytes’ Anti-Malware 1.46
http://www.malwarebytes.org

Datenbank Version: 5177

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

23.11.2010 22:43:41
mbam-log-2010-11-23 (22-43-41).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 244892
Laufzeit: 50 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\svchost.exe (Backdoor.Bot) -> No action taken.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Windows\shell.exe (Trojan.Shell) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Windows\shell.exe) Good: (Explorer.exe) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{DAD2205F-0AA9-4216-9820-4650F4621C89}\RP113\A0039542.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\stor.cfg (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\svchost.exe (Backdoor.Bot) -> No action taken.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Windows\shell.exe (Trojan.Shell) -> No action taken.
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\dwm.exe (Trojan.Agent) -> No action taken.

Ein wenig abseits, aber der Übersichtlichkeit halber solltest du, wenn du Code postest, auch [ code ] vor dem Codetext bzw. [ /code ] nachher schreiben (ohne Leerzeichen zwischen den eckigen Klammern)

Keine Dateien aus ../system32/ !!!

alles was unter Anwendungsdaten im Userprofil liegt:

und in der registry

Achso - ich geh nu schlafen! Das sollte aber zumindest ersteinmal Deinen Rechner wieder cleanen!

Denk dran nach dem löschen die Proxyeinstellungen wieder rückgängig zu machen, sonst klappt warscheinlich garkein Inet mehr