also erstmal guten abend zusammen (bin neu hier im board)
es fing so um den 01.02.2004 mit dauernden popups von seiten der svchost.exe an,
(verwende NIS 2003 update regelmäßig, OS ist XP-home, patche auch hier regelmäßig) also diese meldung: ein remote system versucht auf MS generic host process for win32 services blabla zuzugreifen.

habe mich im web informiert das es sich hierbei um ein programm dreht, welches für Dienste die mit Hilfe von Dynamic-Link Libraries ausgeführt werden handelt, also nix weltbewegendes. während eines besuches auf diversen ebay.de seiten (benutze netscape 7.01) landete ich plötzlich in der google search bar, oder textfeld und ohne die maus überhaupt zu berühren, bewegte sich der curser von links nach rechts und verschiedene progs. in der taskleiste öffneten sich. habe einen search bezgl. svchost gemacht und einmal die svchost im c:\windows\system32 (13 kb) gefunden, sowie eine
SVCHOST.EXE-3530F672.pf in c:\windows\prefetch auch 13kb, erstellt am 01.02.2004 gefunden.
habe auch hier google befragt, aber zu dieser datei nur seiten in mir nicht geläufigen west -europäischen sprachen gefunden. habe mir hier im board x-seiten durchgelesen und diverse programme, wie ad-aware, antispy, housecall, antivir, trojanhunter, cwshredder,hijackthis,stinger und was weiss ich noch versucht, gut oder schlecht, es wurde nix gefunden, aber diese popups kommen jetzt (je später der abend) immer häufiger, habe auch schon ein paar mal auf "zulassen" gedrückt, aber ohne erfolg. die remote addresses entspringen übrigens dem gleichen online-anbieter, welchem ich monatlich geld überweise. habe versucht im board speziell etwas über SVCHOST.EXE-3530F672.pf in erfahrung zu bringen, leider ohne erfolg, deshalb sorry falls dieses thema hier schon einmal
diskutiert wurde. ach ja, habe diese pf datei auch schon einmal gelöscht, erschien aber 2 tage später wieder. falls jemand einen rat hat, würde ich mich freuen. in diesem sinne schönen abend ! [img]graemlins/crazy.gif[/img]

ach ja, habe vergessen zu erwähnen, dass es beim löschen von einigen "eigenen bildern" dazu kam, dass sich diese verdoppelt haben, deweiteren bekam ich heute die meldung von der hier im forum empfohlenen page von mcafee das ..."someone may be trying to intercept your communication with this web site"...

guten morgen,
ich hatte gestern abend noch den kaspersky ausprobiert, dieser hat sich aber bei erreichen der datei c:\windows\prefetch aufgehangen, ok, pc neustart, zur sicherheit noch das usb-kabel zum dsl-modem entfernt und über nacht nochmal versucht, leider mit dem gleichen resultat.
bin quasi mit meinem latein am ende....

[ 17. April 2004, 09:00: Beitrag editiert von: Sean15 ]

Hi,

harmlose Portscans/Netzrauschen oder Anfragen von Netzwerkwürmern -> ungefährlich, wenn du alle Windowsupdates hast, und NIS auch noch blockt..

Schalte das Logging/Meldungen für diese betreffende Verbindungsanfrage aus, und Ruhe ist.. (Natürlich kannst du die von NIS weiter blocken lassen)

P.S.: bei NIS ist auch NORTON-AV dabei ? ist der aktuell ? was sagt ein komplettscan ?

Ich hoffe du hast jetzt nicht Norton-AV-monitor UND AVPE-Guard gleichzeitig aktiv ? das wäre fatal..

morgen who cares,
vielen dank für deine antwort, komplettscan usw. leider erfolglos, bis auf die hänger von kaspersky,
christian vom board hat die SVCHOST.EXE-3530F672.pf datei zum test weitergereicht und wie es den anschein hat, steckt doch etwas dahinter...., mal abwarten was der check der svchost.exe (in sys32) bringt,
regards jochen [img]graemlins/party.gif[/img]

hi all,

wie von christian gewünscht, hier mein logfile:

Logfile of HijackThis v1.97.7
Scan saved at 13:52:33, on 18.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\OpenOffice.org1.1.0\program\soffice.exe
C:\Programme\ICQ\ICQ.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\ISW\netcol.dsl\signup\ncdial.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Dokumente und Einstellungen\Rother\Eigene Dateien\schnickschnack\viren\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://home.de.netscape.com/de/home/winsearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://home.de.netscape.com/de/home/winsearch200.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://home.de.netscape.com/de/home/winsearch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://home.de.netscape.com/de/home/winsearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://keyword.de.netscape.com/keyword/%s
N1 - Netscape 4: user_pref("browser.startup.homepage","hxxp://www.internetcologne.de"); (C:\PROGRA~1\Netscape\Users\JOCHEN~1\prefs.js)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.8\THGuard.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programme\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Global Startup: HPAiODevice(hp officejet d series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: concept/design's onlineTV (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - hxxp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - hxxp://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - hxxp://www.bitdefender.com/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{577CC0FE-B545-4489-84F8-9B4E5FB6F624}: NameServer = 194.8.194.60 213.168.112.60

regards jochen [img]graemlins/daumenhoch.gif[/img]

moin,

</font><blockquote>Zitat:</font><hr />
christian vom board hat die SVCHOST.EXE-3530F672.pf datei zum test weitergereicht und wie es den anschein hat, steckt doch etwas dahinter...., mal abwarten was der check der svchost.exe (in sys32) bringt,
</font>[/QUOTE]wenn du gegoogelt hast, dann wüßtest du auch, was eine prefetchdatei ist. die wird in den prefetchordner geladen, damit win schnelleren zugriff auf dateien hat, die immerwieder geladen werden müssen. diesen ordner solltest du aber mal von zeit zu zeit leeren.

folgende einträge würde ich mal fixen lassen, falls diese dir unbekannt sind:

</font><blockquote>Zitat:</font><hr /> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.de.netscape.com/de/home/winsearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.de.netscape.com/de/home/winsearch200.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.de.netscape.com/de/home/winsearch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.de.netscape.com/de/home/winsearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.netscape.com/keyword/%s
N1 - Netscape 4: user_pref("browser.startup.homepage","http://www.internetcologne.de"); (C:\PROGRA~1\Netscape\Users\JOCHEN~1\prefs.js) </font>[/QUOTE]diese würde ich aus dem autostart mal entfernen, um ihn etwas zu entschlacken. die meisten, kannst du auch manuell nachstarten. ist aber nur als hinweis gedacht, kein muß:

</font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programme\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE </font>[/QUOTE]den autostart für den realplayer würde ich aber dennoch komplett rausnehmen. auch die autostarts von mikkisoft und winzip. diese sind unnötig. kannst du manuell alles selber starten und behälst somit den überblick, was überhaupt alles gestartet ist.

hi mav,

danke für deine hinweise, ja das mit der pf datei ist mir bekannt, aber ich wusste nicht ob es da "böse" abarten von gibt und wenn ja, wie diese in den endungen aussehen. werde deinen empfehlungen mal nachkommen, regards jochen
[img]smile.gif[/img]

@mav
SVCHOST.EXE-3530F672.pf war nicht ganz sauber.
svchost.exe allerdings schon, was mich verwundert.

hallo,

ich habe gestern norton AV/Inetsec deinstalliert, da ich ein anderes virenprogramm habe laufen lasssen, nach dem scan das programm deinstalliert und norton wieder auf C installiert, alle updates gemacht,alles wie gehabt configuriert, complete scan (0-ergebnis)
mir von heise netsky-P mails schicken lassen mit dem ergebnis "sie sind verwundbar", aber diesen netsky-P hat das programm noch vor einer woche erkannt (verseuchtes-mail bekommen)eben den Panda online-check gemacht mit dem ergebnis "sie haben keinen virenscanner auf ihrem system"
hat eventuell jemand eine idee ? vielen dank regards jochen

so, ein ShieldsUp - test ergab: port 1025 is open,
genau der port auf den ein remote system über svchost.exe dauernd versucht auf mein system zuzgreifen.
TCP-view:

Process:
SVCHOST.EXE:988

Protocol
TCP

Locale
0.0.0.0:1025

Remote
0.0.0.0:0

State
LISTENING

[ 20. April 2004, 12:03: Beitrag editiert von: Sean15 ]

[img]smile.gif[/img] so,

nach wochenlangem generve hinsichtlich der andauernden popup-meldungen das svchost.exe ins internet will, dem herunterladen von ca.
10 tools und programmen,der tagelangen internetrecherche, hoffe ich jetzt die lösung gefunden zu haben, (jedenfalls seit ca. 2,5h keine norton-meldungen mehr, das grenzt schon an ein wunder ). nach einem heutigen trojanhunter update und fullscan, hat dieser ein nicht entpackbares upx-teil in c:\system volume info-sowieso gefunden, mit einer a000blabla.exe datei. meine recherche ergab das es sich hierbei um eine blaster-art oder sonstigen unsinn handeln könnte. dann habe ich die systemwiederherstellung deaktiviert, die laufwerksüberwachung ausgeschaltet/minimiert,ein reboot gemacht, trojanhunter fullscan (datei ist wech) alles wieder aktiviert und seitdem keine meldungen
mehr! trotzdem sind immer noch 8 svchost.exe's in tcp-view bei 3 geöffneten programmen eingetragen, mal abwarten.

ich bin nach dieser anleitung vorgegangen:
http://forums.anandtech.com/messagev...readid=1278773

cheers und danke jochen [img]graemlins/lach.gif[/img] [img]graemlins/huepp.gif[/img]