svchost.exe

Steinberg · 27.02.2005, 03:43

Hallo Leute,

Habe heute Virenscanner und Personal Firewall installiert.
Habe einige Trojaner entfernen können.
Die Firewall teilt mir des öfteren irgendwas von svchost.exe mit.
Hab mir auch den HijackThis runtergeladen.

Hier kommt das logfile:
Logfile of HijackThis v1.99.1
Scan saved at 03:22:29, on 27.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\PestPatrol\PPControl.exe
E:\Programme\PestPatrol\PPMemCheck.exe
E:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Horst\Anwendungsdaten\eaaa.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\Markus\Software_iMesh_DL\VirenScanner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-on-the-net.com/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Horst\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web-searcher.info
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Horst\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Horst\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Horst\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Horst\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.178.1/
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Programme\iMesh\iMesh5\iMeshBHO.dll
O2 - BHO: IE Search Toolbar Helper - {2C5175A2-ADF3-4F57-AB70-BA90FD60A383} - C:\Programme\IESearchToolbar\IESearchToolbar.dll
O2 - BHO: iMeshBar BHO - {5345A7A1-805A-4923-B505-86B2FEBA3FE0} - C:\Programme\iMeshBar\bar\2.bin\IMESHBAR.DLL
O2 - BHO: (no name) - {CE636321-FC99-F169-E76D-FA7AE6B95DB1} - C:\WINDOWS\System32\lvu.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: IE Search Toolbar - {EB381422-F797-4A98-A266-9DC490821907} - C:\Programme\IESearchToolbar\IESearchToolbar.dll
O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - C:\Programme\iMeshBar\bar\2.bin\IMESHBAR.DLL
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [PestPatrol Control Center] E:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] E:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] E:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Nser] C:\Dokumente und Einstellungen\Horst\Anwendungsdaten\eaaa.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.topconverting.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 67.19.185.246
O15 - Trusted IP range: 67.19.185.246 (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{1480F4A7-0187-43C7-9C9C-31BAE635D260}: NameServer = 192.168.122.252,192.168.122.253
O18 - Filter: text/html - {B7397CA8-5943-44F0-89D7-9D6C5C47EF15} - C:\WINDOWS\System32\eja.dll
O18 - Filter: text/plain - {B7397CA8-5943-44F0-89D7-9D6C5C47EF15} - C:\WINDOWS\System32\eja.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Wer kann mir helfen?
Danke schon mal im voraus!!!

net · 27.02.2005, 10:40

VIELLEICHT bist du so freundlich und teilst uns erst einmal mit was für "Trojaner" vom Virenscanner entfernt worden sind

danach würde ich dir empfehlen dich zu entscheiden ob du Imesh weiter nutzen willst ... falls nicht ... versuch Imesh erst einmal über Systemsteuerung/Software zu deinstallieren

bzgl. der svchost.exe siehe
http://www.neuber.com/taskmanager/de...chost.exe.html
oder (nur XP-Pro)
Kommandozeile/DOS-Eingabeaufforderung Befehl: tasklist /svc | more
Der Prozess ist also völlig ok und wird auch benötigt damit du überhaupt ins Internet kommst, nur sollte der der Name stimmen also svchost nicht svhost und auch der Pfad %system32%

lade dir clearprog runter
http://www.clearprog.de/

lade dir eScan herunter (link in der Anleitung)
beachte die Anleitung http://www.trojaner-board.de/42731-escan-anleitung.html
erstelle einen Ordner unter C:\ mit dem Namen: bases
entpacke eScan mit einem Zip-Programm (Winzip, Winrar, Izarc, etc. rechte Maustaste Extrahieren nach)
in den Ordner C:\bases
rufe den Ordner bases auf und click auf die KAVUpd.exe
ein DOS-Fenster sollte sich öffnen und es sollten die aktuellen Signaturen geladen werden
wenn der Vorgang abgeschlossen ist, schliesst sich das Fenster bzw. fordert dich auf es durch betätigen einer beliebigen Taste zu schliessen. (lesen)

die Tools """NICHT""" im normalen Modus ausführen

deaktiviere die Systemwiederherstellung,
http://www.systemwiederherstellung-d...indows-xp.html

wechsle in den abgesicherter Modus von windows
http://www.bsi.de/av/texte/winsave.htm#WindowsXP

und fixe mit HijackThis die nachfolgenden einträge

C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-on-the-net.com/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Horst\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web-searcher.info
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Horst\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Horst\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Horst\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Horst\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.178.1/

---
Entfernen "falls nicht gewollt Imash)" Start
iMesh enthält Werbesoftware (Adware), die man bei der Installation gestattet , darunter MySearch, GAIN, New.Net und andere.

O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Programme\iMesh\iMesh5\iMeshBHO.dll
O2 - BHO: IE Search Toolbar Helper - {2C5175A2-ADF3-4F57-AB70-BA90FD60A383} - C:\Programme\IESearchToolbar\IESearchToolbar.dll
O2 - BHO: iMeshBar BHO - {5345A7A1-805A-4923-B505-86B2FEBA3FE0} - C:\Programme\iMeshBar\bar\2.bin\IMESHBAR.DLL
O3 - Toolbar: IE Search Toolbar - {EB381422-F797-4A98-A266-9DC490821907} - C:\Programme\IESearchToolbar\IESearchToolbar.dll
O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - C:\Programme\iMeshBar\bar\2.bin\IMESHBAR.DLL

Entfernen "falls nicht gewollt" Ende
---
hier weiss ich nicht ob das auch zu Imash gehört:
O2 - BHO: (no name) - {CE636321-FC99-F169-E76D-FA7AE6B95DB1} - C:\WINDOWS\System32\lvu.dll
-----

folgende Datei VORHER mal bei http://virusscan.jotti.org/ prüfen
O4 - HKCU\..\Run: [Nser] C:\Dokumente und Einstellungen\Horst\Anwendungsdaten\eaaa.exe

O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.topconverting.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 67.19.185.246
O15 - Trusted IP range: 67.19.185.246 (HKLM)

O18 - Filter: text/html - {B7397CA8-5943-44F0-89D7-9D6C5C47EF15} - C:\WINDOWS\System32\eja.dll

O18 - Filter: text/plain - {B7397CA8-5943-44F0-89D7-9D6C5C47EF15} - C:\WINDOWS\System32\eja.dll

---

HijackThis-> config -> misc tools --> delete a file on reboot
wähle die zu löschende Datei,

C:\Programme\Gemeinsame Dateien\GMT\GMT.exe (später kann der gesamte Ordner GMT gelöscht werden)

die Frage zum Neustart mit NEIN beantworten,
wieder delete a file on reboot wählen,
nächste Datei auswählen usw.,

[Entfernen falls nicht gewollt (iMesh Start]
C:\Programme\iMesh\iMesh5\iMeshBHO.dll
C:\Programme\IESearchToolbar\IESearchToolbar.dll
C:\Programme\iMeshBar\bar\2.bin\IMESHBAR.DLL
[Entfernen falls nicht gewollt ENDE]

C:\Dokumente und Einstellungen\Horst\Anwendungsdaten\eaaa.exe
C:\WINDOWS\System32\eja.dll

bis du die letzte Dateie ausgewählt hast,
nun antwortest du auf die Frage zum Neustart mit JA

---

neustart und ab in den gesicherten Modus (F8)

---

dort nun das zuvor heruntergeladene "clearprog" (alles auswählen) ausführen, schliessen

---

ab in den Ordner c:\ bases und dort die mwavscan.com ausführen

Haken wie in der Anleitung setzen (alle Häckchen, Drive, all Drive, Scan all Files

dann auf Action: Scan

je nach Menge deiner Daten kann der Scan eine Std oder auch mehrere dauern

nach beendetem Scan bitte das Ergebnis hier posten
- öffne die datei mwav.log, klicke auf bearbeiten dann auf suchen
- gib infected ein
- suche weiter (F3), markiere die Treffer und kopiere sie in eine andere txt bzw. später in diesen Beitrag

---

neues HijackThis logfile erstellen und hier einfügen

mfg
net

muss jetzt leider weg, vielleicht kann dir jemand anderes später weiterhelfen

svchost.exe

Log-Analyse und Auswertung: svchost.exe

svchost.exe

svchost.exe

Ähnliche Themen: svchost.exe