Kleine Frae zu svhost

Auditek · 13.03.2006, 01:40

Hallo, ich wollte mal Fragen ob das normal ist, dass ich 5 mal die svhost.exe im Taskmanager habe:

Code:

ATTFilter

svhost.exe   SYSTEM
svhost.exe   SYSTEM
svhost.exe   SYSTEM
svhost.exe   NETZWERKDIENST
svhost.exe   LOKALER DIENST

Schonmal danke für die Antworten.

Auditek

Yopie · 13.03.2006, 02:06

Was ist heutzutage schon normal?

Wenn es kein Schreibfehler ist, dann hast du dir einen Schädling eingefangen, vermutlich einen Backdoor! Die einzige Möglichkeit den sicher wieder loszuwerden, ist das Neuaufsetzen! Beachte die Anleitung in meiner Signatur genau!

Gruß

Yopie

MightyMarc · 13.03.2006, 02:21

Also prüfen könnte man die Datei schon noch bevor man losballert (jotti, siehe meine Signatur).

Auditek · 13.03.2006, 02:37

Also ich habe die Datei nun gescannt:

Zitat:

File: svchost.exe
Status:
OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 adbb33d5893bcf08e75ea54bb5669205
Packers detected:
-
Scanner results
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
UNA
Found nothing
VirusBuster
Found nothing
VBA32
Found nothing

Also es ist jedesmal selbe Datei:
C:\WINDOWS\system32\svchost.exe

Aber warum läuft die 5 Mal.

Trojaner, ich weiß nicht, ich habe Ewido, Antivir, HijackThis durchlaufen lassen und die haben nichts gefunden.
Sicher dass ich mir einen eingefangen habe?

Danke!

Edit:
Ich bin ein bischen blind.
Die datei heißt svchost nicht svhost.
Ist das korrekt dass die svchost so offt gestartet ist?

MightyMarc · 13.03.2006, 02:56

Zitat:

Zitat von Auditek

Ich bin ein bischen blind.
Die datei heißt svchost nicht svhost.
Ist das korrekt dass die svchost so offt gestartet ist?[/B]

So ein kleiner Fehler kann blutig enden...

Start -> Ausführen -> cmd

tasklist /svc > C:\svc.log & start C:\svc.log

Inhalt bitte hier reinkopieren. Ungewöhnlich ist es aber nicht, dass svchost 5 mal läuft.

Auditek · 13.03.2006, 03:07

Code:

ATTFilter

Abbildname                  PID Dienste                                      
========================= ===== =============================================
System Idle Process           0 Nicht verfgbar                              
System                        4 Nicht verfgbar                              
smss.exe                    576 Nicht verfgbar                              
csrss.exe                   640 Nicht verfgbar                              
winlogon.exe                664 Nicht verfgbar                              
services.exe                708 Eventlog, PlugPlay                           
lsass.exe                   720 PolicyAgent, ProtectedStorage, SamSs         
ati2evxx.exe                872 Ati HotKey Poller                            
svchost.exe                 908 RpcSs                                        
WinStylerThemeSvc.exe       920 TUWinStylerThemeSvc                          
svchost.exe                1072 AudioSrv, BITS, Browser, CryptSvc, Dhcp,     
                                dmserver, EventSystem,                       
                                FastUserSwitchingCompatibility, helpsvc,     
                                lanmanserver, lanmanworkstation, Netman,     
                                Nla, RasMan, Schedule, seclogon, SENS,       
                                ShellHWDetection, srservice, TapiSrv,        
                                TermService, Themes, TrkWks, uploadmgr,      
                                winmgmt, wuauserv, WZCSVC                    
Smc.exe                    1108 SmcService                                   
svchost.exe                1388 Dnscache                                     
svchost.exe                1420 LmHosts, RemoteRegistry, SSDPSRV, WebClient  
spoolsv.exe                1676 Spooler                                      
ati2evxx.exe               2040 Nicht verfgbar                              
explorer.exe                292 Nicht verfgbar                              
NvMixerTray.exe            1060 Nicht verfgbar                              
avgnt.exe                  1100 Nicht verfgbar                              
sched.exe                  1464 AntiVirScheduler                             
avguard.exe                1480 AntiVirService                               
ewidoctrl.exe              1536 ewido security suite control                 
ewidoguard.exe             1832 ewido security suite guard                   
SatSrv.exe                 2036 SatSrv                                       
svchost.exe                 620 stisvc                                       
wdfmgr.exe                 1204 UMWdf                                        
SSS2006.exe                 840 Nicht verfgbar                              
SSS2006.exe                1576 Nicht verfgbar                              
wuauclt.exe                1360 Nicht verfgbar                              
messenger2.exe             2916 Nicht verfgbar                              
msnmsgr.exe                4048 Nicht verfgbar                              
BitComet.exe               3468 Nicht verfgbar                              
firefox.exe                1340 Nicht verfgbar                              
cmd.exe                    1988 Nicht verfgbar                              
notepad.exe                 528 Nicht verfgbar                              
tasklist.exe               2956 Nicht verfgbar                              
wmiprvse.exe               2744 Nicht verfgbar

Archibald32 · 13.03.2006, 13:34

Svchost ist bei mir sogar 7 mal offen!

Nun habe ich ein paar bedenken, dass sich dort auch noch ein Virus versteckt...

Was tun?

BataAlexander · 13.03.2006, 14:09

Hallo,

Zitat:

Zitat von Archibald32

Was tun?

Post Nr 5 lesen

Wie MM schon sagte, es ist normal, das dieser Prozess mehrmals läuft, Info hier

Gruß

Schrulli

MightyMarc · 14.03.2006, 00:36

@Auditek

hatte eigentlich schon heute Nacht geanwortet, aber die Antwort wohl nicht abgeschickt...hmpf
Also, es scheinen keine ungewöhnlichen svchost-Prozesse bei Dir zu laufen. Alles im grünen Bereich.

@ Archibald

Wie bereits Schrulli erwähnte, Posting Nr 5. Zur Not poste mal das Ergebnis.

Auditek · 14.03.2006, 15:02

Zitat:

Zitat von MightyMarc

@Auditek

hatte eigentlich schon heute Nacht geanwortet, aber die Antwort wohl nicht abgeschickt...hmpf
Also, es scheinen keine ungewöhnlichen svchost-Prozesse bei Dir zu laufen. Alles im grünen Bereich.
[...]

Danke dir!

Archibald32 · 14.03.2006, 20:09

Abbildname PID Dienste
========================= ===== =============================================
System Idle Process 0 Nicht verfgbar
System 4 Nicht verfgbar
smss.exe 468 Nicht verfgbar
csrss.exe 524 Nicht verfgbar
winlogon.exe 548 Nicht verfgbar
services.exe 592 Eventlog, PlugPlay
lsass.exe 604 PolicyAgent, ProtectedStorage, SamSs
svchost.exe 756 DcomLaunch, TermService
svchost.exe 800 RpcSs
svchost.exe 864 AudioSrv, Browser, CryptSvc, Dhcp, dmserver,
ERSvc, EventSystem,
FastUserSwitchingCompatibility, helpsvc,
HidServ, lanmanserver, lanmanworkstation,
Netman, Nla, RasMan, Schedule, seclogon,
SENS, SharedAccess, ShellHWDetection,
TapiSrv, Themes, TrkWks, W32Time, winmgmt,
wscsvc, wuauserv, WZCSVC
svchost.exe 916 Dnscache
svchost.exe 960 LmHosts, RemoteRegistry, SSDPSRV, WebClient
explorer.exe 1272 Nicht verfgbar
spoolsv.exe 1324 Spooler
avgnt.exe 1476 Nicht verfgbar
ctfmon.exe 1488 Nicht verfgbar
sched.exe 1620 AntiVirScheduler
avguard.exe 1632 AntiVirService
devldr32.exe 1676 Nicht verfgbar
ewidoctrl.exe 1688 ewido security suite control
kavsvc.exe 1760 kavsvc
mdm.exe 1808 MDM
svchost.exe 1992 stisvc
CALMAIN.exe 496 CCALib8
alg.exe 1500 ALG
svchost.exe 2164 HTTPFilter
wuauclt.exe 2600 Nicht verfgbar
IEXPLORE.EXE 1172 Nicht verfgbar
IEXPLORE.EXE 1796 Nicht verfgbar
cmd.exe 3316 Nicht verfgbar
wmiprvse.exe 3488 Nicht verfgbar
tasklist.exe 3548 Nicht verfgbar

-------------

Vielen Dank im vorraus

BataAlexander · 15.03.2006, 02:36

Hallo,

scanne

wmiprvse.exe

online bei Jotti oder http://www.virustotal.com, poste das Ergebnis.

Gruß

Schrulli

Unreal1000 · 17.03.2006, 18:08

Also wenn die 7 mal offenen is ,dann hast 100% einen .Viele Trojaner benutzten diesen prozess da er ja schwer zu beenden is .Wenn man den falschen trifft zählt der Rechner runter so einfacher ist das .Also bei 7 stück würd ich sagen Formatiern

BataAlexander · 17.03.2006, 19:31

Hallo,

na da kenst sich aber einer aus

Gruß

Schrulli

MightyMarc · 17.03.2006, 21:28

@Archibald32

Führe bitte folgendes Kommando aus (Start > Ausführen > cmd):

tasklist /m > %TEMP%\tsk.log & start %TEMP%\tsk.log

Poste bitte die Ausgabe hier.

13.03.2006, 02:06	#2
Yopie Moderator, a.D.	Kleine Frae zu svhost Was ist heutzutage schon normal? Wenn es kein Schreibfehler ist, dann hast du dir einen Schädling eingefangen, vermutlich einen Backdoor! Die einzige Möglichkeit den sicher wieder loszuwerden, ist das Neuaufsetzen! Beachte die Anleitung in meiner Signatur genau! Gruß Yopie __________________

15.03.2006, 02:36	#12
BataAlexander > MalwareDB	Kleine Frae zu svhost Hallo, scanne wmiprvse.exe online bei Jotti oder http://www.virustotal.com, poste das Ergebnis. Gruß Schrulli __________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall

17.03.2006, 19:31	#14
BataAlexander > MalwareDB	Kleine Frae zu svhost Hallo, na da kenst sich aber einer aus Gruß Schrulli __________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall

Kleine Frae zu svhost

Plagegeister aller Art und deren Bekämpfung: Kleine Frae zu svhost