generetichost-process ist für den aufbau und die haltung der netzwerkverbindung ( verbindung zum internet) absolut zwingend erforderlich ( wenn du das abschaltest bekommst massen probs wenn de ins inet willst
die svchost.exe selber ist kein wurm sondern extrem anfällig für sowas .. die svchost.exe ist zuständig für den versand und emfang von daten sowie für die zuordnung rechnerintern

</font><blockquote>Zitat:</font><hr /> die svchost.exe selber ist kein wurm sondern extrem anfällig für sowas .. die svchost.exe ist zuständig für den versand und emfang von daten sowie für die zuordnung rechnerintern </font>[/QUOTE]imho falsch

svchost.exe ist dient der initialisierung von diensten
und damit nicht nur dem emfang von daten

"Die svchost.exe ist ein Systemprozess. Mit ihrer Hilfe werden dll - Dateien ausgeführt.
Die svchost.exe taucht öfter in Ihrem Task Manager auf? Das ist kein Fehler, der Task Manager ist nur nicht in der Lage alle Prozesse namentlich getrennt aufzuführen."
wie gepostet wurde

@sonnenstrahl
ich hab dne thread nur kurz überflogen aber ich glaube du hast noch nicht nach der svchost.exe auf deinem pc gesucht...
mach das mal
wenn es wirklich diese exe sein sollte müssten mehrer ergebnisse auftauchen
überprüfe die dateien dann bitte mal

mfg
Thomas

so oki hab ich gemacht also hier das ergebnis:

Logfile of HijackThis v1.97.7
Scan saved at 17:46:15, on 12.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Silki\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U9MV0BML\HijackThis[1].exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe -quiet
O4 - Global Startup: Microsoft Office.lnk = E:\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...8148.652037037


so hoffe damit könnt ihr mehr anfangen und mir helfen.

öhm irgendwie komisch meine antwort mit dem scan ist nun auf der ersten seite zu sehen. also bitte mal zurückblättern

[img]graemlins/headbang.gif[/img]

[ 12. Juni 2004, 20:07: Beitrag editiert von: sonnenstrahl ]

</font><blockquote>Zitat:</font><hr />
die svchost.exe selber ist kein wurm sondern extrem anfällig für sowas ..</font>[/QUOTE]...wenn du noch hier vorbeischauen würdest .... .

hi rene-gad, danke für den tipp aber wenn ich auf deinen link klicke komm ich auf ne seite wo alles in englisch steht.

damit kann ich leider nix anfangen.

hab nur grundkenntnisse in englisch. [img]graemlins/heulen.gif[/img]

</font><blockquote>Zitat:</font><hr />
damit kann ich leider nix anfangen.

hab nur grundkenntnisse in englisch.</font>[/QUOTE]sorry, dann mußt du dein wörterbuch benutzen, oder du kannst auch dies hier benutzen: http://dict.leo.org/

diese seite mit der erklärung der svchost.exe erfordert nur grundkenntnisse im englisch.

na vielleicht kann mir ja ein anderer hier noch weiter helfen. jedenfalls komm ich mit dieser seite nicht weiter. hatte kein schulenglisch.kann etwas konversationsenglisch aber halt mündlich.
[img]graemlins/schmoll.gif[/img]

was willst du eigentlich wissen? was die svchost.exe ist? das hat dir olo bereits geschrieben und super erklärt.

eigentlich hab ich ja nur toco3001 zitiert


aber mav hat schon recht da steht eigentlich nur was die svchost.exe tut (s.o.) und das sie zum system gehört

sonnenstrahl such doch bitte mal mit der widnows suchfunktion nach "svchost.exe"
und schau mal wie viele dateien gefunden werden

Hi Sonnenstrahl

das einzige was mir an deinem Log jetzt auffält ist dieser: C:\WINDOWS\System32\wuauclt.exe

die wucault.exe ist ein Dienst von Windows der für die automatsichen Updates zuständig ist.
Tue bitte mal foilgendes. Schalte diesen Dienst ab.. Dies kannst du tun unter:
Systemsteuerung -&gt; VERWALTUNG -&gt; DIENSTE -&gt;Dienst "Automatische Updates"

Danach starte den rechner neu und mache nochmal mit HijackThis einen Scan..sollte diese wucault.exe dann immernoch da sein..dann hast du die einen Trojaner eingefangen der sich genauso bennent wie diese Datei und die orginale im systemordner überschreibt.

Troj/Cult-B ist ein Backdoor-Trojaner, der einem Remote-Eindringling Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen ermöglicht.

Sobald der Trojaner ausgeführt wird, versucht er sich mit einem Remote-IRC-Server und einem bestimmten Kanal zu verbinden. Der Trojaner läuft dann als Serverprozess im Hintergrund und wartet auf Anweisungen.

Wenn er erstmals ausgeführt wird, kopiert sich der Trojaner als WUAUCLT.EXE in den Windows-Systemordner und erstellt den folgenden Registrierungseintrag, so dass WUAUCLT.EXE automatisch beim Start von Windows ausgeführt wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft auto update = WUAUCLT.EXE

sollte dies nicht der Fall sein und deine Systembelastung trotzdem immernoch hoch sein..melde dich nochmal

hi toco3001,

bin deinen anweisungen gefolgt habe unter dienste das automatische update ausgeschaltet und dann noch mal diesen hijckthis gemacht und siehe da

C:\WINDOWS\System32\wuauclt.exe zeigt dieser scan an.

also ich hatte mal vor langer zeit ne warnung das ich mir nen trojaner eingefangen habe. keine ahnung wieviele viren ich nun schon gelöscht habe immer wieder was neues.

aber vielleicht wird dann alles wieder normal wenn ich den wuauclt.exe wegbekomme.

kann mir da jemand helfen wie ich den entferne?

erstens, das posting von toco3001 ist ein hammer!! alle achtung, dahinter gekommen zu sein!!

am besten die datei mal hier onlinechecken lassen:
http://www.kaspersky.com/de/remoteviruschk.html

gruss
rock

edit: wenn der eintrag so aussieht, wär es dann auch der fall?
C:\WINNT\system32\wuauclt.exe

weil dann würde es hier auch so sein, wo wir heut nicht weitergekommen sind:
http://www.trojaner-board.de/forum/u...c;f=6;t=005557

es zeigte C:\WINNT\system32\wuauclt.exe
immer bei den logs den eintrag an bis zum schluss...(sofern es bei ihm nicht das aktivierte updatezeugs ist)!

[ 12. Juni 2004, 21:14: Beitrag editiert von: rock' ]

hab heute wieder den anti vir scan durchlaufen lassen. er zeigt mir zwar keine weitere viren an aber er zeigt immer wieder folgendes:


Start des Suchlaufs: 12.06.2004 21:05

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk A:
Der Sektor konnte nicht gelesen werden!
Fehlercode: 0x0015
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk E: OK


C:\
PAGEFILE.SYS
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
hiberfil.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32\config
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SYSTEM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SOFTWARE
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
DEFAULT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!


Fehler beim Wechsel in das Verzeichnis System Volume Information


Ende des Suchlaufs: 12.06.2004 21:28
Benötigte Zeit: 22:10 min


1161 Verzeichnisse wurden durchsucht
25365 Dateien wurden geprüft
7 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Viren bzw. unerwünschte Programme wurden gefunden


vielleicht ist das ja irgendwie der grund für die cpu auslastung und für die verstellung der einstellungen wie schriftart und bildauflösung?

hier noch ein wenig zu der erklärung der svchost.exe auf deutsch: http://www.pctip.ch/helpdesk/kummerk...in2k/25498.asp

hilft dir vielleicht auch weiter bei der erklärung.

@rock: er steht aber nicht in der startaufstellung, so wie beschrieben.

@sonnenstrahl: hast du den dienst nur beendet, oder hast du die startart des dienstes auch verändert? auf "deaktiviert" z.b.? solltest du ihn nur beendet haben, dann startet er beim nächsten reboot wieder mit, da der startaufruf der systemwiederherstellung per defaulteinstellung auf "automatisch" steht.