|
Plagegeister aller Art und deren Bekämpfung: svchost.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
20.10.2004, 13:17 | #1 |
| svchost.exe Hallo zusammen, habe ein riesen großes Problem. Wenn ich ins Internet einwähle, friert der Rechner nach ca 10 Minuten komplett ein (auch strg+alt+entf klappt nicht mehr). Dann habe ich herausgefunden dass es an der der Datei svchost.exe im Taskmanager liegt. Normalerweise sind hiervon 2 stück im Taskmanager. Gehe ich ins Internet taucht nach ca 10 Minuten eine weitere svchost.exe Datei auf, die auch direkt 100% Auslastung verursacht. Nix geht dann mehr. Zusätzlich meldet meine Firewall dass die tftp.exe versucht mit einem Remotecomputer zu kommunizieren. (sonst alles nur normale systemprozesse im taskmanager-->nix abnormales) Habe AntiVir, Kaspersky AntiVirus und McAffee durchlaufen lassen -->KEIN VIRUS GEFUNDEN!!!!!!!!!! WAS IST DAS FÜR EIN DING AUF MEINEM RECHNER?? ich bin ratlos, bitte helft mir!! vielen Dank schonmal |
20.10.2004, 13:58 | #2 |
| svchost.exe hallo!
__________________also, das mehrfache auftauchen der svchost.exe im taskmanager ist noch nix besonderes (bei mir hier laufen auch gerade 3 stück davon ). hinter svchost.exe verstecken sich mehrere windows-dienste, die wohl der einfachheit halber von mickeysoft unter einem sammelbegriff zusammengefasst werden. die tftp.exe ist eigentlich ein windows-eigenes protokoll (Trivial File Transfer Protocol). allerdings wird diese datei auch von einigen würmern als wirt benutzt (z.b. blaster). schau mal ein unterforum weiter oben -> hijackthis. dort sind link und anleitung zum erstellen eines logfiles. bitte hier posten . [edit] buchwaben verstechselt [/edit]
__________________ Geändert von Cassandra (20.10.2004 um 14:14 Uhr) |
20.10.2004, 14:16 | #3 |
| svchost.exe ok poste ich nachher sofort.
__________________was ich nur komisch finde ist dass kein Virenscanner etwas findet! |
20.10.2004, 14:27 | #4 | |
| svchost.exeZitat:
es kann z.b. sein, daß du nur teile eines schadprogramms auf dem rechner hast (z.b. eine datei, die selbst nicht als virus/wurm/sonstwas erkannt wird, aber versucht, sowas aus dem i-net zu laden -> uploader). andererseits kann es auch sein, daß du "nur" spyware auf dem rechner hast, die meist nicht oder nicht ausreichend von virenprogrammen erkannt wird. genau so gut kann es aber auch sein, daß dein rechner sich an der firewall stört. das kann man von hier aus nur eben leider schwer entscheiden . was du noch versuchen kannst, ist ein scan mit ad-aware oder spybot sd (die sind auf die suche nach spyware spezialisiert). gruß
__________________ The only secure computer is one that's unplugged, locked in a safe and buried 20 feet under the ground in a secret location... and i'm not even too sure about that one.." Dennis Huges, FBI |
02.11.2004, 19:45 | #5 |
| svchost.exe Hallo! Habe das gleiche Problem mit windows 2000 pro gehabt. Für das Einfrieren ist ein Wurm verantwortlich (Namen weiß ich leider nicht mehr), der mit dem Scanner "sysclean" dedektiert wird (gibt auch den Namen an). Achtung!! Der Scanner löscht zwar den Wurm( nur im abgesicherten Modus), bietet jedoch keinen dauerhaften Schutz. Nach Installation des des neuesten Servicepacks (SP4) und der aktuellen Norton Virensoftware war das Problem langfristig vom Tisch. Am Besten man lädt alle benötigten Internetkomponenten mit einem älteren System (z.B. windows98) auf die Festplatte, da selbst nach der Wurmbeseitigung beim Internetzugang, das System wieder einfriert. Hoffe es funzt!! Gruß Mike |
05.11.2004, 15:46 | #6 |
Gesperrt | svchost.exe Das habe ich gehabt kuke ich sage dir was du machen musst ok du gehst auf START>AUSFÜHREN>GIBST CMD EIN wen dein pc sich in par minuten oder sekunden auschaltet gibst du bei dos das ein ok shutdown -a XD DAN BRICHT ER DEN VORGANG AB UM WIEDER ARBEITEN ZU KÖNNEN GEHST DU AUF DAS HIER start>arbeitsplaz und dürckst bei arbeizplaz auf rechte maus taste und dan dort auf verwaltetn da öfnet sich ein fenster gehst dort hin dort steht unten dienste klikst drauf nach dem kliken gehst du auf der rechten seite ein naemn suchen nehmlich rpc der prozest drückst rechte masutatste und startest den prozes dan mach ein virus scann egal welcher und du ahst den virus net merh beeser du gehst aud diese seite ok :aplaus: :aplaus: :aplaus: h^^p://housecall.trendmicro.com/ |
31.01.2005, 22:45 | #7 |
| svchost.exeHallo ! Bin durchs googeln auf euch aufmerksam geworden & habe das hier beschrieben Problem mit der hohen Prozessorlast durch die svchost- Datei sobald ich eine Internetverbindung herstelle. Vielleicht kann mir hier jemand helfen ? Kriegs allein leider nicht gebacken... Logfile of HijackThis v1.99.0 Scan saved at 22:39:47, on 31.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Daemon-Tools\daemon.exe C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe C:\Programme\Spamihilator\spamihilator.exe C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe C:\Programme\Proxy\proxy.exe C:\WINDOWS\System32\oodag.exe C:\PROGRA~1\OUTPOS~1\outpost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Opera 8\Opera.exe C:\Dokumente und Einstellungen\Satchmo\Desktop\WindowsXP-KB823980-x86-DEU.exe c:\d44b7d7576cb6e315bf1e66e4c\xpsp1hfm.exe c:\d44b7d7576cb6e315bf1e66e4c\sp2\update\update.exe C:\Dokumente und Einstellungen\Satchmo\Desktop\Neuer Ordner\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\Daemon-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: proxy.exe.lnk = C:\Programme\Proxy\proxy.exe O4 - Global Startup: DSLMON.lnk = ? O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Outpost Firewall\TRASH.EXE (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Outpost Firewall\TRASH.EXE (HKCU) O17 - HKLM\System\CCS\Services\Tcpip\..\{557FDCB2-3796-478B-81BE-87879BF3B067}: NameServer = 217.237.149.161 217.237.151.225 O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: BitDefender Scan Server - Unknown - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\OUTPOS~1\outpost.exe O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: BitDefender Communicator - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe am 26.07.2004, 23:45 hat obsurfer in einem anderen thread folgendes geschrieben : "dauernd ist die cpu völlig beschäftigt, das system ist total lahm, tftp.exe erzeugt dauernd 0KB dateien mit numerischen endungen, löschen hilft nicht. Aktuelle Virenscanner finden nichts!! Was ist das?" Das beschreibt exakt meinen Ist- Zustand... Geändert von Satchmo (31.01.2005 um 22:53 Uhr) |
31.01.2005, 22:59 | #8 |
svchost.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present weißt vermutlich auf einen trojaner hin.. ich glaube ich weiß was mit svchost los ist.. ich denke das ist der typische rpcss-bug der bereits im sp2 behoben wurde. ich hatte damals die gleichen probleme, bis ich mir gleich als erstes das prog von www.dingens.org runtergeladen habe und damit windows sicher konfigurierte. dann war auch die sicherheitslücke geschlossen... fakt ist aber, dass auf deinem system vermutlich mehrere trojaner sind.. also führe das aus: -lade dir escan runter und gehe genau nach dieser anleitung vor (darin steht auch, das der escan im abgesicherten modus ausgeführt werden muss) -gehe wieder in den normalen modus -öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen -gebe infected ein -suche weiter,markiere die treffer und kopiere sie ins forum -poste ein neues HijackThis log |
01.02.2005, 00:37 | #9 |
| svchost.exe Danke für die schnelle Antwort... eScan hat folgendes gefunden : Mon Jan 31 23:27:53 2005 => File C:\WINDOWS\System32\radeonfx.exe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: No Action Taken. Mon Jan 31 23:28:35 2005 => File C:\WINDOWS\System32\winhlpp32.exe infected by "Backdoor.Agobot.tv" Virus. Action Taken: No Action Taken. Mon Jan 31 23:48:01 2005 => File C:\System Volume Information\_restore{8AD97305-F913-4054-B989-01C5A6B2C109}\RP19\A0008773.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken. Mon Jan 31 23:48:02 2005 => File C:\System Volume Information\_restore{8AD97305-F913-4054-B989-01C5A6B2C109}\RP19\A0008781.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Wie soll ich mich verhalten, bzw. was kann ich jetzt machen ? |
01.02.2005, 10:36 | #10 |
| svchost.exe Hat Bitdefender schon mal Warnungen bezüglich dieser Bots ausgegeben bzw. etwas gelöscht? Ansonsten handelt es sich nicht nur um aktive, sondern wohl sogar um versteckt laufende Backdoors. Du solltest dein System neu machen: http://www.trojaner-info.de/report_i...nleitung.shtml |
01.02.2005, 15:02 | #11 |
| svchost.exe Nein, Bitdefender hat beim Systemscan keine der beiden Dateien gefunden... Erst als sich ich die Dateien einzeln gescannt habe, hat Bitdefender angegeben, dass diese eventuell infiziert seien. Hab die beiden infizierten Dateien ersteinmal im abgesicherten Modus gelöscht... & anschliessend das SP2 installiert... Zumindest das Problem mit der hohen CPU Last & der scvhost Datei ist jetzt verschwunden, aber das reicht wohl nicht, oder ? Danke für den Link, war sehr interessant. Werd`s beherzigen und das System neu aufspielen. |
Themen zu svchost.exe |
.exe, .exe datei, 100%, 100% auslastung, antivir, antivirus, auslastung, datei, direkt, firewall, friert, großes, hallo zusammen, helft, heulen, internet, kaspersky, komplett, meinem, melde, meldet, nicht mehr, ratlos, rechner, remotecomputer, schonmal, strg, svchost.exe, taskmanager, virus gefunden, zusammen |