Trotz 3xiger Neuinstalation, svchost.exe 5x & IE öffnet sich automatisch
 

Hallo,

hiermit bitte ich um Hilfe, da ich langsam am Ende meines Lateins bin.

Ich habe hier einen XP Rechner, den meine Mutter benutzt, was Sie damit gemacht hat, oder wie Sie es geschafft hat.... Keine Ahnung.

Aber nun zum Problem, das Notebook habe ich mit den Recovery CD (die dabei waren) wieder hergestellt. Das hat auch wunderbar geklappt, nur hatte ich das Problem, das sich der Internet Explorer einfach so öffnet und öffnet und öffnet.....usw.

Daher Tippe ich auf einen Trojaner der da irgendwas macht, habe allerdings schon mehrere Virenprogramme versucht, die nie etwas gefunden haben (Nod32, McAffee Online Scan und Northon Internet Security).

Dann habe ich hier in dem Forum gelesen das die Datei svchost.exe evtl. ein getarnter Trjoaner ist, besonders dann wenn Sie 5x im Taskmanager läuft.

Daher bitte ich euch um Hilfe vielleicht kann mir jemand bei dem Problem helfen.

Ach ja ich habe auch schon die Festplatte ausgebaut und mit einem anderen PC gründlich (alles) Formatiert.

Hier ist die Log file von hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:15:50, on 20.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\EzButton\CPATR10.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\16.0.0.125\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\16.0.0.125\IPSBHO.DLL
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\16.0.0.125\coIEPlg.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CPATR10] C:\PROGRA~1\EzButton\CPATR10.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1248025618730
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1248027318818
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Programme\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 3506 bytes



Nochmal vielen Dank!

ich sehe nix auffäliges in deinem log.

svchost ist im richtigen Ordner, also ist die datei sauber. hol dir mal Seervise pack 3 für windows XP. hier der link Downloaddetails: Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler.

mfg Most

Der Name svhost.exe, da hast du recht, wird sehr sehr oft als Trojaner-Name verwendet, da er einfach keine aufmerksamkeit verursacht.
Aber ich sehe gerade, ich habe diesen auf 5x bei mir laufen, ich "denke" mal, da ich keine auffälligkeiten feststellen kann, dass das normal ist.

Weißt du ob du ausgehen verbindungen von svhost.exe hast?

(Kannst du über die Konsole (CMD) prüfen)

Hey vielen Dank, für die raschen Antworten, das klingt doch gar nicht mal so schlecht für mich!

Leider habe ich keine Ahnung wie ich das mit den ausgehenden Verbindungen prüfen kann.

MFG

Verbindungen kann man mit netstat -n prüfen.

Hier ein Programm, das es dir sozusagen leichter macht.

http://software-portal.faz.net/ie/25955/Netstat_Viewer

Zeigt alle LAN-Verbindungen an.