Hilferuf eines Verzweifelten (ISTsvc, svchost.exe)
 

Hi Leute

Ich habe seitdem ich Win 2000 Profesional installiert habe ein Problem. Mein Recher ist total verseucht! Ich glaube ich habe alle Trojaner, Würmer,... die es gibts ;) . Naja fast! Mit von der Partie sind so alte Bekannte wie ISTbar oder ISTsvc und deren mitbringsel. Dessweiter habe ich das Problem mit dem Prozess "svchost.exe", das ja auch schon das ein oder andere mal hier besprochen wurde.
Ich habe nicht so die Ahnung von PCs und suche desswegen nach einer einfachen Lösung!
Kann ich nicht einfach formatieren?
Neue Festpaltte kaufen?
Oder ist das dadurch nicht beseiteigt?

Ich hoffe jemand kann mir hierbei helfen.
vielen dank schonmal.

mfg Marv

Vorgehensweise

Da alle Virenscanner Probleme mit Trojanern und Spyware haben, grundsätzlich mit Trojanerscanner zusätzlich prüfen: Spybot Search&Destroy und a² (emisoft).

Dannach checken mit HijackThis und MSConfig.

Dann Systemwiederherstellung deaktivieren (nur bei Windows XP) und im abgesicherten Modus booten. Nochmal Spybot und a² drüber laufen lassen und mit HijackThis überprüfen/fixen. Wenn keine Fehler mehr, neu booten und die Systemwiederherstellung wieder aktivieren.

Eine Garantie, dass der Schädling weg ist, hast du aber nicht. Hier hilft nur Formatieren und Neuinstallation der Festplatte. Angesichts der Vielzahl von Infektionen auf deinem Rechner wahrscheinlich die beste Lösung.

Du solltest dir aber mal grundlegende Gedanken machen, warum du den Schädling bekommen hast und entsprechende Vorsorgemaßnahmen ergreifen (Stichwort 10 goldene Regeln).

Infos und Downloads zum Thema findest du auf meiner Webpage

Die von big_surfer angeführten Sachen würde ich versuchen wenn du irgentwas auf deinem Computer nicht verlieren willst (bestimmte Programme oder so) ansonsten würde ich alles wichtige auf einem Datenträger (DVD zB) speichern und formatieren!

mfG
Sword

Hallo,
Ja, das kannst du, denn dies wäre auch gleichzeitig der sicherste Weg um die Vertrauenswürdigkeit deines System wieder herzustellen.
Siehe den Link in meiner Signatur.

Wäre natürlich auch ein Weg, aber was machst du dann mit der alten?

Alternativ könntest du uns erstmal mit genaueren Infos versorgen, damit wir auch abschätzen können, wie es um dein System bestellt ist ->

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Logfile of HijackThis v1.99.1
Scan saved at 17:29:12, on 06.03.2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Antivir\AVGUARD.EXE
D:\Antivir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
D:\Antivir\AVGNT.EXE
C:\WINNT\System32\filess.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Marvin1\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [AVGCtrl] "D:\Antivir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NTFSS MICROSOFT SYSTEM] filess.exe
O4 - HKLM\..\RunServices: [RSPC Driver] svjb.exe
O4 - HKLM\..\RunServices: [NTFSS MICROSOFT SYSTEM] filess.exe
O4 - HKCU\..\Run: [RSPC Driver] svjb.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [NTFSS MICROSOFT SYSTEM] filess.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F080752A-4749-4B9D-B4B8-A9DA9841D4BC}: NameServer = 217.237.150.225 217.237.150.141
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Antivir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Antivir\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe

OK, kurz und schmerzlos:

Aufgrund deines nicht vorhandenen Patchverhaltens und anderen fehlenden Absicherungsmassnahmen, ist dein System mit mehreren Würmern mit Backdoor Funktionalität durchseucht.
Darum solltest du schnellstmöglich dein System neu aufsetzen und an deinem Patch-, Surf- und Downloadverhalten arbeiten.
Hilfe zum Neuaufsetzen findest du in meiner Signatur.

So ich hab jetzt grad mal formatiert
und alles neu gemacht! doch nach der ersten verbindung ins internet, startete sich sofort wieder svchost.exe

das kann doch nicht sein!!!

@ marv-ist-scharf

das kann schon sein schau mal hier

Poste trotzdem mal ein neues Logfile.

ja logfile gibts nacher! aber sagt mal gibt es keine einfach Lösung hier für? irgendein programm, dass das einfach entfernt?

@marv-ist-scharf
So irgendein Programm gibt es nicht. Vorbeugen das aber kann man damit, dass die notwendigen SPs installiert. Dein Win ist nach wie vor im jüngfräulichen Zustand.

Dazu kommt noch, wen Du irgendwelche Dateien einfach so löscht, kann es sein, dass Dein System nicht mehr arbeitet. Die svchost.exe ist eine ESSENTIELLE Datei, löscht Du die wird vieles auf Deinem PC NICHT mehr laufen.

Nicht alles was auf dem ersten Blick verdächtig ist, muss es auch sein.
Also Zweimal nachschauen und keine blinde Zerstörungswut....

Ansonsten fängst Du immer wieder bei Null an...

gruß
Andy

also kann mir keiner sagen was ich jetzt machen muss, damit mein rechner irgendwann wieder geht...

Tu das was Cidre geschrieben hat, Update Dein System (Windoof und IE), installiere ne vernünftige Firewall und Anti-Virensoftware. Nutze einen alternativen Browser und überdenke Dein Surfverhalten :D

Mehr kann man nicht dazu sagen. :juul:

Blinde Zerstörungswut führt nämlich zu nix, ausser mehr Kummer :)

Ich schreibe nun einmal eine Zusammenfassung von dem, was ich bisher getan habe.
Nachdem ich feststellen musst,dass mein system total verseucht war/ist von trojandern würmern
und und und... hab ich meinen Computer formatiert mit der Absicht dannach das System komplett
neu anzusetzen (Win Update, mein surfverhalten änder,...).
Ich installierte also Win 2000 Profesional und hatte zuerst keine Probleme, doch dann startete ich
die erste Verbindung ins internet und sofort war die Prozessor-Auslastung wieder bei 100%.
Verantwortlich dafür ist der Prozess "svchost.exe" (Name: svchost.exe, PID: 380, CPU-Nutzung(%): 99, Größe: 2.252KB)

Was ich jetzt gerne wüsste, wie bekomm ich das wieder weg?
Ich hoffe jetzt kann mir jemand dabei helfen, eine Anleitung gehen oder sowas in der art!

mfg Marv