svchost.exe 5x als laufender prozess?
 

Kann mir jemand sagen ob es normal ist, dass die svchost.exe einmal auf dem system existiert, jedoch 5x als laufender prozess auftaucht? 3x ist die pfadangabe in windows/system und 2x ist keine pfandangabe verfügbar.

Das dieser Prozess mehrere male läuft ist eigentlich normal, da sich aber auch Malware dahinter verbergen kann, solltest du mal einen Hijackthis-Log erstellen und hier posten.

danke..werds mal versuchen:-) muss mir erst mal das prog runterladen.
kann es eigentlich sein, dass wenn mein telefon ein Eigenleben führt:-) dies mit dem Pc zusammen hängt? (trojaner o.ä.). Die Telecom riet mir den PC zu überprüfen,das könne nur damit zusammen hängen. Kennst du dich mit sowas zufällig aus?

Was heißt den "Eigenleben"?
Gehst du über DSL ins Netz?

Naja, zb: klingelt bei meiner Freundin das Telefon mit meiner nr im Display, wenn sie ran geht ist die Leitung weg, dabei habe ich nicht angerufen, noch nicht mal das Telefon in der Hand gehabt. Ich versteh dann natürlich nur "Bahnhof" wenn sie mich fragt warum ich angerufen hätte.

hier die logfile von HiJackThis

Dazu kann ich dir leider erstmal nichts sagen.
Schauen wir uns zunächst mal das Hijackthis.Logfile an.
Du hast aber meine Frage noch nicht beantwortet, gehst du über DSL ins Netz?

Ups sorry:-)
nee über isdn...hoffe das mit der logfile war jetzt so richtig....habe von dem ganzen hier nämlich null ahnung :o

Logfile of HijackThis v1.99.1
Scan saved at 07:18:47, on 04.01.2002
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HorngTech4D] C:\PROGRA~1\MOUSES~1\bally4d.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: ISDNWatch Filter.lnk = C:\Programme\FRITZ!\Iwfilter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe
O4 - Global Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB09E594-FA05-4ED8-AB92-D2E324225ACA}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Total veraltetes System! Bitte asap updaten.

Mit HJT Fixen:Ansonsten kann ich nichts erkennen. Das muss bei dem veralteten System aber überhaupt nichts heißen.

Gruß :daumenhoc
Yopie

Deswegen das System mal mit Escan überprüfn und uns die Ergebnisse mitteilen.

bekomme escan leider nicht runtergeladen....habe 4 Download links versucht aber es passiert leider nichts. Mein PC ist seit dem gestern ad-aware durchgelaufen ist und paar sachen entfernt hat aber auch mega langsam geworden....

Auch diese 3 versucht:

ftp://ftp.microworldsystems.com/download/tools/mwav.exe

ftp://update.mailscan.info/download/tools/mwav.exe

http://www.mwti.net/download/tools/mwav.exe

Hi cronos...neues problem:-)) bekomme die logfile nicht hochgeladen...die ist viel zu groß. und die kleine wo ich nur die gefundenen sachen angezeigt bekomme kriege ich nicht kopiert oder gespeichert

Hallo

stand aber auch in der Anleitung :cool:

danke :o
hoffe habe hier jetzt das richtige raus gesucht:-))...habe nämlich null ahnung davon:-)

in der file davor fehlte ein bischen was :o
der worm guard lässt mich das teilweise nicht kopieren...müsste aber jetzt alles vom escan sein

poste mal noch die Auswertung, steht ganz unten im Logfile
09:41:19 2002 => Scanning File C:\Dokumente und Einstellungen\x\Desktop\aawsepersonal106.exe
Fri Jan 04 09:41:40 2002 => File C:\Dokumente und Einstellungen\x\Desktop\aawsepersonal106.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Jan 04 09:42:31 2002 => ***** Scanning Registry and File system for Adware/Spyware *****
Fri Jan 04 09:43:39 2002 => System found infected with CWS.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Fri Jan 04 09:43:39 2002 => Object "CWS.therealsearch Spyware/Adware" found in File System! Action Taken: No Action Taken
Fri Jan 04 09:43:40 2002 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Fri Jan 04 09:43:40 2002 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\IELoader.dll". Action Taken: No Action Taken.

Fri Jan 04 09:43:42 2002 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\IELoader.dll". Action Taken: No Action Taken.

Fri Jan 04 09:43:52 2002 => Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken.

Fri Jan 04 09:43:53 2002 => Entry "HKCR\CLSID\{99180163-DA16-101A-935C-444553540000}" refers to invalid object "recncl.dll". Action Taken: No Action Taken.

Fri Jan 04 09:43:57 2002 => Entry "HKCR\CLSID\{da27efe0-f138-11d4-8a37-00c04f8fd53b}" refers to invalid object "C:\Programme\McAfee\McAfee Shared Components\Guardian\mcsched.dll". Action Taken: No Action Taken.

Fri Jan 04 09:44:03 2002 => Entry "HKCR\ActMsg.Session" refers to invalid object "{3FA7DEB3-6438-101B-ACC1-00AA00423326}". Action Taken: No Action Taken.

Fri Jan 04 09:44:10 2002 => Entry "HKCR\MailFileAtt" refers to invalid object "{00020D05-0000-0000-C000-000000000046}". Action Taken: No Action Taken.

Fri Jan 04 09:44:10 2002 => Entry "HKCR\mapifvbx.object" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.

Fri Jan 04 09:44:10 2002 => Entry "HKCR\mapifvbx.object.1" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}
Fri Jan 04 09:44:52 2002 => File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken.

ok... here it is......

füge deine Logfiles einfach mit Copy&Paste ins Forum ein und nicht als Anhänge!!

anhand der Zeit sehe ich damit eScan nicht richtig ausgeführt wurde, entweder waren die Haken nicht richtig gesetzt oder du hast nicht im abgesicherten Modus gescannt, denn sonst brauchst du dafür mindestens 1 Stunde
Also lese die Anleitung richtig und führe eScan nochmal aus. Lösche das Logfile von eScan und poste das Ergebnis mittels Find.bat oder alternativ

ich komme nicht in den abgesicherten Modus. lt. Meldung fehlt die ntoskernl.exe
Ich kann nur in den abgesicherten Modus mit Netzwerktreibern.
dort kann ich mich dann als administrator oder benutzer anmelden. Egal als was ich mich anmelde?? und die mwavscan.com lässt sich nicht ausführen (abges. Modus mit Netzwerktreibern)bzw meldet irgendein Modul nicht gefunden.

Ist das wirklich die genaue Bezeichnung der Datei?
Nein, als Admin anmelden.
Welches?

Die mwacscan.com hatte Modul 0x7 nicht gefunden.
Abgesicherte Modus klappte nun. Ich habe escan noch mal neu installiert und dann klappte auch alles.
Hoffe "abgesicherter Modus" war richtig und ich musste nicht in "Abgesicherter Modus mit Netzwektreibern".
Hier nun das Ergebnis: (beinhaltet nur die Funde,nicht die "refers to invalid objects") Bin mir nicht sicher ob ihr die zur Auswertung auch braucht?

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Jan 04 17:12:51 2002 => System found infected with CWS.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Fri Jan 04 17:28:00 2002 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Fri Jan 04 17:50:51 2002 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Jan 04 17:14:27 2002 => File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken.
Fri Jan 04 17:18:04 2002 => File C:\Dokumente und Einstellungen\x\Desktop\aawsepersonal106.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Jan 04 17:19:04 2002 => File C:\Dokumente und Einstellungen\x\Desktop\zlsSetup_51_039_004.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Jan 04 17:29:29 2002 => File C:\Programme\Lavasoft\Ad-Aware SE Personal\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Jan 04 17:36:14 2002 => File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Jan 04 17:50:51 2002 => Total Virus(es) Found: 6
Fri Jan 04 17:50:51 2002 => Total Errors: 13
Fri Jan 04 17:50:51 2002 => Time Elapsed: 00:38:44
Fri Jan 04 17:50:51 2002 => Total Objects Scanned: 30518
Fri Jan 04 17:11:18 2002 => Virus Database Date: 2005/06/24
Fri Jan 04 17:50:51 2002 => Virus Database Date: 2005/06/24
Fri Jan 04 18:31:50 2002 => Virus Database Date: 2005/06/24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Die gescannten Dateien scheinen mir etwas wenig zu sein...
Hast du wirklich alle Haken so gesetzt, wie ich es bildlich beschrieben habe?

In der Virus Log Information selbst, sehe ich keine Auffälligkeiten, die auf Malware zurückzuführen wären.

ja, Haken waren gesetzt wie in der Beschreibung.
Lt. LogFile hat er cleaner.exe, Ad-Aware SE default.ask und cleaner4.cdb nicht gescant (scan failed possibly password protected)
Aber was ist mit der Meldung "6 Viren gefunden" ?
und welche Bedeutung hat "is not tagged as a virus"?
und die Angaben von " Scanning Regestry for errors created because of spyware" die Treffer davon muss ich die alle auf dem System löschen?