Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   svchost.exe 5x als laufender prozess? (https://www.trojaner-board.de/19895-svchost-exe-5x-laufender-prozess.html)

kaywa 16.07.2005 14:27

svchost.exe 5x als laufender prozess?
 
Kann mir jemand sagen ob es normal ist, dass die svchost.exe einmal auf dem system existiert, jedoch 5x als laufender prozess auftaucht? 3x ist die pfadangabe in windows/system und 2x ist keine pfandangabe verfügbar.

cronos 16.07.2005 14:35

Das dieser Prozess mehrere male läuft ist eigentlich normal, da sich aber auch Malware dahinter verbergen kann, solltest du mal einen Hijackthis-Log erstellen und hier posten.

kaywa 16.07.2005 15:22

danke..werds mal versuchen:-) muss mir erst mal das prog runterladen.
kann es eigentlich sein, dass wenn mein telefon ein Eigenleben führt:-) dies mit dem Pc zusammen hängt? (trojaner o.ä.). Die Telecom riet mir den PC zu überprüfen,das könne nur damit zusammen hängen. Kennst du dich mit sowas zufällig aus?

cronos 16.07.2005 15:31

Was heißt den "Eigenleben"?
Gehst du über DSL ins Netz?

kaywa 16.07.2005 15:40

Naja, zb: klingelt bei meiner Freundin das Telefon mit meiner nr im Display, wenn sie ran geht ist die Leitung weg, dabei habe ich nicht angerufen, noch nicht mal das Telefon in der Hand gehabt. Ich versteh dann natürlich nur "Bahnhof" wenn sie mich fragt warum ich angerufen hätte.

kaywa 16.07.2005 15:57

hier die logfile von HiJackThis

cronos 16.07.2005 15:57

Dazu kann ich dir leider erstmal nichts sagen.
Schauen wir uns zunächst mal das Hijackthis.Logfile an.
Du hast aber meine Frage noch nicht beantwortet, gehst du über DSL ins Netz?

kaywa 16.07.2005 16:02

Ups sorry:-)
nee über isdn...hoffe das mit der logfile war jetzt so richtig....habe von dem ganzen hier nämlich null ahnung :o

Yopie 16.07.2005 16:16

Logfile of HijackThis v1.99.1
Scan saved at 07:18:47, on 04.01.2002
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HorngTech4D] C:\PROGRA~1\MOUSES~1\bally4d.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: ISDNWatch Filter.lnk = C:\Programme\FRITZ!\Iwfilter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe
O4 - Global Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB09E594-FA05-4ED8-AB92-D2E324225ACA}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Yopie 16.07.2005 16:20

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 07:18:47, on 04.01.2002
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Total veraltetes System! Bitte asap updaten.

Mit HJT Fixen:
Zitat:

O1 - Hosts: 64.91.255.87 www.dcsresearch.com
Ansonsten kann ich nichts erkennen. Das muss bei dem veralteten System aber überhaupt nichts heißen.

Gruß :daumenhoc
Yopie

cronos 16.07.2005 16:26

Deswegen das System mal mit Escan überprüfn und uns die Ergebnisse mitteilen.

kaywa 16.07.2005 16:59

bekomme escan leider nicht runtergeladen....habe 4 Download links versucht aber es passiert leider nichts. Mein PC ist seit dem gestern ad-aware durchgelaufen ist und paar sachen entfernt hat aber auch mega langsam geworden....

cronos 16.07.2005 17:10

Auch diese 3 versucht:

ftp://ftp.microworldsystems.com/download/tools/mwav.exe

ftp://update.mailscan.info/download/tools/mwav.exe

http://www.mwti.net/download/tools/mwav.exe

kaywa 16.07.2005 18:10

Hi cronos...neues problem:-)) bekomme die logfile nicht hochgeladen...die ist viel zu groß. und die kleine wo ich nur die gefundenen sachen angezeigt bekomme kriege ich nicht kopiert oder gespeichert

Gigamail 16.07.2005 18:26

Hallo

Zitat:

Alternativ:
Öffne die 'mwav.log' im Ordner 'C:\Bases_X' -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
stand aber auch in der Anleitung :cool:

kaywa 16.07.2005 19:03

danke :o
hoffe habe hier jetzt das richtige raus gesucht:-))...habe nämlich null ahnung davon:-)

kaywa 16.07.2005 19:53

in der file davor fehlte ein bischen was :o
der worm guard lässt mich das teilweise nicht kopieren...müsste aber jetzt alles vom escan sein

Gigamail 16.07.2005 20:43

poste mal noch die Auswertung, steht ganz unten im Logfile
Zitat:

> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****
09:41:19 2002 => Scanning File C:\Dokumente und Einstellungen\x\Desktop\aawsepersonal106.exe
Fri Jan 04 09:41:40 2002 => File C:\Dokumente und Einstellungen\x\Desktop\aawsepersonal106.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Jan 04 09:42:31 2002 => ***** Scanning Registry and File system for Adware/Spyware *****
Fri Jan 04 09:43:39 2002 => System found infected with CWS.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Fri Jan 04 09:43:39 2002 => Object "CWS.therealsearch Spyware/Adware" found in File System! Action Taken: No Action Taken
Fri Jan 04 09:43:40 2002 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Fri Jan 04 09:43:40 2002 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\IELoader.dll". Action Taken: No Action Taken.

Fri Jan 04 09:43:42 2002 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\IELoader.dll". Action Taken: No Action Taken.

Fri Jan 04 09:43:52 2002 => Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken.

Fri Jan 04 09:43:53 2002 => Entry "HKCR\CLSID\{99180163-DA16-101A-935C-444553540000}" refers to invalid object "recncl.dll". Action Taken: No Action Taken.

Fri Jan 04 09:43:57 2002 => Entry "HKCR\CLSID\{da27efe0-f138-11d4-8a37-00c04f8fd53b}" refers to invalid object "C:\Programme\McAfee\McAfee Shared Components\Guardian\mcsched.dll". Action Taken: No Action Taken.

Fri Jan 04 09:44:03 2002 => Entry "HKCR\ActMsg.Session" refers to invalid object "{3FA7DEB3-6438-101B-ACC1-00AA00423326}". Action Taken: No Action Taken.

Fri Jan 04 09:44:10 2002 => Entry "HKCR\MailFileAtt" refers to invalid object "{00020D05-0000-0000-C000-000000000046}". Action Taken: No Action Taken.

Fri Jan 04 09:44:10 2002 => Entry "HKCR\mapifvbx.object" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.

Fri Jan 04 09:44:10 2002 => Entry "HKCR\mapifvbx.object.1" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}
Fri Jan 04 09:44:52 2002 => File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken.

kaywa 16.07.2005 21:01

ok... here it is......

Gigamail 16.07.2005 21:32

füge deine Logfiles einfach mit Copy&Paste ins Forum ein und nicht als Anhänge!!

Zitat:

Fri Jan 04 09:47:39 2002 => Total Objects Scanned: 11305
Fri Jan 04 09:47:39 2002 => Total Virus(es) Found: 4
Fri Jan 04 09:47:39 2002 => Total Disinfected Files: 0
Fri Jan 04 09:47:39 2002 => Total Files Renamed: 0
Fri Jan 04 09:47:39 2002 => Total Deleted Objects: 0
Fri Jan 04 09:47:39 2002 => Total Errors: 10
Fri Jan 04 09:47:39 2002 => Time Elapsed: 00:06:56
Fri Jan 04 09:47:39 2002 => Virus Database Date: 2005/06/24
Fri Jan 04 09:47:39 2002 => Virus Database Count: 136182
anhand der Zeit sehe ich damit eScan nicht richtig ausgeführt wurde, entweder waren die Haken nicht richtig gesetzt oder du hast nicht im abgesicherten Modus gescannt, denn sonst brauchst du dafür mindestens 1 Stunde
Also lese die Anleitung richtig und führe eScan nochmal aus. Lösche das Logfile von eScan und poste das Ergebnis mittels Find.bat oder alternativ

kaywa 17.07.2005 08:45

ich komme nicht in den abgesicherten Modus. lt. Meldung fehlt die ntoskernl.exe
Ich kann nur in den abgesicherten Modus mit Netzwerktreibern.
dort kann ich mich dann als administrator oder benutzer anmelden. Egal als was ich mich anmelde?? und die mwavscan.com lässt sich nicht ausführen (abges. Modus mit Netzwerktreibern)bzw meldet irgendein Modul nicht gefunden.

Cidre 17.07.2005 09:24

Zitat:

lt. Meldung fehlt die ntoskernl.exe
Ist das wirklich die genaue Bezeichnung der Datei?
Zitat:

Egal als was ich mich anmelde?
Nein, als Admin anmelden.
Zitat:

meldet irgendein Modul nicht gefunden.
Welches?

kaywa 17.07.2005 12:22

Die mwacscan.com hatte Modul 0x7 nicht gefunden.
Abgesicherte Modus klappte nun. Ich habe escan noch mal neu installiert und dann klappte auch alles.
Hoffe "abgesicherter Modus" war richtig und ich musste nicht in "Abgesicherter Modus mit Netzwektreibern".
Hier nun das Ergebnis: (beinhaltet nur die Funde,nicht die "refers to invalid objects") Bin mir nicht sicher ob ihr die zur Auswertung auch braucht?

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Jan 04 17:12:51 2002 => System found infected with CWS.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Fri Jan 04 17:28:00 2002 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Fri Jan 04 17:50:51 2002 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Jan 04 17:14:27 2002 => File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken.
Fri Jan 04 17:18:04 2002 => File C:\Dokumente und Einstellungen\x\Desktop\aawsepersonal106.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Jan 04 17:19:04 2002 => File C:\Dokumente und Einstellungen\x\Desktop\zlsSetup_51_039_004.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Jan 04 17:29:29 2002 => File C:\Programme\Lavasoft\Ad-Aware SE Personal\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Jan 04 17:36:14 2002 => File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Jan 04 17:50:51 2002 => Total Virus(es) Found: 6
Fri Jan 04 17:50:51 2002 => Total Errors: 13
Fri Jan 04 17:50:51 2002 => Time Elapsed: 00:38:44
Fri Jan 04 17:50:51 2002 => Total Objects Scanned: 30518
Fri Jan 04 17:11:18 2002 => Virus Database Date: 2005/06/24
Fri Jan 04 17:50:51 2002 => Virus Database Date: 2005/06/24
Fri Jan 04 18:31:50 2002 => Virus Database Date: 2005/06/24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Cidre 17.07.2005 12:33

Zitat:

Time Elapsed: 00:38:44
Total Objects Scanned: 30518
Die gescannten Dateien scheinen mir etwas wenig zu sein...
Hast du wirklich alle Haken so gesetzt, wie ich es bildlich beschrieben habe?

In der Virus Log Information selbst, sehe ich keine Auffälligkeiten, die auf Malware zurückzuführen wären.

kaywa 17.07.2005 14:05

ja, Haken waren gesetzt wie in der Beschreibung.
Lt. LogFile hat er cleaner.exe, Ad-Aware SE default.ask und cleaner4.cdb nicht gescant (scan failed possibly password protected)
Aber was ist mit der Meldung "6 Viren gefunden" ?
und welche Bedeutung hat "is not tagged as a virus"?
und die Angaben von " Scanning Regestry for errors created because of spyware" die Treffer davon muss ich die alle auf dem System löschen?


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:05 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131