Trojaner-Board - Kleine Frae zu svhost

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Kleine Frae zu svhost (https://www.trojaner-board.de/27515-kleine-frae-svhost.html)

Kleine Frae zu svhost

Hallo, ich wollte mal Fragen ob das normal ist, dass ich 5 mal die svhost.exe im Taskmanager habe:

Code:

svhost.exe   SYSTEM

svhost.exe   SYSTEM

svhost.exe   SYSTEM

svhost.exe   NETZWERKDIENST

svhost.exe   LOKALER DIENST

Schonmal danke für die Antworten.

Auditek

Was ist heutzutage schon normal?

Wenn es kein Schreibfehler ist, dann hast du dir einen Schädling eingefangen, vermutlich einen Backdoor! Die einzige Möglichkeit den sicher wieder loszuwerden, ist das Neuaufsetzen! Beachte die Anleitung in meiner Signatur genau!

Gruß :daumenhoc
Yopie

Also prüfen könnte man die Datei schon noch bevor man losballert (jotti, siehe meine Signatur).

Also ich habe die Datei nun gescannt:

Zitat:

File: svchost.exe
Status:
OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 adbb33d5893bcf08e75ea54bb5669205
Packers detected:
-
Scanner results
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
UNA
Found nothing
VirusBuster
Found nothing
VBA32
Found nothing

Also es ist jedesmal selbe Datei:
C:\WINDOWS\system32\svchost.exe

Aber warum läuft die 5 Mal.

Trojaner, ich weiß nicht, ich habe Ewido, Antivir, HijackThis durchlaufen lassen und die haben nichts gefunden.
Sicher dass ich mir einen eingefangen habe?

Danke!

Edit:
Ich bin ein bischen blind.
Die datei heißt svchost nicht svhost.
Ist das korrekt dass die svchost so offt gestartet ist?

Zitat:

Zitat von Auditek

Ich bin ein bischen blind.
Die datei heißt svchost nicht svhost.
Ist das korrekt dass die svchost so offt gestartet ist?[/B]

So ein kleiner Fehler kann blutig enden...

Start -> Ausführen -> cmd

tasklist /svc > C:\svc.log & start C:\svc.log

Inhalt bitte hier reinkopieren. Ungewöhnlich ist es aber nicht, dass svchost 5 mal läuft.

Code:

Abbildname                  PID Dienste                                      

========================= ===== =============================================

System Idle Process           0 Nicht verfgbar                              

System                        4 Nicht verfgbar                              

smss.exe                    576 Nicht verfgbar                              

csrss.exe                   640 Nicht verfgbar                              

winlogon.exe                664 Nicht verfgbar                              

services.exe                708 Eventlog, PlugPlay                           

lsass.exe                   720 PolicyAgent, ProtectedStorage, SamSs         

ati2evxx.exe                872 Ati HotKey Poller                            

svchost.exe                 908 RpcSs                                        

WinStylerThemeSvc.exe       920 TUWinStylerThemeSvc                          

svchost.exe                1072 AudioSrv, BITS, Browser, CryptSvc, Dhcp,     

                                dmserver, EventSystem,                       

                                FastUserSwitchingCompatibility, helpsvc,     

                                lanmanserver, lanmanworkstation, Netman,     

                                Nla, RasMan, Schedule, seclogon, SENS,       

                                ShellHWDetection, srservice, TapiSrv,        

                                TermService, Themes, TrkWks, uploadmgr,      

                                winmgmt, wuauserv, WZCSVC                    

Smc.exe                    1108 SmcService                                   

svchost.exe                1388 Dnscache                                     

svchost.exe                1420 LmHosts, RemoteRegistry, SSDPSRV, WebClient  

spoolsv.exe                1676 Spooler                                      

ati2evxx.exe               2040 Nicht verfgbar                              

explorer.exe                292 Nicht verfgbar                              

NvMixerTray.exe            1060 Nicht verfgbar                              

avgnt.exe                  1100 Nicht verfgbar                              

sched.exe                  1464 AntiVirScheduler                             

avguard.exe                1480 AntiVirService                               

ewidoctrl.exe              1536 ewido security suite control                 

ewidoguard.exe             1832 ewido security suite guard                   

SatSrv.exe                 2036 SatSrv                                       

svchost.exe                 620 stisvc                                       

wdfmgr.exe                 1204 UMWdf                                        

SSS2006.exe                 840 Nicht verfgbar                              

SSS2006.exe                1576 Nicht verfgbar                              

wuauclt.exe                1360 Nicht verfgbar                              

messenger2.exe             2916 Nicht verfgbar                              

msnmsgr.exe                4048 Nicht verfgbar                              

BitComet.exe               3468 Nicht verfgbar                              

firefox.exe                1340 Nicht verfgbar                              

cmd.exe                    1988 Nicht verfgbar                              

notepad.exe                 528 Nicht verfgbar                              

tasklist.exe               2956 Nicht verfgbar                              

wmiprvse.exe               2744 Nicht verfgbar

Svchost ist bei mir sogar 7 mal offen!

Nun habe ich ein paar bedenken, dass sich dort auch noch ein Virus versteckt...

Was tun?

Hallo,

Zitat:

Zitat von Archibald32

Was tun?

Post Nr 5 lesen :)
Wie MM schon sagte, es ist normal, das dieser Prozess mehrmals läuft, Info hier

Gruß

Schrulli

@Auditek

hatte eigentlich schon heute Nacht geanwortet, aber die Antwort wohl nicht abgeschickt...hmpf
Also, es scheinen keine ungewöhnlichen svchost-Prozesse bei Dir zu laufen. Alles im grünen Bereich.

@ Archibald

Wie bereits Schrulli erwähnte, Posting Nr 5. Zur Not poste mal das Ergebnis.

Zitat:

Zitat von MightyMarc

Danke dir! :)

Abbildname PID Dienste
========================= ===== =============================================
System Idle Process 0 Nicht verfgbar
System 4 Nicht verfgbar
smss.exe 468 Nicht verfgbar
csrss.exe 524 Nicht verfgbar
winlogon.exe 548 Nicht verfgbar
services.exe 592 Eventlog, PlugPlay
lsass.exe 604 PolicyAgent, ProtectedStorage, SamSs
svchost.exe 756 DcomLaunch, TermService
svchost.exe 800 RpcSs
svchost.exe 864 AudioSrv, Browser, CryptSvc, Dhcp, dmserver,
ERSvc, EventSystem,
FastUserSwitchingCompatibility, helpsvc,
HidServ, lanmanserver, lanmanworkstation,
Netman, Nla, RasMan, Schedule, seclogon,
SENS, SharedAccess, ShellHWDetection,
TapiSrv, Themes, TrkWks, W32Time, winmgmt,
wscsvc, wuauserv, WZCSVC
svchost.exe 916 Dnscache
svchost.exe 960 LmHosts, RemoteRegistry, SSDPSRV, WebClient
explorer.exe 1272 Nicht verfgbar
spoolsv.exe 1324 Spooler
avgnt.exe 1476 Nicht verfgbar
ctfmon.exe 1488 Nicht verfgbar
sched.exe 1620 AntiVirScheduler
avguard.exe 1632 AntiVirService
devldr32.exe 1676 Nicht verfgbar
ewidoctrl.exe 1688 ewido security suite control
kavsvc.exe 1760 kavsvc
mdm.exe 1808 MDM
svchost.exe 1992 stisvc
CALMAIN.exe 496 CCALib8
alg.exe 1500 ALG
svchost.exe 2164 HTTPFilter
wuauclt.exe 2600 Nicht verfgbar
IEXPLORE.EXE 1172 Nicht verfgbar
IEXPLORE.EXE 1796 Nicht verfgbar
cmd.exe 3316 Nicht verfgbar
wmiprvse.exe 3488 Nicht verfgbar
tasklist.exe 3548 Nicht verfgbar

-------------

Vielen Dank im vorraus:)

Hallo,

scanne

wmiprvse.exe

online bei Jotti oder http://www.virustotal.com, poste das Ergebnis.

Gruß

Schrulli

Also wenn die 7 mal offenen is ,dann hast 100% einen .Viele Trojaner benutzten diesen prozess da er ja schwer zu beenden is .Wenn man den falschen trifft zählt der Rechner runter so einfacher ist das .Also bei 7 stück würd ich sagen Formatiern :D

Hallo,

na da kenst sich aber einer aus :confused:

Gruß

Schrulli

@Archibald32

Führe bitte folgendes Kommando aus (Start > Ausführen > cmd):

tasklist /m > %TEMP%\tsk.log & start %TEMP%\tsk.log

Poste bitte die Ausgabe hier.

svchost.exe 7mal geöffnet

Hallo ich habe auch das problem das der svchost.exe 7mal geöffnet ist.
Ich weiß nicht was ich machen soll weil es meinen ganzen Computer in der Geschwindigkeit einschränkt. Bitte um Hilfe!!!!

Was soll ich machen

Hallo habe auch dieses Problem das ich svChost.exe 7x offen habe!

HTJ.exe http://img291.imageshack.us/img291/9585/svhostlx9.jpg HTJ als sccren

Code:

Logfile of Trend Micro HiJackThis v2.0.2

Scan saved at 21:24:09, on 05.01.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS.0\System32\smss.exe

C:\WINDOWS.0\system32\winlogon.exe

C:\WINDOWS.0\system32\services.exe

C:\WINDOWS.0\system32\lsass.exe

C:\WINDOWS.0\system32\Ati2evxx.exe

C:\WINDOWS.0\system32\svchost.exe

C:\WINDOWS.0\System32\svchost.exe

C:\WINDOWS.0\system32\svchost.exe

C:\WINDOWS.0\system32\Ati2evxx.exe

C:\WINDOWS.0\system32\spoolsv.exe

C:\WINDOWS.0\Explorer.EXE

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS.0\system32\svchost.exe

C:\WINDOWS.0\system32\ZoneLabs\vsmon.exe

J:\Valve\Steam\steam.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS.0\system32\NOTEPAD.EXE

H:\Stuff Part2\HJT.exe
 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {598F4775-6FB6-477B-9842-E0426824E077} - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~DP12.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~3\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~3\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~3\MICROS~2\OFFICE11\REFIEBAR.DLL

O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.0\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.0\system32\ati2sgag.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS.0\system32\PnkBstrA.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc .exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS.0\system32\ZoneLabs\vsmon.exe

tasklist /svc > C:\svc.log & start C:\svc.log

Code:

Abbildname                  PID Dienste                                      

========================= ===== =============================================

System Idle Process           0 Nicht verfgbar                              

System                        4 Nicht verfgbar                              

smss.exe                    704 Nicht verfgbar                              

csrss.exe                   776 Nicht verfgbar                              

winlogon.exe                812 Nicht verfgbar                              

services.exe                856 Eventlog, PlugPlay                           

lsass.exe                   868 PolicyAgent, ProtectedStorage, SamSs         

ati2evxx.exe               1040 Ati HotKey Poller                            

svchost.exe                1060 DcomLaunch, TermService                      

svchost.exe                1128 RpcSs                                        

svchost.exe                1232 AudioSrv, Browser, CryptSvc, Dhcp, dmserver, 

                                EventSystem, FastUserSwitchingCompatibility, 

                                helpsvc, lanmanserver, lanmanworkstation,    

                                Netman, Nla, RasMan, Schedule, seclogon,     

                                SENS, SharedAccess, ShellHWDetection,        

                                srservice, TapiSrv, Themes, TrkWks, winmgmt, 

                                wuauserv, WZCSVC                             

svchost.exe                1272 WudfSvc                                      

ati2evxx.exe               1328 Nicht verfgbar                              

svchost.exe                1440 Dnscache                                     

svchost.exe                1588 LmHosts, SSDPSRV, WebClient                  

spoolsv.exe                1816 Spooler                                      

explorer.exe               1880 Nicht verfgbar                              

zlclient.exe               1936 Nicht verfgbar                              

svchost.exe                 628 stisvc                                       

vsmon.exe                   700 vsmon                                        

alg.exe                    1304 ALG                                          

steam.exe                  2360 Nicht verfgbar                              

firefox.exe                3900 Nicht verfgbar                              

cmd.exe                    3236 Nicht verfgbar                              

tasklist.exe               3744 Nicht verfgbar                              

wmiprvse.exe               3000 Nicht verfgbar

Hoffe man kann mir helfen!

edit:

tasklist /m > %TEMP%\tsk.log & start %TEMP%\tsk.log Log kann ich auch posten auf Anfrage is aber bisschen lang.

edit: nach genaueren hinschauen ist mir aufgefallen das;

svchost.exe 1272 WudfSvc

von meinem MP3 Player kommen könnte den wenn ich in anstecke per USB öffnet sich die Wudfsvc.exe im TM.

Hilfe wird hier wohl überbewertet?

Was willst du damit genau sagen?
falls du meinst, dass man dir nicht sofort antwortet, dann kann ich nur dazu sagen, dass es ist oft nicht angesehen ist ein Jahre altes Thread auszugraben.

Du solltest ein eigenes erstellen und dann darin die Scans posten.