Bei Inet-connection ladet irgendwas(svchost?) konteinuierlich runter |
||
---|---|---|
#0
| ||
24.11.2006, 17:42
Member
Beiträge: 11 |
||
|
||
24.11.2006, 22:20
Ehrenmitglied
Beiträge: 29434 |
#2
Hyperion
arbeite das ab und poste die logs, dann sehe ich nach http://board.protecus.de/t23188.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.11.2006, 17:40
Member
Themenstarter Beiträge: 11 |
#3
Hi,
Sry hab vergessen es zu posten... Logfile of HijackThis v1.99.1 Scan saved at 17:39:42, on 26.11.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5700.0007) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Trillian\trillian.exe C:\Dokumente und Einstellungen\Ferdi\Eigene Dateien\Verknüpfungen\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.aon.at R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aon.at R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.at/startpage R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.tele2.at/portalreg R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telekom Austria R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local> O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Internet Security 6.0\avp.exe" O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Internet Security 6.0\\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1162829475667 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1162829264501 O17 - HKLM\System\CCS\Services\Tcpip\..\{1071934D-8EDE-42F3-8E99-ECB9BD283676}: NameServer = 195.3.96.67,195.3.96.68 O17 - HKLM\System\CCS\Services\Tcpip\..\{DE8F3489-581B-4BC8-B3D8-2B043BEBFFB9}: NameServer = 195.3.96.67 195.3.96.68 O17 - HKLM\System\CS1\Services\Tcpip\..\{1071934D-8EDE-42F3-8E99-ECB9BD283676}: NameServer = 195.3.96.67,195.3.96.68 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1.0\adialhk.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Internet Security 6.0\avp.exe" -r (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe Hoffe ihr werden schlau daraus MfG Hyper PS:Hab in Google irgendwen gefunden der ähnliches Problem hat...http://groups.google.at/group/aus.computers/browse_frm/thread/9f7ccc7dff21f225/a09c3b0324c3c063?tvc=1#a09c3b0324c3c063[url][/url] |
|
|
||
26.11.2006, 17:59
Ehrenmitglied
Beiträge: 29434 |
#4
das log ist sauber, jedoch solltest du den C:\Programme\Free Download Manager deinstallieren, dann berichte, wie es so laeuft
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.11.2006, 20:02
Member
Themenstarter Beiträge: 11 |
#5
Geht trotzdem nicht
hängt meiner meinung nach 100% mit svchost firewall einstellungen zusammen: Wenn ich bestimmte TCP/ UDP Dienste (Trainingsmodus) verbiete funktioniert alles DAs hält aber leider nur für die dauer einer inetverbindung an- dann muss ich alles wieder neu verbieten... (habe leider noch nicht herausgafunden was für svchost dienst schuld ist) hab deshalb die einstellungen meiner kaspersky firewall (regeln wenns funzt) mal exportiert und angehängt Anhang: svchost.ini Dieser Beitrag wurde am 26.11.2006 um 20:25 Uhr von Hyperion editiert.
|
|
|
||
26.11.2006, 20:54
Moderator
Beiträge: 7805 |
#6
Im Zweifel das ganze Programm abarbeiten:
http://board.protecus.de/t23188.htm incl. Gmer Nutzung http://www.gmer.net/files.php __________ MfG Ralf SEO-Spam Hunter |
|
|
||
27.11.2006, 13:14
Member
Themenstarter Beiträge: 11 |
#7
HI,
Hab mich auch bei anderen Foren informiert und ich glaube jetzt dass es mein PC zu einem Bot-Netzwerk gehört... Das heißt Kriminelle benutzen meinen PC als Ausgangspunkt für ihre Taten und vermieten ihn obendrein noch für andrere user MFG Hyper PS: Ich hatte das problem schon mal, aber dann habe ich meinen PC formatiert und ganz neu aufgesetzt... kann sein das die Cyberkriminellen mich schon damals angegriffen haben und ich jetzt erneut opfer wurde... Dieser Beitrag wurde am 27.11.2006 um 13:19 Uhr von Hyperion editiert.
|
|
|
||
27.11.2006, 14:19
Moderator
Beiträge: 7805 |
#8
Wichtig ist halt, das man nicht ungeschuetzt ins Internet geht. Das kann uebel enden, bzw das endet uebel!
BTW: http://www.pcwelt.de/news/sicherheit/64857/index.html __________ MfG Ralf SEO-Spam Hunter |
|
|
||
28.11.2006, 14:59
Member
Themenstarter Beiträge: 11 |
#9
HI,
Naja ich hatte nach dem neuformatiern anfangs keine Firewall sondern nur einen virenscanner installiert.... Aber ich hätte gern konkrete Tipps- ich weiß schon selber dass ich mich besser schützen hätte sollen MfG Hyper Anhang: hijackthis1.txt Dieser Beitrag wurde am 28.11.2006 um 15:02 Uhr von Hyperion editiert.
|
|
|
||
29.11.2006, 19:53
Member
Beiträge: 37 |
#10
1. Setzt Dein System neu auf
2. Kauf Dir Kaspersky Internet Security. Meiner Meinung nach das beste Packet aus Antivirus und Firewall. Damit bist Du einigermaßen sicher. Was besseres gibt es nicht. Alternativ kannst Du bevor Du Dein System neu aufsetzt schon mal die 30-Tage Probeversion von Kaspersky runterladen: http://www.kaspersky.com/de/product_downloads?chapter=186439474 Kaspersky wirkt manchmal wirklich Wunder, jedenfalls im Vergleich zu manchen anderen Sicherheitspaketen. Aber bevor Du Kaspersky auf den Rechner installierst UNBEDINGT den alten Virenscanner und die alte Firewall deinstallieren, sonst geht gar nichts mehr. |
|
|
||
30.11.2006, 15:35
Member
Themenstarter Beiträge: 11 |
#11
HI,
Ich habe eh Kaspersky Security-trotzdem hat die nix genutzt... irgendwie müssen die das bot- netzwerk entdeckt und zerstört haben weil jetzt is zurzeit das problem nicht mehr MfG Hyper Dieser Beitrag wurde am 01.12.2006 um 17:04 Uhr von Hyperion editiert.
|
|
|
||
04.12.2006, 12:12
Member
Themenstarter Beiträge: 11 |
#12
HI,
War leider Fehlentwarnung Problem besteht leider immer noch... war nur "kurze Pause" MfG Hyper |
|
|
||
04.12.2006, 12:19
Ehrenmitglied
Beiträge: 29434 |
#13
Bitte nutze Gmer http://www.gmer.net/files.php
http://virus-protect.org/artikel/tools/gmer.html Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit nein beantworten und mit Hilfe von copy den Bericht hier einfuegen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser Beendet, wähle Copy und füge den Bericht ein. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.12.2006, 17:11
Member
Themenstarter Beiträge: 11 |
#14
Him
Habe mit gmer gescannt aber nix gefunden... Außerdem habe ich mich lange mit firewall einstellungen des prozesses svchost gespielt (was ja meine einzige möglichkeit ist den dauertraffic zu stoppen, wenn ich damit auch surfen mail usw unmöglichmache, so kann ich immer noch chatten...), aber nichts heraus gefunden. Ich habe die ip adressen( für die regeln erstellt werden und bei erlaubnis dieser regel tritt problem auf, aber dafür kann ich surfen usw.) in google gesucht aber nichts verdächtiges gefunden; echt kompliziert bei so vielen ports, ips usw... Aber komischerweise wollen zurzeit immer folgende dienste (svchost) mit dem inet verbindung: Zitat Remote-IP-Adresse: teredo.ipv6.microsoft.com (65.54.227.123) Zitat Remote-IP-Adresse: rip2-routers.mcast.net (224.0.0.9)Mfg Hyper Ps: Habe die ip adressen auch in geobytes eingegeben, viele sind in china, eine in kanada und die meisten 'können zur zeit nicht lokalisiert werden'... Dieser Beitrag wurde am 05.12.2006 um 17:27 Uhr von Hyperion editiert.
|
|
|
||
06.12.2006, 00:28
Ehrenmitglied
Beiträge: 29434 |
#15
Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein und poste alles, was im Texteditor erscheint Zitat dir /s /a "c:\svchost*.*" > c:\find.txt & start notepad c:\find.txt-------------------------------------------------------------------- scanne mit den Proggies, die im Tool enthalten sind (viellicht finden sie etwas), soweit du zeit hast und berichte, wenn etwas gefunden wurde http://virus-protect.org/multiavtool.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Ich habe ein riesenproblem mit meinem inet:
immer wenn ich verbinde beginnt irgendetwas volle pulle runterzuladen
ich habe svchost in verdacht doch da dieser aus verschiedenen, teils wichtigen prozessen besteht, kann ich ihn nich einfach mit meiner kav firewall sperren...
es könnte sein, das es windows update ist, das ja auch im svc prozess drinnen ist, aber die würden nicht ohne ende downloaden...
Bitte um schnelle Hilfe
MFG Hyper