Bei Inet-connection ladet irgendwas(svchost?) konteinuierlich runter

#1 Hi,
Ich habe ein riesenproblem mit meinem inet:
immer wenn ich verbinde beginnt irgendetwas volle pulle runterzuladen
ich habe svchost in verdacht doch da dieser aus verschiedenen, teils wichtigen prozessen besteht, kann ich ihn nich einfach mit meiner kav firewall sperren...
es könnte sein, das es windows update ist, das ja auch im svc prozess drinnen ist, aber die würden nicht ohne ende downloaden...

Bitte um schnelle Hilfe

MFG Hyper

#2 Hyperion

arbeite das ab und poste die logs, dann sehe ich nach
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi,
Sry hab vergessen es zu posten...


Logfile of HijackThis v1.99.1
Scan saved at 17:39:42, on 26.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5700.0007)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Trillian\trillian.exe
C:\Dokumente und Einstellungen\Ferdi\Eigene Dateien\Verknüpfungen\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.aon.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aon.at
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.at/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.tele2.at/portalreg
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telekom Austria
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local>
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1162829475667
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1162829264501
O17 - HKLM\System\CCS\Services\Tcpip\..\{1071934D-8EDE-42F3-8E99-ECB9BD283676}: NameServer = 195.3.96.67,195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE8F3489-581B-4BC8-B3D8-2B043BEBFFB9}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{1071934D-8EDE-42F3-8E99-ECB9BD283676}: NameServer = 195.3.96.67,195.3.96.68
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe




Hoffe ihr werden schlau daraus

MfG Hyper


PS:Hab in Google irgendwen gefunden der ähnliches Problem hat...http://groups.google.at/group/aus.computers/browse_frm/thread/9f7ccc7dff21f225/a09c3b0324c3c063?tvc=1#a09c3b0324c3c063[url][/url]

#4 das log ist sauber, jedoch solltest du den C:\Programme\Free Download Manager deinstallieren, dann berichte, wie es so laeuft
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Geht trotzdem nicht

hängt meiner meinung nach 100% mit svchost firewall einstellungen zusammen:

Wenn ich bestimmte TCP/ UDP Dienste (Trainingsmodus) verbiete funktioniert alles
DAs hält aber leider nur für die dauer einer inetverbindung an- dann muss ich alles wieder neu verbieten...
(habe leider noch nicht herausgafunden was für svchost dienst schuld ist)

hab deshalb die einstellungen meiner kaspersky firewall (regeln wenns funzt) mal exportiert und angehängt

#6 Im Zweifel das ganze Programm abarbeiten:

http://board.protecus.de/t23188.htm

incl. Gmer Nutzung http://www.gmer.net/files.php
__________
MfG Ralf
SEO-Spam Hunter

#7 HI,
Hab mich auch bei anderen Foren informiert und ich glaube jetzt dass es mein PC zu einem Bot-Netzwerk gehört...
Das heißt Kriminelle benutzen meinen PC als Ausgangspunkt für ihre Taten und vermieten ihn obendrein noch für andrere user

MFG Hyper

PS: Ich hatte das problem schon mal, aber dann habe ich meinen PC formatiert und ganz neu aufgesetzt... kann sein das die Cyberkriminellen mich schon damals angegriffen haben und ich jetzt erneut opfer wurde...

#8 Wichtig ist halt, das man nicht ungeschuetzt ins Internet geht. Das kann uebel enden, bzw das endet uebel!

BTW: http://www.pcwelt.de/news/sicherheit/64857/index.html
__________
MfG Ralf
SEO-Spam Hunter

#9 HI,
Naja ich hatte nach dem neuformatiern anfangs keine Firewall sondern nur einen virenscanner installiert....
Aber ich hätte gern konkrete Tipps- ich weiß schon selber dass ich mich besser schützen hätte sollen

MfG Hyper

#10 1. Setzt Dein System neu auf
2. Kauf Dir Kaspersky Internet Security. Meiner Meinung nach das beste Packet aus Antivirus und Firewall. Damit bist Du einigermaßen sicher. Was besseres gibt es nicht.

Alternativ kannst Du bevor Du Dein System neu aufsetzt schon mal die 30-Tage Probeversion von Kaspersky runterladen:
http://www.kaspersky.com/de/product_downloads?chapter=186439474
Kaspersky wirkt manchmal wirklich Wunder, jedenfalls im Vergleich zu manchen anderen Sicherheitspaketen.
Aber bevor Du Kaspersky auf den Rechner installierst UNBEDINGT den alten Virenscanner und die alte Firewall deinstallieren, sonst geht gar nichts mehr.

#11 HI,
Ich habe eh Kaspersky Security-trotzdem hat die nix genutzt...

irgendwie müssen die das bot- netzwerk entdeckt und zerstört haben weil jetzt is zurzeit das problem nicht mehr

MfG Hyper

#12 HI,
War leider Fehlentwarnung
Problem besteht leider immer noch... war nur "kurze Pause"

MfG Hyper

#13 Bitte nutze Gmer http://www.gmer.net/files.php
http://virus-protect.org/artikel/tools/gmer.html
Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit nein beantworten und mit Hilfe von copy den Bericht hier einfuegen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser Beendet, wähle Copy und füge den Bericht ein.
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Him
Habe mit gmer gescannt aber nix gefunden...
Außerdem habe ich mich lange mit firewall einstellungen des prozesses svchost gespielt (was ja meine einzige möglichkeit ist den dauertraffic zu stoppen, wenn ich damit auch surfen mail usw unmöglichmache, so kann ich immer noch chatten...), aber nichts heraus gefunden.
Ich habe die ip adressen( für die regeln erstellt werden und bei erlaubnis dieser regel tritt problem auf, aber dafür kann ich surfen usw.) in google gesucht aber nichts verdächtiges gefunden; echt kompliziert bei so vielen ports, ips usw...

Aber komischerweise wollen zurzeit immer folgende dienste (svchost) mit dem inet verbindung:

Zitat

Remote-IP-Adresse: teredo.ipv6.microsoft.com (65.54.227.123)
Remoteport: 3544
Lokaler Port: 1477

Zitat

Remote-IP-Adresse: rip2-routers.mcast.net (224.0.0.9)
remoteport:520
lokalerPort: 520

Mfg Hyper

Ps: Habe die ip adressen auch in geobytes eingegeben, viele sind in china, eine in kanada und die meisten 'können zur zeit nicht lokalisiert werden'...

#15 Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein und poste alles, was im Texteditor erscheint

Zitat

dir /s /a "c:\svchost*.*" > c:\find.txt & start notepad c:\find.txt

--------------------------------------------------------------------

scanne mit den Proggies, die im Tool enthalten sind (viellicht finden sie etwas), soweit du zeit hast und berichte, wenn etwas gefunden wurde
http://virus-protect.org/multiavtool.html
__________
MfG Sabina

rund um die PC-Sicherheit