svchost.exe -> aber kein lovsan und kein w32

#0
26.11.2003, 10:11
...neu hier

Beiträge: 1
#1 Hallo,
seit gestern hab ich auf einmal folgendes Problem.
Im Taksmanager läuft 5 mal svchost.exe und der Leerlaufprozess bringt es auf 90% Auslastung. Schliesse ich nun die svchost.exe Prozeses erscheint nicht bei allen, jedoch bei einer, dieses berühmte Worm Fenster "Remote NT...60 Sek...runterfahren...". Auf der Suche nach einer Lösung im Netz hab ich auch schon einige Removal Tools getestet kam aber zu keinen Erfolg. U.a von Symantec den W32-Remover, von f-secure den lovsan remover und dazu noch einen names fixblast.exe.

Mein Norton Antivirus hat zwischenzeitlich einen Wurm namens Swen identifiziert und beseitigt. Das oben beschriebene Problem existiert aber immer noch. Auch der Scan mit F-Secure führt zu keinem erfolgreichen Ergebnis. Die Virenprogramme sind auf dem neusten Stand.

Informationen:
System Win XP
Norton Firewall & Antivirus

Bitte um Hilfe!

Gruß Ron
Seitenanfang Seitenende
26.11.2003, 12:05
Moderator

Beiträge: 7805
#2

Zitat

Ronim postete
seit gestern hab ich auf einmal folgendes Problem.
Im Taksmanager läuft 5 mal svchost.exe und der Leerlaufprozess bringt es auf 90% Auslastung.


Das verstehe ich nicht so ganz. Wie war es denn vorgestern? Das Verhalten das du beschreibst ist so wie es sein sollte. Ausser, das du wenn du nichts besonderes laufen hast der Leerlaufprozess 99% anzeigen sollte. Wo sind denn die anderen 10 %?
Die Datei svchost.exe ist eine Systemdatei und fuer den Betrieb von Windows2000/XP notwendig, sofern sich die Datei nur im system32 Ordner befindet.
__________
MfG Ralf
SEO-Spam Hunter
Dieser Beitrag wurde am 26.11.2003 um 12:07 Uhr von raman editiert.
Seitenanfang Seitenende
27.11.2003, 07:48
...neu hier

Beiträge: 7
#3 5 mal svchost.exe iss doch OK!

3mal System
1mal Lokaler Dienst
1mal Netzwerkdienst

Und wenn du die beendest... was du nicht umbedingt solltest... kann das schon zu fehlern führen, aber für "Remote NT...60 Sek...runterfahren..." gibts sowas das schimpft sich Windowsupdate *g*

Zu Swen:
http://www.heise.de/newsticker/data/dab-19.09.03-000/

Wo auch nochmal ausdrücklich auf Windows Sicherheitslücken und entsprechende updates hingewiesen wird ;)
Seitenanfang Seitenende
27.11.2003, 10:05
Member

Beiträge: 133
#4 svchost läst mir auch graue Haare wachsen, das Ding will ständig ans Netz habs dann versucht mehrmals zu löschen(no risk no fun) ist jetzt auch oberflächlich verschwunden(ohne Probleme zu machen).
Wenn ich´s allerdings in der REGEDIT suchen lasse kommt ne Liste mit all den Sachen die mir schon mal Kopfzerbrechen bereitet haben z.B.:div Dialer;ntsearch(so ne aggresieve Startseite);newdotnet;kazaa(hab ich schon 1000mal gelöscht auch in der Reg.)

To raman: Übrigens auch die Archive die mein AntiVir gefunden hatte(die CAB's)

Vielleicht habt Ihr noch einen Tip für mich, lern gern dazu!!!
info:Windos ME

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)
Dieser Beitrag wurde am 27.11.2003 um 10:08 Uhr von arynsun editiert.
Seitenanfang Seitenende
27.11.2003, 10:14
Moderator

Beiträge: 7805
#5 Zu der SVCHOST Sache koennt ihr euch ja mal hier ein wenig schlaulesen:
http://www.kssysteme.de/s_content.php?id=fk2002-01-31-3823
http://www.ntsvcfg.de/

Zu der Newdot/Spywaresache: Wichtig, immer die neusten Updates fuer IE und Winme installieren und.....
Poste mal ein Hijackthis log. Da kamm man dann mehr sehen:
http://mjc1.com/mirror/hjt/ dort die Datei herunterladen, entpacken, die exe starten, scan druecken, save log druecken, danach den Inhalt des Aufpopenden Editors in eine Antwort hineinkopieren.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.11.2003, 13:29
Member

Beiträge: 133
#6 Danke erstmal!
Na prima, kann mir schon denken was da alles rausmuß, werd wohl mal über ein Passwort nachdenken müssen!
Logfile of HijackThis v1.97.7
Scan saved at 13:19:28, on 27.11.2003
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\IMONC - ROUTER\IMONC.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\WINRAR\WINRAR.EXE
C:\WINDOWS\TEMP\RAR$EX01.213\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.fastwebfinder.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.searchforge.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.searchforge.com/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://out.true-counter.com/a/?656387 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://out.true-counter.com/b/?656387 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.searchforge.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.searchforge.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://out.true-counter.com/a/?656387 about:blank (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.searchforge.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.searchforge.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.white-pages.ws/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.searchforge.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.searchforge.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.searchforge.com/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.white-pages.ws/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.white-pages.ws/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.fastwebfinder.com/hp.php
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://out.true-counter.com/b/?656387 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://out.true-counter.com/b/?656387 (obfuscated)
R3 - URLSearchHook: MailTo Class - {01A9EB7D-69BC-11D2-AB2F-204C4F4F5020} - C:\WINDOWS\SYSTEM\ASTCTL32.OCX
O1 - Hosts: 645238813 auto.search.msn.com
O1 - Hosts: 645238813 auto.search.msn.com
O1 - Hosts: 5377608764 spywareinfo.com
O1 - Hosts: 5377608764 www.spywareinfo.com
O1 - Hosts: 5377608764 lavasoftsupport.com
O1 - Hosts: 5377608764 www.lavasoftsupport.com
O1 - Hosts: 5377608764 exit.xitcash.com
O1 - Hosts: 5377608764 www.exitforcash.com
O1 - Hosts: 5377608764 exit.sellyourexit.com
O1 - Hosts: 5377608764 sex-explorer.com
O1 - Hosts: 5377608764 www.sex-explorer.com
O1 - Hosts: 5377608764 www.online-dialer.com
O1 - Hosts: 5377608764 network.nocreditcard.com
O1 - Hosts: 5377608764 www.mtreexxx.net
O1 - Hosts: 5377608764 www.0190-dialer.com
O1 - Hosts: 5377608764 install.xxxtoolbar.com
O1 - Hosts: 5377608764 www.xxxtoolbar.com
O1 - Hosts: 5377608764 searchv.com
O1 - Hosts: 5377608764 www.searchv.com
O1 - Hosts: 5377608764 approvedlinks.com
O1 - Hosts: 5377608764 www.approvedlinks.com
O1 - Hosts: 5377608764 searching-the-net.com
O1 - Hosts: 5377608764 www.searching-the-net.com
O1 - Hosts: 5377608764 ywebsearch.info
O1 - Hosts: 5377608764 www.ywebsearch.info
O1 - Hosts: 5377608764 ok-search.com
O1 - Hosts: 5377608764 www.ok-search.com
O1 - Hosts: 5377608764 ewebsearch.net
O1 - Hosts: 5377608764 www.ewebsearch.net
O1 - Hosts: 5377608764 www.008k.com
O1 - Hosts: 5377608764 autosearcher.com
O1 - Hosts: 5377608764 www.autosearcher.com
O1 - Hosts: 5377608764 www.smutserver.com
O1 - Hosts: 5377608764 www.smuthosts.com
O1 - Hosts: 5377608764 www.kinghost.com
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [keymgrldr] rundll32 setupapi,InstallHinfSection Oemkeymgr9x 128 keymgr3.inf
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [b3dupdate] C:\WINDOWS\BDE\b3dsetup.Exe -silent -p "C:\WINDOWS\BDE" -s setup.cab
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [fli4l] "C:\PROGRAMME\IMONC - ROUTER\IMONC.EXE" 192.168.1.250
O4 - HKCU\..\Run: [WebWasher] C:\PROGRAMME\WEBWASHER\WWASHER.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O19 - User stylesheet: (file missing) (HKLM)

wie gehts weiter?

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)
Seitenanfang Seitenende
27.11.2003, 14:40
Moderator

Beiträge: 7805
#7 Hui! Mache mal folgendes:

Dies lesen, verstehen, handeln und ein neues Log posten: http://www.spywareinfo.com/~merijn/cwschronicles.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.11.2003, 15:02
Member

Beiträge: 133
#8 Oi,Oi das wird was größeres, muß erst mal das Wörterbuch wälzen, hoffe ich bekomme es hin!

Dank erstmal raman!!!
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)
Seitenanfang Seitenende
27.11.2003, 15:21
Moderator

Beiträge: 7805
#9 Dann die einfache Variante: http://www.spychecker.com/program/cwshredder.html
Dort die Datei herunterladen, entpacken, starten, alle Browserfenster schliessen und next druecken!;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.11.2003, 15:38
Member

Beiträge: 133
#10 Jo, hatte mich schon bisl durchgearbeitet, trau aber lieber dir als meinen Englischkenntnissen(die waren schon mal besser)
Muß jetzt nur noch den PC wechseln, werd also erst später dazu kommen.

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)
Seitenanfang Seitenende
28.11.2003, 08:32
Member

Beiträge: 133
#11 Morgen! Kann die Seite http://www.spywareinfo.com/~merijn/cwschronicles.html von meinem PC aus nicht öffnen und bei http://www.spychecker.com/program/cwshredder.html kann ich nicht downloaden( auch mit dem link für dl-Probleme geht nichts auf)
Einstellungssache oder liegts an der Seite?

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)
Seitenanfang Seitenende
28.11.2003, 08:55
Moderator

Beiträge: 7805
#12 Ja, habe ich gerade erst gesehen. Lasse Hijackthis mal alles fixen, was mit 01 hosts anfaengt. Oder wahlweise diesen link versuchen: http://216.180.252.218/~merijn/cwschronicles.html
http://69.28.135.166/program/cwshredder.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
28.11.2003, 09:17
Member

Beiträge: 133
#13 Hab beides gemacht:

Logfile of HijackThis v1.97.7
Scan saved at 09:12:57, on 28.11.2003
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\IMONC - ROUTER\IMONC.EXE
D:\EIGENE DATEIEN\DOWNLOADS\PRIVAT\HIJACKTHIS\HIJACKTHIS.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [b3dupdate] C:\WINDOWS\BDE\b3dsetup.Exe -silent -p "C:\WINDOWS\BDE" -s setup.cab
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [fli4l] "C:\PROGRAMME\IMONC - ROUTER\IMONC.EXE" 192.168.1.250
O4 - HKCU\..\Run: [WebWasher] C:\PROGRAMME\WEBWASHER\WWASHER.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O19 - User stylesheet: (file missing) (HKLM)

...sieht schon besser aus,oder?

Was hat es noch mit dem MS Java auf sich( Patch downloaden oder löschen?)
Die 01'ser Host's hab ich ins backup gelegt, die kan´n doch löschen ,oder?

Bin gespannt!
MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)
Seitenanfang Seitenende
28.11.2003, 09:32
Moderator

Beiträge: 7805
#14 Ja, das sieht besser aus. Nur noch die 010er, 016er(sieht nach dialer aus, aber du scheinst ja fli4 zu nutzen) und 019er fixen und das hier auch:

O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [b3dupdate] C:\WINDOWS\BDE\b3dsetup.Exe -silent -p "C:\WINDOWS\BDE" -s setup.cab

Dann den Rest mit hilfe von Spybot oder adaware von der Festplatte loeschen. MS-Java bitte updaten.;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
28.11.2003, 10:12
Member

Beiträge: 133
#15 Kann sie nicht fixen, folgende Meldung: NewDotNet DLL is currendly active,reboot and rescan, then remove New.Net and fix the WinSock stack.

Was muß ich tun, will kurz vorm Ziel nichts falsch machen!

Hab übrigens Windows upgedatet( bevor es bemängelt wird!)
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: