svchost.exe -> aber kein lovsan und kein w32 |
||
---|---|---|
#0
| ||
26.11.2003, 10:11
...neu hier
Beiträge: 1 |
||
|
||
26.11.2003, 12:05
Moderator
Beiträge: 7805 |
#2
Zitat Ronim postete Das verstehe ich nicht so ganz. Wie war es denn vorgestern? Das Verhalten das du beschreibst ist so wie es sein sollte. Ausser, das du wenn du nichts besonderes laufen hast der Leerlaufprozess 99% anzeigen sollte. Wo sind denn die anderen 10 %? Die Datei svchost.exe ist eine Systemdatei und fuer den Betrieb von Windows2000/XP notwendig, sofern sich die Datei nur im system32 Ordner befindet. __________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 26.11.2003 um 12:07 Uhr von raman editiert.
|
|
|
||
27.11.2003, 07:48
...neu hier
Beiträge: 7 |
#3
5 mal svchost.exe iss doch OK!
3mal System 1mal Lokaler Dienst 1mal Netzwerkdienst Und wenn du die beendest... was du nicht umbedingt solltest... kann das schon zu fehlern führen, aber für "Remote NT...60 Sek...runterfahren..." gibts sowas das schimpft sich Windowsupdate *g* Zu Swen: http://www.heise.de/newsticker/data/dab-19.09.03-000/ Wo auch nochmal ausdrücklich auf Windows Sicherheitslücken und entsprechende updates hingewiesen wird |
|
|
||
27.11.2003, 10:05
Member
Beiträge: 133 |
#4
svchost läst mir auch graue Haare wachsen, das Ding will ständig ans Netz habs dann versucht mehrmals zu löschen(no risk no fun) ist jetzt auch oberflächlich verschwunden(ohne Probleme zu machen).
Wenn ich´s allerdings in der REGEDIT suchen lasse kommt ne Liste mit all den Sachen die mir schon mal Kopfzerbrechen bereitet haben z.B.:div Dialer;ntsearch(so ne aggresieve Startseite);newdotnet;kazaa(hab ich schon 1000mal gelöscht auch in der Reg.) To raman: Übrigens auch die Archive die mein AntiVir gefunden hatte(die CAB's) Vielleicht habt Ihr noch einen Tip für mich, lern gern dazu!!! info:Windos ME MfG aryn __________ Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE) Dieser Beitrag wurde am 27.11.2003 um 10:08 Uhr von arynsun editiert.
|
|
|
||
27.11.2003, 10:14
Moderator
Beiträge: 7805 |
#5
Zu der SVCHOST Sache koennt ihr euch ja mal hier ein wenig schlaulesen:
http://www.kssysteme.de/s_content.php?id=fk2002-01-31-3823 http://www.ntsvcfg.de/ Zu der Newdot/Spywaresache: Wichtig, immer die neusten Updates fuer IE und Winme installieren und..... Poste mal ein Hijackthis log. Da kamm man dann mehr sehen: http://mjc1.com/mirror/hjt/ dort die Datei herunterladen, entpacken, die exe starten, scan druecken, save log druecken, danach den Inhalt des Aufpopenden Editors in eine Antwort hineinkopieren. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
27.11.2003, 13:29
Member
Beiträge: 133 |
#6
Danke erstmal!
Na prima, kann mir schon denken was da alles rausmuß, werd wohl mal über ein Passwort nachdenken müssen! Logfile of HijackThis v1.97.7 Scan saved at 13:19:28, on 27.11.2003 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE C:\WINDOWS\RunDLL.exe C:\PROGRAMME\IMONC - ROUTER\IMONC.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\PROGRAMME\WINRAR\WINRAR.EXE C:\WINDOWS\TEMP\RAR$EX01.213\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.fastwebfinder.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.searchforge.com/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.searchforge.com/search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://out.true-counter.com/a/?656387 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://out.true-counter.com/b/?656387 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.searchforge.com/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.searchforge.com/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://out.true-counter.com/a/?656387 about:blank (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.searchforge.com/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.searchforge.com/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.white-pages.ws/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.searchforge.com/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.searchforge.com/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.searchforge.com/search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.white-pages.ws/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.white-pages.ws/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.fastwebfinder.com/hp.php R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://out.true-counter.com/b/?656387 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://out.true-counter.com/b/?656387 (obfuscated) R3 - URLSearchHook: MailTo Class - {01A9EB7D-69BC-11D2-AB2F-204C4F4F5020} - C:\WINDOWS\SYSTEM\ASTCTL32.OCX O1 - Hosts: 645238813 auto.search.msn.com O1 - Hosts: 645238813 auto.search.msn.com O1 - Hosts: 5377608764 spywareinfo.com O1 - Hosts: 5377608764 www.spywareinfo.com O1 - Hosts: 5377608764 lavasoftsupport.com O1 - Hosts: 5377608764 www.lavasoftsupport.com O1 - Hosts: 5377608764 exit.xitcash.com O1 - Hosts: 5377608764 www.exitforcash.com O1 - Hosts: 5377608764 exit.sellyourexit.com O1 - Hosts: 5377608764 sex-explorer.com O1 - Hosts: 5377608764 www.sex-explorer.com O1 - Hosts: 5377608764 www.online-dialer.com O1 - Hosts: 5377608764 network.nocreditcard.com O1 - Hosts: 5377608764 www.mtreexxx.net O1 - Hosts: 5377608764 www.0190-dialer.com O1 - Hosts: 5377608764 install.xxxtoolbar.com O1 - Hosts: 5377608764 www.xxxtoolbar.com O1 - Hosts: 5377608764 searchv.com O1 - Hosts: 5377608764 www.searchv.com O1 - Hosts: 5377608764 approvedlinks.com O1 - Hosts: 5377608764 www.approvedlinks.com O1 - Hosts: 5377608764 searching-the-net.com O1 - Hosts: 5377608764 www.searching-the-net.com O1 - Hosts: 5377608764 ywebsearch.info O1 - Hosts: 5377608764 www.ywebsearch.info O1 - Hosts: 5377608764 ok-search.com O1 - Hosts: 5377608764 www.ok-search.com O1 - Hosts: 5377608764 ewebsearch.net O1 - Hosts: 5377608764 www.ewebsearch.net O1 - Hosts: 5377608764 www.008k.com O1 - Hosts: 5377608764 autosearcher.com O1 - Hosts: 5377608764 www.autosearcher.com O1 - Hosts: 5377608764 www.smutserver.com O1 - Hosts: 5377608764 www.smuthosts.com O1 - Hosts: 5377608764 www.kinghost.com O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [keymgrldr] rundll32 setupapi,InstallHinfSection Oemkeymgr9x 128 keymgr3.inf O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [b3dupdate] C:\WINDOWS\BDE\b3dsetup.Exe -silent -p "C:\WINDOWS\BDE" -s setup.cab O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - HKCU\..\Run: [fli4l] "C:\PROGRAMME\IMONC - ROUTER\IMONC.EXE" 192.168.1.250 O4 - HKCU\..\Run: [WebWasher] C:\PROGRAMME\WEBWASHER\WWASHER.EXE O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM) O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab O19 - User stylesheet: (file missing) (HKLM) wie gehts weiter? MfG aryn __________ Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE) |
|
|
||
27.11.2003, 14:40
Moderator
Beiträge: 7805 |
#7
Hui! Mache mal folgendes:
Dies lesen, verstehen, handeln und ein neues Log posten: http://www.spywareinfo.com/~merijn/cwschronicles.html __________ MfG Ralf SEO-Spam Hunter |
|
|
||
27.11.2003, 15:02
Member
Beiträge: 133 |
#8
Oi,Oi das wird was größeres, muß erst mal das Wörterbuch wälzen, hoffe ich bekomme es hin!
Dank erstmal raman!!! __________ Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE) |
|
|
||
27.11.2003, 15:21
Moderator
Beiträge: 7805 |
#9
Dann die einfache Variante: http://www.spychecker.com/program/cwshredder.html
Dort die Datei herunterladen, entpacken, starten, alle Browserfenster schliessen und next druecken! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
27.11.2003, 15:38
Member
Beiträge: 133 |
#10
Jo, hatte mich schon bisl durchgearbeitet, trau aber lieber dir als meinen Englischkenntnissen(die waren schon mal besser)
Muß jetzt nur noch den PC wechseln, werd also erst später dazu kommen. MfG aryn __________ Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE) |
|
|
||
28.11.2003, 08:32
Member
Beiträge: 133 |
#11
Morgen! Kann die Seite http://www.spywareinfo.com/~merijn/cwschronicles.html von meinem PC aus nicht öffnen und bei http://www.spychecker.com/program/cwshredder.html kann ich nicht downloaden( auch mit dem link für dl-Probleme geht nichts auf)
Einstellungssache oder liegts an der Seite? MfG aryn __________ Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE) |
|
|
||
28.11.2003, 08:55
Moderator
Beiträge: 7805 |
#12
Ja, habe ich gerade erst gesehen. Lasse Hijackthis mal alles fixen, was mit 01 hosts anfaengt. Oder wahlweise diesen link versuchen: http://216.180.252.218/~merijn/cwschronicles.html
http://69.28.135.166/program/cwshredder.html __________ MfG Ralf SEO-Spam Hunter |
|
|
||
28.11.2003, 09:17
Member
Beiträge: 133 |
#13
Hab beides gemacht:
Logfile of HijackThis v1.97.7 Scan saved at 09:12:57, on 28.11.2003 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE C:\WINDOWS\RunDLL.exe C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\PROGRAMME\IMONC - ROUTER\IMONC.EXE D:\EIGENE DATEIEN\DOWNLOADS\PRIVAT\HIJACKTHIS\HIJACKTHIS.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [b3dupdate] C:\WINDOWS\BDE\b3dsetup.Exe -silent -p "C:\WINDOWS\BDE" -s setup.cab O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - HKCU\..\Run: [fli4l] "C:\PROGRAMME\IMONC - ROUTER\IMONC.EXE" 192.168.1.250 O4 - HKCU\..\Run: [WebWasher] C:\PROGRAMME\WEBWASHER\WWASHER.EXE O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM) O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab O19 - User stylesheet: (file missing) (HKLM) ...sieht schon besser aus,oder? Was hat es noch mit dem MS Java auf sich( Patch downloaden oder löschen?) Die 01'ser Host's hab ich ins backup gelegt, die kan´n doch löschen ,oder? Bin gespannt! MfG aryn __________ Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE) |
|
|
||
28.11.2003, 09:32
Moderator
Beiträge: 7805 |
#14
Ja, das sieht besser aus. Nur noch die 010er, 016er(sieht nach dialer aus, aber du scheinst ja fli4 zu nutzen) und 019er fixen und das hier auch:
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [b3dupdate] C:\WINDOWS\BDE\b3dsetup.Exe -silent -p "C:\WINDOWS\BDE" -s setup.cab Dann den Rest mit hilfe von Spybot oder adaware von der Festplatte loeschen. MS-Java bitte updaten. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
28.11.2003, 10:12
Member
Beiträge: 133 |
#15
Kann sie nicht fixen, folgende Meldung: NewDotNet DLL is currendly active,reboot and rescan, then remove New.Net and fix the WinSock stack.
Was muß ich tun, will kurz vorm Ziel nichts falsch machen! Hab übrigens Windows upgedatet( bevor es bemängelt wird!) __________ Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE) |
|
|
||
seit gestern hab ich auf einmal folgendes Problem.
Im Taksmanager läuft 5 mal svchost.exe und der Leerlaufprozess bringt es auf 90% Auslastung. Schliesse ich nun die svchost.exe Prozeses erscheint nicht bei allen, jedoch bei einer, dieses berühmte Worm Fenster "Remote NT...60 Sek...runterfahren...". Auf der Suche nach einer Lösung im Netz hab ich auch schon einige Removal Tools getestet kam aber zu keinen Erfolg. U.a von Symantec den W32-Remover, von f-secure den lovsan remover und dazu noch einen names fixblast.exe.
Mein Norton Antivirus hat zwischenzeitlich einen Wurm namens Swen identifiziert und beseitigt. Das oben beschriebene Problem existiert aber immer noch. Auch der Scan mit F-Secure führt zu keinem erfolgreichen Ergebnis. Die Virenprogramme sind auf dem neusten Stand.
Informationen:
System Win XP
Norton Firewall & Antivirus
Bitte um Hilfe!
Gruß Ron