Ich habe da ein Problem mit Windows XP.
Ich hatte bis vor kurzem einen Prozess im Hintergrund laufen der 100% Systemleistung geschluckt hat.(svchost)

Ich hatte mich dann entschlossen alles zu formatieren.
Als ich dann jedoch XP neu installiert habe war diese Anwendung gleich 3 mal wieder im Hintergrund vorhanden.
Bevor ich das erste mal ins Internet gegangen bin!!!
Firewall sagt mir immer, dass dieses Programm auf das Internet zugreifen möchte.

Was soll ich machen???

Schonmal danke im Vorraus.

Hallo@Legolor

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner -->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen

Logfile of HijackThis v1.99.0
Scan saved at 12:29:55, on 07.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\apiim.exe
C:\WINDOWS\apigd.exe
C:\DOKUME~1\Chris\LOKALE~1\Temp\20.tmp
C:\Programme\frnsorgl\frnsorgl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Chris\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=22321
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=22321
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=22321
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=22321
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=22321
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=22321
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=22321
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=22321
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {D26EF3CF-ABBF-7563-0E63-B83BE69A8990} - C:\WINDOWS\system32\crgs.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [apigd.exe] C:\WINDOWS\apigd.exe
O4 - HKLM\..\Run: [20.tmp] C:\DOKUME~1\Chris\LOKALE~1\Temp\20.tmp.exe 0 10001
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{8999FA8E-78D7-4F61-B87E-14A29E257615}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: Workstation NetLogon Service - Unknown - C:\WINDOWS\system32\apiim.exe



Sorry,
hab grad gesehen, dass es schon so einen Thread gibt.
Mein Fehler

Hallo@Legolor

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924

Deinstalliere (vorruebergehend den Avast-Virenscanner)-->ist wichtig

Lade;
#Antivirus (free)-->warte in Ruhe den Scan ab, dann konfiguriere
http://www.free-av.de/
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

#eScan-ErkennungstooL
http://bilder.informationsarchiv.net/Nikitas_Tools/
erstelle den Ordner c:\bases
mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen

Start-> Einstellungen-> Systemsteuerung-> Verwaltung-> Computerverwaltung und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Workstation NetLogon Service " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"Workstation NetLogon Service " beim nächsten Systemstart erneut ausgeführt.

Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg auf dem Desktop speichern.

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_O?*001E*2019*017DRT*00F1*00E5*00C8*00B2$*000E*00D3]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\O?’ŽrtñåȲ$Ó]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\½O.#ž‚„

hm
ich hatte jetzt darauf gehofft, dass du mir nen Link für ein Tool oder so postes. Ich komm da nicht ganz so mit.

Aber mal ne andere Frage:
Was macht der Worm denn so böses.
Er läuft momentan (ganze 4-mal) bei mir im Hintergrund mit, aber schluckt keine Cpu Leistung.

Legolor hat geschrieben:hm
ich hatte jetzt darauf gehofft, dass du mir nen Link für ein Tool oder so postes. Ich komm da nicht ganz so mit.

Aber mal ne andere Frage:
Was macht der Worm denn so böses.
Er läuft momentan (ganze 4-mal) bei mir im Hintergrund mit, aber schluckt keine Cpu Leistung.

also ich lass mir die log von http://www.hijackthis.de/index.php auswerten,
fixe die "bösen einträge" und fertig.
antivir läuft bei mir sowieso im hintergrund.
ab und zu spybot drüberlaufen lassen. jeden tag mit xpclean säubern.

oder mach ich was falsch?
hab keine würmer, trojaner spy- oder malware usw..

Hallo, habe bei mir das Prog "sv.chost" 7mal im hintergrund laufen


bis jetzt keine problrmr gehabt.

Firewall, antivir, spybot, adaware, a2.

alles läuft prima, oder doch nicht??????

gruss, schnelli

W32/Agobot

# Schaltet Antiviren-Anwendungen aus
# Ermöglicht Dritten den Zugriff auf den Computer
# Stiehlt Daten
# Lädt Code aus dem Internet herunter
# Reduziert die Systemsicherheit

W32/Agobot-NT ist ein IRC-Backdoortrojaner und ein Netzwerkwurm.

W32/Agobot-NT kann sich auf Computer im lokalen Netzwerk verbreiten, die durch einfache Kennwörter geschützt sind.

Hallo,
svchost ist ein Sammel Container in dem viele Prozesse verwaltet werden. Schaut doch mal nach, was innerhalb der gestarteten SVCHOST Prozesse läuft. Der Task Manager iost dafür leider nicht geeignet. Ich würde da andere Tools vorschalen. Ich hatte darüber mal einen Artikel geschrieben, der vielleicht ein wenig hilft:
http://www.eddys-domain.de/XP_Tips/Secu ... ozesse.htm
Sch hier mal das Tool von sysinternals an, den Process Explorer. Ein anderes Tool währe dann noch der Process Viewer (PRCView von www.prcview.com)

Wow, das sind ja mal super Programme die du da rausgesucht hast.

Schliesse hiermit meins ab.

Danke, schnelli

Ich hab jetzt mal gelesen, dass wenn diese Programme unter C:\Windows\system32 laufen (was sie bei mir tun) keine bösen Programme sind.
Stimmt das und hab ich somit doch keinen Worm????

(Immerhin findet das Tool was ich von Symantec habe diesen Worm auch nicht)

Mfg
Legolor

Hallo@Legolor

Dein PC ist voellig verseucht...hat nichts mit "svchost"-Diensten
zu tun, sondern mit:

C:\WINDOWS\system32\apiim.exe
C:\WINDOWS\apigd.exe
C:\DOKUME~1\Chris\LOKALE~1\Temp\20.tmp.exe 0 10001
C:\DOKUME~1\Chris\LOKALE~1\Temp\20.tmp.exe
C:\WINDOWS\system32\crgs.dll

ich verstehe es nicht, wenn ich dir sage, dass dein System verseucht ist und du noch hier rumdiskutierst, anstelle alles zu saeubern oder Windows neu zu installieren.

Ich habe auch noch eine frage bezüglich svchost.
Gib es denn irgendwo progs gegen svchost???

Hallo@Uemelchen

Das ist eine Angelegenheit, wo man die Ruhe bewahren muss

ohne die "svchost"-Dienste funktioniert dein PC nicht !!!!!

Die svchost / svchost.exe ist ein Systemprozess. Mit ihrer Hilfe werden dll - Dateien ausgeführt.
Die svchost.exe taucht öfter in Ihrem Task Manager auf? Das ist kein Fehler, der Task Manager ist nur nicht in der Lage alle Prozesse namentlich getrennt aufzuführen.

Windows XP-User die wissen wollen was dahinter steckt, klicken auf:
START--->AUSFÜHREN geben Sie cmd ein und drücken RETURN. Im aufgehenden Eingabefenster geben Sie Tasklist/svc |more ein. Die einzelnen Prozesse der
svchost.exe werden aufgelistet.

Es gibt auch Viren, die svchost-Dienste benutzen.

Um das herauszufinden, sollte man das Log vom HijackThis posten und Virenscanns durchfuehren.

Mein Problem ist,
dass ich das was du mir gepostet hast nicht durchführen kann.

Des weiteren habe ich Windows bereits neu installiert und das Problem besteht weiterhin.

Bitte nicht böse sein und trotzdem danke für deine Hilfe.
Werd mal sehn was sich da machen lässt.

MfG
Legolor