SVCHOST.EXE - Auslastung im Internet !

von **[-aD-}** am 03.02.2005, 16:50

Hi,

Vorweg erstmal, damit es hier keinen Ärger gibt, will ich mich dafür entschuldigen einen weiteren, der mitlerweile 10000 existierenden, "SVCHOST.EXE" Threads eröffnet zu haben - ist schon eine ganz schöne Frechheit, ich weiß !

Ich muss bedauerlicherweise dazu sagen dass mir bis heute noch keiner der unzähligen Postings wirklich geholfen hat. Entweder verursacht diese "SVCHOST.EXE" Datei mehrere, unterschiedliche, Probleme oder ich lese an dem ganzen Kram der so geschrieben wird vorbei.

Um es auf den Punkt zu bringen:
Bei mir liegt folgendes Problem vor (und ich hoffe es gibt noch weitere, hilflose, Internet-Surfer denen 100%-genau dieses Problem Kopfschmerzen bereitet).

ICH SURFE IM INTERNET UND PLÖTZTLICH BELASTET EINE, DER 4 "SVCHOST.EXE" DATEIEN, ZU 99% MEINEN PROZESSOR.

Danach ist ein Neustart via "Reset-Button" unumgänglich - Maus, Tastatur und Programme die im Vordergrund aktiv sind funktionieren zwar noch, es lässt sich jedoch nicht einmal der "NEUSTART" Befehl erteilen.

Wie schon erwähnt gibt es unzählige Foren die über dieses Problem berichten und Auskunft geben, jedoch hat mir persönlich keiner abhelfen können

Ich hoffe wir können dieses Problem in diesem Forum und in diesem Thread endlich mal aus der Welt schaffen. (Ich habe mir extra dieses kompetente Forum gesucht, was dafür hinhalten soll!).

Zunächst ein Paar Angaben zu meinem System:

- Online mit SkyDSL von Strato - upstream und Einwahl erfolgt also mit einem stinknormalem 56k Modem

- Hinter einer Kasperspy Firewall (werden ab -und zu Lovesan Angriffe registriert)

- Norton AntiVirus immer aktiv und schon ettliche Scan's durchlaufen lassen - ohne Ergebnis

- AdAware, SpyBot Search and Destroy und diverse andere Shredder ebenfalls - ohne Ergebnis

- WICHTIG: Das Problem tritt nicht in regelmäßigen Zeitabständen auf! Mal bin ich Stunden im Internet.Mal bin ich nur 30min unterwegs bevor sich das Problem breit macht.

- Browse mit Opera

- Betroffen ist "SVCHOST.EXE" welche unter anderem für meine DialUp Verbindung zuständig sein muss - dies habe ich herausgefunden als ich durch Glück die Möglichkeit hatte diese, via Taskmanager, zu beenden. Nach dem Beenden funktionert mein Internet nicht mehr.

- Folgende Security Updates von Microsoft Installiert (aufgrund von MSBLAT, ISASS bzw. SASSER):
WindowsXP-KB835732-x86-DEU,WindowsXP-KB823980-x86-DEU, (SASSER)WindowsXP-KB835732-x86-DEU

Als nächstes den HijackThis Protokollauszug:

Logfile of HijackThis v1.99.0
Scan saved at 14:55:45, on 03.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\TELES\skyDSL\tskyclnt.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SIEMEN~1\SDS\SPHONE~2.EXE
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\TELES\skyDSL\Proxy\craxy.exe
C:\Programme\TELES\skyDSL\tskymtpc.exe
C:\Programme\TELES\skyDSL\tkpsrv.exe
C:\Programme\Opera\opera.exe
C:\Programme\discountsurfer\_discountsurfer.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\system32\more.com
C:\Dokumente und Einstellungen\ad\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [skyDSLClient] C:\Programme\TELES\skyDSL\tskyclnt.exe -q
O4 - HKLM\..\Run: [Koppelpuls Client] C:\Programme\TELES\skyDSL\tkpclnt.exe -skydsl
O4 - HKLM\..\Run: [mRouterConfig for Siemens Data Suite SX1] C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [mswspl] C:\DOKUME~1\ad\LOKALE~1\Temp\searchbarcash.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [hsx] C:\WINDOWS\hsx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SDSScheduler.lnk = C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: skyDSL++ - {F7522CA2-3DDA-11d3-8560-0060977792B1} - C:\Programme\TELES\skyDSL\sky2sky.exe
O9 - Extra button: skyDSL- - - {F7522CA8-3DDA-11d3-8560-0060977792B1} - C:\Programme\TELES\skyDSL\sky2fon.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\skysocks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\skysocks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\skysocks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\skysocks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\skysocks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\skysocks.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F88F0FA-6AB3-4F26-8587-516A2FE1CA27}: NameServer = 195.182.110.132 62.134.11.4
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: skyDSL-Proxy - TELES EuroService GmbH, Berlin - C:\Programme\TELES\skyDSL\Proxy\craxy.exe

------------------ ------------------ ------------------ ------------------
"Bitte mal mit eigener vergleiche und eventuell fehlerhafte oder falsche Einträge anmerken."
------------------ ------------------ ------------------ ------------------

Andere Foren zum Thema "SVCHOST":

http://www.abakus-internet-marketing.de/foren/viewtopic/t-1036.html
http://www.winboard.org/lofiversion/index.php/t13985.html
http://www.trojaner-board.de/archive/index.php/t-10164.html
http://www.pc-experience.de/wbb2/thread.php?threadid=5978&sid=

"Irgendwie finde ich es komisch dass dieses Problem immer wieder mit MSBLAST in Verbindung gebracht wird. Bei mir tritt das "Reboot" Symptom nach dem MSBLAST Fix und Patch nicht mehr auf - kann sich also nicht mehr um den Befall von MSBLAST handeln."

Soviel dazu.
Entschuldigt bitte nochmal die aufdringliche Art und meine treiste Frechheit. Ich bin mitlerweile wirklich mit den Nerven am Ende und überhaupt froh dass meine Internetverbindung und "SVCHOST" zur Zeit über 1 Stunde und 12 Minuten durchgehalten haben.

Ich bedanke mich schon im Vorraus für eure Hilfe und ich bin sicher - in diesem Thread machen wir Nägel mit Köpfen !!!!!!!

MfG

Kim W.

von **dummi2** am 04.02.2005, 09:37

hallo kim,

als ich "deine Symptome" las, ging mir ein Licht auf.

ich wusste nur nie, warum dies geschieht. Auch bei mir passiert es, wenn ich onlline bin, dass plötzlich nichts mehr geht und ich Reset drücken muss. Einfach so. es macht meist kurz "knack" im Modem und Schluss ist.

dass dies auch an der SVchost liegt, hätte ich nicht gedacht.

Ich hoffe, dass dies Problem endlich gelöst werden kann.

dummi

von **[-aD-}** am 04.02.2005, 15:15

Hi dummi2,

Jop... das Problem tritt nur online auf. Ich gehe davon aus dass DialUp User stärker von diesem Problem betroffen sind als z.B. DSL User die ja standardmäßig mit einer Standleitung (wenn ich das nicht falsch aufgefasst habe) unterwegs sind - sprich; kein DIAL UP, bzw. keine Einwahl ins Internet benötigen.

Was mich außerdem verwundert. Wenn ich es dann ausnahmsweise mal schaffe den Prozess "SVCHOST" über den Task-Manager zu beenden wird anschließend mein Modem nicht mehr erkannt, bzw. es wird behauptet es sei noch in Benutzung.

Mach bitte dringend mal einen "HijackThis" Durchlauf und poste dein Ergebnis hier, dann hätten wir mal einen interessanten Vergleich.

"Gestern ist das Problem den ganzen Tag nicht aufgetreten.
Ich habe meine Kasperspy Firewall auf mittlerer Sicherheitsstufe nebenher laufen lassen. Würde dies die Lösung des Problems bedeuten, müsste man tatsächlich von einem Angriff über irgend einen Port ausgehen, den ich mittels Firewall nun verhindert habe."

Gemeldet wurde nur ein Angriff von "Helkern" der erfolgreich abgewehrt wurde.

Interessant ist auch das:

Gerade eben hat sich meine CPU Auslastung wieder auf 99% gemeldet.
Diesmal ist auch "SVCHOST" daran schuld aber schaut mal wie diese sich diesmal verhält:

Bild

Der Prozess hat sich genau "zweigeteilt".
Komisch ist: Ich bin noch im Internet unterwegs und es lassen sich zum Zeitpunkt sogar noch alle Programme öffnen. Nur WinAmp spinnt mit der Wiedergabe.

Also ich weiß absolut nicht mehr weiter !

von **miezmutz** am 17.02.2005, 12:13

Hallo [-aD-},
irgendwie scheinen wir dich übersehen zu haben...
falls du also immer noch Hilfe brauchst, poste doch einfach noch mal ein aktuelles HijackThis Logfile...

von **[-aD-}** am 17.02.2005, 19:57

Danke für die Aufmerksamkeit @miezmutz

Das Problem ist mehr oder weniger einfach so vom Erdboden verschwunden.

Ich habe zunehmend feststellen können, dass das Problem mit allen möglichen "Messengern", sprich ICQ usw., auftaucht.
Zur Zeit benutze ich keinen dieser Messenger mehr und das Problem tauchte auch komischer weise nicht mehr auf, bis auf einem Ausnahmefall letzte Woche.

Eine weitere Erklärung für das Problem wäre die Nutzung sogenannter "Least Coast Routern (LCR)" wie z.B. "SmartSurfer" von WEB.DE

Viele Problembetroffene stellten außerdem dieses Problem fest:

Nach der erfolgreichen Verbindung via Dial Up ins Internet trennt sich plötzlich die Verbindung mit der Fehlermeldung "Die Verbindung wurde außerhalb von SmartSurfer getrennt...". Danach ist der Zugriff auf's Modem nicht mehr möglich. Im Härtefall geht man von einem intelligenten Dialer aus, der sich im Hintergrund, ohne Einwahlgeräusche etc., einwählt und Kosten verursacht.

Das Problem "SVCHOST.EXE" ist definitiv noch nicht behoben und ich wäre auch weiterhin sehr dankbar für hilfreiche Vorschläge.

Hier nochmal ein aktueller HiJackThis Scan:

Logfile of HijackThis v1.99.0
Scan saved at 18:55:56, on 17.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\TELES\skyDSL\tskyclnt.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe
C:\PROGRA~1\SIEMEN~1\SDS\SPHONE~2.EXE
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\TELES\skyDSL\Proxy\craxy.exe
C:\Programme\TELES\skyDSL\tskymtpc.exe
C:\Programme\TELES\skyDSL\tkpsrv.exe
C:\Programme\WEBDE\SmartSurfer2.31\SmartSurfer.exe
C:\Programme\Opera\opera.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\ad\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [skyDSLClient] C:\Programme\TELES\skyDSL\tskyclnt.exe -q
O4 - HKLM\..\Run: [Koppelpuls Client] C:\Programme\TELES\skyDSL\tkpclnt.exe -skydsl
O4 - HKLM\..\Run: [mRouterConfig for Siemens Data Suite SX1] C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [hsx] C:\WINDOWS\hsx.exe
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SDSScheduler.lnk = C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: skyDSL++ - {F7522CA2-3DDA-11d3-8560-0060977792B1} - C:\Programme\TELES\skyDSL\sky2sky.exe
O9 - Extra button: skyDSL- - - {F7522CA8-3DDA-11d3-8560-0060977792B1} - C:\Programme\TELES\skyDSL\sky2fon.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\skysocks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\skysocks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\skysocks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\skysocks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\skysocks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\skysocks.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://www.kazaalite.pl/stats/loudklite.chm::/bridge-c46.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F88F0FA-6AB3-4F26-8587-516A2FE1CA27}: NameServer = 213.20.255.35 193.189.244.205
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: skyDSL-Proxy - TELES EuroService GmbH, Berlin - C:\Programme\TELES\skyDSL\Proxy\craxy.exe

von **Olomide** am 17.02.2005, 20:12

@[-aD-}
Svchost.exe
Svchost.exe" ist ein allgemeiner Hostprozessname für Dienste, die mit Hilfe von DLL-Dateien ausgeführt werden. Dienste sind Funktionen, die z.B. automatische USB-Geräten erkennen oder die Druck-Funktionen ermöglichen. Dienste können gestartet oder gestoppt werden. Nicht alle Dienste benötigen Svchost.exe (nur solche, die per DLL-Dateien ausgeführt werden müssen). Das Betriebssystem startet Svchost-Sessions sobald es solche benötigt und beendet sie auch wieder, sobald einer nicht mehr gebraucht wird. Svchost.exe fasst mehrere Dienste zusammen, d.h. es können mehrere Instanzen von Svchost.exe gleichzeitig ausgeführt werden. Mehr Infos Mehr Infos

Wichtig: Die Datei "svchost.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei svchost.exe um einen Virus, Spyware, Trojaner oder Worm! Überprüfen Sie dieses z.B. mit Security Task Manager.
Quelle:
http://www.neuber.com/taskmanager/deuts ... vchost.exe.

Wichtig!Wenn ich diese Seiite öffne kommt immer Virusmeldung!
http://www.informationsarchiv.net/foren ... 14736.html
Gruss
Olomide

von **[-aD-}** am 17.02.2005, 22:49

@Olomide

Danke aber das ist mir durchaus bekannt

von **miezmutz** am 18.02.2005, 00:12

ich hab nikita mal Bescheid gesagt, damit sie sich dein Log mal anschaut...

von **jessinessi** am 18.02.2005, 12:00

Hi ..ad
ich habe in deinem log gesehen du besaitzt norton antivirus .....
Ich hatte dieses Proggy auch schonmal und leider brachte
es etliche Viren mitsich...
Ich habe dieses von einem Computerfachmann mir sagen lassen
und es stimmt sogar denn als ich diesen antivirus runter geschmissen hatte war fast alles wieder in ordnung kleiner tipp am rande hol dir doch mal von freenet den Antivirus Avast 4 .
Ich finde diesen sogar besser wie ANTIVIR.
Avast4 beseitigt Viren auf schnelle art und weise und aktualisiert die Datenbank ganz automatisch.[/quote]

von **Nikita** am 18.02.2005, 13:24

Hallo@[-aD-}

Du hast ein ernstes Problem

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/

kopiere rein.
C:\DOKUME~1\ad\LOKALE~1\Temp\searchbarcash.exe
O4 - HKLM\..\Run: [hsx] C:\WINDOWS\hsx.exe

poste mir, was angezeigt wird.

Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [mswspl] C:\DOKUME~1\ad\LOKALE~1\Temp\searchbarcash.exe -->SearchBarCash adware/"TrojanDownloader.Win32.Small.iq"
O4 - HKLM\..\Run: [hsx] C:\WINDOWS\hsx.exe
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://www.kazaalite.pl/stats/loudklite.chm::/bridge-c46.cab
Kennen Sie die IP oder die Domäne '195.182.110.132 62.134.11.4' nicht, fixen.
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F88F0FA-6AB3-4F26-8587-516A2FE1CA27}: NameServer = 195.182.110.132 62.134.11.4

PC neustarten

C:\DOKUME~1\ad\LOKALE~1\Temp\searchbarcash.exe <--loeschen

KillBox
http://www.bleepingcomputer.com/files/killbox.php

<Delete File on Reboot--> anhaken

kopiere rein:

C:\WINDOWS\Downloaded Program Files\bridge.dll
C:\DOKUME~1\ad\LOKALE~1\Temp\searchbarcash.exe
C:\WINDOWS\hsx.exe
C:\WINDOWS\Downloaded Program Files\WinCommX.dll
C:\Program Files\Win Comm\WinComm.exe
C:\Program Files\Win Comm\WinLock.exe

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

-->"you want to reboot" auf "yes" gehen dann kommt die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process".

PC neustarten

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->

von **[-aD-}** am 18.02.2005, 20:10

Oha, vielen Dank für deine Hilfe @Nikita
Werde das alles in den nächsten Tagen ausprobieren. Scheinbar kennst du dich wirklich ziemlich gut aus!

Eine Frage vorweg: Hab ich wirklich mit einem Dialer zutun?
Das würde mich sehr beängstigen da dieser dann wohl schon einige Male aktiv gewesen ist *ooomg*

Vielen Dank nochmal.
Wird alles schnellst möglich durchprobiert.

von **Nikita** am 19.02.2005, 15:48

nun, ich glaube nicht, dass es ein Dialer ist, aber du wirst nach dem Scann mit escan sehen, dass es viele Viren zu beseitigen gilt

von **[-aD-}** am 19.02.2005, 17:51

Ach du meine Güte !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Ich hab EScan nun volle 2 Stunden durchlaufen lassen. Das Ergebnis waren weitaus mehr als 70 Viren !!! Dazu ca. 40 ERRORS

Leider kann ich das Ergebnis nicht posten da mein PC abgestüzt ist als ich mich ins Internet einwählen wollte, damit ging die LogFile verloren.

Ich habe nun nochmal einen kleinen systemscan durchgeführt und da ist mir direkt dieser ERROR ins Auge gestochen:

Sat Feb 19 16:35:41 2005 => ERROR!!! Invalid Entry C:\WINDOWS\svchost.exe. Removing SYSTEM\CurrentControlSet\Services\PowerManager...

Den Rest habe ich wie von dir beschrieben durchgeführt und auch die genannten Registryeinträge entfernt.

Trotzdem hier die Ergebnise nach der Prozedur:

Jotti's malware scan 2.4:

C:\DOKUME~1\ad\LOKALE~1\Temp\searchbarcash.exe:

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

O4 - HKLM\..\Run: [hsx] C:\WINDOWS\hsx.exe:

Scanner Malware name Time taken
AntiVir X 0.39 seconds
Avast X 1.53 seconds
AVG Antivirus X 0.45 seconds
BitDefender X 0.55 seconds
ClamAV X 0.71 seconds
Dr.Web X 2.43 seconds
F-Prot Antivirus X 0.11 seconds
Fortinet X 0.46 seconds
Kaspersky Anti-Virus Trojan-Downloader.Win32.Delf.in 1.64 seconds
mks_vir X 0.91 seconds
NOD32 X 1.27 seconds
Norman Virus Control X 4.50 second

Registry Search Tool :

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}" 19.02.2005 16:45:13

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WinCommX.Installer\CLSID]
@="{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/WinCommX.dll]
".Owner"="{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/WinCommX.dll]
"{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}"=""

---------------------------------------------------------------------------------------------

Wie man sieht existiert die Datei "O4 - HKLM\..\Run: [hsx] C:\WINDOWS\hsx.exe" auch nach dem Löschen mit KillBox noch.

Komisch ist auch dass "C:\DOKUME~1\ad\LOKALE~1\Temp\searchbarcash.exe" plötzlich überhaupt nicht mehr existiert, quasi vom Erdboden verschwunden...

Es wäre nett @nikita wenn ich diese ca. 70 Viren mit irgend einem Tool endgültig beseitigen könnte... mit samt deren Systemeintrgungen oder was es da sonst noch für Spuren gibt.

Ich kann gar nicht glauben dass es so viele, noch dazu unterschiedlichster Art, sind. Da kann ich doch ANTIVIR komplett vergessen denn dieses findet gerade mal "2" Viren... jämmerlich !

HILFE BITTE

SVCHOST.EXE - Auslastung im Internet !

SVCHOST.EXE - Auslastung im Internet !

svchost

Norton ANtivirus

Ähnliche Themen

Wer ist online?