Svchost.exe Problem + JPG Gefahr: Wer kann helfen?
2 Beiträge • Seite 1 von 1
Svchost.exe Problem + JPG Gefahr: Wer kann helfen?
von a-lil-lost am 27.09.2004, 22:04
Hallo Wizards,
auf meinem PC hat sich eine Anwendung eingeschlichen, die im TaskManager als SVCHOST erscheint. Wenn ich diese nicht beende, erscheint eine regelmässige Nachricht von Sygate (meine Firewall): "Svchost.exe has been blocked from accessing the network".
Ich habe einen Scan mit HijackThis vorgenommen (siehe Log weiter unten). Könnt ihr mal schauen, welche heimtückischen Einträge zu finden sind? Tausend Dank!!
Außerdem: Ich habe gegenwärtig Probleme mit einigen Webseiten bzgl. der Anzeige von Bildern (d.h. keine Anzeige = nur Kreuze, auch auf dieser Seite). Ich habe gelesen, daß eine Programmierlücke (o.ä.) in Windows XP gefährlich sein kann (bzgl. infizierter JPGs). Gilt das auch für Windows98? Thanks.
Log:
Logfile of HijackThis v1.98.0
Scan saved at 20:31:44, on 27/09/04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
D:\SECURITY\FIREWALL SYGATE\SMC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
D:\TEXTBRIDGE CLASSIC 2.0\BIN\INSTANTACCESS.EXE
C:\PROGRAMME\MOUSE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\LOADQM.EXE
D:\SECURITY\ANTIVIRUS\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SVCHOST.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
D:\PROGRAMME\MICROSOFT OFFICE\WORD2000\OFFICE\WINWORD.EXE
D:\SECURITY\DOWNLOADS\HIJACKTHIS\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.iol.ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.com/?.intl=us
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SECURITY\ANTISP~1\SPYBOT\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - D:\SECURITY\WINSWEEP334\WINSWEEP3\WINSWEEP\SURFBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [InstantAccess] D:\TEXTBR~1.0\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] D:\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSE\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\SECURITY\ANTIVIRUS\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [SmcService] D:\SECURITY\FIREWA~2\SMC.EXE -startgui
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] D:\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [SmcService] D:\SECURITY\FIREWALL SYGATE\SMC.EXE
O4 - HKCU\..\Run: [TClockEx] D:\DOWNLOADS\TCLOCK\TCLOCKEX\TCLOCKEX.EXE
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] D:\SECURITY\WINSWEEP334\WINSWEEP3\WINSWEEP\WSPopup.Exe /STEP1
O4 - Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Word2000\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/UK/install.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.yahoo.c ... _1_5_0.cab
Nochmal tausend Dank für eure Mühe! Gruß, a-lil-lost
auf meinem PC hat sich eine Anwendung eingeschlichen, die im TaskManager als SVCHOST erscheint. Wenn ich diese nicht beende, erscheint eine regelmässige Nachricht von Sygate (meine Firewall): "Svchost.exe has been blocked from accessing the network".
Ich habe einen Scan mit HijackThis vorgenommen (siehe Log weiter unten). Könnt ihr mal schauen, welche heimtückischen Einträge zu finden sind? Tausend Dank!!
Außerdem: Ich habe gegenwärtig Probleme mit einigen Webseiten bzgl. der Anzeige von Bildern (d.h. keine Anzeige = nur Kreuze, auch auf dieser Seite). Ich habe gelesen, daß eine Programmierlücke (o.ä.) in Windows XP gefährlich sein kann (bzgl. infizierter JPGs). Gilt das auch für Windows98? Thanks.
Log:
Logfile of HijackThis v1.98.0
Scan saved at 20:31:44, on 27/09/04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
D:\SECURITY\FIREWALL SYGATE\SMC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
D:\TEXTBRIDGE CLASSIC 2.0\BIN\INSTANTACCESS.EXE
C:\PROGRAMME\MOUSE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\LOADQM.EXE
D:\SECURITY\ANTIVIRUS\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SVCHOST.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
D:\PROGRAMME\MICROSOFT OFFICE\WORD2000\OFFICE\WINWORD.EXE
D:\SECURITY\DOWNLOADS\HIJACKTHIS\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.iol.ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.com/?.intl=us
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SECURITY\ANTISP~1\SPYBOT\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - D:\SECURITY\WINSWEEP334\WINSWEEP3\WINSWEEP\SURFBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [InstantAccess] D:\TEXTBR~1.0\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] D:\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSE\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\SECURITY\ANTIVIRUS\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [SmcService] D:\SECURITY\FIREWA~2\SMC.EXE -startgui
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] D:\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [SmcService] D:\SECURITY\FIREWALL SYGATE\SMC.EXE
O4 - HKCU\..\Run: [TClockEx] D:\DOWNLOADS\TCLOCK\TCLOCKEX\TCLOCKEX.EXE
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] D:\SECURITY\WINSWEEP334\WINSWEEP3\WINSWEEP\WSPopup.Exe /STEP1
O4 - Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Word2000\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/UK/install.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.yahoo.c ... _1_5_0.cab
Nochmal tausend Dank für eure Mühe! Gruß, a-lil-lost
- a-lil-lost
- Beiträge: 14
- Registriert: 05.07.2004, 10:39
von Nikita am 28.09.2004, 00:32
Hallo@a-lil-lost
Scanne mit dem HijackThis, dann fixe:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
neustarten
Gehe in die Registry und ueberpruefe, ob es folgenden Eintrag gibt (wenn ja, <Msrtur< nd <svchost.exe< loeschen und neustarten)
HKEY_LOCAL_MACHINE\Software\Microsoft\Msrtur
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Online Service"="%Windir%\svchost.exe"
neustarten
Ueberpruefe die <svchost.exe< damit wir wissen, womit wir es zu tun haben.
Online-Scan
Jotti's malware scan 2.41
http://virusscan.jotti.dhs.org/
#Der angebliche Systemprozess läuft nicht im System- Ordner und ist deshalb als Böse einzustufen.
Loesche:
C:\WINDOWS\SVCHOST.EXE
#Stinger lade und scannen
http://vil.nai.com/vil/stinger/
#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.
#Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.
und den Scanner starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
folgende Haken :
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory
<und "Scan clean" klicken.
<Poste danach Virus Log Information: (aus Viewer abkopieren)
was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal
MFG
Nikita
http://securityresponse.symantec.com/av ... jan.c.html
Scanne mit dem HijackThis, dann fixe:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
neustarten
Gehe in die Registry und ueberpruefe, ob es folgenden Eintrag gibt (wenn ja, <Msrtur< nd <svchost.exe< loeschen und neustarten)
HKEY_LOCAL_MACHINE\Software\Microsoft\Msrtur
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Online Service"="%Windir%\svchost.exe"
neustarten
Ueberpruefe die <svchost.exe< damit wir wissen, womit wir es zu tun haben.
Online-Scan
Jotti's malware scan 2.41
http://virusscan.jotti.dhs.org/
#Der angebliche Systemprozess läuft nicht im System- Ordner und ist deshalb als Böse einzustufen.
Loesche:
C:\WINDOWS\SVCHOST.EXE
#Stinger lade und scannen
http://vil.nai.com/vil/stinger/
#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.
#Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.
und den Scanner starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
folgende Haken :
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory
<und "Scan clean" klicken.
<Poste danach Virus Log Information: (aus Viewer abkopieren)
was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal
MFG
Nikita
http://securityresponse.symantec.com/av ... jan.c.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
2 Beiträge • Seite 1 von 1
Ähnliche Themen
| Probleme mit SVCHOST.exe wer kann helfen? Hijack Log Forum: Online- und PC-Sicherheit Autor: Adem Antworten: 1 |
Problem mit Directx 9.0c -> Wer kann helfen? Forum: Software-Hilfe Autor: RonnySBK Antworten: 10 |
Problem mit ICQ 6! Kann mir jemand Helfen? Forum: Software-Hilfe Autor: püschi Antworten: 4 |
Webcam Problem? Wer kann mir helfen? Forum: Webmaster-Anfänger Autor: Neo71 Antworten: 8 |
Vista Problem kann jemand helfen Forum: Software-Hilfe Autor: Montrey Antworten: 9 |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste