svchost.exe!! 100%

[bookert]

Hi ich habe mir sehr viele viren eingefangen und werde die einfach nicht los. Ich hab auch beim Taskmanager diesen svchost.exe mit 100% cpu auslastung man hat mir gesagt ich soll den log file von hijackthis posten; ich hoffe ihr könnt mir helfen:
Logfile of HijackThis v1.99.1
Scan saved at 19:00:53, on 06.02.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\avmclient\AvmObexService.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\Programme\avmclient\bluefritz.exe
C:\WINDOWS\System32\mrcw34.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Felix\LOKALE~1\Temp\Rar$EX00.594\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.accoona.com/search_assistant ... _assistant
.jsp?&utm_id=400055&utm_content=leftnav&utm_source=wdz3&utm_
medium=bund&utm_campaign=wdz0805
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.accoona.com/search_assistant ... h_assistan
t.jsp?&utm_id=400055&utm_content=leftnav&utm_source=wdz3&utm_medium=bund&utm_campaign=wdz0805
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - (no file)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ms AV] mrcw34.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [ms AV] mrcw34.exe
O4 - HKCU\..\Run: [SIPPS] "C:/Programme/T-Online/T-Online_Software_6/Internet-Telefon/Phone.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ms AV] mrcw34.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 5011742750
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CA10644-52C9-4BFC-91FD-70BB32D7838D}: NameServer = 192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Performance True Type Fonts (PerfFont) - Unknown owner - C:\WINDOWS\System32\perfont.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe (file missing)

[web-king]

ich habe auch das problem. bei mir zeigt der taskmanager svchost.exe gleich mehrmals an was kann ich da machen,???

[luke123]

svchost exen gibt es von haus aus mehrere, das die eine 100% cpu auslastung verursacht könnte aber von einem virus kommen der sich als svchost.exe getarnt hat.

mit dem Hjack-This kenne ich mich leider nicht aus das überlasse ich den profis hier

[BlueScreen-Bertrand]

Hallo. Durchsuche deinen COmputer zunächsteinmal nach Dateien mit dem Namen
SVCHOST.EXE,
und lösche diese. Falls dies unter Windows nicht möglich ist, kannst du eine Funktion von HijackThis verwenden, "Delete a file on reboot".

[Folken]

Hallo. Durchsuche deinen COmputer zunächsteinmal nach Dateien mit dem Namen
SVCHOST.EXE,
und lösche diese. Falls dies unter Windows nicht möglich ist, kannst du eine Funktion von HijackThis verwenden, "Delete a file on reboot".

LOL und was soll das ?!

Gib mal in der Eingabeaufforderung "tasklist/svc" ein, dann wirst du erkennen dass das notwendige Prozesse Windows sind.

[BlueScreen-Bertrand]

Hallo. Durchsuche deinen COmputer zunächsteinmal nach Dateien mit dem Namen
SVCHOST.EXE,
und lösche diese. Falls dies unter Windows nicht möglich ist, kannst du eine Funktion von HijackThis verwenden, "Delete a file on reboot".

LOL und was soll das ?!

Gib mal in der Eingabeaufforderung "tasklist/svc" ein, dann wirst du erkennen dass das notwendige Prozesse Windows sind.

lol, Gegenfrage: Glaubst du etwa, ich mach das zum Spaß?

Einige Spyware-Programme tarnen sich als SVCHOST.EXE, um an Firewalls vorbeizukommen, dh ich würde mich als "Folken" tarnen und deine Mama lässt mich trotzdem zu dir nach Hause. Also: Diese Programme besitzen die Fähigkeit, die svchost so zu manipulieren, dass sie weiterhin als vermeindlicher Windows-Prozess ausgeführt werden, obwohl sie sich auch im passenden Ordner befinden.

Deshalb sollen diese Dateien gelöscht werden, beim Neustart werden sie durch die Originalversion ersetzt, die aus dem DLL-Cache kopiert wird.

[Nikita]

da ist ein Backdoor zu sehen ...und damit solltest du formatieren

O4 - HKLM\..\Run: [ms AV] mrcw34.exe
O4 - HKLM\..\RunServices: [ms AV] mrcw34.exe
O4 - HKCU\..\Run: [ms AV] mrcw34.exe
O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe (file missing)

http://virus-protect.org/kompsystem.html
http://virus-protect.org/nachneuinst.html

SP2 , also die WindowsUpdates waere auch angebracht

[Folken]

Hallo. Durchsuche deinen COmputer zunächsteinmal nach Dateien mit dem Namen
SVCHOST.EXE,
und lösche diese. Falls dies unter Windows nicht möglich ist, kannst du eine Funktion von HijackThis verwenden, "Delete a file on reboot".

LOL und was soll das ?!

Gib mal in der Eingabeaufforderung "tasklist/svc" ein, dann wirst du erkennen dass das notwendige Prozesse Windows sind.

lol, Gegenfrage: Glaubst du etwa, ich mach das zum Spaß?

Einige Spyware-Programme tarnen sich als SVCHOST.EXE, um an Firewalls vorbeizukommen, dh ich würde mich als "Folken" tarnen und deine Mama lässt mich trotzdem zu dir nach Hause. Also: Diese Programme besitzen die Fähigkeit, die svchost so zu manipulieren, dass sie weiterhin als vermeindlicher Windows-Prozess ausgeführt werden, obwohl sie sich auch im passenden Ordner befinden.

Deshalb sollen diese Dateien gelöscht werden, beim Neustart werden sie durch die Originalversion ersetzt, die aus dem DLL-Cache kopiert wird.

Das ist mir neu, ich kenne nur ähnliche Dateinamen(svshost,svchost2...etc), aber von einer gleichnamigen Spyware habe ich noch nie etwas gehört!

[Nikita]

BlueScreen-Bertrand

also so einen Unsinn habe ich schon lange nicht mehr gelesen... ich hoffe, dass niemand deine traurige Idee befolgt, es sei denn, er will sein Windows in den Muell befoerdern. Du beweist hier, dass du absolut nichts von Windows und Viren verstehst.

Hallo. Durchsuche deinen COmputer zunächsteinmal nach Dateien mit dem Namen
SVCHOST.EXE,
und lösche diese. Falls dies unter Windows nicht möglich ist, kannst du eine Funktion von HijackThis verwenden, "Delete a file on reboot".

[Luan]

Hmm also manche viren (spyware) ist einfach hartnäckiger da kann programm was machen auser karantäne zB. hab da zwar auch nicht viel ahnung aber eins weiss ich Format = Sicher

Tipp an den Theard ersteller mal Bitdeafender nutzen damit bin ich echt zufrieden

[BlueScreen-Bertrand]

1. Falls hier irgendjemand eine bessere Idee hat, soll er dies anhand eines Ergebnises beweisen. Wir werden sehen.
2. Solche Unverschämtheiten gehören nicht in dieses Forum. Ich bin wegen meines Beitrags bereits zweimal zitiert worden, einmal reicht schon. Falls jemand der Meinung ist, dass der obenstehende Tipp sinnlos ist, soll er dies generell per PM schreiben, nicht den Thread dafür nutzen.

Eure Beiträg über/gegen/an mich sind schlichtweg destruktiv, davon hat niemand etwas. Ich antworte nur in diesem Thread und nicht wie von mir vorgeschlagen per PM, weil hier scheinbar alles offengehalten werden muss, denn wozu sollte dein Beitrag, Nikita, sonst gut sein.

3. Formatieren halte ich zunächst NIE für eine Lösung. Wozu gibt es Antispyware und Antivirenprogramme?

bookert, falls du nicht formatieren möchtest, solltest du ersteinmal versuchen, potentiell gefähliche Programme zu entfernen. Lade die folgenden herunter, installiere sie und lasse das komplette System überprüfen.

Ad-Aware
Spybot S&D
Kaspersky-Antivirus
Um zu sehen, ob alle bekannten Bedrohungen entfernt wurden, kannst du anschließend den Panda Online-Activescan durchführen.

[Nikita]

BlueScreen-Bertrand

ich werde deine Antworten (im Forum) in Zukunft scharf im Auge behalten, denn jemand, der einem User raet, alle SVCHOST.EXE zu killen, ist es mir Wert.

Weiter... einem User mit Backdoors zu raten, nicht zu formatieren, gehoert in die gleiche Sparte.

Ad-Aware und Spybot S&D bei Backdoor-Befall zu empfehlen, ist absoluter Bloedsinn.
Ich hoffe, dass nicht mehr lesen zu muessen .

[BlueScreen-Bertrand]

4. Die svchost.exe wird je nache Einstellung 4-6 mal ausgeführt, den shutdown-Vorgang kann man mit dem Befehl

Code: Alles auswählen

shutdown -a

abfangen.
Und was soll schon dran sein, den Prozess abzuschießen?
5. Die gelöschte Datei wird entweder nach dem Neustart aus dem DLL-Cache kopiert oder kann per

Code: Alles auswählen

sfc /scannow

wiederhergestellt werden.
Ich sehe darin kein Problem.
6. Ich habe den "Sicherheits"-Link in deiner Signatur angeklickt. Auf der Seite finde ich Folgendes: http://virus-protect.org/antispytools.html
Und was steht da links am Rand in großen Buchstaben: Ad-Aware? Spybot?
7. Wenn du meinst, hier alles über Sicherheit zu wissen, und dich scheinbar als etwas Besseres aufspielen zu müssen scheinst: dann bitte mach dein eigenes Forum auf.

Sollte dieser Streit noch länger andauern, werde ich micht nicht mehr um deine Beiträge kümmern bzw. diesen Beachtung schenken. Du kannst meine ja weiterhin genau beobachten und alle meine "Fehler" und Schandtaten groß anprangern, und dich darüber aufregen, lustig machen, ... es stört micht nicht.

HOCHACHTUNGSVOLL
Bertrand

[Nikita]

BlueScreen-Bertrand

nun, es ist wirklich amuesant, zu lesen, wie du dein Nichtwissen noch vertiefst.
Die Rede ist von einem Backdoor+ Rootkit+ geoeffneten Ports.

6. Ich habe den "Sicherheits"-Link in deiner Signatur angeklickt. Auf der Seite finde ich Folgendes: http://virus-protect.org/antispytools.html
Und was steht da links am Rand in großen Buchstaben: Ad-Aware? Spybot?

wenn du natuerlich auf meiner Seite unter Antispy-Programmen suchst, so wirst du natuerlich fuendig werden...................

Was natuerlich nicht bedeuten soll, dass man mit einem Antispy-Tool wie AdAware unbedingt einen Backdoor mit all seinen Bestandteilen + dem Loeschen von SVCHOST.EXE bereinigen kann.

Hallo. Durchsuche deinen COmputer zunächsteinmal nach Dateien mit dem Namen
SVCHOST.EXE,
und lösche diese. Falls dies unter Windows nicht möglich ist, kannst du eine Funktion von HijackThis verwenden, "Delete a file on reboot".

Dazu lerne mal ein wenig ueber die Funktionen von SVCHOST.EXE unter System32.
Man kann sie nicht so einfach loeschen, denn sie sind an Dienste gebunden.
Es sei denn du wendest deine unqualifizierten Tipps selbst an, und berichtest.
------------------------------------------------------------------------------------------------

Man sollte sehr vorsichtig sein, bevor man einem User raet, etwas zu loeschen, ohne die Konsequenzen zu kennen.
Dieses Forum wird stark besucht und viel gelesen, deshalb solltest du dich zurueckhalten, sonst hast du eines Tages Noki im Nacken sitzen, weil er Schadensersatzansprueche von geschaedigten Usern erhalten hat.

[Holy Marcell]

Habe mich mal per PM eingeschaltet. Nikita mach das mal bitte zu.

-closed-