Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: svchost.exe beenden -->ABSTURZ (erinnert voll an blaster)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 28.11.2004, 13:02   #1
DoubleG
 
svchost.exe beenden -->ABSTURZ (erinnert voll an blaster) - Unglücklich

svchost.exe beenden -->ABSTURZ (erinnert voll an blaster)



aaalso....

ich habn problem mit svchost.exe. wenn ich das teil als prozess beende, eines von den vielen svchost prozessen, öffnet sich ein hübsches kleines fenster mit countdown zähler. na? an was erinnert das?
jetzt hab ich schon so allerhand ausprobiert,
virenscanner= nix...
hijackthis log= nix, soweit ich das erkennen kann, wird auch gleich noch geposted
http://virusscan.jotti.org/de= hat nix ergeben...

ach ja, dann hab ich nochn QZTEMP ordner in windowes\temp der sich nach dem löschen immer wieder herstellt und zwei andere dateien die sich nicht löschen lassen, weil sie von irgendwas grade verwendet werden. ich weis aber nicht von was! die dateien sind:
1. Perflib_Perfdata_d40.dat
2.ZLT022f0.TMP

hier der log:

Logfile of HijackThis v1.98.2
Scan saved at 12:59:21, on 28.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\gtwatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ATI Technologies\HydraVision\HydraDM.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\BitTorrent\btdownloadgui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\gülay\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C9175BC-1198-4DBE-91D3-8DE424AEBFB4}: NameServer = 217.237.149.161 217.237.151.225



wär cool, wenn ihr mir da helfen könntet!

EDIT: ach ja und hab versucht die beiden dateien mit http://virusscan.jotti.org/de zu scannen. funzt aber nicht, weil angeblich die dateien kleiner als 0 byte sind oder so und meine firewall das verhindert. irgendwie sowas...klappt jedenfalls nicht

Alt 28.11.2004, 13:24   #2
Cidre
Administrator, a.D.
 
svchost.exe beenden -->ABSTURZ (erinnert voll an blaster) - Standard

svchost.exe beenden -->ABSTURZ (erinnert voll an blaster)



Hallo,

du versuchst einen Systemprozess zu beenden und wunderst dich anschliessend, dass sich dein System runterfahren will!

Viel mehr wundert es mich, dass dein System ohne jegliche Patches durch das I-net geistert!

Zitat:
dann hab ich nochn QZTEMP ordner
Könnte daran liegen, dass du QuickZip als Packprogramm verwendest.

Zitat:
1. Perflib_Perfdata_d40.dat
2.ZLT022f0.TMP
Die Perflib_Perfdata sind Temporärdateien des System-Monitors (Start -> Ausführen -> perfmon.msc)
__________________

__________________

Alt 28.11.2004, 13:33   #3
Shadowdance
 
svchost.exe beenden -->ABSTURZ (erinnert voll an blaster) - Standard

svchost.exe beenden -->ABSTURZ (erinnert voll an blaster)



@ DoubleG

also warum Du einen Systemprozess beenden willst, entzieht sich meiner Kenntnis ;-) Du solltest Systemprozesse (svchost.exe) nicht einfach so beenden, das mag der Rechner nicht ..

Platform: Windows XP (WinNT 5.01.2600)/MSIE: Internet Explorer v6.00 (6.00.2600.0000) - lade Dir bitte das aktuelle Service Pack runter und update Deinen IE: www.windowsupdate.com

bitte überprüfe mit virusscan.jotti.dhs.org, falls noch nicht gemacht:

C:\WINDOWS\gtwatch.exe

teile uns das Ergebnis der Überprüfung aller von Dir überprüften Dateien mit Pfadangabe und Dateinamen mit.

Lade das ClearProg runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

Hast Du Deinen Rechner bereits mit dem eScan überprüft? Na, ich warte erstmal Deine Antwort und das Ergebnis der Online-Scan-Überprüfung ab.

@ Cidre, sah Dich erst nach dem posten.

SD
__________________

Alt 28.11.2004, 22:05   #4
DoubleG
 
svchost.exe beenden -->ABSTURZ (erinnert voll an blaster) - Standard

svchost.exe beenden -->ABSTURZ (erinnert voll an blaster)



quickzip! daran hab ich ja gar nicht gedacht! das könnte sein, aber was ist mit der anderen datei? also ZLT022f0.TMP ???

ach ja und gtwatch isn prozess von meinem mustekscanner... weis nicht genau wozu der gut sein soll...

habs trotzdem mal durch den scanner gejagt-->is sauber

also is eigentlich alles oke mit svchost??? auch normal mit PENG---> COUNTDOWN!!! ????

jetzt wo ihr so fragt, frag ich mich auch warum ich den prozess eigentlich unbedingt beendet haben wollte... :P

also service pack, kommt sofort drauf. und escan... hatte ich eigentlich schon...mach ich aber nochmal. habs nämlich mittendrin abgebrochen

danke erstma... und jez erledige ich ma den rest der noch zu tun ist

Alt 28.11.2004, 23:42   #5
Lidius
 
svchost.exe beenden -->ABSTURZ (erinnert voll an blaster) - Standard

svchost.exe beenden -->ABSTURZ (erinnert voll an blaster)



Zitat:
Zitat von DoubleG
also is eigentlich alles oke mit svchost??? auch normal mit PENG---> COUNTDOWN!!! ????
Das ist völlig normal, update jetzt erstmal dein System, führe escan aus, und dann sehen wir weiter.


Alt 29.11.2004, 00:50   #6
DoubleG
 
svchost.exe beenden -->ABSTURZ (erinnert voll an blaster) - Standard

svchost.exe beenden -->ABSTURZ (erinnert voll an blaster)



so, also...

escan hab ich jez auch gemacht... is scho knapp vor eins, morgen schule, alles wunderbar.

hatte paar viren, hab entsprechende dateien alle gelöscht. alles sauber jetzt. aber hab auch ziemlich oft ERROR gehabt... und zufälligerweise auch bei ZLT022f0.TMP!!! und bei perflib auch... aber die soll ja in ordnung sein die datei...

ich krieg die krise... egal... ich geh jetzt pennen. und morgen nochmal ein komplettes escan und ein nod32 und warum nicht gleich auch ein norton check

danke schonmal

Alt 29.11.2004, 00:57   #7
Haui45
 
svchost.exe beenden -->ABSTURZ (erinnert voll an blaster) - Standard

svchost.exe beenden -->ABSTURZ (erinnert voll an blaster)



Bitte poste noch was von eScan gefunden wurde!
Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Alt 29.11.2004, 17:17   #8
DoubleG
 
svchost.exe beenden -->ABSTURZ (erinnert voll an blaster) - Standard

svchost.exe beenden -->ABSTURZ (erinnert voll an blaster)



So, das escan ergebnis:

Mon Nov 29 08:45:04 2004 => C:\Dokumente und Einstellungen\gülay\Recent\kumarli.jpg.lnk possibly infected and removed by background antivirus package!
Mon Nov 29 08:45:08 2004 => C:\Dokumente und Einstellungen\gülay\Recent\kumarli.jpg.lnk possibly infected and removed by background antivirus package!
Mon Nov 29 08:45:08 2004 => File C:\Dokumente und Einstellungen\gülay\Recent\kumarli.jpg.lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
Mon Nov 29 08:48:12 2004 => C:\Dokumente und Einstellungen\gülay\Desktop\kumarli.jpg possibly infected and removed by background antivirus package!
Mon Nov 29 08:48:12 2004 => File C:\Dokumente und Einstellungen\gülay\Desktop\kumarli.jpg infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
Mon Nov 29 08:49:44 2004 => File C:\System Volume Information\_restore{DDD51E55-AD36-46E8-9E00-237947D9EC13}\RP2\A0000189.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
Mon Nov 29 08:49:45 2004 => File C:\System Volume Information\_restore{DDD51E55-AD36-46E8-9E00-237947D9EC13}\RP2\A0000190.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: File Deleted.
Mon Nov 29 08:49:45 2004 => File C:\System Volume Information\_restore{DDD51E55-AD36-46E8-9E00-237947D9EC13}\RP2\A0000191.dll infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: File Deleted.
Mon Nov 29 08:49:46 2004 => File C:\System Volume Information\_restore{DDD51E55-AD36-46E8-9E00-237947D9EC13}\RP2\A0000192.exe infected by "TrojanDownloader.Win32.Swizzor.bz" Virus. Action Taken: File Deleted.
Mon Nov 29 08:49:46 2004 => File C:\System Volume Information\_restore{DDD51E55-AD36-46E8-9E00-237947D9EC13}\RP2\A0000193.exe infected by "TrojanDownloader.Win32.Swizzor.cb" Virus. Action Taken: File Deleted.
Mon Nov 29 08:49:47 2004 => File C:\System Volume Information\_restore{DDD51E55-AD36-46E8-9E00-237947D9EC13}\RP2\A0000194.exe infected by "Trojan-Downloader.Win32.Swizzor.cc" Virus. Action Taken: File Deleted.
Mon Nov 29 08:49:47 2004 => File C:\System Volume Information\_restore{DDD51E55-AD36-46E8-9E00-237947D9EC13}\RP2\A0000195.exe infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: File Deleted.
Mon Nov 29 15:00:09 2004 => C:\Dokumente und Einstellungen\gülay\Recent\kumarli.jpg.lnk possibly infected and removed by background antivirus package!
Mon Nov 29 15:00:12 2004 => C:\Dokumente und Einstellungen\gülay\Recent\kumarli.jpg.lnk possibly infected and removed by background antivirus package!
Mon Nov 29 15:00:12 2004 => File C:\Dokumente und Einstellungen\gülay\Recent\kumarli.jpg.lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
Mon Nov 29 15:00:12 2004 => C:\Dokumente und Einstellungen\gülay\Recent\narins bulmaca kagidi.jpg.lnk possibly infected and removed by background antivirus package!
Mon Nov 29 15:00:12 2004 => C:\Dokumente und Einstellungen\gülay\Recent\narins bulmaca kagidi.jpg.lnk possibly infected and removed by background antivirus package!
Mon Nov 29 15:00:12 2004 => File C:\Dokumente und Einstellungen\gülay\Recent\narins bulmaca kagidi.jpg.lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
Mon Nov 29 15:03:19 2004 => C:\Dokumente und Einstellungen\gülay\Desktop\kumarli.jpg possibly infected and removed by background antivirus package!
Mon Nov 29 15:03:19 2004 => File C:\Dokumente und Einstellungen\gülay\Desktop\kumarli.jpg infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
Mon Nov 29 15:04:12 2004 => C:\Dokumente und Einstellungen\gülay\Eigene Dateien\Meine empfangenen Dateien\narins bulmaca kagidi.jpg possibly infected and removed by background antivirus package!
Mon Nov 29 15:04:12 2004 => C:\Dokumente und Einstellungen\gülay\Eigene Dateien\Meine empfangenen Dateien\narins bulmaca kagidi.jpg possibly infected and removed by background antivirus package!
Mon Nov 29 15:04:12 2004 => File C:\Dokumente und Einstellungen\gülay\Eigene Dateien\Meine empfangenen Dateien\narins bulmaca kagidi.jpg infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.


so... und dann hab ich einfach noch die virus log information kopiert... vielleicht nützt das ja...


File C:\Dokumente und Einstellungen\gülay\Recent\kumarli.jpg.lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\gülay\Recent\narins bulmaca kagidi.jpg.lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\gülay\Desktop\kumarli.jpg infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\gülay\Eigene Dateien\Meine empfangenen Dateien\narins bulmaca kagidi.jpg infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{DDD51E55-AD36-46E8-9E00-237947D9EC13}\RP2\A0000763.exe tagged as not-a-virus:RiskWare.Tool.PrcView.3725. No Action Taken.
File C:\Recycled\Dc55.exe tagged as not-a-virus:AdWare.Lop.e. No Action Taken.
File C:\Recycled\Dc59.exe tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken.
File C:\Recycled\Dc60.exe tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken.
File C:\Recycled\Dc61.exe tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken.
File D:\Recycled\Dd1.exe tagged as not-a-virus:RiskWare.Tool.PrcView.3725. No Action Taken.
File D:\SIERRA\Half-Life\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.
File D:\Eigene Dateien\~-gülay-~\Schule\Informatik\JAVA BlueJ\Java Literatur aktuell\javawerk\javawerk\java\demo\BarChart\Chart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File D:\Eigene Dateien\~-gülay-~\Schule\Informatik\JAVA BlueJ\Java Literatur aktuell\javawerk\javawerk\java\demo\Blink\Blink.class tagged as not-a-virus:JavaClass.Blink. No Action Taken.

da ist was was ich nicht so ganz check... wieso erkennt escan viren die nod32 nicht erkennt? ich denk das teil ist zu 100% sicher?! hab ich erst letztens noch in der zeitung gelesen! ...son scheiß ey...

Alt 29.11.2004, 22:35   #9
Cidre
Administrator, a.D.
 
svchost.exe beenden -->ABSTURZ (erinnert voll an blaster) - Standard

svchost.exe beenden -->ABSTURZ (erinnert voll an blaster)



Das Log-File sieht zwar augenscheinlich sauber aus, aber für mich wäre dein/dieses System nicht mehr vertrauenswürdig, da z.B. der Backdoor Rbot.gen aktiv war.
Zitat:
File C:\System Volume Information\_restore{DDD51E55-AD36-46E8-9E00-237947D9EC13}\RP2\A0000189.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
Die sicherste Lösung wäre dies gewesen:
http://www.trojaner-board.de/showpos...28&postcount=2

Solltest du dennoch diesen Zustand beibehalten wollen, dann ändere zumindest alle vergebenen Passwörter.
__________________
Gruß, Cidre


Alt 30.11.2004, 10:05   #10
DoubleG
 
svchost.exe beenden -->ABSTURZ (erinnert voll an blaster) - Standard

svchost.exe beenden -->ABSTURZ (erinnert voll an blaster)



sch****!!!



neues system muss her... oke das werd ich mal tun... is glaub ich besser als alle passwörter zu ändern... son dreck ...

naja, auf jeden fall vielen dank für eure hilfe... ihr habts voll drauf man,

nochmal danke!
peace

Antwort

Themen zu svchost.exe beenden -->ABSTURZ (erinnert voll an blaster)
.exe, absturz, adobe, antivirus, bho, desktop, down, einstellungen, explorer, firefox, helfen, immer wieder, internet, internet explorer, mozilla, mozilla firefox, problem, prozess, prozesse, remote control, rundll, scan, security, security center, software, svchost.exe, symantec, system, t-online, tcpip, windows, windows xp, öffnet



Ähnliche Themen: svchost.exe beenden -->ABSTURZ (erinnert voll an blaster)


  1. Arbeitsspeicher voll / Firefox wird geschlossen / große "svchost.exe"
    Log-Analyse und Auswertung - 11.05.2015 (17)
  2. svchost.exe 100% Auslastung, C-Laufwerk läuft voll
    Log-Analyse und Auswertung - 25.06.2014 (11)
  3. CPU-Auslastung nach beenden eines Spiels 50-60% (svchost.exe)
    Log-Analyse und Auswertung - 09.06.2014 (10)
  4. W32.Blaster
    Plagegeister aller Art und deren Bekämpfung - 13.02.2014 (11)
  5. w32/blaster.worm
    Plagegeister aller Art und deren Bekämpfung - 22.06.2013 (35)
  6. Windows Absturz.APPCRASH svchost.exe
    Log-Analyse und Auswertung - 14.04.2011 (3)
  7. Fehlermeldung nach Beenden von Programmen und Thunderbird Absturz
    Plagegeister aller Art und deren Bekämpfung - 28.10.2010 (1)
  8. Blaster?Fehler in Anwendung svchost.exe..Pc plattmachen?
    Log-Analyse und Auswertung - 14.11.2008 (1)
  9. svchost.exe schreibt Festplatte voll!
    Log-Analyse und Auswertung - 20.09.2008 (0)
  10. Blaster?
    Log-Analyse und Auswertung - 07.05.2005 (11)
  11. blaster
    Plagegeister aller Art und deren Bekämpfung - 30.10.2004 (13)
  12. Blaster???
    Plagegeister aller Art und deren Bekämpfung - 06.02.2004 (11)
  13. svchost.exe; w32-blaster. BITTE UM HILFE
    Plagegeister aller Art und deren Bekämpfung - 05.02.2004 (3)
  14. neuer blaster???
    Plagegeister aller Art und deren Bekämpfung - 30.01.2004 (62)
  15. Fragen zu Blaster
    Plagegeister aller Art und deren Bekämpfung - 15.08.2003 (16)
  16. W32.Blaster und WIN98
    Plagegeister aller Art und deren Bekämpfung - 13.08.2003 (5)
  17. W.32 blaster worm
    Plagegeister aller Art und deren Bekämpfung - 12.08.2003 (9)

Zum Thema svchost.exe beenden -->ABSTURZ (erinnert voll an blaster) - aaalso.... ich habn problem mit svchost.exe. wenn ich das teil als prozess beende, eines von den vielen svchost prozessen, öffnet sich ein hübsches kleines fenster mit countdown zähler. na? an - svchost.exe beenden -->ABSTURZ (erinnert voll an blaster)...
Archiv
Du betrachtest: svchost.exe beenden -->ABSTURZ (erinnert voll an blaster) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.