Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Virus in svchost.exe -k netsvcs?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.11.2008, 11:59   #1
Garage81
 
Virus in svchost.exe -k netsvcs? - Standard

Virus in svchost.exe -k netsvcs?



Hallo zusammen!

Ich bin eine von mehreren IT-Krankenschwestern an einer Hochschule... Seit gestern haben wir an unseren public PCs das Problem, dass die User nicht mehr ins Internet können (Browser melden "Seite kann nicht angezeigt werden", Programme können sich nicht updaten etc.).

Wenn der Task svchost.exe beendet wird, funktioniert vorerst wieder alles.

Wir vermuten derzeit einen Virus, haben aber im Internet bisher noch keinen Hinweis gefunden. Wir benutzen Sophos, doch dieser findet nix. Scans mit Malwarebytes, Spybot und gänigen Online Scannern, brachten auch kein Ergebnis. Die svchost.exe aus dem System32-Order ist laut Virus-Total clean.

Es gibt jedoch auf jedem betroffenen Rechner einen unbekannten Dienst, der sich automatisch startet. Der Name ist irgendein Kauderwelsch, auf jedem Rechner anders. Hier einige Beispiele: zcxqlk, mvoqh, kuzqrswmx, tioaqkqf... Anbei Screenshots (von zwei verschiedenen PCs):





Unter diesen Namen findet man auf der Festplatte nichts. Die Registrierung weist aber Einträge auf, u.a.:



Und bei manchen Rechnern wird der Kauderwelsch-Name bei netsvcs eingetragen:



Hier heißt er übrigens "dupry":



Wir haben nun die Einträge in der Registry soweit es ging von Hand gelöscht, danach startet sich der Dienst nicht mehr, weil ihm die Einträge fehlen. Dann noch eine "Bereinigung" mit CCleaner, Neustart, danach ist der Internetzugang wieder möglich.

So toll ist diese Lösung ja sicherlich nicht und ich befürchte, dass es nur eine Frage der Zeit ist, bis das Problem erneut auftaucht...

Meine Fragen wären nun:

1.) Ist das ein Virus? Wenn ja, wo könnte er her kommen / wie kann man sich schützen?

2.) Gibt es noch eine ordentlichere "Bereinigungs"-Lösung?

Zur Infrastruktur kann ich noch ergänzend sagen, dass bisher nur die public PCs betroffen sind, wenn's dumm läuft, etwa 70 Stück. Ca. 28 Stück haben wir bis jetzt schon auf die o.g. Art von Hand bearbeitet.

Hier noch ein Hijack-Log von einem noch nicht bereinigten PC:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:29:28, on 25.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Sophos Web Content Scanner - {39EA7695-B3F2-4C44-A4BC-297ADA8FD235} - C:\Programme\Sophos\Sophos Anti-Virus\SophosBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Microsoft Pinyin IME Migration] C:\PROGRA~1\GEMEIN~1\MICROS~1\IME12\IMESC\IMSCMIG.EXE /INSTALL
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188306271312
O17 - HKLM\System\CCS\Services\Tcpip\..\{BEA8AE74-3D5A-46FE-893E-41E03B4D0852}: NameServer = 
O17 - HKLM\System\CCS\Services\Tcpip\..\{E79BC4D3-6F07-4037-B27D-2C6A55722617}: NameServer = 
O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe

--
End of file - 5154 bytes
         
Vielen Dank,
Michaela

Alt 25.11.2008, 13:58   #2
Leonidas88
 
Virus in svchost.exe -k netsvcs? - Standard

Virus in svchost.exe -k netsvcs?



Das Hijack-Log ist sauber. Startet mal mit einer Linux Live CD oder mit der BartCD, beides bei PC Welt downloadbar und scannt das System von da aus.

Habt ihr keinen Administrator bzw. jemand der für die Rechner zuständig ist?
__________________


Alt 26.11.2008, 08:21   #3
Garage81
 
Virus in svchost.exe -k netsvcs? - Standard

Virus in svchost.exe -k netsvcs?



Hi Leonidas,

ich probier's heute mal mit der LiveCD. Habe noch etwa 24 Rechner zu bereinigen. Interessanterweise sind nur Rechner betroffen, die ein deutsches Windows XP haben, die Rechner mit englischem OS sind nicht betroffen.

Natürlich haben wir hier Admins. Ich bin einer davon.

Gruß,
Michaela
__________________

Antwort

Themen zu Virus in svchost.exe -k netsvcs?
1.exe, adobe, bho, browser, explorer, festplatte, frage, hijackthis, hkus\s-1-5-18, hotkey, internet, internet explorer, ist das ein virus?, malwarebytes, mehrere, microsoft, neustart, nicht angezeigt, pdf, problem, programme, registry, seite kann nicht angezeigt werden, sich automatisch, software, svchost.exe, system, virus, virus?, windows, windows xp, yahoo



Ähnliche Themen: Virus in svchost.exe -k netsvcs?


  1. 100% Speicherbelastung+100% CPU Auslastung durch svchost.exe (netsvcs) Prozess
    Plagegeister aller Art und deren Bekämpfung - 17.11.2015 (25)
  2. hohe CPU-Auslastung durch svhost.exe(netsvcs)
    Plagegeister aller Art und deren Bekämpfung - 30.09.2015 (17)
  3. Windows 7: svchost netsvcs verursacht hohe CPU auslastung
    Log-Analyse und Auswertung - 10.09.2015 (21)
  4. svchost.exe (netsvcs) verursacht hohe CPU-Auslastung (windows 7)
    Plagegeister aller Art und deren Bekämpfung - 02.09.2015 (21)
  5. CPU-Auslastung + physikalischer Speicher extrem hoch durch svchost (netsvcs)
    Log-Analyse und Auswertung - 19.03.2015 (3)
  6. svchost.exe(netsvcs) und Firefox brauchen nahezu 100% CPU, und belegen sämtlichen freien Arbeitsspeicher
    Log-Analyse und Auswertung - 21.11.2014 (7)
  7. Windows XP | svchost.exe -k netsvcs auf 100% CPU
    Plagegeister aller Art und deren Bekämpfung - 02.03.2014 (1)
  8. Windows XP | svchost.exe -k netsvcs auf 100% CPU => Verhindert LAN und WLAN
    Log-Analyse und Auswertung - 19.11.2013 (23)
  9. CPU Auslastung 95-100% svchost.exe (netsvcs) Prozess im Task-Manager
    Plagegeister aller Art und deren Bekämpfung - 21.03.2013 (10)
  10. svchost.exe virus?
    Plagegeister aller Art und deren Bekämpfung - 21.10.2011 (1)
  11. svchost Virus?
    Plagegeister aller Art und deren Bekämpfung - 18.07.2011 (1)
  12. svchost Virus ! C:\Benutzer\Windows\Install\svchost.exe - WORM/Rebhip.A.318
    Plagegeister aller Art und deren Bekämpfung - 20.01.2011 (1)
  13. SVCHOST (netsvcs) verursacht hohe Prozessorauslastung
    Alles rund um Windows - 06.11.2010 (0)
  14. svchost virus
    Plagegeister aller Art und deren Bekämpfung - 31.08.2010 (32)
  15. Virus/Malware - SVCHOST.exe versucht virus zu laden
    Plagegeister aller Art und deren Bekämpfung - 22.11.2009 (2)
  16. svchost.exe -k netsvcs braucht 100% CPU Auslastung
    Plagegeister aller Art und deren Bekämpfung - 03.04.2008 (19)

Zum Thema Virus in svchost.exe -k netsvcs? - Hallo zusammen! Ich bin eine von mehreren IT-Krankenschwestern an einer Hochschule... Seit gestern haben wir an unseren public PCs das Problem, dass die User nicht mehr ins Internet können (Browser - Virus in svchost.exe -k netsvcs?...
Archiv
Du betrachtest: Virus in svchost.exe -k netsvcs? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.