Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: SVCHOST.EXE "schmiert" immer wieder ab

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.08.2004, 13:58   #1
Britta
 
SVCHOST.EXE "schmiert" immer wieder ab - Standard

SVCHOST.EXE "schmiert" immer wieder ab



Hallo, durch Euer Forum und durch die vielen Hilfestellungen darin konnte ich in den letzten beiden Tagen mit escan und hijacking meine Viren (12 Stück) offensichtlich bereinigen. Escan hat die Dateien, die befallen waren, umbenannt. (Was passiert mit den Original-Dateien und sind die Viren noch da, nur in der alten Datei?

Ich habe jetzt "nur" noch das Problem, dass immer wieder svchost.exe (was immer das ist) abschmiert, und der Rechner dadurch extrem langsam wird, ich auch stellenweise in keine Links mehr reinkomme.

Wisst Ihr Rat?
Bitte schreibt so klar wie für einen Laien nur möglich, ich hab nicht die riesen Ahnung vom Innenleben des PCs.
Tausend Dank, Britta

Alt 26.08.2004, 14:11   #2
MountainKing
 
SVCHOST.EXE "schmiert" immer wieder ab - Standard

SVCHOST.EXE "schmiert" immer wieder ab



Hast du E-scan im abgesicherten Modus durchgeführt? Poste doch bitte mal ein HijackThis log:

http://www.trojaner-board.de/42731-escan-anleitung.html
http://www.trojaner-board.de/51130-a...ijackthis.html


Welche Viren wurden gefunden?
__________________


Alt 26.08.2004, 15:23   #3
Britta
 
SVCHOST.EXE "schmiert" immer wieder ab - Standard

SVCHOST.EXE "schmiert" immer wieder ab



Sorry, dass die Antwort so lange dauert, aber auch der Explorer steigt aus und ich versuche schon zum vierten Mal zu antworten.
Nein, ich habe nicht im abgesicherten Modus gescannt, weil ich in den Link, wie ich es machen soll, zur Zeit nicht reinkomme.

Die Escan Logfile von gestern ist mit den Daten von heute überschrieben, aber ich habe definitiv als Viren W32, Backdoor Rbt sowie ein Saas irgendwas gesehen, noch ein Trojaner, also die ganze üble Palette.
Ich habe eine Firewall installiert und frage mich jetzt allen Ernstes wozu eigentlich.

Hier der hijack-Scan von eben:
Logfile of HijackThis v1.98.2
Scan saved at 16:27:30, on 26.08.2004
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe
C:\WINNT\System32\device.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINNT\System32\internat.exe
C:\PROGRA~1\PANICW~1\POP-UP~2\PSFree.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\WINNT\explorer.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\mwav\mwavscan.com
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\mwav\kavss.exe
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bodyandsoap.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
F2 - REG:system.ini: UserInit=C:\WINNT\System32\Userinit.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [DeviceMgr] C:\WINNT\System32\device.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [mwavscan] "C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\mwav\mwavscan.com" /s
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~2\PSFree.exe"
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall 1.0\trash.exe (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall 1.0\trash.exe (HKCU)
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A02EC11-4390-4FF2-A3CD-FE920C48C932}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2AB5AA2-D93E-4D74-98A8-CB8B7F52C036}: NameServer = 217.237.150.33 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A02EC11-4390-4FF2-A3CD-FE920C48C932}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{0A02EC11-4390-4FF2-A3CD-FE920C48C932}: NameServer = 192.168.120.252,192.168.120.253
__________________

Alt 26.08.2004, 16:04   #4
Britta
 
SVCHOST.EXE "schmiert" immer wieder ab - Standard

SVCHOST.EXE "schmiert" immer wieder ab



Habs hingekriegt. Hier der Hijack-Scan im abgesichertem Modus:

Logfile of HijackThis v1.98.2
Scan saved at 16:58:46, on 26.08.2004
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\explorer.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bodyandsoap.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
F2 - REG:system.ini: UserInit=C:\WINNT\System32\Userinit.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [DeviceMgr] C:\WINNT\System32\device.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [mwavscan] "C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\mwav\mwavscan.com" /s
O4 - HKLM\..\RunServices: [WinSystem] C:\WINNT\System32\SysDDE.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~2\PSFree.exe"
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall 1.0\trash.exe (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall 1.0\trash.exe (HKCU)
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A02EC11-4390-4FF2-A3CD-FE920C48C932}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A02EC11-4390-4FF2-A3CD-FE920C48C932}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{0A02EC11-4390-4FF2-A3CD-FE920C48C932}: NameServer = 192.168.120.252,192.168.120.253

Wisst Ihr Rat? Der Explorer spinnt offensichtlich auch total ...
Gruß und Danke, Britta

Alt 26.08.2004, 16:24   #5
MountainKing
 
SVCHOST.EXE "schmiert" immer wieder ab - Standard

SVCHOST.EXE "schmiert" immer wieder ab



Es war eher so gemeint, dass du im abgesicherten Modus E-Scan laufen lässt, das HJT-Log sollte besser aus dem normalen Modus sein. Tja, wie du ja im prinzip schon weisst, treiben sich auf deinem System ziemlich fiese Schädlinge herum, im letzten Log sichtbar ist für mich zunächst:

O4 - HKLM\..\RunServices: [WinSystem] C:\WINNT\System32\SysDDE.exe

Leider habe ich dazu nur diese Informationen:

http://www.vsantivirus.com/back-zombam-i.htm

aber trotz meiner nicht vorhandenen Spanischkenntnisse wage ich zu behaupten, dass dies wahrscheinlich der Grund (zumindest ein wesentlicher) für deine Probleme ist, denn wie es da steht, beeinträchtigt dieser Schädling diverse Antivirenprogramme und Firewalls. Nun ist das Problem, dass man eigentlich knallhart sagen muss, du kannst deinem System nicht mehr vertrauen, es ist kompromittiert und rein theoretisch kann jemand dort alles mögliche angestellt und hinterlassen haben, auch alle Reparaturversuche mit scheinbarem Erfolg können nicht garantieren, dass dein System wieder sauber ist. Das könnte nur eine komplette Neuinstallation und daran anschließendes Befolgen bestimmter Grundregeln, die man noch genauer ausführen kann. Hast du das denn schon mal gemacht bzw, kennst vielleicht jemand, der dich da unterstützt?

Hier wäre eine gute Einstiegslektüre zu finden:

http://www.mathematik.uni-marburg.de...ompromise.html

Wenn du trotzdem eine Reparatur versuchen willst, fixe den obigen Eintrag mit Hijackthis, starte in den abgesicherten Modus und lösche die Datei SysDDE.exe und lass E-Scan noch einmal durchlaufen. Neustart und ein neues Logfile erstellen.


Antwort

Themen zu SVCHOST.EXE "schmiert" immer wieder ab
.exe, ahnung, alten, befallen, bereinige, dateien, escan, extrem, extrem langsam, forum, gen, hijacking, immer wieder, konnte, laien, langsam, leben, links, problem, rechner, riesen, schmiert, stelle, svchost.exe, tagen, viren



Ähnliche Themen: SVCHOST.EXE "schmiert" immer wieder ab


  1. win 7 firefox langsam "keine Rückmeldung" immer wieder Meldung "ein skript auf dieser Seite ist eventuell beschädigt...."
    Plagegeister aller Art und deren Bekämpfung - 14.01.2015 (11)
  2. Malwarebyte meldet immer wieder "habe bösartige Website blockiert"
    Plagegeister aller Art und deren Bekämpfung - 02.12.2014 (14)
  3. Win 8: TR/Trash.Gen kommt immer wieder und "istart.websearch" als Google Chrome Startseite.
    Log-Analyse und Auswertung - 01.08.2014 (3)
  4. WinXP - Avire meldet "tr/trash.gen" immer wieder
    Log-Analyse und Auswertung - 21.06.2014 (3)
  5. Beim Öffnen von Mozilla FireFox immer wieder "http://istart.webssearches.com"
    Plagegeister aller Art und deren Bekämpfung - 25.04.2014 (9)
  6. Windows 7: GoogleChrome Erweiterung "DownSave5.2" taucht nach Löschen immer wieder auf
    Log-Analyse und Auswertung - 10.01.2014 (9)
  7. Win 7 32 Bit - Avira findet immer wieder diesen Virus "HTML/Malicious.Flash.Gen"
    Log-Analyse und Auswertung - 05.10.2013 (12)
  8. Laptop langsam, "sbs_ve_ambr" immer wieder entdeckt und selbstverschickte Emails?
    Log-Analyse und Auswertung - 05.06.2011 (13)
  9. malware bytes meldet immer wieder "stolen data"
    Log-Analyse und Auswertung - 29.04.2011 (2)
  10. "service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf!
    Plagegeister aller Art und deren Bekämpfung - 06.09.2010 (26)
  11. Antimalware Doctor - "idstrf" kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 03.05.2010 (11)
  12. Trojaner "Double Click" immer wieder da...
    Plagegeister aller Art und deren Bekämpfung - 24.02.2009 (8)
  13. IE öffnet immer wieder "C:\WINDOWS\pop.htm", Log-File erstellt
    Log-Analyse und Auswertung - 24.01.2009 (0)
  14. Immer wieder "Google-error" und unnütze Seiten
    Log-Analyse und Auswertung - 06.09.2007 (2)
  15. Trojaner: "Trojan.DNSchanger.hg" kommt immer wieder zurück
    Log-Analyse und Auswertung - 14.12.2006 (3)
  16. Mal wieder ein "svchost.exe" Problem
    Log-Analyse und Auswertung - 20.08.2006 (2)
  17. Startseite wird immer wieder "verbogen"...
    Log-Analyse und Auswertung - 08.02.2006 (1)

Zum Thema SVCHOST.EXE "schmiert" immer wieder ab - Hallo, durch Euer Forum und durch die vielen Hilfestellungen darin konnte ich in den letzten beiden Tagen mit escan und hijacking meine Viren (12 Stück) offensichtlich bereinigen. Escan hat die - SVCHOST.EXE "schmiert" immer wieder ab...
Archiv
Du betrachtest: SVCHOST.EXE "schmiert" immer wieder ab auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.