Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Svchost.exe mit dauerhafter Verbindung

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 11.02.2010, 16:27   #1
donnner326
 
Svchost.exe mit dauerhafter Verbindung - Standard

Svchost.exe mit dauerhafter Verbindung



Hallo,

hab seit kurzer Zeit vom Prozess svchost.exe eine dauerhafte Verbindung
mit 77.67.10.1**. Wenn ich die per TCPView beende oder den Prozess beende startet die Verbindung automatisch wieder neu.
Noch aus TCPView:

Path:
C:\WINDOWS\System32\svchost.exe

Command Line:
C:\WINDOWS\System32\svchost.exe -k Akamai


HijackThis:

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:22:18, on 11.02.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
E:\Programme\Java\jre6\bin\jqs.exe
E:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
E:\Programme\Sandboxie\SbieSvc.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
E:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
E:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
E:\Programme\Sandboxie\SbieCtrl.exe
C:\Programme\Belkin\F5D8053\Belkinwcui.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
E:\Programme\MessengerDiscovery 2\MessengerDiscovery 2.exe
E:\Programme\TcpView\Tcpview.exe
E:\Programme\Pidgin\pidgin.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\Virtual PC\Virtual PC.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R3 - URLSearchHook: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Dokumente und Einstellungen\*\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - - (no file)
O1 - Hosts: 77.67.10.132:443
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - E:\Programme\Siber blabla\roboform.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Dokumente und Einstellungen\*\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll
O2 - BHO: TBSB03968 - {AA61DE26-FA67-4575-9033-918671094293} - C:\Dokumente und Einstellungen\*\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - E:\Programme\Siber blabla\roboform.dll
O3 - Toolbar: Toolbar fuer eBay - {000E148C-F7A7-445A-9044-93BF6CE09ECB} - C:\Dokumente und Einstellungen\*\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "E:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [SandboxieControl] "E:\Programme\Sandboxie\SbieCtrl.exe"
O4 - HKCU\..\Run: [RoboForm] "E:\Programme\Siber blabla\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "E:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ICQ] "E:\Programme\ICQ7.0\ICQ.exe" silent loginmode=4
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = E:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Belkin F5D8053 N Wireless USB Adapter Utility.lnk = C:\Programme\Belkin\F5D8053\Belkinwcui.exe
O8 - Extra context menu item: RF - Formular ausfüllen - file://E:\Programme\Siber blabla\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://E:\Programme\Siber blabla\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://E:\Programme\Siber blabla\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://E:\Programme\Siber blabla\RoboFormComShowToolbar.html
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://E:\Programme\Siber blabla\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://E:\Programme\Siber blabla\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://E:\Programme\Siber blabla\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://E:\Programme\Siber blabla\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://E:\Programme\Siber blabla\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://E:\Programme\Siber blabla\RoboFormComShowToolbar.html
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - E:\Programme\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - E:\Programme\ICQ7.0\ICQ.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: QIP 2005 - {1EF681F7-A04B-4D6D-9012-A307CCA55610} - E:\Programme\QIP\qip.exe (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - E:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - E:\Programme\Sandboxie\SbieSvc.exe

--
End of file - 10167 bytes

Ich könnte mir denken das ein Update von Microsoft im Hintergrund läuft da laut TCPView die Verbindung über https läuft, da aber die Verbindung schon 3 Tage dauerhaft läuft kommt mir das ein bisschen komisch vor.

Alt 12.02.2010, 21:03   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Svchost.exe mit dauerhafter Verbindung - Standard

Svchost.exe mit dauerhafter Verbindung



Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!


Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Antwort

Themen zu Svchost.exe mit dauerhafter Verbindung
adapter, antivir, antivir guard, avira, cdburnerxp, desktop, dll, ebay, einstellungen, explorer, firefox, hkus\s-1-5-18, icq, internet, internet explorer, logfile, microsoft, mozilla, nvidia, programme, prozess, rundll, software, svchost.exe, system, toolbars, windows, windows xp



Ähnliche Themen: Svchost.exe mit dauerhafter Verbindung


  1. Trotz bestehender Verbindung, unterbricht sich manchmal die Verbindung komplett
    Plagegeister aller Art und deren Bekämpfung - 15.02.2015 (12)
  2. Dauerhafter Fehler im Log "Abbildintegrität mit Hinweis auf beschädigte / schädigende Datei"
    Log-Analyse und Auswertung - 12.07.2014 (5)
  3. WLAN-Verbindung plötzlich unverschlüsselt - Zugriff auf eine Default-Verbindung
    Netzwerk und Hardware - 15.12.2013 (1)
  4. Keine Verbindung Zum WLAN-Router obwohl verbindung lt Meldung hergestellt
    Plagegeister aller Art und deren Bekämpfung - 31.12.2012 (0)
  5. Verbindung zu allen Antivirusseiten blokiert. Verbindung über Nokiamodem wird versucht
    Log-Analyse und Auswertung - 16.07.2012 (5)
  6. svchost.exe ( Svchost Prozess Analyser)
    Log-Analyse und Auswertung - 23.09.2011 (7)
  7. svchost Virus ! C:\Benutzer\Windows\Install\svchost.exe - WORM/Rebhip.A.318
    Plagegeister aller Art und deren Bekämpfung - 20.01.2011 (1)
  8. Keine Verbindung zu Update Servern trotz bestehender Verbindung
    Plagegeister aller Art und deren Bekämpfung - 18.11.2010 (1)
  9. Verbindung da, Firefox bekommt keine Verbindung X(
    Alles rund um Windows - 09.09.2010 (1)
  10. svchost.exe versucht eine Verbindung mit einer schädlichen Seite herzustellen
    Plagegeister aller Art und deren Bekämpfung - 20.08.2010 (52)
  11. bluetooth verbindung als usb verbindung simulieren
    Alles rund um Windows - 18.01.2010 (0)
  12. Kein Dauerhafter Ruhezustand
    Alles rund um Windows - 19.02.2009 (3)
  13. Keine Verbindung zum I-net obwohl Verbindung angezeigt wird
    Netzwerk und Hardware - 23.07.2008 (1)
  14. Keine Verbindung nach deaktivieren und aktivieren der Lan-Verbindung
    Alles rund um Windows - 11.05.2008 (2)
  15. Dauerhafter Block ohne Nachfrage mit Sygate
    Antiviren-, Firewall- und andere Schutzprogramme - 23.10.2007 (3)
  16. HJT Log wegen dauerhafter Inet-Aktivität
    Log-Analyse und Auswertung - 07.10.2007 (1)
  17. Verbindung wird immer getrennt und eine Verbindung taucht unter den DÜF-Verbindungen
    Plagegeister aller Art und deren Bekämpfung - 09.07.2006 (24)

Zum Thema Svchost.exe mit dauerhafter Verbindung - Hallo, hab seit kurzer Zeit vom Prozess svchost.exe eine dauerhafte Verbindung mit 77.67.10.1**. Wenn ich die per TCPView beende oder den Prozess beende startet die Verbindung automatisch wieder neu. Noch - Svchost.exe mit dauerhafter Verbindung...
Archiv
Du betrachtest: Svchost.exe mit dauerhafter Verbindung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.