Hi,

ich habe heftige Probleme mit dem Prozess "svchost.exe". Der wird immer nach ner Zeit instabil (bleibt nur noch Reset).

Ich hatte 2 Trojaner, laut antvir (die Datei hieß: reg.exe). AntiVir hat das Problem/Trojaner beseitigt (also laut AntiVir ^^). Ich habe ihn noch öfteres drüber laufen lassen, er fand nichts mehr (symantec und mcafee auch nicht).
svchost wird aber noch instabil (Auslastung 99%), wenn die reg.exe denn überhaubt was damit zu tun hat/hatte.

Trotzdem werde ich das Gefühl nicht los, das da nochwas ist. Ich habe gegoogelt und in einem Forum gelesen das Zone Alarm abhilfe schaft.

Ich habe nun Zone Alarm runtergeladen und instaliert. Es läuft sei 10 Min und ich habe 81 Warnungen vom Port 135.

Kann mir jemand ein gutes Anti-Trojaner Programm empfehlen, ich hab einige bei Google gefunden, aber ich will auch eins das gut ist.

edit: die ganzen Blaster Fixe habe ich bereits instaliert, auch alle remove tools ausprobiert.

a² free > http://www.emsisoft.de/de/software/free/
stinger > http://vil.nai.com/vil/stinger/

Trotzdem werde ich das Gefühl nicht los, das da nochwas ist. Ich habe gegoogelt und in einem Forum gelesen das Zone Alarm abhilfe schaft.

Ich habe nun Zone Alarm runtergeladen und instaliert. Es läuft sei 10 Min und ich habe 81 Warnungen vom Port 135.

Kann mir jemand ein gutes Anti-Trojaner Programm empfehlen, ich hab einige bei Google gefunden, aber ich will auch eins das gut ist.

edit: die ganzen Blaster Fixe habe ich bereits instaliert, auch alle remove tools ausprobiert.
mmm...

Du weisst, das ZoneAlarm kein Programm ist, um Trojaner zu entfernen? Mit Glück erkennt ZoneAlarm, das ein Trojaner eine Verbindung aufbauen will, nur dann muss der User vor der PFW (personal Firewall) auch wissen, was zu tun ist. Weil die meisten Leute nicht darauf achten, was sie machen, würde es mich nicht wundern, wenn du dem Trojaner, sofern du noch einen hast, freie Fahrt ins Internet gegeben hast.
Du kannst entweder mal eine Trial (ca. 30 Tage gültig) von Kaspersky runterladen und diese drüberlaufen lassen oder ein Log von HijackThis erstellen und diese auf der Webseite auswerten lassen oder hier posten.
Wie man seinen PC sicher macht, steht oben fest angepinnt, wenn ich mich richtig erinnere ...

Ja, das ist mir schon klar das Zone Alarm den Trojaner nicht entfent. Ich habe das nur als Tip gelsen. Seit ZoneAlarm läuft ist die svchost nicht mehr ausgeslastet gewesen.

Wie gesagt ich hab schon alles versucht, was mir bekannt ist. Auch das hatte ich schonmal probiert

http://vil.nai.com/vil/stinger/ ... findet nix....

Jetzt versuch ichs mal mit den a² und Kasperskyl.

Mit Hijack-This arbeiten und eine Log-Datei erstellen lassen .
Den Inhalt dieser Datei hier ins Forum rein

ok, hier ist sie.

Logfile of HijackThis v1.97.7
Scan saved at 08:28:13, on 23.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Anwendungen\AntiVir\AVGNT.EXE
C:\Programme\Anwendungen\ZoneAlarm\zlclient.exe
C:\Programme\Anwendungen\AntiVir\AVGUARD.EXE
C:\Programme\Anwendungen\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Anwendungen\Motherboard Monitor 5\MBM5.exe
C:\PROGRA~1\ANWEND~1\MOZILLA\MOZILLA\MOZILLA.EXE
C:\Dokumente und Einstellungen\desty\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Anwendungen\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Anwendungen\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101120200768
O17 - HKLM\System\CCS\Services\Tcpip\..\{12989B48-5B80-4CB6-A934-3822D11BC880}: NameServer = 217.237.150.141 217.237.150.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{12989B48-5B80-4CB6-A934-3822D11BC880}: NameServer = 217.237.150.141 217.237.150.97

fu...ck! :D
Habe mich bis jetzt immer auf Ad-Aware verlassen und gestern mal auf grund diese Post´s "stinger" laufen lassen und siehe da "cmd.ftp"!!! fein echt. :mad:
Stellt sich dann die Frage wer ist besser wenn mann das so sagen kann
a² oder und Ad-Aware oder ein ganz anderes Prog.,was benutzt Ihr?

fu...ck! :D
Habe mich bis jetzt immer auf Ad-Aware verlassen und gestern mal auf grund diese Post´s "stinger" laufen lassen und siehe da "cmd.ftp"!!! fein echt. :mad:
Stellt sich dann die Frage wer ist besser wenn mann das so sagen kann
a² oder und Ad-Aware oder ein ganz anderes Prog.,was benutzt Ihr?

Also grundsätzlich würde ich mich nicht auf nur ein Programm verlassen. Ich nutze Stinger, CWShredder, Ad Aware und McAffee Viruscan. Bis jetzt noch keine Probleme gehabt.

ok, hier ist sie.

Logfile of HijackThis v1.97.7
Scan saved at 08:28:13, on 23.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Anwendungen\AntiVir\AVGNT.EXE
C:\Programme\Anwendungen\ZoneAlarm\zlclient.exe
C:\Programme\Anwendungen\AntiVir\AVGUARD.EXE
C:\Programme\Anwendungen\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Anwendungen\Motherboard Monitor 5\MBM5.exe
C:\PROGRA~1\ANWEND~1\MOZILLA\MOZILLA\MOZILLA.EXE
C:\Dokumente und Einstellungen\desty\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Anwendungen\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Anwendungen\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101120200768
O17 - HKLM\System\CCS\Services\Tcpip\..\{12989B48-5B80-4CB6-A934-3822D11BC880}: NameServer = 217.237.150.141 217.237.150.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{12989B48-5B80-4CB6-A934-3822D11BC880}: NameServer = 217.237.150.141 217.237.150.97

Bis auf die fettmarkierten Sachen ist soweit alles - aus meiner Sicht - Okay. Will aber nicht heißen, dass nvsvc32 was Schädliches sein soll. Und wozu die ganzen IP-Adressen sind, kann ich auch nicht sagen.

Zu dieser Datei "nvsvc32.exe" habe ich dieses gefunden.


...Die gehört zu nVidia = NVIDIA Driver Helper Service ....


quelle:

http://www.neuber.com/taskmanager/deutsch/prozess/nvsvc32.exe.html
http://www.supportnet.de/discussion/listmessages.asp?autoid=140184

edit: quote geändert...



017 - HKLM\System\CCS\Services\Tcpip\..\{12989B48-5B80-4CB6-A934-3822D11BC880}: NameServer = 217.237.150.141 217.237.150.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{12989B48-5B80-4CB6-A934-3822D11BC880}: NameServer = 217.237.150.141 217.237.150.97

Wie bekomm ich das weg?

vom Geld mal abgesehen,lohnt es sich kompl.auf McAfee umzusteigen event.+Firewall?
Hab jetzt mal etwas gegoggelt und werde mal "f-secure" versuchen das kommt wohl in allen neuen test´s am besten weg.

Spybot und Ad-Aware sind - wie der Name schon sagt - gegen Spyware , Adware und Co in der regel aber nicht gegen Viren .
Da bedarf es schon eines richtigen Virenkillers .

Stinger : Ein kleines Programm gegen die häufigsten und gefährlichsten Schädlinge aber mitnichten einer gegen alles !
-> Nachdem Stinger dran war auf jeden Fall einen kompletten Scan mit einem vollen Antivirenprogramm durchfphren !

Wenn Zone-alarm solche Meldungen rauswirft dann hat vermutlich mal wieder ein Bot der leider immer noch zuvielen infizierten PC versucht Dein System zu infizieren was aber geblockt wurde .

Das Problem ist leider immer noch da. Wenn Zone Alarm nicht läuft, wenn ich online bin, ist früher oder später die svchost.exe ausgelastet.

Ich habe jetzt so ziemlich jeden Virenscanner drüber laufen lassen den es gibt, nix.

Ist das normal das Zone Alarm in den ersten 24 Stunden der instalation über 11.000 Eindringungsversuche verhindert hat. Kommt mir so ein bisschen viel vor, aber wer weiss.

In Svchost (services host = Dienste des eigenen Rechners) sind so ziemlich alle System-Threads vereinigt. Herauszufinden, welcher Thread Probleme macht, ist mir bisher nicht gelungen. Mach einfach den Port 135 dicht, besser alle anderen auch, du wirst sie wahrscheinlich kaum brauchen. Es gibt dazu Anleitungen im Internet. Port 135 war bei mir der einzige noch offene Port bzw. Dienst, den ich vor 2 Monate dicht gemacht habe. Dienste verwenden Ports, Port 135 ist MS RPC Dienst, schaue erst mal in der Systemsteurung unter Dienste nach. Das ist alles sehr nervig, aber damit muss man sich irgendwann einfach befassen.

Bin noch mal derselbe. Habe gerade im Sticky Thread "Windows sicherer machen - Vol 2" geschaut. Dort unter z.B. "Dienste abschalten" nachschauen und die Programme und Anleitungen runterladen. Sollte eigentlich auch für Anfänger und Laien wie mich zu bewältigen sein, wenn ich nicht schon alle bekannten Dienste deaktiviert hätte.

Ich habe den Port 135 jetzt auch dicht gemacht, Problem gelöst, denke ich. Zumindestens ist die svchost.exe nun auch ohne Zone Alarm stabil, mag das Ding eh nicht.

Falls es wen interesiert, hier mal was ich gemacht hab.


Ich habe erstmal die Ports mittels dieser Website gescant, wie zu erwarten war der Port 135 offen.

http://www.port-scan.de/scans/portscan.php?Parameter=Schnelltest=fast


Dann habe ich mal gemacht was auf dieser Website steht.

http://www.pc-experience.de/wbb2/thread.php?threadid=8164


Das scheint geholfen zuhaben.

Wie bekomm ich das weg?lass es in ruhe...

ist der proxy/dns von t-online bzw einer davon...