Supportnet / Forum / Windows2000
Hilfe! Schon wieder ein Virus???
Frage
Brauche dringend Hilfe. Bin Neuling! Hatte einen Virus auf dem Rechner und habe Format-C gemacht. Allerdings ist die Festplatte geteilt und die andere Hälfte (D:) habe ich nicht formatiert. Nun habe ich alles wieder installiert und der Rechner zeigt die gleichen Fehlermeldungen an.
Fehler:
1: SVCHOST.EXE... hat Feher verursacht wird geschlossen.
2: Norten: Genreric Host Process for Win32 Services versucht auf das Internet zuzugreifen.
Habe schon versucht Patch4 zu installieren aber so weit komme ich nicht. Zeigt sofort wieder Fehler an.
BITTE BRAUCHE DRINGEN HILFE!!!!!!
Muss ich die komplette Festplatte formatieren mit allen Partitionen??
Antwort 1 von Mickey
Das klingt eventuell nach dem Wurm Blaster oder einem der Nachfolger, der zum Absturz der "svchost.exe" und einem erzwungenen Reboot führt. Darüber hinaus gibt es auch noch einen Fehler im Wurm-Code selbst, der nach einer Infizierung ebenfalls die "svchost.exe" zum Absturz bringen kann.
Im Startmenü auf "Ausführen..." und in der Eingabezeile den Befehl "shutdown -a" eingeben und mit "OK" bestätigen. Damit verhinderst einen eventuellen Shutdown.
Dann hier in den News den Artikel vom Dienstag, 12.8.03 durch, besonders das letzte Update: RPC-Dienst immer noch offen. Da findest du alle Infos dazu.
Es reicht nicht nur den ersten Patch aufzuspielen- es gibt immer noch drei Sicherheitslücken im RPC/DCOM-Dienst, die mit einem weiteren Patch (für die, die den ersten bereits aufgespielt haben) geschlossen werden.
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen !©
Im Startmenü auf "Ausführen..." und in der Eingabezeile den Befehl "shutdown -a" eingeben und mit "OK" bestätigen. Damit verhinderst einen eventuellen Shutdown.
Dann hier in den News den Artikel vom Dienstag, 12.8.03 durch, besonders das letzte Update: RPC-Dienst immer noch offen. Da findest du alle Infos dazu.
Es reicht nicht nur den ersten Patch aufzuspielen- es gibt immer noch drei Sicherheitslücken im RPC/DCOM-Dienst, die mit einem weiteren Patch (für die, die den ersten bereits aufgespielt haben) geschlossen werden.
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen !©
Antwort 2 von real_Sparfuchs
Hallo,
erstmal besorg dir ein anständiges Anti Viren Programm!!! Ich kann dir McAfee 7.0 empfehlen. Wenn du dieses Programm hast halte es durch online updates auf den neusten stand (das kostet nix). Unter umständen kann das Progi dann die Viren entfernen ohne die Datie zu löschen. Es kann ach sein (je nach Virus) das einzelen Datein gelöscht werden müssen.
Also Fazit: Safer Online
RS
erstmal besorg dir ein anständiges Anti Viren Programm!!! Ich kann dir McAfee 7.0 empfehlen. Wenn du dieses Programm hast halte es durch online updates auf den neusten stand (das kostet nix). Unter umständen kann das Progi dann die Viren entfernen ohne die Datie zu löschen. Es kann ach sein (je nach Virus) das einzelen Datein gelöscht werden müssen.
Also Fazit: Safer Online
RS
Antwort 3 von hdieter
hallo,
ich denke mal das du keinen virus auf deinem pc hast.
hast du auf deinem rechner das autom. Update installiert und aktiviert??
wenn ja beende es.
wenn das nicht hilft schreib mich per mail an
gebe dir dann ein vernünftiges antiviren-programm
gruss
dieter
ich denke mal das du keinen virus auf deinem pc hast.
hast du auf deinem rechner das autom. Update installiert und aktiviert??
wenn ja beende es.
wenn das nicht hilft schreib mich per mail an
gebe dir dann ein vernünftiges antiviren-programm
gruss
dieter
Antwort 4 von Schnoof
Nein, mußt Du nicht. Laß Dir von einem Bekannten das Patch http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bul... auf Diskette kopieren oder auf CD brennen und installier Dir das, bevor Du wieder ins Internet gehst.
Vielleicht solltest Du Dir noch einen Virenscanner besorgen. Z.B. ist AntiVir für den privaten Gebrauch kostenfrei.
Bis denne!
Schnoof
Vielleicht solltest Du Dir noch einen Virenscanner besorgen. Z.B. ist AntiVir für den privaten Gebrauch kostenfrei.
Bis denne!
Schnoof
Antwort 5 von real_Sparfuchs
Uhhhhhhhhhhhhhh Mic war schneller.... da kann ich nicht mit.
RS
RS
Antwort 6 von sandra01
Danke erst einmal für die ganzen Antworten. Werde jetzt alles der Reihe nach versuchen. Anti Virus habe ich drauf (Norten).
Bis später
Sandra
Bis später
Sandra
Antwort 7 von hdieter
hallo, für alle die wissen möchten was die SVCHOST auf dem rechner so alles macht:
Zusammenfassung
"Svchost.exe" ist ein allgemeiner Hostprozessname für Dienste, die mithilfe von Dynamic-Link Libraries (DLLs) ausgeführt werden. Die ausführbare Datei "Svchost.exe" befindet sich im Ordner "%SystemRoot%\System32". Beim Start überprüft "Svchost.exe" den auf Dienste bezogenen Abschnitt der Registrierung, um eine Liste von Diensten zusammenzustellen, die geladen werden müssen. Es können mehrere Instanzen von "Svchost.exe" gleichzeitig ausgeführt werden. Jede "Svchost.exe"-Sitzung kann eine eigene Gruppe von Diensten enthalten, sodass in Abhängigkeit davon, wie und wo "Svchost.exe" gestartet wird, verschiedene Dienste ausgeführt werden können. Dies sorgt für eine bessere Kontrolle und ein einfacheres Debuggen.
"Svchost.exe"-Gruppen sind in folgendem Registrierungsschlüssel angegeben:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
Jeder Wert unter diesem Schlüssel repräsentiert eine eigene Svchost-Gruppe und wird als separate Instanz angezeigt,
wenn Sie aktive Prozesse einsehen. Alle Werte sind REG_MULTI_SZ-Werte. Sie enthalten die Dienste, die unter der
jeweiligen Svchost-Gruppe ausgeführt werden. Jede Svchost-Gruppe kann einen oder mehrere Dienstnamen (service_names)
enthalten, die aus dem folgenden Registrierungsschlüssel, dessen Schlüssel "Parameters" einen Wert des Typs
"ServiceDLL" beinhaltet, extrahiert werden:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
Weitere Informationen
Gehen Sie folgendermaßen vor, um die Liste der in "Svchost" ausgeführten Dienste anzuzeigen:
Extrahieren Sie von der Windows 2000-Installations-CD-ROM aus dem Ordner Support\Tools und der Datei Support.cab das
Hilfsprogramm Tlist.exe.
Klicken Sie im Menü Start auf Ausführen und geben Sie cmd ein.
Geben Sie den Ordner an, aus dem Sie das Hilfsprogramm "Tlist.exe" extrahiert haben.
Geben Sie tlist -s ein.
Durch den Befehl "Tlist.exe" wird eine Liste der aktiven Prozesse angezeigt.
Durch die Befehlszeilenoption -s wird eine Liste der aktiven Dienste in den einzelnen Prozessen angezeigt.
Geben Sie tlist pid ein, um weitere Informationen über den Prozess zu erhalten, .
Die folgende Beispielausgabe für "Tlist" zeigt zwei ausgeführte Instanzen von "Svchost.exe":
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208 services.exe Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkstation,LmHosts,Messenger,
PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
Die Registrierungseinstellungen für die zwei Gruppen aus diesem Beispiel sind wie folgt:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs
Zusammenfassung
"Svchost.exe" ist ein allgemeiner Hostprozessname für Dienste, die mithilfe von Dynamic-Link Libraries (DLLs) ausgeführt werden. Die ausführbare Datei "Svchost.exe" befindet sich im Ordner "%SystemRoot%\System32". Beim Start überprüft "Svchost.exe" den auf Dienste bezogenen Abschnitt der Registrierung, um eine Liste von Diensten zusammenzustellen, die geladen werden müssen. Es können mehrere Instanzen von "Svchost.exe" gleichzeitig ausgeführt werden. Jede "Svchost.exe"-Sitzung kann eine eigene Gruppe von Diensten enthalten, sodass in Abhängigkeit davon, wie und wo "Svchost.exe" gestartet wird, verschiedene Dienste ausgeführt werden können. Dies sorgt für eine bessere Kontrolle und ein einfacheres Debuggen.
"Svchost.exe"-Gruppen sind in folgendem Registrierungsschlüssel angegeben:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
Jeder Wert unter diesem Schlüssel repräsentiert eine eigene Svchost-Gruppe und wird als separate Instanz angezeigt,
wenn Sie aktive Prozesse einsehen. Alle Werte sind REG_MULTI_SZ-Werte. Sie enthalten die Dienste, die unter der
jeweiligen Svchost-Gruppe ausgeführt werden. Jede Svchost-Gruppe kann einen oder mehrere Dienstnamen (service_names)
enthalten, die aus dem folgenden Registrierungsschlüssel, dessen Schlüssel "Parameters" einen Wert des Typs
"ServiceDLL" beinhaltet, extrahiert werden:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
Weitere Informationen
Gehen Sie folgendermaßen vor, um die Liste der in "Svchost" ausgeführten Dienste anzuzeigen:
Extrahieren Sie von der Windows 2000-Installations-CD-ROM aus dem Ordner Support\Tools und der Datei Support.cab das
Hilfsprogramm Tlist.exe.
Klicken Sie im Menü Start auf Ausführen und geben Sie cmd ein.
Geben Sie den Ordner an, aus dem Sie das Hilfsprogramm "Tlist.exe" extrahiert haben.
Geben Sie tlist -s ein.
Durch den Befehl "Tlist.exe" wird eine Liste der aktiven Prozesse angezeigt.
Durch die Befehlszeilenoption -s wird eine Liste der aktiven Dienste in den einzelnen Prozessen angezeigt.
Geben Sie tlist pid ein, um weitere Informationen über den Prozess zu erhalten, .
Die folgende Beispielausgabe für "Tlist" zeigt zwei ausgeführte Instanzen von "Svchost.exe":
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208 services.exe Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkstation,LmHosts,Messenger,
PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
Die Registrierungseinstellungen für die zwei Gruppen aus diesem Beispiel sind wie folgt:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs
Antwort 8 von Schnoof
sandra01, hältst Du Dein Norten Antivirus auch up-to-date? Hier kannst Du aktuelle Virendefinitionen herunterladen: http://www.symantec.de/avcenter/defs.download.html
Bis denne!
Schnoof
Bis denne!
Schnoof
Antwort 9 von sandra01
Hi Schnoof, klar alles auf dem neusten Stand. Heute noch ein up-date gemacht. Der findet auch keinen Virus o. ä. Find ich auch eigenartig.
Hat es denn gereicht, dass ich nur den Bereich "C" formatiert habe? Wg. der Partitionierung? Auf der anderen Hälfte speicher ich nur Bilder und Musik.
Bis dahin
Sandra
Hat es denn gereicht, dass ich nur den Bereich "C" formatiert habe? Wg. der Partitionierung? Auf der anderen Hälfte speicher ich nur Bilder und Musik.
Bis dahin
Sandra