Supportnet / Forum / WindowsXP
svchost.exe
Frage
Hallo!
Ich habe einen Problem mit der Datei. Sobald ich mich ins Internet verbinde, fängt die Datei auf 100 CPU Last hochzugehen. Ich vermute, es ist irgendein
Spyware verantwortlich, aber ich finde es nicht.
Ich habe schon einen Virenscan von Norten, Ad Aware, und Spy Nuker suchen lassen. Nichts gefunden.
Jetzt habe ich Hijjackthis mal schauen lassen.
Hier die Log-File
Kann mir jemand helfen!
Logfile of HijackThis v1.98.2
Scan saved at 08:01:06, on 13.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
c:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\drivers\siemens_treiber\Grafik\CPanel\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Microsoft Office97\Office\OSA.EXE
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\WinCommander\TOTALCMD.EXE
C:\DOKUME~1\BARBAR~1\LOKALE~1\Temp\_tc\HIJACK~1.EXE
c:\Programme\Norton AntiVirus\navapsvc.exe
c:\Programme\Norton AntiVirus\SAVScan.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://opti.riviera.cc (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://opti.riviera.cc (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://riviera.cc (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://opti.riviera.cc (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://riviera.cc (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://opti.riviera.cc (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://opti.riviera.cc (obfuscated)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\drivers\siemens_treiber\Grafik\CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] c:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office97\Office\OSA.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O18 - Filter: application/hta - {D962EF38-5FB0-4761-8638-C86F085E25E6} - C:\WINDOWS\chp.dll
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\chp.dll
Antwort 1 von Opa53
Hallo barbyQ,
an der svchost.exe liegt das nicht, dass die mehrfach gestartet wird ist normal.
Wenn ich das Protokoll richtig interpretiere, hast Du Dir einen Trojaner aufgesammelt, der bei jedem Start des IE im Hintergrund (obfuscated = vernebelt = ohne Anzeige im Browser) eine Verbindung mit der Seite http://opti.riviera.cc herstellt.
Da ich mir der Sache nicht so ganz sicher wer habe diese Seite mal aufgerufen und zumindest bei meinem Virenscanner (AntVir) schrillten sofort alle Alarmglocken.
Gruß
Opa
an der svchost.exe liegt das nicht, dass die mehrfach gestartet wird ist normal.
Wenn ich das Protokoll richtig interpretiere, hast Du Dir einen Trojaner aufgesammelt, der bei jedem Start des IE im Hintergrund (obfuscated = vernebelt = ohne Anzeige im Browser) eine Verbindung mit der Seite http://opti.riviera.cc herstellt.
Da ich mir der Sache nicht so ganz sicher wer habe diese Seite mal aufgerufen und zumindest bei meinem Virenscanner (AntVir) schrillten sofort alle Alarmglocken.
Gruß
Opa
Antwort 2 von LokalHorst
Hi!
Hier kannst du dein Logfile hinein stellen und automatisch auswerten lassen.
http://www.hijackthis.de/
und tschüss
Hier kannst du dein Logfile hinein stellen und automatisch auswerten lassen.
http://www.hijackthis.de/
und tschüss
Antwort 3 von LokalHorst
Hi!
Ich habe es gerade mal auswerten lassen. Es siet nicht gut aus! Zehn Einträge die Böse sind.
und tschüss
Ich habe es gerade mal auswerten lassen. Es siet nicht gut aus! Zehn Einträge die Böse sind.
und tschüss
Antwort 4 von pete6915
Barby :
Schau Dir dies mal an hier, wir haben dieses Thema gestern hier im Forum durchgearbeitet.
https://supportnet.de/discussion/listmessages.asp?AutoID=206539&...
MFG Pete
Schau Dir dies mal an hier, wir haben dieses Thema gestern hier im Forum durchgearbeitet.
https://supportnet.de/discussion/listmessages.asp?AutoID=206539&...
MFG Pete
Antwort 5 von pete6915
Barby :
Du sagst, dass Du Norton AV hast und damit schon gesucht hast.
Also, Norton hat einen kompletten AV Check + Sicherheitscheck für all seine Produkte.
Sehr komfortable und einfach zu bedienen. Online gehen, und dann diese Seite anklicken. Dann beide Checks machen lassen, für AV + Sicherheit. Norton teilt Dir dann detailliert mit, was mit Deinem PC ist. Norton repariert aber nicht Online vom Sicherheitscenter aus. Dies musst Du dann alleine machen.
Hier die Sicherheitscheckup-Seite , ist kostenlos :
http://security.symantec.com/sscv6/home.asp?productid=symhome&langi...
MFG Pete
Du sagst, dass Du Norton AV hast und damit schon gesucht hast.
Also, Norton hat einen kompletten AV Check + Sicherheitscheck für all seine Produkte.
Sehr komfortable und einfach zu bedienen. Online gehen, und dann diese Seite anklicken. Dann beide Checks machen lassen, für AV + Sicherheit. Norton teilt Dir dann detailliert mit, was mit Deinem PC ist. Norton repariert aber nicht Online vom Sicherheitscenter aus. Dies musst Du dann alleine machen.
Hier die Sicherheitscheckup-Seite , ist kostenlos :
http://security.symantec.com/sscv6/home.asp?productid=symhome&langi...
MFG Pete