Supportnet Computer
Planet of Tech

Supportnet / Forum / Windows2000

W2k svchost.exe Problem (definitiv nicht Blasterwurm)!





Frage

Hallo, ich habe ein Problem mit dem DFÜ Netzwerk unter Windows 2000 Professional SP2. Es handelt sich dabei definitiv nicht um den oftmals erwähnten Blasterwurm. Ich stelle meine Internetverbindung über ein analoges Modem (Elsa Microlink Office 56K, PCI) her. Kurz nach dem Start kommt es zu einer Fehlermeldung, dass der Dienst svchost.exe aufgrund eines Fehlers beendet werden muss. Danach kann man zwar noch weiter surfen, aber wichtige Betriebssystemfunktionen funktionieren gar nicht mehr oder unendlich langsam. Ich habe darauf hin mit tlist.exe die abhängigen Dienste von den Prozessen svchost.exe ermittelt und herausgefunden, dass svchost.exe mit der gemeinsamen Nutzung von DFÜ Netzwerken in Verbindung steht. Ich kann die Einstellungen im Bereich Dienste unter RAS-Verwaltung, Telefonie usw. aber nicht verstehen und konfigurieren. Im Systemverzeichnis finde ich zwei Binaries von svchost.exe. Das erste in c:\winnt\system32. 8KB groß mit der Versionsnummer 5.0.2134.1 und das zweite in c:\winnt\system32\drivers mit 12KB, aber ohne Angabe einer Versionsnummer. Kopieren von 2 nach 1 schlägt immer fehl, weil es immer wieder vom System durch die erste Datei wiederhergestellt wird. Was kann ich tun? Nach dem Auftreten des Fehlers hilft nur ein Neustart des Systems, das auch immer einwandfrei arbeitet, solange man keine Internet-Verbindung über das Modem herstellt. Kennt jemand das Problem und wie kann man es beseitigen? Kennt jemand eine Internetadresse wo es einen (signierten) offiziellen Treiber für das Elsa Microlink Office 56K, PCI gibt? Vielleicht liegt es ja daran? Viele Grüße, Holger

Antwort 1 von Limbius

Versuche mal folgendes :
Öffne eine DOS Eingabeaufforderung und gib SFC /SCANNOW ein - lege deine W2K CD ein und folge den Anweisungen...

PS: SFC scannt deine Win Dateien und stellt sie ggfs wieder von der Original CD her....

Antwort 2 von DJWolfgang

hast du die neuesten Treiber installiert??

Antwort 3 von DJWolfgang

desweiteren würde ich die Updates von Microsoft vorschagen--bis zum letzten...ich glaube SP4

Antwort 4 von gitti

Hallo Holger,
Ich denke du musst rausfinden, ob der Wurm tatsächlich auf deinem Rechner ist.
Einfach den system32-Ordner und die Registry überprüfen nach msblast.exe(s. andere Beiträge zum Thema).

Patch installieren... Firewall benutzen!


Antwort 5 von Piepsi

Also für mich hört sich das auch an, als sei es der Blaster...

@Holger:
Woher weißt Du, dass er es definitiv nicht ist?
Hast Du den Microsoft-Patch wohl schon installiert?
Bedenke:
Der Blaster schleicht sich über die IP (besser gesagt durch ne Sicherheitslücke im RPC/DCOM) einfach so rein, sobald Du online gehst! Du musst also nicht extra nen E-Mail-Anhang oder so anklicken, um den Wurm zu kriegen.

Halte Dich an gitti's Vorschlag (Antwort 4) und sag uns dann bitte, obs der Blaster war oder nicht.

Bis neulich,
Piepsi {:o)

Antwort 6 von Holger van Husen

Hi Limbius,

habe die Originaldateien von der Windows CD wiederhergestellt. Hat aber nichts genutzt.

Bis dann...
Holger


Antwort 7 von Holger van Husen

Hallo,

auf der Seite habe ich auch schon einmal vorbeigeschaut. Ich war mir aber nicht sicher, ob ich die Treiber für das Elsa Microlink 56k PCI auch für das Elsa Microlink Office benutzen kann. Das ist ein ML 56K mit Fax und AB. Sind die Treiber dafür geeignet?

Holger



Antwort 8 von Holger van Husen

Hallo DJWolfgang,

leider kann ich das SP4 aufgrund des beschriebenen Fehlers nicht mehr einspielen. Außerdem ist es über 120 MB groß und das ist mit einem 56k Modem wohl nicht mehr zu schaffen.

Gruß
Holger

Antwort 9 von Limbius

Guckst du mal hier : http://www.microsoft.com/downloads/details.aspx?FamilyID=e70a0d8b-fe98-493f-ad76-bf673a38b4cf&DisplayLang=en
und auch hier :
http://us.mcafee.com/virusInfo/default.asp?id=vrt

und führst das einfach mal aus...

dann sehen wir weiter

Antwort 10 von shrike

Die svchost.exe in c:\winnt\system32 (8KB, Version 5.0.2134.1) müßte eigentlich die richtige sein. Dieselbe Datei sollte es als Kopie auch nochmal in c:\winnt\system32\dllcache geben.
In c:\winnt\system32\drivers hat sie eigentlich überhaupt nichts zu suchen. Schon gar nicht mit dieser eigenartigen Größe und ohne Versionsangabe. Kommt mir ziemlich suspekt vor... Ich persönlich würde diese erstmal "entsorgen" (man könnte sie ja im Zweifelsfall auf Diskette sichern).

mfg, shrike

Antwort 11 von Holger van Husen

Hallo,

erstmal ein Dankeschön an alle, die mir hier geholfen haben. Peinlich ist nur, dass es wohl doch irgendwie mit dem Blasterwurm zu tun hatte. Ich habe bei dem Blasterwurm wohl etwas grundsätzlich nicht verstanden. Auf jeden Fall habe ich den Patch eingespielt und anschließend das Tool zum Entfernen des Wurms ausgeführt. Und siehe da, der Fehler in der svchost.exe taucht nicht mehr auf. Was ich dabei allerdings nicht verstehe, ist wie das passieren kann. Das System ist von einer Original Microsoft CD auf eine neue Festplatte aufgespielt worden. Nach der Installation des Modemtreibers von einer CD bin ich dann direkt auf die Windowsupdate Seite gegangen und wollte die „Wichtigen Update“ einspielen und trotzdem hat der Wurm das System lahmgelegt. Wie ist das möglich? Auf der Microsoft CD und auf der Treiber CD kann er doch nicht gewesen sein? Ohne einen zweiten gesicherten Rechner wäre ich noch nicht einmal an den Patch gekommen.

Na ja, jetzt funktioniert es auf jeden Fall.

Bis dann...
Holger


Antwort 12 von Mickey

(...)...Nach der Installation des Modemtreibers von einer CD bin ich dann direkt auf die Windowsupdate Seite gegangen und wollte die „Wichtigen Update“ einspielen...(...)

Der Wurm nutzt eine Schwachstelle im RPC/DCOM-Dienst von Windows - also reicht ihm genau die Zeitspanne.

Gruss,
Mic

Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©

Ich möchte kostenlos eine Frage an die Mitglieder stellen:


Ähnliche Themen:


Suche in allen vorhandenen Beiträgen: