Probiere von McAfee den Stinger 2.2.7 scanner, er wird wahrscheinlich den Sasser D wurm finden!!
Mfg Chris
also ich habe auch das gleiche Problem.
habe jetzt den ms ...732 patch deinstalliert, jetzt läuft der pc. aber jetzt ist das tor für den wurm auf.
was meint nighty mit tcp ports zu machen. wie und wo geht das? bin ich dann vor dem wurm geschützt?
ist das ein mist, ohne den patch gehts nicht, mit auch nicht wirklich. da muß doch ms was gegen machen!
und noch ein problem, da öffnet sich bei mir immer ein fenster, da will ein jemand oder ein programm eine verbindung herstellen. z.b. smtp.t-online.de oder www.ixxx9.biz oder so ähnlich, immer verschiedene namen. aber nur wenn ich halt nicht online bin. wie bekomm ich das weg?
thx schonmal
Dr.Nope (55.017) Global Moderator 1279x Beste Antwort 2645x "Danke"
| Re: svchost.exe verursacht 100% CPU auslastung |
Die ports schließt du in deiner (hoffentlich vorhandenen) Firewall.
Zu deinen Seiten, da musst du dir mal die ersten 3 Thread hier angucken insbesondere zu Startseiten usw. Kann viel möglcih sein. Und steig beizeiten auch um vom alten Internetexplorer auf einen aktuellen Browser wie Opera oder http://www.firefox-browser.de damit hast du wesentlich geringere Gefahren dir was einzuhandeln.
Was haste denn fürne Firewall?
Und ports dicht machen is ja nur ne Notlösung, eigentlich gehören die Löcher gepatcht, was ja in dem Fall nicht geht.
Die beste Variante wäre natürlich die Dienste zu beenden, die di ports offen halten.
Dienste beenden unter Windows XP Professional
Vor dem beenden von Diensten unbedingt ein Backup der Installation machen, weil die Anleitung allgeimn gehalten ist, sprich nicht für jede Konfig geignet ist.
Und dann kanns passieren das was nicht mehr geht oder der Rechner nicht mehr hochfährt.
Wenn dann was schiefgeht kann man das Backup zurückspülen.
Gruß
bin gerade dabei die Firefox zu installieren.
komisch ist, im task ist ein lsass.exe als prozess. beenden kann ich den nicht.
nioch eine idee bezüglich des fensters mit der nachricht "sie oder ein programm haben infos von (da steht öfters was anderes) z.b. smtp.online.de oder 9xxx.biz oder so, angefordert, welche verbindung nehmen? ......"
die will ich weg haben! die kommt aber nur, wenn internet nicht aktiv.
Dr.Nope (55.017) Global Moderator 1279x Beste Antwort 2645x "Danke"
| Re: svchost.exe verursacht 100% CPU auslastung |
das klingt ja wie ein Dialer, musst mal 0190-Warner oder http://www.yaw.at laden damit kann man die auch entfernen. Oder mal mit Hijackthis ein Scan machen (Links oben in den drei Threads). Dann nachgucken wo da evtl was geladen wird. Wenn du es nicht rausbekommst, poste dann das log in einem neuen Thread.
hier das log von hijackthis.
und die datei im task (lsass.exe) macht mir auch noch sorgen! und dieses blöde netzwerkverbindugsfenster!
Logfile of HijackThis v1.97.7
Scan saved at 18:04:02, on 06.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\cFosNT\cFosDNT.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Browser mouse\1.3\mouse32a.exe
C:\WINDOWS\System32\scvhost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Analog Devices\USB ADSL LAN Adapter \dslmon.exe
C:\Programme\Medionkeyboard\1.3\KbdAp32A.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\a2 free\a2start.exe
C:\Programme\a2 free\a2scan.exe
C:\download\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ford-escort.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [cFosDNT] C:\cFosNT\cFosDNT.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medionkeyboard\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [scvhost] scvhost.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\RunServices: [scvhost] scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4S2_32\WATCH.exe
O4 - Startup: Event Minder Reminders.lnk = C:\HALLMARK\EMREMIND.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: DSLMON.lnk = ?
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38142.2325694444
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DD467C9-CBC2-41CE-8110-8849C12C7523}: NameServer = 212.95.97.66 212.95.108.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DD467C9-CBC2-41CE-8110-8849C12C7523}: NameServer = 212.95.97.66 212.95.108.3
Prüfen:
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\scvhost.exe (<-Virus)
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\sp.exe
C:\WINDOWS\twain_32\A4S2_32\WATCH.exe
C:\HALLMARK\EMREMIND.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
Fixen:
O4 - HKLM\..\Run: [scvhost] scvhost.exe
O4 - HKLM\..\RunServices: [scvhost] scvhost.exe
Und jenachdem was beim prüfen rauskam auch die zu den Dateien gehörenden Einträge ab O4 fixen + die dazugehörigen Datein nach dem fixen(eventuell erst nach neustart)
Dann nochmal ein Log machen.
Und unbedingt Windows-Update ausführen, deine Versionen sind veraltet kein XP-Sp1 und kein IE6-SP1 vorhanden.
Gruß
Prüfen:
http://www.computerhilfen.de/hilfen-17-30578-0.html
Fixen:
machste in Hijackthis, vor die Einträge ein Häkchen machen und ->Fix checked
Und Windows-Update ausführen nicht vergessen, sonst bringt das alles nix weilst dir gleich wieder was einfängst
Gruß
« Immer wieder:Server nicht gefunden und Die Seite kann nicht angezeigt werden | Hijacked? » | ||