plötzlich svhost.exe und winword.exe im task

ein_stein2000

Addicted

Registered: Jul 2001
Location: daham
Posts: 563

04.01.2004 - 11:42

hi

also i hab no net ganz rausgefunden wann, aber irgendwie bekomm ich immer eine svhost.exe (NICHT svchost.exe) und winword.exe in den task ... komisch ist auch, dass das icon von wmp in der schnellstartleiste verschwindet ... also so ah weißes icon kommt (wie ah verknüfpung zur cmd.exe)

war da netmal was mit an virus/backdoor oda so? hab scho oc.at gesucht oba nix gefunden ...

hab auch schon norton und adaware drüber laufen lassen jeweils 2x -> nix gefunden ...

ist ah windows2000-kiste mit sp3, allen ms-patches sowie office2003 oben ...

jemand tipps oda ideen?

ein_stein2000

Addicted

Registered: Jul 2001
Location: daham
Posts: 563

04.01.2004 - 11:46

is grad aufgefallen .. wenn ich den wmp starte geht er in task, schließt sich und svhost.exe nimmt ganze CPU (98%) ... winword.exe hat er diesmal net gestartet .... laut netstat rennt aber nix abnormales ab

zur info: bin hinta linxu-fw ... also rein/rauskommen sollte nix ...

condor

out of my way

Registered: Mar 2003
Location: Hamburg
Posts: 1967

04.01.2004 - 11:58

hmm, offensichtlich der "FIREDAEMON" Worm:

http://www.trendmicro.com/vinfo/vir...e=WORM_AGOBOT.F

http://www.linkbyte.com/ubb/Forum6/HTML/000008.html

kannst ja mal schauen ob die svhost.exe bei dir unter Run eingetragen ist...

ein_stein2000

Addicted

Registered: Jul 2001
Location: daham
Posts: 563

04.01.2004 - 12:24

jo danke dir! komisch dass der norton den dreck net gefunden hat ....

jetzt hab i eam aus dem autorun aus der registry entfernt ... komisch war auch, dass i keine svhost.exe gefunden hab, obwohl ich 3 mal am pc gesucht hab! erst nachdem ich die registry-einträge gelöscht und rebootet hab, hat er die svhost.exe gefunden ... hoffe es geht jetzt alles

ein_stein2000

Addicted

Registered: Jul 2001
Location: daham
Posts: 563

04.01.2004 - 12:29

wegen nicht-erkennen vom norton .. supa:

Legitimate programs and harmless data files that Symantec antivirus products do not detect:
drvrquery32.exe Serv-U FTP server
CYGWIN1.dll legitimate dll
CommonDlg32.dll legitimate dll
Firedaemon.exe used to set up services
HideRun.exe used to hide processes
clearlogs.exe used to clear system logs
psexec.exe used to remotely start processes
random.exe random number generator
NT-pass.dic data file used by ntscan.exe
NT-user.dic data file used by ntscan.exe
rep.EXE used to edit the output of ntscan.exe
rep.bat used to edit the output of ntscan.exe
replace.txt used to edit the output of ntscan.exe
proreset.txt configuration file for the backdoor
protmp.txt configuration file for the backdoor
pro.gif configuration file for the backdoor
sys.txt text file
wm.txt text file
service.exe used to manage services
svhost.exe iroffer IRC fileserver

das freut mich aber .... *argl*

condor

out of my way

Registered: Mar 2003
Location: Hamburg
Posts: 1967

04.01.2004 - 12:31

Hehe...tja, da kann Nav auch nichts für. :-)

ein_stein2000

Addicted

Registered: Jul 2001
Location: daham
Posts: 563

04.01.2004 - 12:41

jo egal ... war nur froh, dass i mich an diesen beitrag mit dem svhost erinnert hab, sonst hätte i net gewusst was/wer das ist

ein_stein2000 Addicted Registered: Jul 2001 Location: daham Posts: 563	04.01.2004 - 11:42 hi also i hab no net ganz rausgefunden wann, aber irgendwie bekomm ich immer eine svhost.exe (NICHT svchost.exe) und winword.exe in den task ... komisch ist auch, dass das icon von wmp in der schnellstartleiste verschwindet ... also so ah weißes icon kommt (wie ah verknüfpung zur cmd.exe) war da netmal was mit an virus/backdoor oda so? hab scho oc.at gesucht oba nix gefunden ... hab auch schon norton und adaware drüber laufen lassen jeweils 2x -> nix gefunden ... ist ah windows2000-kiste mit sp3, allen ms-patches sowie office2003 oben ... jemand tipps oda ideen?
ein_stein2000 Addicted Registered: Jul 2001 Location: daham Posts: 563	04.01.2004 - 11:46 is grad aufgefallen .. wenn ich den wmp starte geht er in task, schließt sich und svhost.exe nimmt ganze CPU (98%) ... winword.exe hat er diesmal net gestartet .... laut netstat rennt aber nix abnormales ab zur info: bin hinta linxu-fw ... also rein/rauskommen sollte nix ...
condor out of my way Registered: Mar 2003 Location: Hamburg Posts: 1967	04.01.2004 - 11:58 hmm, offensichtlich der "FIREDAEMON" Worm: http://www.trendmicro.com/vinfo/vir...e=WORM_AGOBOT.F http://www.linkbyte.com/ubb/Forum6/HTML/000008.html kannst ja mal schauen ob die svhost.exe bei dir unter Run eingetragen ist...
ein_stein2000 Addicted Registered: Jul 2001 Location: daham Posts: 563	04.01.2004 - 12:24 jo danke dir! komisch dass der norton den dreck net gefunden hat .... jetzt hab i eam aus dem autorun aus der registry entfernt ... komisch war auch, dass i keine svhost.exe gefunden hab, obwohl ich 3 mal am pc gesucht hab! erst nachdem ich die registry-einträge gelöscht und rebootet hab, hat er die svhost.exe gefunden ... hoffe es geht jetzt alles
ein_stein2000 Addicted Registered: Jul 2001 Location: daham Posts: 563	04.01.2004 - 12:29 wegen nicht-erkennen vom norton .. supa: Legitimate programs and harmless data files that Symantec antivirus products do not detect: drvrquery32.exe Serv-U FTP server CYGWIN1.dll legitimate dll CommonDlg32.dll legitimate dll Firedaemon.exe used to set up services HideRun.exe used to hide processes clearlogs.exe used to clear system logs psexec.exe used to remotely start processes random.exe random number generator NT-pass.dic data file used by ntscan.exe NT-user.dic data file used by ntscan.exe rep.EXE used to edit the output of ntscan.exe rep.bat used to edit the output of ntscan.exe replace.txt used to edit the output of ntscan.exe proreset.txt configuration file for the backdoor protmp.txt configuration file for the backdoor pro.gif configuration file for the backdoor sys.txt text file wm.txt text file service.exe used to manage services svhost.exe iroffer IRC fileserver das freut mich aber .... argl
condor out of my way Registered: Mar 2003 Location: Hamburg Posts: 1967	04.01.2004 - 12:31 Hehe...tja, da kann Nav auch nichts für. :-)
ein_stein2000 Addicted Registered: Jul 2001 Location: daham Posts: 563	04.01.2004 - 12:41 jo egal ... war nur froh, dass i mich an diesen beitrag mit dem svhost erinnert hab, sonst hätte i net gewusst was/wer das ist

plötzlich svhost.exe und winword.exe im task

Forum Index > Software > Applications, Apps & Drivers

ein_stein2000

ein_stein2000

condor

ein_stein2000

ein_stein2000

condor

ein_stein2000