SVchostprobleme

Ihr lieben Computerfachmänner in aller Welt,
da ich selbst keine große Leuchte von Windows 2000 bin komme ich mit einem Problem nicht klar. Dieses Problem heißt SVchost. Fast jedesmal wenn ich im, Netz bin nervt es mich in dem es mir mitteilt das SVchpost ein Fehler verursacht hat und das programm neu gestartet werden soll.
Die Auswirkung bei den Browsern ist verschieden, wenn ich bei IExplorer nach der Mitteillung nichts mehr machen kann ist bei Netzcape das Surfen und Chatten noch möglich. Das Trennen von Netz ist dann aber nur noch manuell möglich.
Ein Virus oder Wurmbefall liegt nicht vor (mehrer Scanner ausbrobiert).
Wie kann ich nun mich vor dieser SVCHOST exe. Warnung befreien, bzw. das diese (H)exe. kein Fehler mehr verursacht.

Ich danke für Eure hilfreichen Vorschläge.
Guido Gil

Hallo,
trotz Deiner Beteuerungen, es sei kein Virus/Wurm auf dem System, tippe ich stark auf den W32.Blaster Wurm. Denn genau die gleichen Symptome hatte der Rechner einer Bekannten auch.
Schau mal hier:
http://support.microsoft.com/?kbid=823980
Und hier:
http://securityresponse1.symantec.com/SARC/sarc-intl.nsf/html/de-w32.blaster.worm.html
Und dieses Tool mal das System prüfen lassen:
http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-w32.blaster.worm.removal.tool.html

Hallo zusammen
Ich habe dasselbe Problem mit genau den Eigenschaften wie von Patrick beschrieben.
Ich habe auch die Links ausprobiert, komme da aber mit meinem Wissen was PC anbelangt nicht weiter...
Kann einer mal für Laien erklären was zu tun ist..
Ich habe Norten Antivirus LiveUpdate mal laufen lassen, aber das Problem bestand immer noch
Gruss Miracoulix

@miracoulix

das problem blaster wurm beruht auf einem fehler in der rpc/dcom funktion, die alle windowssysteme betrifft. rpc/dcom braucht man z.b. auch im internet für gewisse dienste, aber nicht den ganzen umfang. es gibt da gewisse ports im system die sind unsicher, d.h sobald der wurm einen der ports entdeckt, schleust er sich in das system ein und startet über das tftp prog ein download seiner daten auf die maschine. dann versucht er, aus deiner maschine heraus neu maschinen zu finden, die genauso undicht sind um sich weiterzuverbreiten, daß spiel geht wahrscheinlich noch ´ne weile so weiter, der wurm hat als lebensende den 31.12.2003 einprogrammiert. also mußt du jetzt als erstes dir mal ein tool besorgen um den blaster zu entfernen, das gibts z.b hier

http://vil.nai.com/vil/stinger/

dort auf download klicken und den stinger.exe anschließend laufen lassen, dann brauchst du noch den patch von ms, der das rpc/decom prob lösen soll, den kriegst du hier

http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm

der nachteil von blaster ist, daß er deine kiste nach genau einer minute herunterfährt, da kommt die meldung, daß ein fehler in der svchost.exe (das ist das teil, daß deine internetverbindung verwaltet) aufgetreten ist. also mußt du schnell sein. mit dsl langts den stinger und die patches innerhalb der zeit zu ziehn. wenn du nur isdn hast wirds schwierig. wenn du dann alle teile hast, stinger laufen lassen, blaster wegräumen, dann die patches aufspielen. das solls dann gewesen sein. um auch in zukunft sicher zu surfen, solltest du eine sogenannte personal firewall installieren, da gibts einige progs im internet, schau mal hier im forum im downloadbereich nach. da gibts sicher was. dann mußt du diese ports die hier bei heise stehn in der firewall sperren.

http://www.heise.de/security/news/meldung/39347

hoffe, das du jetzt ein wenig mehr zum vorgehen weißt und du den wurm bekämpfen kannst.

greetz

hugo

@hp:
Entweder hat miracoulix ein falsches OS in seiner Sig, oder er hat aber ein ganz anderes Problem, denn laut seiner Sig fährt er WinME und der Blaster kümmert sich eigentlich nur um NT Systeme.

miracoulix will ja nur wissen, was zu tun ist, das hab ich ihm beschrieben. und warum soll me nicht auch von dem ganzen rpc schwachsinn, den ms da seit monaten produziert, nicht auch betroffen sein? prinzipiell sind alle os gefährdet die rpc können und die die bekannten ports nicht gesperrt haben, selbst linux und unix kann dann manipuliert werden, beide os haben auch einen tftp usw. usw. falls der gute doch nicht me hat ist ihm mit meinem post geholfen und wenn nicht, hat er vielleicht was gelernt.

greetz

hugo

hp schrieb:

....warum soll me nicht auch von dem ganzen rpc schwachsinn, den ms da seit monaten produziert, nicht auch betroffen sein? prinzipiell sind alle os gefährdet die rpc können....

...selbst linux und unix kann dann manipuliert werden...

Zum Vergrößern anklicken....

Viel schreiben, wenig sagen oder wie ?!?

Betroffen vom Blaster-Wurm sind _ausschliesslich_ NT-basierte Windows-Systeme - da gehört weder ME noch Unix oder Linux dazu.

MS stellt btw den Patch auch nur für NT-basierte Systeme zur Verfügung, weil eben nur die betroffen sind - bei der Suche nach einem Patch für W9x oder ME wird sich ein Jeder die Zähne ausbeissen.....

Nachzulesen hier:
http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm

oder hier:
http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-039.htm

Cheers,
Joshua

@ joshua

mein letzter post bezog sich nicht explizit auf den blaster sondern allgemein auf rcp, und da gibst sehr wohl auch im unix/linux bereich löcher im system, siehe heise security oder bugtraq. da ist einiges auch nicht so sicher, wie man immer meint. und wenn du meinst, ich würde nur viel schreiben ohne hintergrund zu haben, dann tut´s mir leid, ich kann ja mit so ´nem tollen admin wie dir nicht konkurrieren, werde aber mein kleines wissen nach wie vor weitergeben, wenn ich der meinung bin, jemandem helfen zu können.

greetz

hugo

hp schrieb:

...ohne hintergrund zu haben...

Zum Vergrößern anklicken....

Das hab ich weder direkt geschrieben noch indirekt andeuten wollen - werd mich hüten, anderen Leuten Inkompetenz zu unterstellen.

Aber das Unix-Systeme und -Derivate von einer Schwachstelle betroffen sein könnten, die in einer von MS entwickelten Schnittstelle für Windows-Betriebssysteme stecken, ist einfach mehr als abenteuerlich.

100%-ige Sicherheit im Netz gibts mit keinem BS, da stimm ich dir zu - aber wenn MS jetzt schon die Finger im neuesten Linux-Kernel mit drin hat, schmeiss ich meinen Rechner ausm Fenster und stell den C64 wieder hier hin ;-)

Cheers,
Joshua

bitte welche schnittstelle hat ms programmiert? rpc womöglich? auf was beziest du dich jezt, auf svchost.exe oder auf was? bitte lies mal nach, wann bill gates die inetrnet protokolle und dienste eingeführt hat und warum er das machen mußte. rpc gibts auf unix schon einige jahre, da spielte bill gates noch mit seinem netbios und netbeui im sandkasten und freute sich wenn sich 2 windowskisten gegenseitig sehen konnten. und ich möchte hiermit den kleinen krieg beenden, es bring ja nichts, sich gegenseitig was beweisen zu wollen.

greetz

hugo

Sorry.sorry... das mit der Sig ist falsch.
Ich b in seit anfang September in China und hab da nen Laptop bekommen. Die Sig ist noch von meinem Rechner daheim.
Die mus ich noch ändern... tut mir leid, das ich dadurch Verwirrung ausgelöst habe

Miracoulix schrieb:

Sorry.sorry... das mit der Sig ist falsch.
Ich b in seit anfang September in China und hab da nen Laptop bekommen. Die Sig ist noch von meinem Rechner daheim.
Die mus ich noch ändern... tut mir leid, das ich dadurch Verwirrung ausgelöst habe

Zum Vergrößern anklicken....

Aha, dann sieht das ja schon anders aus - mit W2k als BS bist du sehr wohl von der Blaster-Geschichte betroffen.

Folgen diesem Link:
http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-w32.blaster.worm.removal.tool.html

und lies dir das erstmal durch. Dann lädst du dir das entsprechende Tool herunter, um den Blaster-Wurm zu entfernen:
http://securityresponse.symantec.com/avcenter/FixBlast.exe

Nach dem das Tool den Blaster vom Rechner geschmissen hat, unbedingt die Patches von MS installieren, am besten über die Windows-Update-Site und dann auch gleich alle benötigten Patches runterladen.

Cheers,
Joshua

hp schrieb:

bitte welche schnittstelle hat ms programmiert? rpc womöglich? auf was beziest du dich jezt, auf svchost.exe oder auf was? bitte lies mal nach, wann bill gates die inetrnet protokolle und dienste eingeführt hat und warum er das machen mußte. rpc gibts auf unix schon einige jahre, da spielte bill gates noch mit seinem netbios und netbeui im sandkasten und freute sich wenn sich 2 windowskisten gegenseitig sehen konnten. und ich möchte hiermit den kleinen krieg beenden, es bring ja nichts, sich gegenseitig was beweisen zu wollen.

greetz

hugo

Zum Vergrößern anklicken....

Weia - wenn du schon von Kleinkrieg sprichst....

Das RPC im allgemeinen div. Unsicherheiten aufweist, darüber bin ich mir auch im klaren.
Wir reden hier aber über Probleme mit der SVCHOST.EXE - und die gibts nur unter Windows und die Sicherheitslücke, über die wir hier reden, ist nunmal von MS bei der Implementierung von RPC/DCOM in Windows-Betriebssysteme entstanden und somit ist diese Sicherheitslücke auf anderen Betriebssystemen eben nicht vorhanden (dafür vielleicht andere, mag ja sein, aber diese Anfälligkeit gibts eben nur unter bestimmten Windows-BS)..

Deshalb halte ich deine Aussage, das alle BS davon betroffen sein können für falsch und etwas abenteuerlich - ich habe nie behauptet, das es auf anderen BS keine Sicherheitslücken im RPC gibt, aber diese spezielle, über die wir hier reden, gibts eben nunmal unter Windows....

Cheers,
Joshua

Also
ich hab den Stinger runtergeldane, kein Virusbefall

dann kam der Fehler erneut
(ich muss dazusagen, das mein Rechner nicht abstürzt, aber ich kann keine Links mehr im Internetfenster mehr öffnen, und die Internetverbindung lässt sich nicht trennen, genauso wie in dem ersten Beitrag beschrieben, leider hab ich nicht die anderen Browser um zu sehen, was die machen)

Stinger nochmal laufen lassen, kein Virusbefall

Rechner neu gestartet, Fixblast runtergeladen, kein Virusbefall

Nun lad ich gerade das Patch herunter, das dauert mit nem Modem aus China leider etwas...

Kann es noch einen anderen Grund haben für diesen SVCHOST- Fehler, ausser einem Virus?

@Miracoulix:
Schau doch mal in die Ereignis-Anzeige, die Fehlermeldung sollte dort protokolliert sein, samt einer Ereignis-ID. Diese IDs kann man unter www.eventid.net nach Klick auf Search Events einklimpern und erhält meist ne ganze Latte an möglichen Ursachen samt der Lösung.

Cheers,
Joshua

Würde ich gern machen, wo find ich denn diese Ereigniss-Anzeige?

Systemsteuerung => Verwaltung => Computerverwaltung
Im Baum auf der linken Seite unter System => Ereignisanzeige

Cheers,
Joshua