svchost.exe defekt

Dieses Thema im Forum "Sicherheit" wurde erstellt von earth, 4. März 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. earth

    earth Megabyte

    Registriert seit:
    30. Juni 2000
    Beiträge:
    1.391
    Mein Problem ist die Datei svchost.exe im system32 Ordner des WinNT Verzeichnisses die Datei ist beschädigt und lauft nicht mehr(wird nicht geladen) also laufen alle Dienste die damit was zu tun haben nicht mehr, Exchange......... . Virenprogramm hab ich schon durch, McAffee, Symantec und den Stinger von Mcaffee in der neuen Version, er hatte einen IRC-onwe gefunden, wahrscheinlich ein Trojaner, der wurde entfernt, seitdem bzw. auch davor macht die Datei Probleme.
    Achso mit sfc hab ich es auch schon versucht die Systemdateien wiederherzustellen. Habt ihr noch Ideen wie ich das wieder restauriert bekomme?


    übrigens es handelt sich um einen Win2000 Server ;)
     
  2. trudenbiker

    trudenbiker Kbyte

    Registriert seit:
    14. Oktober 2003
    Beiträge:
    291
    Die svchost dürfte nicht defekt sein, denn sie lässt sich nicht ändern. Geändert haben sich mit Sicherheit die Einstellungen in der registry:

    Stelle den Ursprung (schau in dein zweites System) wieder her:

    Die Datei SVCHOST.EXE ist ein generischer Prozessname für Dienstgruppierungen, unter der unterschiedliche DLLs laufen.

    Beim Starten von Windows wird unter "HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Svchost" geprüft, welche Dienste zu einer Dienstgruppierung zusammengefasst werden sollen. Hier findest du unterschiedliche Schlüsselnamen als Datentyp REG_EXPAND_SZ, in dem alle zu dieser Gruppe gehörenden Dienste mit ihren "Dienstnamen" aufgelistet sind.

    Der benötigte Aufruf des jeweiligen Dienstes für die SVCHOST.EXE steht unter "HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ <Dienstname>\ Parameters". Hier wird der Pfad und Dateiname unter dem Wert "ServiceDll" als Datentyp REG_EXPAND_SZ für den Dienst angegeben.

    Die Anzahl der Einträge unter dem Registryschlüssel "Svchost" sind unterschiedlich je nachdem, welche zusätzlichen Programme noch installiert wurden. Du musst also nur die für die unterschiedlichen Dienst erforderlichen Einträge ergänzen und die anderen Schwei..... deleten.
     
  3. Gast

    Gast Guest

    Nein. Und da du auch nicht explizit das Gegenteil schriebst, gehe ich, wie sich das gehört, vom denkbar Schlimmsten aus, weil ich aus ERfahrung weiß, dass dies sicherer ist, als das Beste zu hoffen.
    Ich kann nirgends entdecken, dass dieses "clean" irgendwie verifiziert wurde. Also ist er in meinen Augen nicht clean.
    Wie es klingt, wenn ich nicht auf dem Teppich bleibe, (interessanter Rat von jemandem, der hier Hilfe sucht) willst du gar nicht wissen.
     
  4. earth

    earth Megabyte

    Registriert seit:
    30. Juni 2000
    Beiträge:
    1.391
    Habe ich irgendwo gesagt das der Server wieder ans Netz kommt *grübel* ich habe nur gesagt das ich nicht hirnlos alles platt mache und mir die ganze Sache in einer isolierten Umgebung angucke und versuche was zu retten :D und eine Virenschleuder ist der Server auch nicht, wie schon erwähnt ist der Server jetzt soweit clean, deshalb gibt es ja das Problem :( also bleib mal aufn Teppich ja :cool:
     
  5. Gast

    Gast Guest

    Ja, weg ist weg.
    Lieber mal mit nicht mehr vertrauenswürdigen Daten arbeiten oder einen unsicheren Server betreiben. Hachja...die eine potenzielle Wurmschleuder mehr macht den Kohl auch nicht mehr fett...
     
  6. earth

    earth Megabyte

    Registriert seit:
    30. Juni 2000
    Beiträge:
    1.391

    so schnell wird nichts platt gemacht :D denn weg ist weg
     
  7. earth

    earth Megabyte

    Registriert seit:
    30. Juni 2000
    Beiträge:
    1.391

    genau das trifft es ungefähr ;) Problem bei deiner Lösung ich kann das nicht täglich überwachen :( aber erstmal sehen am Montag was wird ;) und bei den Daten geht es im die Exchange Datenbanken :( das Teil ist sowas von empfindlich :rolleyes: habe sogar schon mal versucht einer Testinstallation die alten Datenbanken unterzuschieben, was sonst funzt geht komischerweise nicht(vielleicht haben die echt eine Knacks weg)
     
  8. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Ich glaub er hat auf nem zweiten PC Win2000 neu installiert, will aber noch die Daten vom alten (kaputten) Win2000 übernehmen und dazu braucht er die svchost.exe.

    Was lernen wir daraus: einmal sichern pro Woche reicht nicht.
    Wie heißts doch so schön: "Nicht gesicherte Daten sind verlorene Daten". Ich hoff dass er diesmal noch an seine Daten drankommt und ab sofort täglich sichert.
     
  9. Gast

    Gast Guest

    Räusper...
    Von wie vielen Rechnern reden wir hier eigentlich?
    Der Rechner, auf dem die Malware gefunden und das Problem aufgetreten ist, ist neuaufzusetzen.
    Oder trat das Problem mit besagter (eigentlich) Systemdatei erst NACH dem kompletten Neuaufsetzen auf?

    Anm.:
    Neuaufsetzen beinhaltet komplettes PLATTMACHEN, nur, dass wir uns da nicht falsch verstehen.
     
  10. earth

    earth Megabyte

    Registriert seit:
    30. Juni 2000
    Beiträge:
    1.391
    neu aufgesetzt ist das ganze ja schon auf einem anderen Server, nur laufen müßte Exchange noch mal um den letzten Stand raus zu kriegen(gesichert wird nur jedes Wochenende) das mit der Rep hab ich total verpennt, mal probieren.
     
  11. Gast

    Gast Guest

    Herumdoktern (das Wortspiel musste jetzt sein) an einem nachweislich kompromittierten System ist fahrlässig.
    Neuaufsetzen ist der einzig verlässliche Weg, um wieder zu einem vertrauenswürdigen System zu kommen, ganz besonders, wenn es ein Server ist.
     
  12. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Kannst du dir die Datei von einem anderen PC mit dem gleichen OS rüberholen?
    Wenn nicht, versuch mal die Datei von der Installations-CD zu kopieren.
    Oder du könntest von CD booten und die Option "Vorhandene Installation reparieren" (oder so ähnlich) wählen.
     
  13. Gast

    Gast Guest

    Du meinst, außer Neuaufsetzen des offensichtlich kompromittierten Systems? .... Hm...grübel...Nö.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen