Wieviel svchost.exe ist genug??

Dieses Thema im Forum "Sicherheit" wurde erstellt von Mufty, 30. August 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Mufty

    Mufty Byte

    Registriert seit:
    28. Juli 2004
    Beiträge:
    20
    Hallo,
    hätte folgendes Problem: Nachdem ich meinen PC formatierte und
    und nur Windows installiert hatte-liefen in meinen Taskmanager 4svchost.exen!!!!!
    Mittlerweile sind es schon 5 svchost.exen!!

    svchost.exe Lokaler Dienst 4.112 k
    svchost.exe Netzwerkdienst 3.128 k
    svchost.exe System 18.464 k
    svchost.exe Netwerkdienst 2.800 k
    svchost.exe System 3.020 k

    Wenn ich Eine der svchost.exe -im Taskmanager als Prozess beeenden will
    findet ein automatischer shutdown des Betriebssystems innerhalb 1 Minute statt.

    Fragen:1. Is das OK mit dem Shutdown
    2.Wieviel Svchost.exen laufen auf einem neu aufgesetzten Sytem???
    3.Wieviel svchost.exen dürften laufen???

    Danke
     
  2. ossilotta

    ossilotta Ehren-Moderator

    Registriert seit:
    1. Juli 2001
    Beiträge:
    8.646
  3. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hallo Mufty

    Erstelle bitte mal mit HijackThis nach der folgenden Anleitung eine Log-Datei und poste deren Inhalt hier:

    http://hjt.klaffke.de/

    Gruß
    Nevok
     
  4. ossilotta

    ossilotta Ehren-Moderator

    Registriert seit:
    1. Juli 2001
    Beiträge:
    8.646
    Hi Nevok,

    warum sollte er dies tun ? Es ist doch bekannt, wöfür die svchost.exe benötigt werden. Und wenn er eine deaktiviert ist es doch auch nicht verwunderlich, wenn der PC einen shutdown macht.
    Ich selber habe auch fünf deren an der zahl, dafür würde ich aber nicht meinen PC offenlegen und hier eine Log Datei posten.
    WinXP benötigt diese.

    mfg Ossilotta
     
  5. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    @ Ossilotta

    Warum er dies tun sollte? Weil ich anhand der Log-Datei feststellen möchte, ob alle Prozesse der svchost.exe aus dem Windows\System32-Verzeichnis gestartet werden. Sollte nämlich eine svchost.exe dabei sein, die aus dem Windows-Verzeichnis gestartet wird, dann handelt es sich hierbei höchstwahrscheinlich um einen Trojaner.

    @ WWimmer

    Es interessiert mich überhaupt nicht, welche Programme andere auf ihren Rechnern einsetzen. Jeder muß selbst wissen, welche Programme er benutzt. Da mache ich auch niemandem Vorschriften (was mir auch gar nicht zusteht).

    Gruß
    Nevok
     
  6. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Wie ich vorgehe, daß überlaß bitte mir, ich mache dir in der Sache ja auch keine Vorschriften.

    Glaub doch, was du willst...
     
  7. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Schneide dir mal folgendes Script aus und speichere es als tasks.cmd


    ---------------------------------

    net start > c:\xy.txt
    tasklist >> c:\xy.txt
    tasklist /svc >> c:\xy.txt

    ---------------------------------

    Anschließend postest du die xy.txt und wir werden sehen, was mit deinen svchost-Prozessen ist.Wenn du nicht mit XP Pro, sondern mit der XP-Home Edition arbeitest, solltest du dir die tasklist.exe noch besorgen und in den system32-Ordner kopieren.

     
  8. Mufty

    Mufty Byte

    Registriert seit:
    28. Juli 2004
    Beiträge:
    20
    Hallo,
    bedanke mich für rege Anteilnahme.Es ist immer wieder interressant mit anzusehen
    wie in Foren -jeglicher Art- sich Platzhirsche und Profilneurotiker auslassen- GEGEN "HELFENDEN".Nevok du hattest Recht mit deiner Vermutung. Eine der 5 svchost.exen
    war infiziert.Ich habe die Schlurre abermals KOMPLETT- unter zu Hilfenahme eines
    Wissenden-platt gemacht.Vorerst ist Ruhe!!!
    Zu Franzkat: Hört sich interessant an-nur leider kann ich dem nicht folgen!!??
    Könntest DU es vieleicht nocheinmal-für Anfänger-einfacher erklären???
    DANK an allen HELFENDEN
     
  9. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Na, da sag nochmal einer, daß der Frosch keine Haare hat. :D
     
  10. sqratchy

    sqratchy Byte

    Registriert seit:
    2. September 2004
    Beiträge:
    33
    Die svchost.exe ist ein Netzwerkdienst, der je nach installierten Protokollen unterschiedlich oft auftaucht...hab schonmal gehört das jemand 6 davon im Hintergrund Rumtanzen hatte...Was wirklich schlimm ist,und da muss man unterscheiden,ist die svhost.exe

    Wiiiieeee oft habe ich damals in Foren gepostet "Hey Leute,hier ist so ne komische svhost" und immer die selbe dumme antwort "aaachwaaas,die svChost ist ganz normal" :aua: :aua: :aua:
    Les nochmal genauer nach, vielleicht meinst du ja auch svhost,des issn übler backdoor wurm
     
  11. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Gallo mufty !

    Wenn ich innerhalb der gestrichelten Linien die Befehlszeilen markiere und mit der rechten Taste auf 'Kopieren' gehe, dann kann ich diese Befehlszeilen in eine leere Textdatei kopieren und als task.cmd abspeichern. Wenn ich dann auf die task.cmd doppelklicke, wird mir eine Art Log-Datei über alle auf meinem Rechner laufenden Prozesse erstellt. Besonders interessant ist dabei, dass auch der Container-Prozess svchost in seine Teilprozesse aufgelöst wird und sichtbar wird, welche Prozesse hier wirklich ausgeführt werden. Insofern könnte man auch bei deinem Problem schon ein brauchbares Ergebnis haben, wenn man nur den Befehl :

    tasklist /svc

    eingibt. Bei mir würde das z.B. zu folgendem Ergebnis führen :


    Wenn ich nur die svchost-Prozesse herausnehme :

    .......
    svchost.exe 916 RpcSs
    svchost.exe 1008 AudioSrv, Browser, CryptSvc, Dhcp, dmserver,
    EventSystem, FastUserSwitchingCompatibility,
    helpsvc, lanmanserver, lanmanworkstation,
    Netman, Nla, RasMan, Schedule, seclogon,
    SENS, ShellHWDetection, TapiSrv,
    TermService, Themes, TrkWks, uploadmgr,
    winmgmt, WmdmPmSp, WZCSVC
    svchost.exe 1092 Dnscache
    svchost.exe 1112 Alerter, LmHosts, RemoteRegistry, SSDPSRV
    spoolsv.exe 1352 Spooler

    .......................................................

    Ich kann jetzt auch aufgrund der Prozess-Identifikationsnummer (PID) exakt feststellen, welche eigentlichen Prozesse in einem bestimmten svchost-Prozess laufen.








     
  12. Mufty

    Mufty Byte

    Registriert seit:
    28. Juli 2004
    Beiträge:
    20
    Hallo,
    eine svhost.exe war es nicht,-aber gut zu wissen WAS ES da NOCH so ALLES gibt!
    Frankat zu deiner guten Beschreibung habe ich nur eine Verständnisfrage:
    Wenn ich deinen Text in kopiere - habe ich danach nur die Option, des Einfügens, in eine Textdatei.Wie kann ich es aber als task.cmd abspeichern?
    Den Befehl: tasklist / svc habe in Ausführen eingegeben.Es ERSCHEINT ein MS-Dos
    Fenster das unter mysteriösen Umständen gleich wieder verschwindet.
    Meintest Du das damit?-den Befehl: tasklist / svc einzugeben?
    Bin halt Laie................Mufty
     
  13. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Nachdem du den Text in die Textdatei eingefügt hast, speicherst du sie nicht als Textdatei ab, sondern alws xyz.cmd.






    Gib den Befehl so ein :

    cmd /k tasklist /svc

    dann wird die Eingabe-Konsole korrekt benutzt.
     
  14. Mufty

    Mufty Byte

    Registriert seit:
    28. Juli 2004
    Beiträge:
    20
    Alles Klar!!!!!
    War dann doch leichter als erwartet:Hier dann das Egebnis:

    Abbildname PID Dienste
    ========================= ===== =============================================
    System Idle Process 0 Nicht verfügbar
    System 4 Nicht verfügbar
    smss.exe 436 Nicht verfügbar
    csrss.exe 500 Nicht verfügbar
    winlogon.exe 524 Nicht verfügbar
    services.exe 568 Eventlog, PlugPlay
    lsass.exe 580 ProtectedStorage
    svchost.exe 744 DcomLaunch, TermService
    svchost.exe 804 RpcSs
    svchost.exe 836 AudioSrv, CryptSvc, Dhcp, dmserver,
    EventSystem, FastUserSwitchingCompatibility,
    lanmanserver, lanmanworkstation, Netman,
    Nla, RasMan, SENS, ShellHWDetection,
    srservice, TapiSrv, Themes, winmgmt, WZCSVC
    spoolsv.exe 1136 Spooler
    explorer.exe 1172 Nicht verfügbar
    svchost.exe 1256 WebClient
    Pavfires.exe 1308 PAVFIRES
    apvxdwin.exe 1452 Nicht verfügbar
    ctfmon.exe 1512 Nicht verfügbar
    sgmain.exe 1524 Nicht verfügbar
    PavPrSrv.exe 1536 PavPrSrv
    PAVSRV51.EXE 1548 PAVSRV
    AVENGINE.EXE 1612 Nicht verfügbar
    SrvLoad.exe 1628 Nicht verfügbar
    sgbhp.exe 1784 Nicht verfügbar
    WebProxy.exe 452 Nicht verfügbar
    Ad-watch.exe 964 Nicht verfügbar
    firefox.exe 1372 Nicht verfügbar
    wmiprvse.exe 752 Nicht verfügbar
    cmd.exe 1980 Nicht verfügbar
    tasklist.exe 1352 Nicht verfügbar

    Denke es ist Clean und DAS sollte es vorerst auch bleiben.......
    Besten Dank für die-wenn doch einfache-trotzalledem langwierige Unterweisung.
    javascript:AddSmilie(';)')



     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen