schaba
Goto Top

5 mal svchost.exe prozess im taskmanager

anstatt 4 wie vorher

Hi leute

ich habe mein system gerade neu formatiert und als ich dann ins internet wollte um ein update zu machen, hat mein av mcafee wie wild alarm geschlagen. es wurde ein sdbot oder so gefunden und gelöscht. da ich dem frieden nicht so getraut hatte, hab ich mir noch gdata av raufgemacht. der hat dann wieder einen wurm gefunden und eliminiert. antivir hab ich auch noch drüber scannen lassen. dann hab ich mein system nochmal formatiert, weil das alles ein schlechter anfang war. doch wieder das gleiche gekommen. also immer wenn ich ein windows update machen wollte hat der av immer alarm geschlagen. ich hab mein system 5mal formatiert und beim 5mal hat der update ohne zwischenfälle geklappt. aber seid dem hab ich 5 svchost.exe prozesse im taskmanager. davor hatte ich nur 4. und wenn ich einen beende, der immer mit 20.000k speicher ausgelastet ist, kann ich meine dfü verbindung nicht mehr trennen und das internet geht dann auch nicht mehr. und bei einer svchost.exe, wenn ich sie beende, kommt dann der RPC, was aber glaube ich normal ist. warum hab ich also auf einmal 5 svchost.exe obwohl ich woher nur 4 hatte???? und davor konnte ich glaube ich alle svchost prozesse beenden ohne das irgendwie der RPC kommt oder das mein inet nicht mehr geht... ich weiss auch nicht mehr was ich machen soll. hab mich schon überall durchgegoogelt...

Ich hoffe ihr könnt mir weiter helfen!

danke

mfg
schaba

Content-Key: 4104

Url: https://administrator.de/contentid/4104

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: Kessl
Kessl 19.11.2004 um 10:57:42 Uhr
Goto Top
Werden die svchost.exe Dateien alle genau gleich geschrieben?

Hier mal ein Link mit einer Erklärung was diese Datei macht:
http://support.microsoft.com/default.aspx?scid=kb;DE;314056

Ich habe auch 5 Stück scheint also okay zu sein!

Bevor du ins Internet gehst solltest du eine Firewall aktivieren!


CYA Kessl

www.nutty-nerd.de
Mitglied: Mitchell
Mitchell 19.11.2004 um 11:05:13 Uhr
Goto Top
ich habe auch 5, ich weiss nur nicht, warum überhaupt face-smile

Mitchell
Mitglied: LuBo
LuBo 19.11.2004 um 11:07:48 Uhr
Goto Top
ich hab 6
face-smile
Mitglied: Schaba
Schaba 19.11.2004 um 11:48:30 Uhr
Goto Top
Also ist das normal, wenn ich die eine svchost beende, dass dann mein internet nicht mehr geht und ich die dfü verbindung nicht mehr trennen kann??? oder wenn ich die eine svchost beende das dann der RPC kommt und sagt das mein pc in einer min runtergefahren wird?
Mitglied: LuBo
LuBo 19.11.2004 um 12:38:22 Uhr
Goto Top
mein pc in einer min runtergefahren wird?

war das nicht eine eigenart des Sasser Virus?

versuchs doch mal mit http://vil.nai.com/vil/stinger
Mitglied: Kessl
Kessl 19.11.2004 um 12:43:02 Uhr
Goto Top
Hört sich wirklich nach Sasser an, der müsste es aber ohne dein zutun machen.
Benutze wie schon von LuBo vorgeschlagen den Stinger dann kannst dir sicher sein.

Ich rate dir dringen die in XP integrierte Firewall zu aktivieren bevor du ins Internet gehst!


CYA Kessl
Mitglied: 6035
6035 19.11.2004 um 12:52:33 Uhr
Goto Top
um das runterfahren durch Sasser zu verhindern musst du bei Start/ausführen den Befehl Shutdown -a eingeben, dadurch wird das herunterfahren verhindert, dann kannst du ganz normal deine Updates ziehen lad dir noch einen Fix für Sasser runter (gibts bei symantec) starte deinen Rechner neu und lass das Sasser-Tool durchlaufen danach sollte das System wieder ganz normal laufen.
Mitglied: meto
meto 19.11.2004 um 13:26:51 Uhr
Goto Top
Also die svchost.exe hat mehrer Funktionen und startet auch bestimmte Dienste. Einfach mal nachsehn, dann stellst du fest, dass z. B. der Dienst "Automatische Updates", "COM+-Ereignissystem", "Dienst für Seriennummern der tragbaren Medien" usw. von svchost.exe zur Verfügung gestellt wird.
Da kann sich der Rechner schon mal verabschieden oder etwas nicht richtig funktionieren, wenn du einen Prozess beendest.
Ansonsten kann ich dir auch nur raten wenigstens eine Firewall einzusetzen. Allerdings eine von den vielen guten die auch kostenlos im Internet zur Verfügung stehen (z. B. ZoneAlarm). Nur nich die von MS auf die würd ich mich nicht verlassen (ausschalten wenn du ne andere hast!).

Gruß
Meto
Mitglied: Schaba
Schaba 19.11.2004 um 13:43:00 Uhr
Goto Top
also ich hab natürlich zu erst av und firewall installiert bevor ich ins internet gegangen bin. und kaum war ich auf der microsoft seite hat mein firewall, (sygate) auch immer alarm geschlagen...
so ich hab jetzt mal Stinger ausgeführt und der hat auch nichts gefunden. komisch als ich das erste mal formatiert habe, hatte ich nur 4 svchost die ich auch alle im taskmanager beenden konnte ohne das der RPC kommt oder das mein inet nicht mehr geht. also ich denke nicht das ich noch irgendwie infiziert bin(laut gdata, mcafee, antivir, bitdefender onlinescann und stinger). es sei den irgend nen wurm der inaktiv ist oder so???

danke allen!!!

mfg
Mitglied: Schaba
Schaba 19.11.2004 um 14:23:50 Uhr
Goto Top
vieleicht kann ja mal einer von euch versuchen die svchost zu beenden mal gucken was bei euch passiert... ich hab xp-pro mit sp1 und allen updates.
Mitglied: alaska
alaska 19.11.2004 um 15:40:36 Uhr
Goto Top
ich hab den Beitrag von CYA Kessl von unterhalb kopiert;

Die Datei SVCHOST.EXE ist ein generischer Prozessname für Dienstgruppierungen, unter der unterschiedliche DLLs laufen. Beim Starten von Windows wird unter "HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Svchost" geprüft, welche Dienste zu einer Dienstgruppierung zusammengefasst werden sollen. Hier finden Sie unterschiedliche Schlüsselnamen als Datentyp REG_EXPAND_SZ, in dem alle zu dieser Gruppe gehörenden Dienste mit ihren "Dienstnamen" aufgelistet sind.

Den benötigten Aufruf des jeweiligen Dienstes für die SVCHOST.EXE finden Sie unter "HKEY_LOCAL_MACHINE System CurrentControlSet Services Parameters". Hier wird der Pfad und Dateiname unter dem Wert "ServiceDll" als Datentyp REG_EXPAND_SZ für den Dienst angegeben.

Die Anzahl der Einträge unter dem Registryschlüssel "Svchost" sind unterschiedlich -je nachdem, ob es sich um die Server oder Professional Version von Windows 2000 handelt bzw. welche zusätzlichen Programme noch installiert wurden.

Diese Gruppen wurden eingeführt, um die Fehlersuche zu erleichtern.


Quelle:
http://www.winfaq.de/faq_html/tip0505.htm


ein möglichkeitkeit ist natürlich das DFÜ Netzwerk neu zu installieren (falls es kein Virus ist)
bzw. das gesamt Netzwerk neu zu installieren. Es ist schon des öfteren Vorgekommen
dass sich DFÜ, Antivirenprogramme oder Firewall sich ins gehedder gekommen sind,
mir ist meist nix anders erspart geblieben als das Netzwerk neu zu machen, is aber noch
immer geringerer Schaden als wenns ein Virus ist.
Mitglied: LuBo
LuBo 19.11.2004 um 16:06:48 Uhr
Goto Top
irgendwas bringt dein system ja dann irgendwie zum herunterfahren.

um herauszufinden, was das sein könnte, kannst du auch mal den "security task manager" downloaden (shareware)(am besten im google danach suchen...)
mit diesem werden alle laufenden prozesse angezeigt und du kannst per Knopfdruck ("google-suche" heisst der)
auf der Hersteller Homepage die ratings von anderen Usern pro Task anschauen, und bei gefahr den Task in Quarantäne stecken.

Vielleicht findest du etwas....
Mitglied: Schaba
Schaba 19.11.2004 um 16:34:55 Uhr
Goto Top
Ich weiss nicht ob ihr damit was anfangen könnt aber ich poste hier mal rein was ich in der regisrty habe unter: HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Svchost

imgsvc: StiSvc

LocalService:
Alerter
WebClient
LmHosts
RemoteRegistry
upnphost
SSDPSRV

netsvcs:
6to4
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
ERSvc
EventSystem
FastUserSwitchingCompatibility
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Messenger
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
Schedule
Seclogon
SENS
Sharedaccess
SRService
Tapisrv
Themes
TrkWks
W32Time
WZCSVC
Wmi
WmdmPmSp
winmgmt
TermService
wuauserv
BITS
ShellHWDetection
helpsvc
uploadmgr

NetworkService: DnsCache

rpcss: RpcSs

termsvcs: TermService
Mitglied: Schaba
Schaba 19.11.2004 um 17:03:36 Uhr
Goto Top
also ich hab jetzt auch mit Taskmanager eine svchost in qarantäne verschoben. da stand als information das die über verschiedene ports informationen nach aussen sendet, was bei keiner anderen svchost stand! mal sehen ob alles einwandfrei laufen wird...

danke !

mfg
Schaba
Mitglied: Schaba
Schaba 20.11.2004 um 07:55:20 Uhr
Goto Top
also das problem "wenn es denn eins ist" liegt immer noch vor. hat nichts mit security task manager geholfen, den prozess in die qarantäne zu verschieben. weil der nach einem neustart wieder kommt. für weitere hilfe währe ich sehr dankbar...

mfg
Schaba

ps: vieleicht könnt ihr bei euch ja mal die prozesse beenden um zu sehen was bei euch passiert.

danke!
Mitglied: meto
meto 21.11.2004 um 12:38:51 Uhr
Goto Top
Versuch doch mal bei bestehender verbindung mit dem Befehl netstat -a in einem cmd-Fenster. Dann siehst du erst mal alle bestehenden Verbindungen vieleicht gibts da ja auch was verdächtiges. So wie du die Sache hier schilders glaub ich jedoch nicht, dass du dir was eingefangen hast. Aber sicher ist sicher.

Gruß Ronny
Mitglied: alaska
alaska 21.11.2004 um 16:39:49 Uhr
Goto Top
ich habs offensichtlich beim ersten Mal auch nicht verstanden:

Also noch mal die svchost.exe hat mit deinen Diensten zu tun, mit dessen dlls usw.
Wenn du einen svchost eintrag im Taskmanager beendest, wirst du auch diese Dienste
die es betrifft beenden, so auch u. u. das DFÜ. Mehrere svchost einträge sind normal.
Und das XP viel SPeicher frisst das wissen wir. Würde mich nicht allzu viel spielen,
xp mag vielleicht stabiler sein als die anderen Windows-Systeme, aber bei jedem
Brutalen abdrehen von Diensten steigt die Chance dass dabei was schiefgeht. (Denke
dabei an MS nicht gerade gute dll-Verwaltung).

Solange du keine anderen Wirkungen beim Arbeiten hast, würde ich auch nicht
unbedingt von einem Virus ausgehen.
Mitglied: 2795
2795 22.11.2004 um 09:41:33 Uhr
Goto Top
Hi,

ich stimme Alaska zu. Die Reaktionen deiner Firewall sind ganz normal.
Zum einen versuchen ein paar Dienste von Windows mittels der svchost.exe aufs
Internet zu zugreifen, ob es nun um Updats oder verbindungen zu Web-Laufwerken
sind. Zum anderen wird, wenn du Windows über die Microsoft-Seite updaten willst
übers Internet ebenfalls mit Hilfe der svchost.exe auf diverse Dienste zurück gegriffen.
Fakt ist das die Anzahl schwanken kann zwischen 4 und 7.
Falls es zu unregelmäßigkeiten kommt, so kann es sich um einen Dienst, einen Worm
oder - was ich oft beobachten konnte - den Messenger handeln.
Sobald der Messenger bei mir im Hintergrund läuft fängt meine Kiste zu lahmen an.
Immer!

Unterm Strich ist das nichts worüber man sich Sorgen machen muss. Oder?


Kerl
Mitglied: alex1604
alex1604 20.01.2005 um 12:13:09 Uhr
Goto Top
Hi@all
ja 5 oder 6 mal der prozess ist okay face-smile
und wenn du den prozess beendest ist es auch normal das dein pc nach einer minuten runter fährt
das kannst du jedoch stoppen indem du in die cmd gehst und dort den befehl shutdown -a
dannach dürfte dein pc den countdown abbrechen
musst du jedoch jedes mal wieder machen sobald der pc dann neu gestartet wirt
aber kannst auch einfach die prozesse laufen lassen
sollange die keine hohe CPU auslastung haben ist damit alles okay

Gruß Alexander Oerschkes