Diensteidentifikation hinter "Generic Host Process" ??

29.05.2006, 14:58

blandi

...neu hier

Beiträge: 2

#1 Hallo,

am Wochenende wurde mein Rechner mit einem Rootkit kompromitiert. Soweit hab ich auch alles wieder sauber..

.. nur noch ein Prozess (ein Service hinter dem Generic Host Process will dauernd nachhause "telefonieren". Das wird von der Firewall gelockt, aber wie finde ich raus, welcher der svchost-Prozesse der schuldige ist?

Hier ist Windows wirklich untransparent. Was kann man tun um rauszufinden, welcher Service eine Verbindung aufbaut ?

Danke schon jetzt
Blandi

29.05.2006, 16:31

raman

Moderator

Beiträge: 7805

#2 Das wird eine dll sein, die ieber die svchost.exe ins internet will. Du kannst tcpview dazu nehmen http://www.sysinternals.com/Utilities/TcpView.html , um zu sehen, wohin sie will, bzw die svchost ausfindig machen, die ins internet will. Dann noch Hijackthis misc tools section processmanager view dll.

Am besten waere aber, wenn du folgendees machen wuerdest: http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter

29.05.2006, 16:45

Sabina

Ehrenmitglied

Beiträge: 29434

#3 das ist bestimmt das hier:
http://virus-protect.org/artikel/dienste/wsock32sys.html

Zitat

O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe

du solltest das Log vom HijackThis posten.
__________
MfG Sabina

rund um die PC-Sicherheit

29.05.2006, 18:04

blandi

...neu hier

Themenstarter

Beiträge: 2

#4 Hijackthis hatte ich schon ausprobiert, das fand nichts verdächtiges. Jetzt habe ich einfach mal so viele Services ausgeschaltet wie geht und jetzt ist scheinbar Ruhe. Ich beobachte jetzt noch gelegentlich den Verkehr an einem externen Router. Beizeiten werde ich mal eine Neuinstallation machen... sicher ist sicher. Vielen Dank für eure Hilfe!

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1