[HaBo]

olmz

Anzeige

Hi,

Immer wenn ich mit dem Taskmanager den Prozess "svchost" beende kommt die Meldung, dass mein PC in einer min. neu gestartet wird. Wieso?

Ich habe herausgefunden, das dieser prozess am port 135 hängt und das man ihn auch übers Netzwerk beenden kann. Wie geht das, und was kann ich dagegen tun?

(Ich glaube, dass es ein win. update gibt um dieses problem zu beheben)

thx im vorraus

Orniflyer

bin mir da nicht sicher aber es kann sein das der Prozess svhost den sasser virus blockiert (welchen du hast)
Am besten du machst folgendes:

Systemsteuerung-->Verwaltung-->Dienste-->Remoteprozeduraufruf (RPC)-->Wiederherstellen-->alle "Computer neu starten" angaben in "nichts tun" ändern

damit sollte dein Problem vielleicht behoben werden. Bin mir aber absolut nicht sicher.

olmz

Ich bin mir sicher, dass das Problem nichts mit sasser zu tun hat. soweit ich weiß ist das ein ganz normaler prozess der nicht beendet werden darf, weil sonst das system neu gestartet werden muss!? ich hab mal in der msconfig nachgeguckt und da ist der Remoteprozeduraufruf (RPC) zusammen mit so einem anderen dienst der einziege der beim systemstart auf jeden fall gestartet werden muss.

das wäre ja eigentlich kein problem weil man den prozess ja einfach laufen lassen kann. ABER wenn ein anderer meinen pc übers internet oder übers netzwerk ausmachen kann (port 135) dann ist das nich egal (is mir schonpassiert)! Mit dem SP wird das problem glaub ich behoben.

Weiß einer wie man diesen Dienst übers Netzwerk beendet?

sheepd

Das tut eigentlich nichts zur Sache, die Sicherheitslücke kannst du stopfen, indem du das Windows Update einmal benutzt.
Falls du vorhast, die Lücke bei anderen Leuten auszunutzen, nun, damit machst du dir nicht viele Freunde. Dabei wird dir dann wohl auch niemand helfen.
Außerdem das hier durchlesen:
http://board.protecus.de/showtopic.php?threadid=5470

olmz

das tut schon was zur sache weil man wenn man weiß wo die sicherheitslücke ist auch was dagegen dagegen tun kann. wenn ich immer nur brav die updates von wind00f instaliere bleib ich bis zum Ende meines lebens dumm! und das will ich nicht!!!

Also, wenn hier jemand noch mehr dazu sagen kann dann fänd ich das schon echt supi!

sheepd

Auch noch leseunwillig?
Schau dir meinen Post nochmal genau an...
Da ist ein Link drin.
Du erweckst grad bei mir genau den Eindruck dieser Personen, die hierherkommen und alles vorgekaut haben möchten.
Und wenn du immer brav die Updates von Microsoft installierst, bleibst du meistens auch ziemlich virenfrei, aber das interessiert so einen wie dich ja nicht, der programmiert sich selbst eine Lösung, um die Sicherheitslücke zu stopfen.

Prometheus

Im Zusammenhang von svhost könnten sich auch Übeltäter einschleichen, also macht es deshalb sehr viel Sinn das Betriebssystem zu updaten.
@olmz
Was willst du dann machen Updates für Windows schreiben? Wie willst du dann den Programmcode ändern?
Auch mit Firewalls und Antivirenprogramme lernst du nicht viel.

kleinerMuck

Ähm, wird die svchost.exe nicht zum ausführen von dll-Dateien benötigt?
Nähere Informationen: http://frankn.com/html/svchost_exe.html


Grüße
kleinerMuck

olmz

@sheep dude
sorry, hab den link nur überflogen. Ich hab auch nicht vor irgendjemandem den pc runterzufahren (da hab ich besseres zu tun). Mich interessiert einfach nur wie das geht und wenn du das weiß, dann kannste mir das doch auch sagen.

@Prometheus
Ist schon klar, dass ich wie jeder andere auch brav updates runterlade und firewalls benutze aber es ist doch interessant zu wissen wie ein "hacker" über diese sicherheitslücke ans system kommt!?

sheepd

Da musst du dich nach den Exploits umschaun, auf die in dem verlinkten Artikel ein enig eingegangen wird.
@Muck
Nicht direkt...
Die svchost.exe (SerVice Host) dient als solcher für beliebige Programme.
Dienste wie z.B. eine Firewall werden in einem solchen svchost-Prozess gekapselt.
Wenn man nun unglücklicherweise den Svchost beendet, in dessen Kontext der RPC-Dienst läuft, dann verlangt Windows einen Neustart, da es anscheinend keine Möglichkeit hat, diesen Dienst ohne Reboot neu zu starten.

NeonZero

Der Prozess "svchost" ist ein Microsoft-Prozess für so genannte "generische Dienstgruppierungen". Im Klartext bedeutet dies, daß sich hinter einem einziegen "svchost"-Prozess mehrere Dienste gleichzeitig "verstecken" können (die Dienste werden also über svchost gruppiert). So fast ein einziger svchost-Prozeß z.B. die Dienste "Alerter", "WebClient", "LmHosts", "RemoteRegistry", "upnphost" und "SSDPSRV" zusammen, während ein anderer svchost-Prozeß für die Dienste "6to4", "AppMgmt", "AudioSrv", etc. zuständig ist. Ein weiterer svchost-Prozeß kann auch einen einzigen Dienst beherbergen (z.B. den "TermServcice"-Dienst). Im Taskmanager sind diese Dienste also nicht mehr zu sehen - lediglich svchost zeigt sich in mehrfacher Ausführung.

Die Anzahl der gestarteten svchost-Prozesse ist davon Abhängig, wie viele Dienstgruppen es auf dem PC gibt und natürlich auch davon, welche Dienste aktiv sind (eine leere Dienstgruppe erhät keinen svchost-Prozess - wird also z.B. "TermService" deaktiviert, so startet der dazu gehörige svchost-Prozess nicht, da der "TermService" der einzige Dienst dieser Gruppe ist).

Die Frage ist nun: Kann sich auch eine Malware hinter einem "svchost" verstecken? Leider lässt sich dies mit ja beantworten. Das Problem: Tools wie netstat oder besser fport.exe können hierüber keinen direkten Aufschluß geben, da in deren Liste ja nur ein unauffälliges "svchost" erscheint. Zudem gibt es die Möglichkeit, daß eine Malware mit gleichem Namen (svchost.exe) gestartet wird, welches auf dem ersten Blick ebenfalls nicht auffallen wird.

So läßt sich der svchost-Prozess auf einfache Weise kontrollieren:

• Wenn Dein PC in einem sauberen Zustand ist (z.B. direkt nach einer Neuinstallation + fertig gestellter Konfiguration), so startest Du einfach
  
  fport.exe > c:\windows\fport-sauber.txt
  
  Nun kannst Du jederzeit eine aktuelle fport-Liste über
  
  fport.exe > c:\windows\fport-jetzt.txt
  
  erstellen und diese mit fport-sauber.txt vergleichen. Das geht sehr einfach, indem Du z.B. den Total Commander (Freeware - ehemals "Windows Commander") startest, beide Dateien markierst und über den Menüpunkt "Dateien / nach Inhalt vergleichen" die beiden Dateien öffnest. So siehst Du auf Anhieb, ob ein neuer svchost-Prozeß auf das Netzwerk zugreifen will, oder ob sich ein alter svchost-Prozeß plötzlich für einen zusätzlichen Port "interessiert".
  
  Andere Programme, die nicht über svchost gestartet werden, kannst Du auf diese Art natürlich ebenfalls umgehend entlarven.
  
  Hinweis: Wenn Du einen "sicheren" PC benötigst, sollten Du die hier beschriebene Prozedur vorsorglich nach jeder Installation eines neuen Programms ausführen. Du solltest Dir aber auch darüber im Klaren sein, dass eine Malware, die sich einer guten Rootkit-Technik bedient, damit nicht aufgespürt werden kann.

Bye, nz

+++ATH0

Wenn man im Taskmanager eine svchost.exe findet, die im Benutzerkontext läuft, dann ist es sicher etwas "böses".

Um sich zu vergewissern ob die svchost.exe als Host für einen "bösen" Dienst dient, muss man jedoch in der services.msc nachschauen.

Dass ein Dienst von einem "bösen" Programm registriert wird, darf eigentlich nicht passieren, wenn man nur als normaler Benutzer am PC arbeitet.

Viele jedoch arbeiten, surfen und "hacken" die ganze Zeit mit Admin-Rechten am PC, was böse enden kann.

olmz

ich hab noch was um nen svchost kill zu blocken (also wenns schon zu spät ist).
ihr könnt ne batchdatei schreibe:

@echo off
shutdown -a


wenn ihr die nach dem kill ausführt wird das runterfahren gestoppt!

thx to Gatez!!!!!!!!