"svchost.exe (LocalServiceAndNoImpersonation)" - Ist dies ein Virus / Trojaner?

12568
newguy

Wenn Sie den Screenshot betrachten, können Sie feststellen, dass es zwei gibt svchost.exe.

Der eine ist svchost.exe (NetworkService)und der andere istsvchost.exe (LocalServiceAndNoImpersonation)

svchost.exe (LocalServiceAndNoImpersonation)ist nur aktiv und verwendet das Netzwerk, wenn firefox.exees aktiv ist.

enter image description here

0
Haben Sie selbst recherchiert? schroeder vor 8 Jahren 0

2 Antworten auf die Frage

4
ner0x652

Einige Malware verwendet häufig einen Prozessnamen svchost.exe, um sich zu tarnen. Die ursprüngliche Systemdatei svchost.exebefindet sich in C:\Windows\System32. Befinden sich diese Dienste woanders? Wenn dies der Fall ist, handelt es sich um Malware.

Was ist svchost.exe?

svchost.exe ist ein Systemprozess, der mehrere Windows-Dienste hostet oder wie von Microsoft beschrieben: "svchost.exe ist ein generischer Hostprozessname für Dienste, die von Dynamic-Link-Bibliotheken ausgeführt werden".

Warum gibt es mehrere svchost.exes?

Es gibt mehrere Instanzen dieses Dienstes, denn wenn jeder einzelne Dienst unter einer einzelnen svchost.exeInstanz ausgeführt wurde, kann ein Fehler in einer einzigen Instanz Windows vollständig zum Absturz bringen.

Sie können die Services mit einem Tool wie Process Explorer analysieren und mehr Informationen über ihre Aktivitäten erhalten.

Referenzen: howtogeek

0
Daniel Ruf

Nein, es ist kein Virus / Malware.

Sie sagen, es erscheint nur, wenn Sie Firefox öffnen, dahinter steht möglicherweise keine Malware.

Ich habe auch diesen svchost-Prozess, auf dem LocalServiceAndNoImpersonation ausgeführt wird, und dieser PC ist sauber.

Bisher ist LocalServiceAndNoImpersonation ein legitimer Prozess, der von Windows AppLocker verwendet wird.

Windows AppLocker ist eine Sicherheitsfunktion von Windows.

https://technet.microsoft.com/de-de/library/dd759117.aspx

AppLocker ist eine neue Funktion in Windows 7 und Windows Server 2008 R2, mit der Sie festlegen können, welche Benutzer oder Gruppen bestimmte Anwendungen in Ihrer Organisation basierend auf eindeutigen Identitäten von Dateien ausführen können. Wenn Sie AppLocker verwenden, können Sie Regeln erstellen, um die Ausführung von Anwendungen zuzulassen oder zu verbieten.

Sie können es mit ProcessExplorer prüfen. https://technet.microsoft.com/sysinternals/bb896653

Es sollte auch die geladene DLL erwähnt werden.

http://www.bleepingcomputer.com/startups/appidsvc.dll-25613.html

Ein Microsoft-Dienst, der von AppLocker verwendet wird, um die Identität einer Anwendung zu ermitteln und zu überprüfen. Bitte beachten Sie, dass dieser Dienst von svchost.exe gestartet wird. Die eigentliche Anwendung ist jedoch der Dateiname.

Dies ist richtig **, wenn ** dieser spezielle Fall keine Malware ist, die den legitimen Dienst annimmt. Das Überprüfen der Position, wie von ner0x652 vorgeschlagen, kann nicht schaden. fixer1234 vor 8 Jahren 0
Sicher, aber ich bin mir sicher, dass dieser AppLocker-Prozess echt ist ;-) Daniel Ruf vor 8 Jahren 0

Verwandte Probleme