Verdächtiger Svchost

1084
darthvader

Ich habe viele Instanzen gefunden, die durch bis zu 7 Ports in meinem System verbunden waren, als ich TCPView (Sysinternals) öffnete. Könnte es an einer Malware liegen? So finden Sie es heraus, ohne Antivirus-Tools.

4

2 Antworten auf die Frage

4
nik

Keine Panik! (noch) Svchost kann mehrere Instanzen haben .

Beim Start überprüft Svchost.exe den Dienstteil der Registrierung, um eine Liste der Dienste zu erstellen, die geladen werden müssen. Mehrere Instanzen von Svchost.exe können gleichzeitig ausgeführt werden. Jede Svchost.exe-Sitzung kann eine Gruppierung von Diensten enthalten. Daher können separate Dienste ausgeführt werden, je nachdem, wie und wo Svchost.exe gestartet wird. Diese Gruppierung von Diensten ermöglicht eine bessere Kontrolle und ein einfacheres Debugging.

Auf der HowToGeek- Seite finden Sie weitere Informationen . Der
Svchost-Viewer zeigt genau, was jede svchost.exe-Instanz tut

Keine Malware außer einer Vielzahl von Windows-Diensten. darthvader vor 15 Jahren 0
2
Axxmasterr

Dies könnte tatsächlich das Ergebnis von Malware sein. Svchost.exe wird häufig zum Erzeugen von Malware-Prozessen verwendet. In einigen Fällen kann es svchost tatsächlich schwierig machen, das betreffende Programm zu finden, ohne in ein Detail zu gehen.

TCPView ist praktisch, um zu sehen, welche Prozesse auf der ganzen Welt miteinander kommunizieren. Der Prozess-Explorer verfügt über eine Registerkarte für die E / A-Historie, die für diesen Prozess ebenfalls sehr nützlich ist. Ich würde auch empfehlen, filemon zu verwenden, um festzustellen, welche Dateien geöffnet sind. Malware versucht in vielen Fällen, Sie durch Sperren der Datei daran zu hindern, ihre Laufzeit zu löschen oder zu modifizieren.

Die PIDs können hilfreich sein, um zu bestimmen, welche Prozesse andere Prozesse hervorgebracht haben.

Wenn ich an diesen Punkt komme, habe ich im Allgemeinen schon den Verdacht, dass es Malware gibt, und ich töte die Prozesse einzeln, bis ich das betreffende Programm finde. Wenn das Programm über das Kabel spricht, wäre ein guter Hinweis, dass Sie das richtige Programm beendet haben, die Einstellung von verdächtigem Netzwerkverkehr. Einige Malware verhält sich sehr schlecht, daher ist sie in diesen Fällen nicht schwer zu erkennen. Prozesse, die nicht alle Systemressourcen verbrauchen und nicht über das Internet "nach Hause rufen", sind in der freien Wildbahn die größten Herausforderungen.

Ja, ich habe schreckliche Geschichten über Malware gehört, die im Namen von svchost laufen. Ich dachte, ich habe einen gefunden, bis ich das Tool herausgefunden habe, das nic in der ersten Antwort erwähnt hatte darthvader vor 15 Jahren 0