|
Erfahren wer einen Prozess gestartet hat?
Gibt es eine Möglichkeit zu erfahren wer einen Prozess gestartet hat? Ich hab auf dem Laptop eines Bekannten ein Programm entdeckt, das eigentlich ein System-Programm sein soll, allerdings erst ab Vista, er hat aber XP. Zweitens wird er aus Anwendungsdaten-Ordner gestartet. Drittens hat er kein Icon. Viertens, wenn ich ihn lösche, ist er nach dem Neustart wieder da.
Der Virenscanner meldet nichts, auch wenn das Programm direkt geprüft wird, ist aber sehr beschäftigt, ständig um die 50%. Der Auslastungsmonitor zeigt eine enge Sägezahn Auslastung. Alle Autoruns sind sauber, alles bekannte Programme. Trotzdem gehe ich von einem Schädling aus, da die Anzeichen da sind. Wie gesagt bringt löschen der Datei nichts, da sie nach dem Neustart wieder da ist. Ich hab das Problem vorerst gelöst in dem ich die Datei stillgelegt habe, das Programm kann also nicht ausgeführt werden, der Virenscanner ist jetzt ruhig. Das Problem scheint nur Kontoabhängig zu sein, so dass Problem schnell gelöst werden könnte. Trotzdem würde es nicht interessieren welches Programm das Programm startet. Kennt einer eine Methode? |
AW: Erfahren wer einen Prozess gestartet hat?
AutoRuns, Process Explorer und Process Monitor sind hier sehr hilfreich, alle zu finden unter
 www.sysinternals.com. [Ergänzung] Im Process Explorer sieht man einen Prozessbaum und damit ist auch ablesbar, wer den fraglichen Prozess gestartet hat (allerdings nur, wenn der Vaterprozess sich nicht selbst beendet hat).[/Ergänzung]MfG Dalai |
AW: Erfahren wer einen Prozess gestartet hat?
Zitat:
SpyBot S&D probiert? Manche Viren/Würmer tarnen sich durch einen Start durch svchost.exe/dllhost.exe |
AW: Erfahren wer einen Prozess gestartet hat?
Zitat:
https://www.virustotal.com/de/http://virusscan.jotti.org/deDamit hilfst du auch den Herstellern von Antivirenprogrammen. |
AW: Erfahren wer einen Prozess gestartet hat?
Zitat:
Zitat:
svchost.exe ist immer das erste was ich überprüfe, dllhost.exe zwar nicht, ist mir aber bisher noch nicht aufgefallen. Mir ist gerade im gleichen Ordner eine Datei aufgefallen die ein Icon von Total Commander hat, nach dem Löschen und Neustart war sie auch wieder da. Der Inhalt ist eine CAB mit Total Commander, selbst sauber, online mit Virus Total geprüft, die neben der CAB vorhandene Install.exe ist eigentlich auch sauber, bis auf einen Fund "Virus in password protected archive", was es auch zu bedeuten hat. Kann sein, dass der so rein gekommen ist, scheint eine gecrackte Version zu sein, bin mir aber nicht wirklich sicher. So wie ich es erkennen kann wurde Total Commander nicht über Admin installiert, sondern lokal, somit schwirrt der Schädling nur mit eingeschränkten Rechten lokal rum. |
AW: Erfahren wer einen Prozess gestartet hat?
Es gibt einen Trojaner, der mit einem Total Commander Icon daherkommt. Irgendwo im TC-Forum wurde darüber diskutiert. Es könnte also gut sein, dass das dieses Ding ist.
Ich würde das System mal mit einer der vielfältig erhältlichen kostenlosen CDs scannen (Avira, Kaspersky usw). Außerdem gibt's noch Security Task Manager, der eine recht gute Analyse der laufenden Prozesse ermöglicht.MfG Dalai |
AW: Erfahren wer einen Prozess gestartet hat?
Ich hab noch paar Dateien gefunden die mir verdächtig erscheinen, darunter auch eine VBS Datei. Ich verstehe die grob, aber wenn es einen gibt der sehr gut VBS beherrscht:
Code:
Set objSecurityCenter = GetObject("winmgmts:\\localhost\root\SecurityCenter2")
Set colFirewall = objSecurityCenter.ExecQuery("SELECT * FROM FirewallProduct","WQL",0) Set colAntiVirus = objSecurityCenter.ExecQuery("SELECT * FROM AntiVirusProduct","WQL",0) Set objFileSystem = CreateObject("Scripting.fileSystemObject") Set objFile = objFileSystem.CreateTextFile("C:\Dokumente und Einstellungen\Popov\Anwendungsdaten\Popovv2.2.0.txt", True) Enter = Chr(13) + Chr(10) CountFW = 0 CountAV = 0 For Each objFirewall In colFirewall CountFW = CountFW + 1 Info = Info & "F" & CountFw & ") " & objFirewall.displayName & Enter Next For Each objAntiVirus In colAntiVirus CountAV = CountAV + 1 Info = Info & "A" & CountAV & ") " & objAntiVirus.displayName & Enter Next objFile.WriteLine(Info) objFile.Close |
AW: Erfahren wer einen Prozess gestartet hat?
Das Script scheint nur Informationen über Firewall und AntiVirus mittels WMI abzufragen und dann in der angegebenen Textdatei zu speichern.
|
AW: Erfahren wer einen Prozess gestartet hat?
Ok, ich hab es, die Lösung ist so einfach, dass es schon peinlich ist. Eine Kopie des Programms war im Startmenü unter Autostart. Ich hab es am Anfang bei der Kontrolle der Autostarts bemerkt, aber wegen des Icons nicht näher betrachtet, im Gegensatz zu den Autostart-Programmen aus der Registry, die ich wiederum genau kontrollierte.
Auf jeden Fall erzeugte das Programm die Kopien unter Anwendungsdaten. Ok, das war zum Schluss einfach, aber wenn ich am Anfang den ersten Teil nicht stillgelegt hätte, hätte es sich permanent selbstständig "repariert". @Zacherl Letztendlich weiß ich nicht wirklich ob das Script dazugehört. Es erschien mir nur verdächtig. |
AW: Erfahren wer einen Prozess gestartet hat?
Wenn der Verdacht besteht, daß dieses System kompromitiert ist, dann wäre es wohl nicht verkehrt, dieses neu aufzusetzen.
|
AW: Erfahren wer einen Prozess gestartet hat?
Es gibt zwei Punkte die mich davon abhalten das System neu aufzusetzten:
1. Das war ein konto-lokales Problem, d. h. der Besitzer aller gefundenen Dateien war das eingeschränkte Benutzerkonto. Auch wurde das Programm über das der Schädling auf das System kam über dieses Konto installiert, da es keine Adminrechte benötigte. Das System neu aufsetzten ist somit mit nötig, hier wurde nur das Konto komprimiert. Ob der Nutzer ein neues Benutzerkonto erstellt, überlasse ich es ihm. Ich halte es nicht für nötig. Der anfängliche Fehler lag bei mir, da ich, so peinlich es mir nun ist es zuzugeben, es in Autostart übersehen habe. Wäre es ein Virus, dann wäre es was anderes. Ein Virus befällt andere Programme, und, auch wenn es unter eingeschränkten Benutzerkonten es eigentlich keine Programme gäben dürfte, werden es dank Googles Chrome Beispiels leider immer mehr. Ein Trojaner schützt und vervielfältigt sich vielleicht, wenn man ihn erkannt hat, kann man ihn in der Regel eindämmen. 2. Solche lokalen Trojaner die mindestens eine Sitzung existieren, kommen öfter vor als man denkt. Ihr Problem ist dauerhaft im System zu bleiben. Man muß das System so absichern, dass sie nichts anrichten können, auch wenn sie mal da sind. |
AW: Erfahren wer einen Prozess gestartet hat?
Und was spricht dagegen, das Konto mit allen Daten zu löschen?
Meiner Meinung nach gehört soetwas nicht auf einen Rechner, aber Du mußt es ja wissen. Gruß K-H |
AW: Erfahren wer einen Prozess gestartet hat?
Und du bist dir auch 100%ig sicher, daß da nicht noch was Anderes irgendwo rumfläucht, bzw. ob du es in den anderen Konten einfach nur nicht siehst, es aber denoch da ist?
|
AW: Erfahren wer einen Prozess gestartet hat?
Zitat:
Zitat:
Jetzt mal allgemein - Viren und Trojaner-Programmierer verfolgen eine Philosophie, und die heißt Masse statt Klasse! Man kann genial sein, aber nur wenn es nötig ist. Warum genial programmieren und 100% der Rechner befallen, wenn man mit wenig genialen Programmierung auch 80% der Rechner befallen kann? Der Fehler lag bei mir, ich hab Autostart übersehen, sonst war der Schädling schnell beseitigt. Warum soll der Schädling sich vorne so simpel schützen aber im Hintergrund genial? Nenne mir ein Schädling der das macht? Außerdem, wo soll er sich starten? Bei Adminrechten wäre das was anderes, da gibt es Möglichkeiten, hier sind die begrenzt. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:02 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz