64-Bit csrss.exe, svchost.exe und smss.exe im temp-ordner

Bananenbieger

Winhelfer

Beiträge: 35

Mittwoch, 10. Februar 2010, 09:42

csrss.exe, svchost.exe und smss.exe im temp-ordner

Hi,

seit ein paar Tagen meldet mein BitDefender immer mal wieder, dass eine der oben genannten Dateien ein Verbindung herstellt. Das wäre an und für sich kein Problem, wenn sich diese Dateien nicht in Ordnern befinden würden, die im temp Verzeichnis des Users liegen. ICh hab mal einen Screener der Ordner gemacht, damit ihr die Namen seht.

Die Dateien sind mit BitDefender geprüft und Virenfrei, sicherheitshalber hab ich mit einem Online Virenscanner von F-Secure ebenfalls getestet und auch dort gabs keine Meldung. Normalerweise liegen diese Dateien bei XP ja im system32 Verzeichnis von Windows, bei meinem 7 64bit liegen sie aber eben nicht dort. HiJackthis meint nur bei einer dieser Dateien, sie solle im System32 Ordner liegen und man solle sie überprüfen. Aber wie gesagt, das habcih getan und alles normal.

Im Netz find ich gar nichts dazu, deshalb mal meine Frage an euch: Kennt das einer oder hat das selber?

»Bananenbieger« hat folgendes Bild angehängt:

Zum Seitenanfang

Bananenbieger

Winhelfer

Beiträge: 35

Freitag, 12. Februar 2010, 14:33

Experten, wo seid ihr???

Zum Seitenanfang

Arkomei

Winhelfer

Beiträge: 1 406

Betriebssystem(e): Windows XP Home SP3

Sprache(n): nur Deutsch

Wohnort: Meißen/ Sachsen

Beruf: Maschinen-Ing; Rentner

Freitag, 12. Februar 2010, 16:18

Hallo Bananebieger,
diese drei Dateien sollten immer im Systemordner liegen, alles andere sollte höchste Alarmstufe auslösen.
Überprüfe, ob es diese Dateien auch in %System% (also zB "Windows/System32") gibt.
Weiterhin überprüfe im Taskmanager, wie der Benutzername lautet, er muß für alle diese Prozesse "System" sein.
Ein gutes Tool zum Überprüfen von Prozessen ist der "Security Task Manager" . Allerdings weiß ich nicht, ob er unter Windows 7 64Bit läuft.

Schönen Gruß

Aribert

nun auch Windows 7 Enterprice 90-Tage Testversion

Zum Seitenanfang

Bananenbieger

Winhelfer

Beiträge: 35

Samstag, 13. Februar 2010, 11:40

Aaah, schön, eine Antwort zu erhalten.

Ich hab den Rechner in der Zwischenzeit mit meinem BitDefender 2010, welches installiert ist, 3 mal getestet, er meldet keine Gefahren. Auch die einzelnen Dateien hab ich prüfen lassen, keine Probleme gefunden.

Ich hab den Rechner mit F-Secure Online Scanner durchsucht, ebenfalls negativ. Die ganzen Dateien csrss, smss usw. hab ich ebenfalls online testen lassen, mit dem Ergebnis, dass diese Dateien sauber sind. In diesem Fall kann das doch kein Virus oder so sein, oder seh ich das falsch. Ich mein, ein Scanner kann ja danebenliegen, aber gleich ein paar?

Zum Seitenanfang

Arkomei

Winhelfer

Beiträge: 1 406

Betriebssystem(e): Windows XP Home SP3

Sprache(n): nur Deutsch

Wohnort: Meißen/ Sachsen

Beruf: Maschinen-Ing; Rentner

Samstag, 13. Februar 2010, 12:46

Du hast recht, wenn mehrere Scaner nacheinander die Dateien für sauber befinden, dan kann man davon ausgehen, daß sie es auch sind. Allerdings solltest Du die Sache nicht aus den Augen verlieren. ZB "svchost.exe" ist ein (mir fällt jetzt grade nicht der Fachbegriff ein *1) "Allround-Prozeß". Mithilfe dessen können andere Prozesse und Dienste laufen und auch ins Internet gehen. Du siehst dann immer nur "svchost" will ins Internet, aber wer dahinter steckt, siehst Du nicht.
Hast Du mal überprüft, ob es die 4 Dateien im System-Verzeichnis noch mal gibt?

*1 Nachtrag: ich glaube "generischer Prozess" heist das

Schönen Gruß

Aribert

nun auch Windows 7 Enterprice 90-Tage Testversion

Zum Seitenanfang

Bananenbieger

Winhelfer

Beiträge: 35

Samstag, 13. Februar 2010, 12:59

Die Dateien gibt es auch im Systemverzeichnis, allerdings haben sie dort ein anderes Logo. Das im temp Ordner heisst TODO und sind so 3 Würfel, die aufeinanderliegen.
Mir ist glaube ich auch eingefallen, dass die Dateien eine Verbindung mit 127.0.0.1 aufnehmen und der ist doch lokal, oder?

Ich kriegs echt an der Birne, wenn ich nicht rausfinde, was genau das ist. Ich hab ein Laptop, ebenfalls mit Win7 64 bit (allerdings Home Premium statt Enterprise) und dort finde ich die Dateien nicht. BitDefender läuft aber auch dort...

Zum Seitenanfang

Arkomei

Winhelfer

Beiträge: 1 406

Betriebssystem(e): Windows XP Home SP3

Sprache(n): nur Deutsch

Wohnort: Meißen/ Sachsen

Beruf: Maschinen-Ing; Rentner

Samstag, 13. Februar 2010, 16:06

Also, wie ich schon etwas weiter oben schrieb, sind die Prozesse unbedingt wichtige Systemprozesse, ohne die Windows nicht funktioniert.
Trotzdem währe es schon nicht verkehrt, zu wissen, welche der vorhandenen Versionen tatsächlich gestartet sind. Außer mit einem Boot-Log kenne ich keine "windowseigene" Möglichkeit, die heraus zu bekommen. Desshalb habe ich mir (schon vor Jahren) ProzessExplorer von Sysinternal (heute TechNet) herunter geladen.
Das Programm zeigt nicht nur, aus welchen Verzeichnis die Datei stammt, sondern bei svchost wird am Mauszeiger als Tipfenster auch angezeigt, welche Prozesse svchost gestartet hat. Und das gute ist, daß das Programm auch unter 64Bit-Systemen läuft.
Wenn die drei gestarteten Dateien aus dem System-Verzeichnis stammen, würde ich die Dateien im temp-Verzeichnis umbenennen und schauen, was passiert.
Wenn die Dateien aus dem Temp-Verzeichnis gestartet werden, weiß ich im Moment nicht, wie man das ändern kann. Löschen geht ja nicht, weil sie als Systemdateien geschützt sind.

Schönen Gruß

Aribert

nun auch Windows 7 Enterprice 90-Tage Testversion

Zum Seitenanfang

Bananenbieger

Winhelfer

Beiträge: 35

Montag, 15. Februar 2010, 11:45

ALso nun soweit:

Weil mir das Ganze doch suspekt war, wollte ich zuerst mein System neu einspielen (TrueImage Backup). Dann aber habe ich es mit einer Win 7 Reparatur versucht. Und siehe da, alles läuft wieder normal, die Programme im Temp-Ordner sind weg und mein System läuft wieder einwandfrei ohne dass ich irgend etwas neu installieren musste (ok, Daemon Tools Lite tuts nicht mehr, aber das ist marginal).

Danke trotzdem für eure Hilfe, mal abwarten, was weiterhin passiert :thumbsup:

Zum Seitenanfang

Winhilfe.ch 3.0

64-Bit csrss.exe, svchost.exe und smss.exe im temp-ordner

csrss.exe, svchost.exe und smss.exe im temp-ordner

Ähnliche Themen