ständig ändern sich svchost und miranda.exe

kron0s

Ensign
Registriert
Juli 2005
Beiträge
195
Hi leute!
Seitdem ich die aktuelle Version von Miranda IM installiert habe (0.7), wird mir von Kasperksy bei jedem Start von Miranda angezeigt, dass sich die Miranda.exe geändert hat. Was aber (bewußt jedenfalls) nicht geschehen ist!
Ebenfalls erhalte ich ab und zu die Nachricht, dass die SVCHOST.EXE sich geändert hat.
Bei diesen Abfragen werde ich immer gefragt, ob ich dies zulassen möchte ich oder nicht. Ich habe es bis jetzt immer zugelassen, weil ich Angst habe, dass sonst mein Internet wieder nicht funktioniert (was nach blocken der svchost-Änderungen schon einmal der Fall war).

Gescannt habe ich meine Festplatten bereits mit KIS 6.0 (auf aktuellem Stand).
Habt ihr ne Ahnung, was das Problem sein könnte`?e
 
Das kann so ziemlich alles sein. Legitime Software aber auch ein Schädling.
Poste sicherheitshalber ein HiJackThis-Logfile, Download in meiner Signatur und warte ab (nichts entfernen).

mfg,
Markus
 
Hab nicht so viel Ahnung von HiJack.. ich poste jetzt einfach mal den Inhalt der Log-Datei, die erstellt wurde.

Logfile of HijackThis v1.99.1
Scan saved at 21:55:20, on 03.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Miranda IM\miranda32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\kron0s\Desktop\HijackThis.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: 2nd &Speech Center - {CFE40ED8-564E-4693-A9D9-80DB70C8E460} - C:\PROGRA~1\2NDSPE~1\tts4ie.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SQL Server (AUTODESKVAULT) (MSSQL$AUTODESKVAULT) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sAUTODESKVAULT (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
 
Hallo, im Logfile findet sich nichts auffälliges. D.h. aber noch lange nicht, dass dein System sauber ist, man kann es aber vorerst annehmen.

Btw, du solltest dein System wirklich Updaten. Ich finde keine Hinweise für installierte Updates.

mfg,
Markus
 
Du kannst ja in den Einstellungen von Kaspersky >>Bedrohungen und Ausnahmen>>Vertraungswürdige Zonen die Regeln wieder aufheben, oder erstellen. Ausserdem unter dem Punkt Service>>Konfigurationsverwaltung auf wiederherstellen klicken. Das versetzt dann Kaspersky in der Ursprungskonfiguration.
 
@markus1234: mein System ist up-to-date. Zur Sicherheit lasse ich aber nochmal das WinFuture-Update-Pack drüberlaufen.. evtl. fehlen tatsächlich updates.

@olympiakos: danke für den Hinweis!
 
@markus1234: mein System ist up-to-date

Das glaube ich nicht, es gibt keine Anzeichen von Windows-Update.
Und die Updatepacks helfen nur bedingt, es gibt monatlich neue Patches und es werden auch nicht alle in die Packs integriert.

mfg,
Markus
 
ja, aber markus1234:
Ich hab die automatische Aktualisierung von Windows XP EINGESCHALTET und habe in den letzten Monaten immer Update-Benachrichtigungen von Microsoft bekommen.. zeitgleich mit der News des "Microsoft-Patch-Day"s auf Computerbase.de
Ich bin mir zu 99% sicher, dass mein System was Updates anbelangt ABSOLUT up-to-date ist.
Gibt es eine Möglichkeit das anderweitig einzusehen??

//edit: wollte gerade mal auf die Page des Update-Centers von MS surfen. Leider erscheint nur eine weiße Seite - das Problem hatte ich jetzt nicht zum ersten Mal - eine Lösung dafür hab ich aber nie gefunden - bzw. war aus meiner sicht wegen der automatischen Updates auch gar nicht unbedingt notwenig!
Weiß einer von euch, was mit meinem ie nicht stimmt? 6.0... ist das übrigens.
 
Zuletzt bearbeitet:
Marcus mich würde mal interessieren wie Du aus der Log erkennen kannst, ob das System up-to-date ist, oder auch nicht.

Meinnst Du jetzt den I-Explorer (6) statt (7) ?´

PS: Hier die neueste Sicherheitswarnung patch-info
 
Zuletzt bearbeitet: (PS)
irgendwie werd ich hier nur verwirrt. was soll ich mit der neusten sicherheitswarnung? :D Ich hab alle updates und benutze keinen internet explorer sondern mozilla firefox...

leute leute leute ^^
 
[
Seitdem ich die aktuelle Version von Miranda IM installiert habe (0.7), wird mir von Kasperksy bei jedem Start von Miranda angezeigt, dass sich die Miranda.exe geändert hat. Was aber (bewußt jedenfalls) nicht geschehen ist!

Irgendwie verstehe ich das nicht. Wenn Du eine neuere Version von Miranda installierst, dann ist doch normal, dass sich die Miranda.exe ändert und Kaspersky ne Warnung ausgibt.

Das mit der SVCHOST.EXE kann ich, aber leider nicht erklären
 
@olympiakos: klar, beim ersten Start ist das in der Tat normal - weil die EXE nunmal nach dem Update geändert wurde. Völlig klar und nachzuvollziehen - aber wie erklärst du dir, dass diese Nachricht "miranda.exe wurde geändert - erlauben / nicht erlauben" bei JEDER WINDOWS-SITZUNG ERNEUT auftritt! Bei SVHOST.EXE trifft vereinzelt das gleiche Problem auf.

Was ich noch nicht bedachte habe ist, dass es evtl. auch an KIS liegen könnte!
Falls mir hier nicht noch jemand mit einer Erklärung der Umstände kommt, sollte ich das mal reparieren oder am besten sogar neu installieren...

mfg,
kr0
 
waaah! also, angenommen ich habe jetzt auf die neuste miranda version upgedated! SO! dann wird mir KIS eine nachricht ausgeben (gesetz dem fall, dass ich miranda.exe starte), dass die EXE geändert wurde. wegen des updates - klar.
WARUM SOLLTE MIR KIS JETZT BEI JEDER WINDOWS SITZUNG + START VON MIRANDA DIE NACHRICHT AUSGEBEN, DASS DIE EXE GEÄNDERT WURDE? SIE WURDE BEI DER AKTUELLEN SITZUNG JA NICHT GEÄNDERT!!!!!!! das macht keinen sinn. wenn ich einmal auf erlauben drücke, dann kann ich doch (genau so bei einem firefox-update) davon ausgehen, dass KIS sich diese INFORMATION speichert und beim nächsten ausführen des programm "genau weiß" -> " AH, DIE WURDE IRGENDWANN BEI DER LETZTEN SITZUNG GEÄNDERT - WURDE ABER BESTÄTITGT - HAT SICH AKTUELL JETZT NICHT GEÄNDERT -----------> KEINE MELDUNG

//EDIT: ich merk gerade, wir reden wahrscheinlich von unterschiedlichen KIS meldungen... ich von der "ACHTUNG ACHTUNG - die *.EXE hat sich geändert - ist das okay???"-Meldung und du von der Firewall-Meldung "darf dieses Programm eine verbindung mit dem netzwerk/internet aufbauen ja nein, regel erstellen"
 
Zuletzt bearbeitet:
Das hängt allerdings schon damit zusammen.
Wenn sich Programme ändern, musst du ihnen den Internetzugriff natürlich erneut erlauben. Das ist ein wichtiges Sicherheitsfeature.

Was du einmal machen könntest, auch wenns n bisschen idiotisch klingt - kopiere die svchost.exe auf den Desktop und uploade sie auf Virustotal.com.

Höchswarscheinlich ist es aber nur ein kleiner Konflikt zwischen Kaspersky und Miranda. Und irgendwie kannst du sicher den permanenten Zugang der Anwendungen setzen, so, dass diese auch nach einer Änderung weiter ohne deine Bestätigung agieren können.

mfg,
Markus
 
Zurück
Oben