Windows 7 Firewall erkennt Virus im System und svchost.exe ? Was tun?

[XHitcher1]

Hallo ich habe mir auf Anraten eines Users *Avast* installiert. Als Firewall verwende ich die Windows eigene Windows Firefall, doch da ich selbst etwas kontrollieren will welche Prozesse auf meinen PC zugreifen habe ich mir auf ebenfalls anraten eines Users dieses Toll Heruntergeladen es heißt *Windows 7 Firewall Control* von Chip.de

Nun die Installation verlief reibungslos, doch dann fing es an Sachen / Prozesse zu blocken, so wollte es mir Firefox blocken wenn ich in Firefox ging, und Avast blocken hab ich natürlich beides auf *Enable all* gestellt und nicht zugelassen.

Doch dann blockte es mir 2 Verdächtige Dateien.

Es Blockte einmal *svchost.exe* und *system.exe*.

svchost.exe ordnete es in *Hostprozesse für Windows Dienste* unter, und der Pfad ist *C:\windows\system32\svchost.exe*

Allerdings kann ich hier nicht auf *enable all* stellen sondern das Tool stellt automatisch auf *disable all* allerdings hab ich trotz des geblockten svchost.exe Prozesses im Task Manager noch 12 weitere svchost.exe Prozesse.

Auserdem habe ich seltsamerweiße jedesmal wenn ich den Task Manager öffne 3 x den Prozess dllhost.exe aktiv wobei 2 stück nach wenigen Sekunden automatisch verschwinden, und einer bleibt da, dieser befindet sich in System 32 windows Ordner, und hab ihn bei Virust Total schonmal scannen lassen aber ohne befund.

dennoch verwundert es mich dass ich erst davon 3 prozesse aktiv habe wovon dann 2 verschwinden.

Den zweiten Prozess den *Windows 7 Firewall Control* blockte war *System*.

Und der heißt auch nur *System* und wird auch im Unterordner System angezeigt es gibt in der Firewall keinen genauen Dateipfad, als User wird angegeben *Nur Network/ Cloud edition*

auch diesen Prozess kann ich NICHT wieder aktivieren nur *disable all* ist hier auswählbar.


Sind dass Viren oder warum blockt er die Prozesse ohne dass ich Sie wieder freigeben kann.


Hab auch schon ein Malwarebytes Anti Malware Scan gemacht, doch er fand nur ein Paar PUP einträge welche mit dem Programm *Reg Clean Pro* zu tun hatten das ich mir mal installierte, und kein Virus sind.

Mein Alter Virenwächter *Comodo* den ich vor Avast drauf hatte fand auch keinen Virus nur als ich mein neues AS ROCK Mainboard bios update von AS ROCK zog sagte er mir dass in der zip datei eine schädliche datei wäre , was aber nur Comodo meldete sonst meldete kein Virus Wächter etwas als ich es bei Virus Total hochlud.

Danke euch.

Auch ein ADW Cleaner Scan fand nur sachen von *Reg Clean pro* die es nach dem Neustart beheben konnte.

Die ältere Version von ADW Cleaner die ich von Computerbild herunterlud fand hingegen auch andre Sachen die es löschte hier mal der Log von Adw Cleaner.

An Alle hier ist der erste ADWLogfile was gefunden und behoben wurde mit Adw der älteren Version die ich vorher getestet habe bevor ich die neue 3.0 version herunterladetete.

# AdwCleaner v2.306 - Datei am 22/08/2013 um 18:42:24 erstellt
# Aktualisiert am 19/07/2013 von Xplode
# Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits)
# Benutzer : Thompsonsens - THOMPSONSENS-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Thompsonsens\Downloads\AdwCleaner(1).exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gefunden : C:\Users\Thompsonsens\AppData\Roaming\Microsoft\Wi ndows\Start Menu\Startfenster.lnk
Datei Gefunden : C:\Windows\Tasks\RegClean Pro_UPDATES.job
Ordner Gefunden : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\Conduit
Schlüssel Gefunden : HKCU\Software\systweak
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}
Schlüssel Gefunden : HKLM\Software\Conduit
Schlüssel Gefunden : HKLM\Software\systweak
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{DE9028D0-5FFA-4E69-94E3-89EE8741F468}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{03E2A 1F3-4402-4121-8B35-733216D61217}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9E3B1 1F6-4179-4603-A71B-A55F4BCB0BEC}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}

***** [Internet Browser] *****

-\\ Internet Explorer v10.0.9200.16660

[HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.startfenster.de

-\\ Mozilla Firefox v23.0.1 (de)

Datei : C:\Users\Thompsonsens\AppData\Roaming\Mozilla\Fire fox\Profiles\6ejshdtk.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [1820 octets] - [22/08/2013 18:42:24]

########## EOF - C:\AdwCleaner[R1].txt - [1880 octets] ##########

Den Malwarebytes Anti Malware Log und den HijackThis Log sowie den OTL Log hätte ich auch allerdings weiß ich nicht wie ich den hier Posten kann!!!

Danke im Vorraus.

 

[CBCrosser]

https://duckduckgo.com/?q=svchost.exe
https://duckduckgo.com/?q=dllhost.exe
https://duckduckgo.com/?q=system.exe

Ist das so schwer?

 

[Madman1209]

Hi,

- Avast runter, Microsoft Security Essentials drauf
- zusätzliche Firewall Tools runter, Windows Firewall alleine reicht und kann auch mit onboard-Mitteln konfiguriert werden
- mit Live System (Kaspersky o.Ä.) einen Scan laufen lassen
- wenn der Verdacht besteht, dass das System tatsächlich kompromittiert ist: neu aufsetzen! Jedes kompromittierte System sollte man neu aufsetzen!
- informiere dich, was diese Prozesse wirklich sind!

VG,
Mad

 

[Phelan]

Hallo Madman1209,

Warum Avast runter?
Was sagt Du zu diesem "Test"
http://www.av-test.org/tests/privatanwender/windows-7/maijun-2013/
MS Security Essentials kommt da nicht so dolle bei rum.

Ein Aufsatz auf die Win Firewall um sie besser zu konfigurieren halte ich für sinnvoll.
Ich nutze z.B. http://www.binisoft.org/wfc.php und bin recht zufrieden.

 

[XHitcher1]

- wenn der Verdacht besteht, dass das System tatsächlich kompromittiert ist: neu aufsetzen! Jedes kompromittierte System sollte man neu aufsetzen!
- informiere dich, was diese Prozesse wirklich sind!

VG,
Mad

Hi das System wurde erst vor 1 Woche neu Aufgesetzt (;


Aber ich bin vorsichtig da man sich sehr schnell was einfängt (;

Doch was mich verwundert sind eben diese DLLhost.exe dateien die mein bruder am PC komischweiße im Task manager nie hat und er hat auch win 7 , 64 bit. Und ich hab mir das Programm erst neu mit USB Stick boot installiert von chip.de heruntergeladen.

Und warum Avast runter? Microsoft essentials soll doch voll Schlecht sein hab ich immer gehört und überall total mies abschneiden?

Ok woran erkenne ich ob mein System wie du sagst *Kompromittiert* ist? und Wie mache ich einen Kaspersky Live System scan?

Ergänzung (23. August 2013)

https://duckduckgo.com/?q=svchost.exe


Ist das so schwer?

Mhm ich kann leider nicht so gut englisch ): Was meinst du mit den Links? Das es zum Betriebssystem gehört? Ja aber warum hab ich dann obwohl Firewall 1 gesperrt hat noch 12 Prozesse davon aktiv ist dass nicht ein Bisschen viel für dass dass ich gerade nur in Firefox aktiv bin und ein Avast scan mache?

Ergänzung (23. August 2013)

MS Security Essentials kommt da nicht so dolle bei rum.

Ein Aufsatz auf die Win Firewall um sie besser zu konfigurieren halte ich für sinnvoll.
Ich nutze z.B. http://www.binisoft.org/wfc.php und bin recht zufrieden.

Das frage ich mich auch (; Aber ich lasse mich gerne eines besseren belehren von den Leuten hier (;

wie funktioniert binisoft und ist dass einfach zu bedienen weil ich hab von firewalls ned wirklich die ahnung, hatte bisher nur *comodo* und der hatte eine intigrierte firewall.

 

[easy.2ci]

dennoch verwundert es mich dass ich erst davon 3 prozesse aktiv habe wovon dann 2 verschwinden.

Das ist beim dllhost völlig normal. Das Umschalten im Task Manager auf die Ansicht "Alle Prozesse anzeigen" macht im Hintergrund eine automatische UAC Bestätigung, sofern die UAC nicht auf höchste Stufe gestellt wurde.

Diese Umschaltung macht dll calls mittels dllhost. Daher siehst du sie noch für ne kurze Zeit.

 

[XHitcher1]

macht im Hintergrund eine automatische UAC Bestätigung, sofern die UAC nicht auf höchste Stufe gestellt wurde.

Diese Umschaltung macht dll calls mittels dllhost. Daher siehst du sie noch für ne kurze Zeit.

Ok cool danke für die Tolle Antwort (; Also sind 3 Prozesse ganz normal? (;


Ob sie auf höchste Stufe gestellt wurden hab ich keine Ahnung hab eigentlich nicht bewusst änderungen Vorgenommen.
Und warum hat mein Bruder dann im Task Manager kein einzigen dllhost.exe Prozess? (;

 

[Phelan]

@TE

belies Dich hier, dort wird alles erklärt. (Auch die Live CD)
https://www.botfrei.de/index.html

Hast Du Browser Plugins installiert? z.b. noScript, Ghostery etc ?

 

[purzelbär]

Avast würde ich auch nicht für MSE runterschmeißen und wie du jaselbst schreibst, hast du die Probleme seitdem du den Win / Firewall Aufsatz verwendest. Also deinstalliere den jetzigen, verwende einen anderen(wurde ja schon genannt), verwende nur die Win 7 Firewall oder probiere es mit der Comodo 6 Firewall oder Online Armor Free Firewall(bei der Installation Eineschränkte Free Version wählen)aus. Ich selbst verwende nun schon länger allerdings für XP neben Avast Free Online Arr Free Firewall und binmit dieser sehr zufrieden. Nicht zuletzt auch deswegen weil die Installation sehr easy ist und weil die Firewall(ein auf Wunsch deaktivierbares)starkes HIPS(mit dessen Meldungen man sich auch beschäftigen muss)mitbringt.

 

[Wilhelm14]

...doch da ich selbst etwas kontrollieren will welche Prozesse auf meinen PC zugreifen habe ich mir auf ebenfalls anraten eines Users dieses Toll Heruntergeladen es heißt *Windows 7 Firewall Control* von Chip.de

Deinen Ausführungen nach zu Folge weißt du nicht, was man blocken darf und was nicht. Du gehst nach Gutdünken vor. "Kenn' ich nicht also block ich es".
Du blockst normale Windows-Dienste. Das wäre so als ob man bei einem Menschen das Kratzen oder Augenzwinkern blockiert. Das passiert alles automatisch im Hintergrund. Blockieren stört also den Normalbetrieb.

Windows 7 Firewall Control
Avast
Malwarebytes Anti Malware
Reg Clean Pro
Comodo
ADW Cleaner
HijackThis
OTL

Du fummelst deine Installation noch kaputt.
Nimm wie madman1209 schon sagt, die Windows-Firewall plus einen Virenscanner. Fertig.
Dir scheint ja ständig etwas suspekt zu sein und lässt dir keine Ruhe. Du fährst schon richtig, wenn du die entsprechende Datei bei Virustotal hochlädst und testest.

 

[XHitcher1]

@TE

belies Dich hier, dort wird alles erklärt. (Auch die Live CD)
https://www.botfrei.de/index.html

Hast Du Browser Plugins installiert? z.b. noScript, Ghostery etc ?

von NO Script hab ich schon gehört dass dies gut sein soll für was dass aber im Endefekt wirklich gut ist weiß ich leider nicht?


Ich hab nur ein Ad on installiert dass ist *Ad Block Plus* um werbung zu blocken warum fragst du?

Und eben *Avast online security*


Und *SChockwave flash* aber dass brauch ich um youtube videos zu kucken z.b (;

Ergänzung (23. August 2013)

l(ein auf Wunsch deaktivierbares)starkes HIPS(mit dessen Meldungen man sich auch beschäftigen muss)mitbringt.

Noch nie was HIPS gehört ist dass Kompliziert?

Wie ist den die Comodo firewall und verträgt die sich zu *Avast*? Und wie ist die Armor Free Firewall welche von beiden ist SICHERER und einfacher zu bedienen?

Was Avast betrifft hätte ich eine Frage siehe dazu bitte diesen Theard. Benutze Avast zum ersten mal.

https://www.computerbase.de/forum/t...elche-aktion-vornehmen.1245157/#post-14410069

 

[Phelan]

https://www.google.de/#fp=6fdd9ce7f33a9160&q=NoScript&safe=images

 

[XHitcher1]

Dir scheint ja ständig etwas suspekt zu sein und lässt dir keine Ruhe. Du fährst schon richtig, wenn du die entsprechende Datei bei Virustotal hochlädst und testest.

Ja dass ist auch komisch dass ich 12 svchost.exe dateien im Task manager habe obwohl ich nur chatte im Moment und dass eine davon automatisch geblockt wurde ich hab die datei nicht blocken lassen dass programm blockte sie automatisch genauso wie die datei *system* wo auch keine genaue bezeichnung bei steht was genau es ist es gibt auch keine hersteller infos.

Seltsam oder?...

Und die wurde sofort vom Programm geblockt ich kann die nicht mehr frei geben, avast, firefox und co kann ich wieder freigeben dass programm aber nicht echt seltsam.

auserdem laß ich in diesem theard dass die svchost.exen auch viren nachladen können.

https://www.computerbase.de/forum/threads/windows-7-firewall-control-sinnvoll.1045257/

Ergänzung (23. August 2013)

https://www.google.de/#fp=6fdd9ce7f33a9160&q=NoScript&safe=images

Ich nehme mal an dass ich dass noscript installieren soll oder wegen dem link? (;

Und was ist das ghost dings da? brauch ich dass auch und für was?

 

[Phelan]

Ne, der Link "sagt" das Du dich Grundlegend belesen solltest und dann hier fragen kannst.
Du kannst es natürlich auch einfach installieren und Dich überraschen lassen ^^

 

[firexs]

Alles Windows-Dienste und Programme, damit dein System läuft und die Kindergarten-Software sperrt alles.

Madman hat schon alles nötige gesagt. Wobie die Wahl des Virenscanners dir natürlich freigestellt ist.

zur DLLhost.exe -> http://www.neuber.com/taskmanager/deutsch/prozess/dllhost.exe.html das ist halt dein .Net Framework und daher relativ wichtig für manche Programme.

Und da die Windows-Programme direkt ins System eingreifen (sind ja Systemprogramme) heult die komische Firewall-Software rum, da sie wohl minderwertig programmiert ist. Bzw. sie meldet einfach alles, sog. False-Positive.

lg
fire

 

[purzelbär]

Noch nie was HIPS gehört ist dass Kompliziert?

HIPS ist ein sog. proaktiver Schutz und eine erweiterte Anwendungsüberwachung. Wenn das HIPS eine neue, unbekannte oder gar möglicherweise gefährlichenwendung erkennt, wird die per Meldefenster gezeigt und es obliegt dem User ob die zugelassen wird oder blockiert wird. Viele um nicht zu sagen die meisten Anwendungen sind aber schon in einer sog. Whitelist erfasst und das HIPS erstellt dafür automatisch ohne zutun des Users Anwendungsregeln.

Wie ist den die Comodo firewall und verträgt die sich zu *Avast*? Und wie ist die Armor Free Firewall welche von beiden ist SICHERER und einfacher zu bedienen?

Ja die Comodo Firewall verträgt sich auch mit Avast aber bei de Comodo Firewal mit Defense+(das ist das HIPS von Comodo)sollten diverse Einstellungen/Anpassungen in Comodo gemacht werden damit dieseFirewall ihren Trumpf defense+ richtig ausspielen kann. Das schöne an der Online Armor Free Firewall ist das: man installiert es und es ist schon alles eingestellt wie es sein soll und man muss erst nicht irgendwelche Einstellungen/Anpassungen vornehmen.

Was Avast betrifft hätte ich eine Frage siehe dazu bitte diesen Theard. Benutze Avast zum ersten mal.

Grundsätzlich: installiere vast benutzerdefiniert um Tools wie Secure Line, Avast Software Updater oder Avast Fernunterstützung abwählen zu können denn diese Tools braucht man nicht wirklich. Hast du vast installiert, lasse einfach die schon vorkonfigurierten instellungen wie die sind, die sind schon recht gut gewählt. Evtl. könntest du niur bei OnDemand Scans zusätzlich die Option der PUP Überprüfung mitaktivieren.

 

[XHitcher1]

Ne, der Link "sagt" das Du dich Grundlegend belesen solltest und dann hier fragen kannst.
Du kannst es natürlich auch einfach installieren und Dich überraschen lassen ^^

das hab ich getan Und jetzt geht mein Facebook nicht mehr warum? Ich hab zwar unten auf *Facebook script* erlauben geklickt allerdings kann ich keine Nachrichten mehr öffnen

Sag mir bitte kurz was es mit dem Ghost dings auf sie hat und wie dass komplett heist?

 

[Wilhelm14]

Ja dass ist auch komisch dass ich 12 svchost.exe dateien im Task manager habe obwohl ich nur chatte im Moment...

Nein, das ist nicht komisch. Das ist normal. Wer sagt dir, dass das komisch ist?
https://www.google.de/search?q=svchost.exe&tbm=isch
http://windows.microsoft.com/de-de/windows-vista/what-is-svchost-exe

 

[XHitcher1]

Und da die Windows-Programme direkt ins System eingreifen (sind ja Systemprogramme) heult die komische Firewall-Software rum, da sie wohl minderwertig programmiert ist. Bzw. sie meldet einfach alles, sog. False-Positive.

lg
fire

Nein Sie meldet nicht alles (; das stimmt nicht, komisch finde ich dass sie den prozess SYSTEM gesperrt hat und dass dort keine genaueren Angaben wie herausgeber etc stehen.

Bei *svchost.exe* die er sperrte steht wenigstens der angebliche herausgeber microsoft dran, allerdings hat er die exe gesperrt und es funktioniert trotzdem alles auch im inet dass wundert mich ein bisschen, zumal ja im task manager immer noch 12 svchost.exe aktiv sind.

Ergänzung (23. August 2013)

Ja die Comodo Firewall verträgt sich auch mit Avast aber bei de Comodo Firewal mit Defense+(das ist das HIPS von Comodo)sollten diverse Einstellungen/Anpassungen in Comodo gemacht werden damit dieseFirewall ihren Trumpf defense+ richtig ausspielen kann. Das schöne an der Online Armor Free Firewall ist das: man installiert es und es ist schon alles eingestellt wie es sein soll und man muss erst nicht irgendwelche Einstellungen/Anpassungen vornehmen.
Evtl. könntest du niur bei OnDemand Scans zusätzlich die Option der PUP Überprüfung mitaktivieren.

Danke für die kurze Erklärung (;

Ja ich habe es getan (; Ich habe bei Avast beim komplett scan meines pc´s auf PUPS überprüfen aktiviert (;

Und die tools hab ich leider mit installiert da ich dachte wenn Sie von Avast sind werden sie schon nützlich sein oder sind die gefährlich?

Und welche von beiden ist nun sicherer? die Comodo oder die Armor firewall? (;


Danke dir.

Ergänzung (23. August 2013)

siehe hier

https://www.computerbase.de/forum/threads/windows-7-firewall-control-sinnvoll.1045257/

da steht dass sich dadurch auch viren verbreiten können (;

Auserdem hat mein bruder auch win 7 , 64 bit an seinem laptop und hat nicht soviele svchost.exe dateien er hat nichtmal eine dllhost.exe datei in den prozessen ich aber schon ):

 

[purzelbär]

Und die tools hab ich leider mit installiert da ich dachte wenn Sie von Avast sind werden sie schon nützlich sein oder sind die gefährlich?

Kannst du über Systemsteuerung/Software vast auswählen per Änderungsinstallation abwählen(Haken wegnehmen und auf weiter gehen)dann werden diese Funktionen per Änderungsinstallation deinstalliert. Gefährlich sind die nicht, aber man braucht die nicht in einem AV und der Avast Software Updater soll nicht so fix sein wie zum Beispiel Secunia PSI oder FileHippo Update Checker.

Und welche von beiden ist nun sicherer? die Comodo oder die Armor firewall? (;

Sind beide gleich sicher und beide haben durch ihre HIPS'e einen proaktiven Schutz der jeweils zu den Besten(mit Kaspersky)zu zählen ist und in jedem Fall ergänzt das HIPS entweder von Comodo oder OnlineArmor Free Avast Free sehr gut. An deiner Stelle würde ich zuerst ein Systembackup vom jetzigen System machen, dann den Win7 Firwall Aufsatz deinstallieren wenn der dir nicht zusagt und dann zuerst neben Avast die Online Armor Free Firewall installieren. Wenn du damit zurecht kommst isses gut und du hast die passende FW gefunden und wenn nicht kannst du dir die Comodo FW Defense+ noch anschauen(nachdem Online Armor deinstalliert wurde)und diese konfigurieren(gibt es englische Anleitungen dazu im Internet).