AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Betriebssysteme Erfahren wer einen Prozess gestartet hat?
Thema durchsuchen
Ansicht
Themen-Optionen

Erfahren wer einen Prozess gestartet hat?

Ein Thema von Popov · begonnen am 14. Jul 2012 · letzter Beitrag vom 15. Jul 2012
Antwort Antwort
Seite 1 von 2  1 2      
Popov
(Gast)

n/a Beiträge
 
#1

Erfahren wer einen Prozess gestartet hat?

  Alt 14. Jul 2012, 14:45
Gibt es eine Möglichkeit zu erfahren wer einen Prozess gestartet hat? Ich hab auf dem Laptop eines Bekannten ein Programm entdeckt, das eigentlich ein System-Programm sein soll, allerdings erst ab Vista, er hat aber XP. Zweitens wird er aus Anwendungsdaten-Ordner gestartet. Drittens hat er kein Icon. Viertens, wenn ich ihn lösche, ist er nach dem Neustart wieder da.

Der Virenscanner meldet nichts, auch wenn das Programm direkt geprüft wird, ist aber sehr beschäftigt, ständig um die 50%. Der Auslastungsmonitor zeigt eine enge Sägezahn Auslastung. Alle Autoruns sind sauber, alles bekannte Programme. Trotzdem gehe ich von einem Schädling aus, da die Anzeichen da sind.

Wie gesagt bringt löschen der Datei nichts, da sie nach dem Neustart wieder da ist.

Ich hab das Problem vorerst gelöst in dem ich die Datei stillgelegt habe, das Programm kann also nicht ausgeführt werden, der Virenscanner ist jetzt ruhig. Das Problem scheint nur Kontoabhängig zu sein, so dass Problem schnell gelöst werden könnte. Trotzdem würde es nicht interessieren welches Programm das Programm startet. Kennt einer eine Methode?
  Mit Zitat antworten Zitat
Benutzerbild von Dalai
Dalai

Registriert seit: 9. Apr 2006
1.682 Beiträge
 
Delphi 5 Professional
 
#2

AW: Erfahren wer einen Prozess gestartet hat?

  Alt 14. Jul 2012, 15:14
AutoRuns, Process Explorer und Process Monitor sind hier sehr hilfreich, alle zu finden unter www.sysinternals.com. [Ergänzung] Im Process Explorer sieht man einen Prozessbaum und damit ist auch ablesbar, wer den fraglichen Prozess gestartet hat (allerdings nur, wenn der Vaterprozess sich nicht selbst beendet hat).[/Ergänzung]

MfG Dalai

Geändert von Dalai (14. Jul 2012 um 15:18 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von Bernhard Geyer
Bernhard Geyer

Registriert seit: 13. Aug 2002
17.202 Beiträge
 
Delphi 10.4 Sydney
 
#3

AW: Erfahren wer einen Prozess gestartet hat?

  Alt 14. Jul 2012, 15:16
Alle Autoruns sind sauber, alles bekannte Programme. Trotzdem gehe ich von einem Schädling aus, da die Anzeichen da sind.
Schon mal SpyBot S&D probiert?
Manche Viren/Würmer tarnen sich durch einen Start durch svchost.exe/dllhost.exe
Windows Vista - Eine neue Erfahrung in Fehlern.
  Mit Zitat antworten Zitat
Benutzerbild von sx2008
sx2008

Registriert seit: 16. Feb 2008
Ort: Baden-Württemberg
2.332 Beiträge
 
Delphi 2007 Professional
 
#4

AW: Erfahren wer einen Prozess gestartet hat?

  Alt 14. Jul 2012, 15:28
Der Virenscanner meldet nichts, auch wenn das Programm direkt geprüft wird
Online Scanner benützen!
https://www.virustotal.com/de/
http://virusscan.jotti.org/de
Damit hilfst du auch den Herstellern von Antivirenprogrammen.
  Mit Zitat antworten Zitat
Popov
(Gast)

n/a Beiträge
 
#5

AW: Erfahren wer einen Prozess gestartet hat?

  Alt 14. Jul 2012, 16:33
AutoRuns, Process Explorer und Process Monitor sind hier sehr hilfreich, alle zu finden unter www.sysinternals.com.
Vielen Dank, kenne ich aber, nutze die Tools, sind wirklich zu empfehlen. Leider liefern sie auch keine Informationen, schon geprüft.

Alle Autoruns sind sauber, alles bekannte Programme. Trotzdem gehe ich von einem Schädling aus, da die Anzeichen da sind.
Schon mal SpyBot S&D probiert?
Manche Viren/Würmer tarnen sich durch einen Start durch svchost.exe/dllhost.exe
SpyBot S&D kenne ich vom hören sagen, werde es mal testen.

svchost.exe ist immer das erste was ich überprüfe, dllhost.exe zwar nicht, ist mir aber bisher noch nicht aufgefallen.

Mir ist gerade im gleichen Ordner eine Datei aufgefallen die ein Icon von Total Commander hat, nach dem Löschen und Neustart war sie auch wieder da. Der Inhalt ist eine CAB mit Total Commander, selbst sauber, online mit Virus Total geprüft, die neben der CAB vorhandene Install.exe ist eigentlich auch sauber, bis auf einen Fund "Virus in password protected archive", was es auch zu bedeuten hat. Kann sein, dass der so rein gekommen ist, scheint eine gecrackte Version zu sein, bin mir aber nicht wirklich sicher.

So wie ich es erkennen kann wurde Total Commander nicht über Admin installiert, sondern lokal, somit schwirrt der Schädling nur mit eingeschränkten Rechten lokal rum.
  Mit Zitat antworten Zitat
Benutzerbild von Dalai
Dalai

Registriert seit: 9. Apr 2006
1.682 Beiträge
 
Delphi 5 Professional
 
#6

AW: Erfahren wer einen Prozess gestartet hat?

  Alt 14. Jul 2012, 17:07
Es gibt einen Trojaner, der mit einem Total Commander Icon daherkommt. Irgendwo im TC-Forum wurde darüber diskutiert. Es könnte also gut sein, dass das dieses Ding ist.

Ich würde das System mal mit einer der vielfältig erhältlichen kostenlosen CDs scannen (Avira, Kaspersky usw). Außerdem gibt's noch Security Task Manager, der eine recht gute Analyse der laufenden Prozesse ermöglicht.

MfG Dalai
  Mit Zitat antworten Zitat
Popov
(Gast)

n/a Beiträge
 
#7

AW: Erfahren wer einen Prozess gestartet hat?

  Alt 14. Jul 2012, 18:23
Ich hab noch paar Dateien gefunden die mir verdächtig erscheinen, darunter auch eine VBS Datei. Ich verstehe die grob, aber wenn es einen gibt der sehr gut VBS beherrscht:

Code:
Set objSecurityCenter = GetObject("winmgmts:\\localhost\root\SecurityCenter2")
Set colFirewall = objSecurityCenter.ExecQuery("SELECT * FROM FirewallProduct","WQL",0)
Set colAntiVirus = objSecurityCenter.ExecQuery("SELECT * FROM AntiVirusProduct","WQL",0)
Set objFileSystem = CreateObject("Scripting.fileSystemObject")
Set objFile = objFileSystem.CreateTextFile("C:\Dokumente und Einstellungen\Popov\Anwendungsdaten\Popovv2.2.0.txt", True)
Enter = Chr(13) + Chr(10)
CountFW = 0
CountAV = 0
For Each objFirewall In colFirewall
CountFW = CountFW + 1
Info = Info & "F" & CountFw & ") " & objFirewall.displayName & Enter
Next
For Each objAntiVirus In colAntiVirus
CountAV = CountAV + 1
Info = Info & "A" & CountAV & ") " & objAntiVirus.displayName & Enter
Next
objFile.WriteLine(Info)
objFile.Close
  Mit Zitat antworten Zitat
Benutzerbild von Zacherl
Zacherl

Registriert seit: 3. Sep 2004
4.629 Beiträge
 
Delphi 10.2 Tokyo Starter
 
#8

AW: Erfahren wer einen Prozess gestartet hat?

  Alt 14. Jul 2012, 19:44
Das Script scheint nur Informationen über Firewall und AntiVirus mittels WMI abzufragen und dann in der angegebenen Textdatei zu speichern.
Projekte:
- GitHub (Profil, zyantific)
- zYan Disassembler Engine ( Zydis Online, Zydis GitHub)
  Mit Zitat antworten Zitat
Popov
(Gast)

n/a Beiträge
 
#9

AW: Erfahren wer einen Prozess gestartet hat?

  Alt 14. Jul 2012, 19:49
Ok, ich hab es, die Lösung ist so einfach, dass es schon peinlich ist. Eine Kopie des Programms war im Startmenü unter Autostart. Ich hab es am Anfang bei der Kontrolle der Autostarts bemerkt, aber wegen des Icons nicht näher betrachtet, im Gegensatz zu den Autostart-Programmen aus der Registry, die ich wiederum genau kontrollierte.

Auf jeden Fall erzeugte das Programm die Kopien unter Anwendungsdaten. Ok, das war zum Schluss einfach, aber wenn ich am Anfang den ersten Teil nicht stillgelegt hätte, hätte es sich permanent selbstständig "repariert".

@Zacherl

Letztendlich weiß ich nicht wirklich ob das Script dazugehört. Es erschien mir nur verdächtig.
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.184 Beiträge
 
Delphi 12 Athens
 
#10

AW: Erfahren wer einen Prozess gestartet hat?

  Alt 14. Jul 2012, 21:49
Wenn der Verdacht besteht, daß dieses System kompromitiert ist, dann wäre es wohl nicht verkehrt, dieses neu aufzusetzen.
$2B or not $2B
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 12:29 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz