Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

AvastSVC.exe verursacht unbekannten traffic: Virus drauf??

Manfredtiel / 10 Antworten / Baumansicht Nickles

Hallo,
die Datei Avastsvc.exe verursacht beim Start  von Windows 7 Ultimate so 27 Sekunden lang einen Ausgangs-Traffic von so 6000 kb/sek. Was könnte das sein? Die Datei stammt vom Avast Antivirus-Scanner und ist im richtigen Ordner. Sie gehört vermutlich zum Scanner. Wenn ich deren Internetverkehr durch die windows-Firewall blocke, kann ich keine Seite mehr aufrufen im FF. Wird die Datei vielleicht von nem versteckten Virus missbraucht? Ein Virenscan mit desinfect erbrachte nix.

http://www.file.net/prozess/avastsvc.exe.html

Auf nem anderen Rechner gibts diesen Traffic nicht.

bei Antwort benachrichtigen
shrek3 Manfredtiel „AvastSVC.exe verursacht unbekannten traffic: Virus drauf??“
Optionen

Die Antwort findest du hier im Avastforum:
http://forum.avadas.de/threads/1354-avastsvc-exe-lauscht-auf-9-Ports-Warum

http://board.gulli.com/thread/1710779-jeder-internetverkehr-geht-von-avastsvc-exe-aus/

Auf nem anderen Rechner gibts diesen Traffic nicht.

Dürfte damit zusammenhängen, dass dort entweder kein Avast läuft, der Avast-Webschutz ausgeschaltet ist oder beim Rechnerstart keine andere Programme ins Internet gehen.

Gruß
Shrek3
Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Manfredtiel shrek3 „Die Antwort findest du hier im ...“
Optionen

Danke für die Infos.
Darin steht , dass aller traffic über die avastsvc.exe gesendet wird. Und die sich dann mit dem Internet verbindet und die anderen Programme die avastsvc ansprechen um ins WWW zu gehen. wie kann ich denn festtstellen, welche Programme sich mit der avasstsvc.exe verrbinden, um ins web zu gehen? Indem ich den webschutz aussschalte ?? verbinden sich dann die einzelnen Prrogramme wieder direkt mitt dem web? denn auf deem anderen PC sind die gleichen Interrnetprogramme installiert.  Daher weiß icch jetzt nicht, welches Prog den Datenverkehr verursaacht.

bei Antwort benachrichtigen
Manfredtiel shrek3 „Die Antwort findest du hier im ...“
Optionen

habe gerade am anderen PC ausprobiert, den webschutz zu deaktivieren. Nach Neustart gehen die Internetprogramme wieder selbstständig ins internet. (Kontrolle mit TCPView). So müsste es klappen und ich kann mal nachher den webschutz auf dem Problem-PC deaktivieren und nachschauen, welche Progs so viel Datenverkehr verursachen.

bei Antwort benachrichtigen
Manfredtiel Nachtrag zu: „habe gerade am anderen PC ausprobiert, den webschutz zu ...“
Optionen

Anscheinend verursacht die Svchost.exe (Systemdatei) diesen Traffic.
Aber leider bin ich jetzt auch nicht weiter, denn die Svchost startet Dienste und ich weiß nicht welcher dienst so viel Traffic verursacht.
Mit dem Svchost Process Analyzer kann man die dienste sehen, aber nciht den Netzwerkverkehr.
Jetzt nmuss ich herausfinden, welcher dienst den Verkehr verursacht. gibt es ein Prog, dass den Netzwerkverkehr von Diensten aufzeigt??
Denn es kann ja auch ein Virus-dienst gestartet sein.

bei Antwort benachrichtigen
shrek3 Manfredtiel „Anscheinend verursacht die Svchost.exe Systemdatei diesen ...“
Optionen

Gehe mal in die Eingabeaiufforderung und gebe dort den Befehl ein:

tasklist  /svc

Du erhältst dann eine Auflistung darüber, welche Prozesse über die einzelnen Instanzen der svchost.exe laufen.

Gruß
Shrek3


Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Manfredtiel shrek3 „Gehe mal in die Eingabeaiufforderung und gebe dort den ...“
Optionen

Dasselbe macht der
SVChost Process Analyzer
Ich könnte jetzt jeden dienst in google eingeben, was sehr mühsam ist, oder ein tool finden, dass mir den Netzwerkverkehr von den einzelnen diensten anzeigt.
Mit der Liste bin ich auch nicht weitergekommen. Aber mir scheint der zusätzliche Nettzwerkverkehr sehr suspekt. es ist für Virenschreiber eine sehr gute Methode, ihren Netzwerrkverkeehr über die Svchost.exe laufen zu lassen. Jeder denkt: is ne windowsdateei, wird schon berechttigt sein.

Ich versuche mal mit wireshark mein glück

bei Antwort benachrichtigen
Manfredtiel Nachtrag zu: „Dasselbe macht der SVChost Process Analyzer Ich könnte ...“
Optionen

Ich habs rausgefunden!
Hab bei der Untersuchung einen Fehler gemacht: Es werden 6000 kbit/sek downgeloadet und nicht upgeloadet.
Damit ergibt sich in Tcpview eine andere sichtweise und der Prozess Psia.exe ist verantwortlich für den download. Wenn ich den Personal software Inspektor abschalte, gibts auch keinen Download mehr und alles ist wieder normal. Also lags am PSI-Programm.
Alles bestens!
Kein virus!
Danke für die Hilfe

bei Antwort benachrichtigen
Manfredtiel Nachtrag zu: „Ich habs rausgefunden Hab bei der Untersuchung einen Fehler ...“
Optionen

Nachtrag:
Secunia PSI hat alte Programme angezeigt. Als ich die aktualisiert habe, war auch der 6000er Download Geschichte. anscheinend hat PSI jedesmal beim Start von windows die aktuellen Programme runtergeladen im Hintergrund.

bei Antwort benachrichtigen
shrek3 Manfredtiel „Nachtrag: Secunia PSI hat alte Programme angezeigt. Als ich ...“
Optionen

Gab es denn zuvor Anhaltspunkte für Virenbefall?
So ganz ohne Grund begibt man sich ja normalerweise nicht auf die Suche nach Erklärungen für den Traffic.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Manfredtiel shrek3 „Gab es denn zuvor Anhaltspunkte für Virenbefall So ganz ...“
Optionen

Außer den traffic gab es keine Anhaltspunkte. Viren arbeiten heutzutage unauffällig. Könnte gut sein, dass sich ein rootkit installiert hat. Keyloggen, Passworte ausspähen, private Emails klauen, Kamera und Mikro anzapfen, screenshot anfertigen. Geht alles im Hintergrund unbemerkt. Ich habe netspeedmonitor und ABPMon installiert. Da kriegt man Auffälligkeiten mit.

bei Antwort benachrichtigen