Meine Sygate firewall meldet bei jedem Internetbesuch mehrmals, daß unter Anderem 2 Zugriffe geblockt wurden. 1. Generic Host Process for Win32 Services (file name svchost.exe) 2. NT-Kernel and -System (file name ntoskrnl.exe) Ich würde jetzt gerne wissen, worum es sich dabei handelt. Ist das ein Virus oder ist das für Windows wichtig? Vielen Dank im Voraus P.L.
Archiv Windows XP 25.916 Themen, 128.567 Beiträge
svchost.exe und ntoskrnl.exe sind beides Bestandteile des Betriebssystems. Das sind keine Viren. Das sind aktive Prozesse des OS . Über meine Firewall habe ich beiden verboten was aus dem Internet zu kriegen bzw. was ins Netz zu senden. Für den Betrieb von XP sind sie unverzichtbar.
Greetz!!
Hallo Heideuwe,
...Über meine Firewall habe ich beiden verboten was aus dem Internet zu kriegen bzw. was ins Netz zu senden... Das scheint von Programm zu Programm unterschiedlich zu sein: Ich benutze Zone Alarm - dort muß mann dem "Generic Host Process" Zugriff auf das Netz gewähren, sonst kann keine Seite geöffnet werden. Ist das geschehen, z.B. hier auf Nickles, kann ich "Generic Host Process" blockieren und auf allem, was Nickles heißt, surfen. Wenn ich jedoch zu einer völlig anderen URL wechseln will funktioniert das nicht, wenn ich nicht zuvor "Generic Host Process" wieder freischalte - folglich lasse ich ihn permanent "offen" und habe auch noch kein Problem damit gehabt. "ntoskrnl.exe" dagegen hat bei mir noch nie versucht ins Netz zu gelangen - sonst hätte Zone Alarm es, mit 4 blauen Fragezeichen versehen, gemeldet. (Windows XP-prof/SP1+2) Man sieht mal wieder, wie vielschichtig solche Angelegenheiten sein können...
Gruß! K-F.
[Diese Nachricht wurde nachträglich bearbeitet.]
Sie mal einer kuck. Ich habe XPpro+SP2 und benutze die Kerio Personal Firewall mit Mozilla Firefox. Ich sämtliche Prozesse außer DNS blocken. Generic Host Process, IGMP, Ping, VPN, ICMP, Broadcasts usw.
Ist aber interessant, daß ZA das nicht tut.
Greetz!!
natürlich kann es sein, dass diese dateien, weil sie systemdateien sind und sie damit zugriff auf andere kommunikationsschichten des betriebssystems haben, somit also gute ziele darstellen, von einem virus, wurm oder trojaner befallen sind. allerdings ist svchost.exe ein ganz normaler prozess von windows und falls die ntoskrnl.exe nicht gerade im ordner "dokumente und einstellungen" liegt, sondern im windows\system32-ordner, dann ist auch dies eine systemdatei der du den traffic ruhig gestatten kannst.
gruss
baddle :D
Die allermeisten Viren und Trojaner werden übrigens in den beiden genannten Ordnern DOKUMENTE UND EINSTELLUNGEN und SYSTEM 32 abgelegt.
Deshalb diese Ordner besonders oft und gründlich prüfen lassen..................
"...Die allermeisten Viren und Trojaner werden übrigens in den beiden genannten Ordnern DOKUMENTE UND EINSTELLUNGEN und SYSTEM 32 abgelegt. ..."
einigen wir uns darauf, das dieses verhalten EINIGE viren und trojaner draufhaben - nicht die meisten.
"...Deshalb diese Ordner besonders oft und gründlich prüfen lassen..."
deshalb prüft man regelmäßig den gesamten rechner mit einem vernünftigen und vor allem aktuellen virenscanner.
;-)
Nun, da Ihr scheinbar etwas besser "im Thema" seid: habe das aktuellste McAffee_Paket und komisch, manchmal einmal, machmal bis zu viermal meldet dieses System, dass in meinen Dok. & Einstellungen ein Virus unter "temp." gelöscht wurde. 99% war es W32/Netsky.p.em!exe. Trotz täglichem Vollscan (incl. Stinger neu) habe ich jetzt den Verdacht, dass sich Netsky irgendwo eingenistet hat und sich unregelmäßig selbst aktiviert, dann vom McAffen entdeckt und wieder gelöscht wird. Nie ein Mail geöffnet (Anhang!) etc. Bin langsam ratlos. Dann ertönen urplötzlich und unerwartet kurze Töne aus den Boxen (Musik etc.) und dann sind diese wieder lange still. Bis zum nächsten Mal. Nett, nicht? Habe keine Lust, das ganze System neu aufzuspielen. Mehr an Störungen gibt es nicht. Wäre trotzdem SEHR nett, wenn Ihr mir einmal einen Tipp geben könnt, um diesen Geist wieder los zu werden. Habe windoof2000Prof.
Hallo Peter!
baddle schrieb: "allerdings ist svchost.exe ein ganz normaler prozess von windows und falls die ntoskrnl.exe nicht gerade im ordner "dokumente und einstellungen" liegt, sondern im windows\system32-ordner, dann ist auch dies eine systemdatei der du den traffic ruhig gestatten kannst."
Diese Info habe ich auch! Bei dem Hinweis auf den Generic Host Process handelt es sich um die svchost.exe, welche meist in mehreren Instanzen auf Win2k/XP läuft. Sie versorgt die verschiedensten Windows-Dienste mit DLL-Bibliotheken. Über den Generic Host Process laufen wichtige Funktionen wie der DNS (Domain Name Service), der für die Umsetzung von URLs in IP-Adressen verantwortlich ist. Werden derartige Prozesse geblockt, können keine Internet-Seiten mehr gefunden werden. Heideuwe hat nach meiner Vermutung mindestens einem dieser Prozesse nicht den Ausgang gesperrt (der für DNS verantwortlich ist), um überhaupt surfen zu können. Es ist vielleicht nur die Frage, wie detailliert eine Firewall einen Prozess beschreibt.
Laut PC-Praxis-Magazin bieten solche Dienste keinerlei Funktionalität für Spionage-Funktionen (sofern es sich um die Original-Dateien handelt!).
Die Datei ntoskrnl.exe ist ein Kernbestandteil der Windows-Netzwerkkomponenten und auch verantwortlich für den NetBIOS-Verkehr. Falls dein Rechner nicht in einem Windows-Netzwerk eingebunden ist, kannst du die NetBIOS-Funktion einfach deaktivieren. Dann will ntoskrnl.exe auch nicht mehr "telefonieren".
Hier noch eine Webpage zur Konfiguration von Windows-Diensten mit weiteren Links zum Thema. Zu beachten auch die (provokanten?) Thesen zum Sinn und Unsinn von Personal Firewalls weiter unten auf dieser Seite. Klick mich!
MfG
UselessUser
