Nizzmo 10 Geschrieben 10. April 2006 Melden Teilen Geschrieben 10. April 2006 Hallo, ich Betreibe einen Exchange Server 2003 und hab seit kurzer Zeit den Dienst dllhost.exe 2x in meinem Task-Manager. Kaspersky erkennt leider keinen Virus, wobei ich aber vermute, dass das auf einen Virus zurückzuführen ist. Google weiß zu dem Thema leider garnix! Hier noch ein Screenshot meines Taskmanagers: http://img153.imageshack.us/my.php?image=dllhost8rf.png Die Dllhost.exe-Datei gibts am ganzen Server übrigens nur 1x. Wisst ihr wie ich da am besten vorgehen könnte!? Lg Markus Zitieren Link zu diesem Kommentar
Lian 2.421 Geschrieben 10. April 2006 Melden Teilen Geschrieben 10. April 2006 Hallo, schau Dir mal mit dem Process Explorer an, was dahintersteckt: http://www.sysinternals.com/Utilities/ProcessExplorer.html Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 10. April 2006 Melden Teilen Geschrieben 10. April 2006 Der DLLHOST wird normalerweise vom IIS geladen, wenn dort eine Anwendung eine DLL lädt. U.U. auch mehrfach. Was ist "MRE-xxx.." für ein Konto ? -Zahni Zitieren Link zu diesem Kommentar
Nizzmo 10 Geschrieben 11. April 2006 Autor Melden Teilen Geschrieben 11. April 2006 Hallo, schau Dir mal mit dem Process Explorer an, was dahintersteckt: http://www.sysinternals.com/Utilities/ProcessExplorer.html Hallo Lian, der Process Explorer von Sysinternals hat mir damals leider nichts angezeigt. Der hat nur einen Process mit dem namen DLLHost.exe angezeigt und dieser war der Orginal-Prozess. Momentan kann ich den zweiten Prozess aber auch nicht weiter untersuchen, da dieser nicht mehr läuft. Ich hab den Server im Angesicherten Modus gebootet und die DllHost.exe-Datei gelöscht. Dann den Server gebootet. Da lief dann natürlich der Exchange Server, uvw. nicht mehr. Dann habe ich von einem anderen Server die Datei DllHost.exe wieder ins System32-Verzeichnis kopiert. Dannach habe ich dann die benötigten Prozesse manuell gestartet. Und seitdem läuft der Server. Aber ich befürchte, dass der Prozess wieder da ist, wenn ich den Server neu durchstarte - was ich aber sowieso bald machen muss (Microsoft Patchday). Nur irgendwie habe ich Angst, dass sich der Prozess zu einer bestimmten Zeit aktivieren könnte und dann schaden auf meinem Server anrichtet. MfG Markus Zitieren Link zu diesem Kommentar
Nizzmo 10 Geschrieben 11. April 2006 Autor Melden Teilen Geschrieben 11. April 2006 Der DLLHOST wird normalerweise vom IIS geladen, wenn dort eine Anwendung eine DLL lädt. U.U. auch mehrfach. Was ist "MRE-xxx.." für ein Konto ? -Zahni Hallo Zahni, ich habe vorhin nochmal einige Sachen mit dem ISS getestet (mehrfachzugriff auf Outlook Web Access, neustart des ISS, usw). Aber ich habe leider das Phänomen von vor ein paar Tagen nicht reproduzieren können. Ich habe den Benutzer MRE-*** in meinem System nicht gefunden. Kann ich irgendwie automatisch mein gesamtes AD nach dieses Benutzer absuchen lassen?? MfG Markus Zitieren Link zu diesem Kommentar
hwimmer 10 Geschrieben 11. April 2006 Melden Teilen Geschrieben 11. April 2006 Hallo, in welchem Verzeichnis liegt die dllhost.exe ? Normalerweise im "c:\windows\system32" Ist das bei dir so, oder gibts auch noch in anderen Verzeichnissen diese Datei ? Zitieren Link zu diesem Kommentar
Gulp 252 Geschrieben 11. April 2006 Melden Teilen Geschrieben 11. April 2006 Hier ist Vorsicht angesagt, die DLLHOST.EXE ist eine reguläre OS Datei, die man besser nicht löscht. Virenbauer spielen jedoch gerne mit ähnlichen Schreibweisen, zB DIIHOST.EXE (klein geschrieben leicht zu verwechseln - dIIhost.exe -). Grüsse Gulp Zitieren Link zu diesem Kommentar
Nizzmo 10 Geschrieben 11. April 2006 Autor Melden Teilen Geschrieben 11. April 2006 Hallo, in welchem Verzeichnis liegt die dllhost.exe ? Normalerweise im "c:\windows\system32" Ist das bei dir so, oder gibts auch noch in anderen Verzeichnissen diese Datei ? Hallo, die Datei DllHost.exe existiert nur einmal am Server. Die Datei liegt Ordnungsgemäß im Verzeichnis "c:\windows\system32\". Und die Datei ist auch von Microsoft signiert. Also ich glaube nicht, dass dllhost.exe an sich verseucht ist, sondern dann sich entweder eine andere Datei als DllHost.exe ausgibt, oder DllHost.exe eine verseuchte dll-Datei aufruft. MfG Markus Zitieren Link zu diesem Kommentar
Nizzmo 10 Geschrieben 11. April 2006 Autor Melden Teilen Geschrieben 11. April 2006 Hier ist Vorsicht angesagt, die DLLHOST.EXE ist eine reguläre OS Datei, die man besser nicht löscht. Virenbauer spielen jedoch gerne mit ähnlichen Schreibweisen, zB DIIHOST.EXE (klein geschrieben leicht zu verwechseln - dIIhost.exe -). Grüsse Gulp Hallo Gulp, der Umsatnd mit der Groß- und Kleinschreibung ist leider nicht vorhanden, also diesen Fall können wir schon mal ausschliessen. Ich habe letzte Woche einfach mal in der Nacht an den Servern rumprobiert. Notfalls hätte ich ein aktuelles Backup des Systemstates zurückgespielt. Das wäre kein allzugroßes Problem gewesen. MfG Markus Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.