%E2%80%9C%20%E2%80%93%20Ist%20das%20ein%20Virus%2FTrojaner%3F.png)
Auf dem Screenshot können Sie sehen, dass es zwei sind svchost.exe.
Das eine ist svchost.exe (NetworkService)und das andere istsvchost.exe (LocalServiceAndNoImpersonation)
svchost.exe (LocalServiceAndNoImpersonation)ist nur aktiv und verwendet das Netzwerk, wenn firefox.exees aktiv ist.
Antwort1
Manche Schadsoftware verwendet häufig den Prozessnamen , um svchost.exesich zu tarnen. Die ursprüngliche Systemdatei svchost.exebefindet sich in C:\Windows\System32. Befinden sich diese Dienste woanders? Wenn ja, handelt es sich um Schadsoftware.
Was ist svchost.exe?
svchost.exeist ein Systemprozess, der mehrere Windows-Dienste hostet, oder wie Microsoft es beschreibt: „svchost.exe ist ein generischer Hostprozessname für Dienste, die von Dynamic Link Libraries ausgeführt werden“.
Warum gibt es mehrere svchost.exes?
Es gibt mehrere Instanzen dieses Dienstes. Würden alle Dienste nur unter einer einzigen svchost.exeInstanz laufen, könnte der Ausfall einer dieser Instanzen zum Absturz von ganz Windows führen. Aus diesem Grund werden die Dienste getrennt.
Sie können die Dienste mit einem Tool wie analysierenProcess Explorerund erhalten Sie weitere Informationen über ihre Aktivitäten.
Verweise: wiegeek
Antwort2
Nein, es handelt sich nicht um einen Virus/eine Malware.
Sie sagen, es erscheint nur, wenn Sie Firefox öffnen. Möglicherweise steckt keine Schadsoftware dahinter.
Ich habe auch diesen svchost-Prozess mit LocalServiceAndNoImpersonation laufen und dieser PC ist sauber.
Bisher ist LocalServiceAndNoImpersonation ein legitimer Prozess und wird von Windows AppLocker verwendet.
Windows AppLocker ist eine Sicherheitsfunktion von Windows.
https://technet.microsoft.com/en-us/library/dd759117.aspx
AppLocker ist eine neue Funktion in Windows 7 und Windows Server 2008 R2, mit der Sie basierend auf eindeutigen Dateiidentitäten festlegen können, welche Benutzer oder Gruppen bestimmte Anwendungen in Ihrer Organisation ausführen dürfen. Wenn Sie AppLocker verwenden, können Sie Regeln erstellen, um die Ausführung von Anwendungen zuzulassen oder zu verweigern.
Sie können es mit ProcessExplorer überprüfen. https://technet.microsoft.com/sysinternals/bb896653
Dort sollte auch die geladene DLL aufgeführt sein.
http://www.bleepingcomputer.com/startups/appidsvc.dll-25613.html
Ein Microsoft-Dienst, der von AppLocker verwendet wird, um die Identität einer Anwendung zu ermitteln und zu überprüfen. Bitte beachten Sie, dass dieser Dienst von svchost.exe gestartet wird, aber die eigentliche Anwendung ist das, was als Dateiname aufgeführt ist.