Nizzmo 10 Posted April 10, 2006 Report Share Posted April 10, 2006 Hallo, ich Betreibe einen Exchange Server 2003 und hab seit kurzer Zeit den Dienst dllhost.exe 2x in meinem Task-Manager. Kaspersky erkennt leider keinen Virus, wobei ich aber vermute, dass das auf einen Virus zurückzuführen ist. Google weiß zu dem Thema leider garnix! Hier noch ein Screenshot meines Taskmanagers: http://img153.imageshack.us/my.php?image=dllhost8rf.png Die Dllhost.exe-Datei gibts am ganzen Server übrigens nur 1x. Wisst ihr wie ich da am besten vorgehen könnte!? Lg Markus Quote Link to comment
Lian 2,428 Posted April 10, 2006 Report Share Posted April 10, 2006 Hallo, schau Dir mal mit dem Process Explorer an, was dahintersteckt: http://www.sysinternals.com/Utilities/ProcessExplorer.html Quote Link to comment
zahni 554 Posted April 10, 2006 Report Share Posted April 10, 2006 Der DLLHOST wird normalerweise vom IIS geladen, wenn dort eine Anwendung eine DLL lädt. U.U. auch mehrfach. Was ist "MRE-xxx.." für ein Konto ? -Zahni Quote Link to comment
Nizzmo 10 Posted April 11, 2006 Author Report Share Posted April 11, 2006 Hallo, schau Dir mal mit dem Process Explorer an, was dahintersteckt: http://www.sysinternals.com/Utilities/ProcessExplorer.html Hallo Lian, der Process Explorer von Sysinternals hat mir damals leider nichts angezeigt. Der hat nur einen Process mit dem namen DLLHost.exe angezeigt und dieser war der Orginal-Prozess. Momentan kann ich den zweiten Prozess aber auch nicht weiter untersuchen, da dieser nicht mehr läuft. Ich hab den Server im Angesicherten Modus gebootet und die DllHost.exe-Datei gelöscht. Dann den Server gebootet. Da lief dann natürlich der Exchange Server, uvw. nicht mehr. Dann habe ich von einem anderen Server die Datei DllHost.exe wieder ins System32-Verzeichnis kopiert. Dannach habe ich dann die benötigten Prozesse manuell gestartet. Und seitdem läuft der Server. Aber ich befürchte, dass der Prozess wieder da ist, wenn ich den Server neu durchstarte - was ich aber sowieso bald machen muss (Microsoft Patchday). Nur irgendwie habe ich Angst, dass sich der Prozess zu einer bestimmten Zeit aktivieren könnte und dann schaden auf meinem Server anrichtet. MfG Markus Quote Link to comment
Nizzmo 10 Posted April 11, 2006 Author Report Share Posted April 11, 2006 Der DLLHOST wird normalerweise vom IIS geladen, wenn dort eine Anwendung eine DLL lädt. U.U. auch mehrfach. Was ist "MRE-xxx.." für ein Konto ? -Zahni Hallo Zahni, ich habe vorhin nochmal einige Sachen mit dem ISS getestet (mehrfachzugriff auf Outlook Web Access, neustart des ISS, usw). Aber ich habe leider das Phänomen von vor ein paar Tagen nicht reproduzieren können. Ich habe den Benutzer MRE-*** in meinem System nicht gefunden. Kann ich irgendwie automatisch mein gesamtes AD nach dieses Benutzer absuchen lassen?? MfG Markus Quote Link to comment
hwimmer 10 Posted April 11, 2006 Report Share Posted April 11, 2006 Hallo, in welchem Verzeichnis liegt die dllhost.exe ? Normalerweise im "c:\windows\system32" Ist das bei dir so, oder gibts auch noch in anderen Verzeichnissen diese Datei ? Quote Link to comment
Gulp 257 Posted April 11, 2006 Report Share Posted April 11, 2006 Hier ist Vorsicht angesagt, die DLLHOST.EXE ist eine reguläre OS Datei, die man besser nicht löscht. Virenbauer spielen jedoch gerne mit ähnlichen Schreibweisen, zB DIIHOST.EXE (klein geschrieben leicht zu verwechseln - dIIhost.exe -). Grüsse Gulp Quote Link to comment
Nizzmo 10 Posted April 11, 2006 Author Report Share Posted April 11, 2006 Hallo, in welchem Verzeichnis liegt die dllhost.exe ? Normalerweise im "c:\windows\system32" Ist das bei dir so, oder gibts auch noch in anderen Verzeichnissen diese Datei ? Hallo, die Datei DllHost.exe existiert nur einmal am Server. Die Datei liegt Ordnungsgemäß im Verzeichnis "c:\windows\system32\". Und die Datei ist auch von Microsoft signiert. Also ich glaube nicht, dass dllhost.exe an sich verseucht ist, sondern dann sich entweder eine andere Datei als DllHost.exe ausgibt, oder DllHost.exe eine verseuchte dll-Datei aufruft. MfG Markus Quote Link to comment
Nizzmo 10 Posted April 11, 2006 Author Report Share Posted April 11, 2006 Hier ist Vorsicht angesagt, die DLLHOST.EXE ist eine reguläre OS Datei, die man besser nicht löscht. Virenbauer spielen jedoch gerne mit ähnlichen Schreibweisen, zB DIIHOST.EXE (klein geschrieben leicht zu verwechseln - dIIhost.exe -). Grüsse Gulp Hallo Gulp, der Umsatnd mit der Groß- und Kleinschreibung ist leider nicht vorhanden, also diesen Fall können wir schon mal ausschliessen. Ich habe letzte Woche einfach mal in der Nacht an den Servern rumprobiert. Notfalls hätte ich ein aktuelles Backup des Systemstates zurückgespielt. Das wäre kein allzugroßes Problem gewesen. MfG Markus Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.