Fragen zu 2 Prozessen: netsh.exe und wmiprvse.exe
 

Hallo!

Ich habe zwei Fragen zu Prozessen, die gestartet werden wenn ich eine Internetverbindung aufbaue.

Ich nutze ein ThinkPad, d.h. ich habe allerlei IBM-Tools installiert und verwende Access Connections zum Aufbau der Internetverbindung (LAN-Netzwerk).

1. netsh.exe
Der Prozess ist mir heute erst aufgefallen - habe ich vorher nie wahrgenommen.
Die einzige Verbindung könnte zum "Öffnen" (also die Vorschau) einer Spam-Mail in Outlook Express bestehen.
Outlook ist so konfiguriert, dass kein HTML, sondern nur Text angezeigt wird. Attachement wurde nicht geöffnet.
Die Spam-Mail kann hier nochmal nachgelesen werden. (ganz nach unten scrollen)

Der Prozess bleibt nur wenige Sekunden, kurz nachdem ich den "Befehl" zum Aufbau der Internetverbindung gebe.
Da man in Access Connections das Internetprofil komplett gestalten kann (was bei dem Profil aber nicht der Fall ist), macht es ja vielleicht auch Sinn, dass sich netsh.exe startet - ich konnte es bisher aber noch nie beobachten und würde gerne eure Meinung dazu hören.
Einmal ist auch net.exe gestartet, als ich netsh selbst offen hatte. Ansonsten startet noch SvcGuiHlpr.exe in einer weiteren Instanz (1x läuft immer); manchmal starten auch zwei neue Instanzen.
(SvcGuiHlpr.exe gehört zur IBM Software)

Pop-Ups von netsh.exe beim Startup bekomme ich nicht.
Verbindungen in TCPView sind normal.. hat sich nichts verändert.

Würde mir gerne mal anschauen, was netsh.exe überhaupt macht, wenn ich eine Internetverbindung aufbaue. Kann ich das loggen oder mir in der Eingabeaufforderung anzeigen lassen?


2. wmiprvse.exe
Ich weiß, dass das ein normaler Windows-Prozess ist und bei mir auch die "richtige" Dateigröße hat.
Der Prozess taucht schon etwas länger auf, aber ebenso "plötzlich".
Ein paar Tage vorher hatte ich ein Windows-Update gemacht - kommt der Prozess dadurch?
(startet beim Booten; geht nach bestimmter Zeit weg; startet auch mit Verwendung von Access Connections, also bei Aufbau einer Internetverbindung)


Vielen Dank für Eure Hilfe!

Das die prozesse so plötzlich auftauche und nur wenn du eine I-Net-Verbindung aktivierst lässt auf nichts gutes schließen.

Grade weil man den Beiden 'ne Menge Blödsinn anstellen kann.

Hast du erst vor kurzem das Service Pack2 oder sonstige Windows Updates draufgespielt?

Poste bitte ein Hijackthis log.

Und lasse die Dateien auf www.virustotal.com überprüfen. Poste das Ergebnis.

Danke für die Antwort.

SP2 war von Werk aus drauf. (Notebook ist erst ca. 1 Jahr alt, WinXP Pro)

Die beiden Prozesse sind unabhängig voneinander aufgetaucht:
netsh.exe erst gestern und kann ich auch nur mit der Spam-Mail in Verbindung bringen. Da der Prozess wirklich nur 1 Sekunde oder weniger aktiv bleibt, kann es sein, dass ich ihn bisher übersehen habe... aber ich bin mir eigentlich schon sicher, dass bei Herstellen einer Internetverbindung nur ein weiterer Prozess gestartet wurde. (SvcGuiHlpr.exe, der wahrscheinlich für die Statusfensterchen verwantwortlich ist beim InetAufbau)
Wenn ich mir in netsh die Details zu DHCP, DNS etc. anschaue, sind aber eigentlich die richtigen IPs eingetragen.

wmiprvse.exe habe ich ein paar Tage nach einem Windows-Update bemerkt (ca. Anfang Dez.). Das waren recht viele Updates, geschätzt alle Win-Updates fürs letzte halbe Jahr.
Ich meiner separaten Liste mit Prozessen/Diensten hatte ich mir wmiprvse.exe bisher nicht notiert. Der Prozess scheint wirklich neu zu sein..

Hijackthis Log und Scan-Bericht poste ich heute abend!

So, hier mal das Hijackthis-Logfile:
(Scan-Berichte folgen gleich..)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://g.msn.de/[...]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.lenovo.com/de/de
O2 - BHO: AcroIEHlprObj Class - {[...]} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {[...]} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {[...]} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe
O4 - HKLM\..\Run: [AwaySch] C:\Programme\Lenovo\AwayTask\AwaySch.EXE
O4 - HKLM\..\Run: [cssauth] "C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" silent
O4 - HKLM\..\Run: [PDService.exe] "C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe"
O4 - HKLM\..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
O4 - Startup: CCC.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {[...]} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {[...]} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ThinkPad-Software - Aktualisierung - {[...]} - C:\Programme\Lenovo\PkgMgr\\PkgMgr.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O14 - IERESET.INF: START_PAGE_URL=h**p://www.lenovo.com/de/de
O16 - DPF: {[...]} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?[...]
O16 - DPF: {[...]} (IBM Access Support) - h**p://www-307.ibm.com/pc/support/IbmEgath.cab
O16 - DPF: {[...]} (acpRunner Class) - h**ps://www-307.ibm.com/pc/support/access/aslibmain/content/AcpControl.cab
O18 - Protocol: skype4com - {[...]} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O20 - Winlogon Notify: AwayNotify - C:\Programme\Lenovo\AwayTask\AwayNotify.dll
O20 - Winlogon Notify: psfus - C:\WINDOWS\system32\psqlpwd.dll
O20 - Winlogon Notify: tpfnf2 - C:\Programme\Lenovo\HOTKEY\notifyf2.dll
O20 - Winlogon Notify: tphotkey - C:\Programme\Lenovo\HOTKEY\tphklock.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: IPS-Basisservice (IPSSVC) - Lenovo Group Limited - C:\WINDOWS\system32\IPSSVC.EXE
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programme\lenovo\system update\suservice.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TSS Core Service (TSSCoreService) - IBM - C:\Programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe
O23 - Service: TVT Backup Service - Unknown owner - C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe

Scan-Bericht von virustotal.com:
(Dateien aus den jeweiligen Pfaden rauskopiert, da im Auswahlfenster sonst kaum zu finden)

netsh.exe:
Ergebnis: 0/32
File size: 88064 bytes
MD5: afcd5bb30476271f64bf897a0398faa9
SHA1: e25bdacf7a4c68836b55ebaedf9787bc2c368827
PEiD: -

wmiprvse.exe: (aus c:\windows\system32\wbem)
Ergebnis:: 0/32
File size: 218112 bytes
MD5: 971132068954f67ff53d4b82fcad844c
SHA1: 7bd682b0ccdfe3f32d1f1480dfc806aa1fde148e
PEiD: -

wmiprvse.exe: (aus c:\windows\system32\dllcache)
Ergebnis:: 0/32
File size: 218112 bytes
MD5: 971132068954f67ff53d4b82fcad844c
SHA1: 7bd682b0ccdfe3f32d1f1480dfc806aa1fde148e
PEiD: -

Ausserdem gibts noch ne "Prefetch-Datei" für wmiprvse in c:\windows\prefetch. (wie für viele andere Programme auch)


Im Hijackthis-Log war auch noch ein weiterer Eintrag, den ich gestern entfernt hatte, aber jetzt nicht mehr als Backup in Hijackthis vorhanden ist..
Ich glaube, der Eintrag hing mit einem Registry-Eintrag zusammen, wo DomainNameServer etc. für ein Internetprofil (per FritzCard) konfiguriert waren. (der Eintrag ist noch da in der Registry)
Ist wahrscheinlich nichts schlimmes, ärgert mich aber, dass das Backup verschwunden ist...

Die Virustotal Ergebnisse sind überhaupt nicht komplett. Das ist nur die Fußnote. Die Ergebnisse der einzelnen Scanner interessieren uns. Die Untersuchung der Dateien kann übrigens mehrere Minuten dauern..

Bitte überprüfe folgende Datei ebenfalls und poste von allen dann die kompletten logs.

Und es gibt noch etwas mehr für dich zu tun:

Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:

* Blacklight
* eScan
* Silentrunners
* combofix

Die Scans habe ich jeweils komplett durchführen lassen. Ich habe das Ergebnis zusammengefasst, da alle Resultate negativ waren. (steht unter den Dateinamen in meinem vorigen Beitrag)

DLASHX_W.DLL gehört zu "Sonic Solutions" und ist die mitgelieferte Brennsoftware. Ein Scan hat das nochmal bestätigt. (0/32 positiv)

Weitere Tools zur Durchführung von Scans/Überprüfung etc. installiere ich eher ungern. Was sagen denn die Sachen, die ich bisher gepostet habe?
Ist es z.B. normal, dass wmiprvse.exe beim Starten des Computers als Netzwerkdienst geladen wird? (bei WinXP Pro, SP2, realativ aktuelle Updates)

Ich habe mal das Ereignisprotokoll von Access Connections genutzt und dabei folgenden interessanten Eintrag gefunden:
Ok AcSvc( SYSTEM(Prvlg).1172.3660) 01:30:01:500 AcTcpIp::SetTcpIpSettings: Createprocess C:\WINDOWS\system32\netsh.exe exec "C:\Programme\ThinkPad\ConnectUtilities\dhcpcfg.dmp" success
Die Uhrzeit stimmt ziemlich genau mit dem Zeitpunkt überein, zu dem netsh.exe als Prozess im Task-Manager auftaucht. (ca. +6 Sekunden, das System ist während der Aufzeichnung des Ereignisprotokolls stockend langsam) Ein weiteres Mal wird netsh.exe dann nicht mehr aufgerufen..

In der dhcpcfg.dmp steht lediglich: interface ip set address "LAN-Verbindung" dhcp


Zur Überprüfung müsste ich eine LAN-Verbindung ohne Access Connections herstellen.. Wo geht das?

ich ebenfalls daher hat keins der vier genannten eine Installationsroutine ;)

nicht genug daher sind die scans nötig. :)

Zu deinen weiteren Fragen recherchiere ich grade aber führe bitte die Scans durch.

Der Eintragbereitet mir nämlich Sorge.