Hallo zusammen,

ich habe seit geraumer Zeit ein dickes Problem:
Und zwar habe ich seit ca. 4 Monaten einen ungewöhnlichen Prozess im Taskmgr, der im Autostart ist, der meinen PC sehr langsam macht, den ich jedoch nicht aus dem Autostart rausbekomme, sondern jedesmal manuell beenden muss.

Der Name des Prozesses ist pythonservice.exe.

Frage: Sagt irgendjemandem dieser Prozess etwas, und weiß, was das für ein Prozess ist? Wichtig ist vor allem, ob der Prozess gefährlich ist oder nicht. :eek:
Im Internet habe ich nur unzureichende Informationen bekommen...

Danke und Gruß
goldenarrowde

Der Name des Prozesses sagt GAR NICHTS. Ich kann meinen Virus "Plüschhäschen.exe" nennen, oder vielleicht irgendeinen anderen Namen auswählen.

Was ich hier stark vermisse... hast du keinen Virenscanner?

Frag doch mal deinen Virenscanner mit aktueller definition was er von dieser Datei hält.

HijackThis durch laufen lassen.
Pfad suchen wo die .exe sich befindet und überprüfen ob es sich um ein Legales Programm handelt.

Erstes Ergebnis bei Google:
http://www.processlibrary.com/de/directory/files/pythonservice/

Erstes Ergebnis bei Google:
http://www.processlibrary.com/de/directory/files/pythonservice/
Das sagt leider nichts aus, da sich viele Viren tarnen mit falschen namen.
Wenn ich Google komme ich auf mindestens die Programme : Zope-2.7.3-0; activestate komodo 3.1; plone 2; splunk......

Genauer hier > http://www.spywaredata.com/spyware/malware/pythonservice.exe.php

Er muss nur nach schauen ob dieses Programme legal ist, wo die pythonservice.exe sich befindet.

Was ich hier stark vermisse... hast du keinen Virenscanner?

Frag doch mal deinen Virenscanner mit aktueller definition was er von dieser Datei hält.

Ich habe einen Antivirenscanner, Antivir, Classic Edition....
HijackThis durch laufen lassen.
Pfad suchen wo die .exe sich befindet und überprüfen ob es sich um ein Legales Programm handelt.

Das mache ich morgen mal.....

Gruß
Arrow

Ich habe einen Antivirenscanner, Antivir, Classic Edition....

Und das Ergebniss?

Lass dir doch nicht alle Informationen aus der Nase ziehen, sowas solltest du bereits im ersten Beitrag deutlich machen.
Wenn du einen Komplettscann macht, findet er irgendetwas?

Den Rechner mal im abgesicherten Modus starten und versuchen die Datei zu löschen.
Gib mal bei Start -> Suchen den Dateinamen komplett ein (mit.exe) und lass suchen wo sie sich befindet. Dann im abgesicherten Modus versuchen zu löschen.
Wenn das nicht geht wirst du um eine Neu-Install. nicht herum kommen.

grEETz
fuzzy

...

Gratulation. Das war... unsinnig.

1. ob es ein Virus ist oder nicht ist noch nicht geklärt
2. einen Virus durch löschen einer .exe-Datei killen zu wollen ist im besten Fall naiv
3. Den abgesicherten Modus eines potentiell infizierten Systems als sicher zu betrachten ist im besten Fall naiv
4. Selbst wenn sich die .exe tatsächlich löschen lässt, ist der Infektionsweg noch lange nicht geschlossen. Aber egaaaal, die tolle .exe ist ja weg.

Ich würde in einem solchen Fall folgendes machen.

Process Explorer (http://technet.microsoft.com/de-de/sysinternals/bb896653.aspx) starten.
Dann auf den Process klicken und in dem "Strings" Tab nach verdächtigen Einträgen suchen. Sollte das Image verschlüsselt vorliegen, dann den Punkt "Memory" anhaken.

Preisfrage: Was ist verdächtig?
http Einträge zu irgendwelchen obskuren Webseiten. Viagra-Wörter etc., sprich all das, was man nicht in einem seriösen Prozess erwartet. Zudem kann eine Auflistung der offenen Handles Aufschluss darüber geben, ob man es mit Schadsoftware zu tun hat. STRG+L schaltet die Liste der aktuellen Handles auf.

Gruß und viel Erfolg,
TC

@goldenarrowde, du könntest auch nochmal darüber nachdenken, ob nicht vielleicht doch Python installiert hast. Du könntest zumindest mal unter den installierten Programmen nachschauen.

Du wirst pythonservice.exe auch bestimmt unter dem "Run" Key in der Registry finden, bzw. solltest einmal den Pfad des Executables herausfinden. Das hättest du alles schon längst machen können.

Mehr Informationen sind immer wünschenswert.

Und das Ergebniss?

Lass dir doch nicht alle Informationen aus der Nase ziehen, sowas solltest du bereits im ersten Beitrag deutlich machen.
Wenn du einen Komplettscann macht, findet er irgendetwas?

Also, ich habe den letzten Komplettlauf vor ca. 4 Wochen gemacht, gefunden hat der jedoch nichts.
Ich lasse jetzt heute abend mal noch das Programm HijackThis durchlaufen, das habe ich noch nicht geschafft....

du könntest auch nochmal darüber nachdenken, ob nicht vielleicht doch Python installiert hast. Du könntest zumindest mal unter den installierten Programmen nachschauen.

Du wirst pythonservice.exe auch bestimmt unter dem "Run" Key in der Registry finden, bzw. solltest einmal den Pfad des Executables herausfinden. Das hättest du alles schon längst machen können.

Mehr Informationen sind immer wünschenswert.

Puuh, Registry ist immer so eine Sache für sich... da wage ich mich im Normallfall nicht rein. ;(

Preisfrage: Was ist verdächtig?
http Einträge zu irgendwelchen obskuren Webseiten. Viagra-Wörter etc., sprich all das, was man nicht in einem seriösen Prozess erwartet. Zudem kann eine Auflistung der offenen Handles Aufschluss darüber geben, ob man es mit Schadsoftware zu tun hat. STRG+L schaltet die Liste der aktuellen Handles auf.

Keine Sorge, solche Emails und Websites sind in meinem primären Email-Postfach (web.de mit Thunderbird) bzw. beim Browser (Firefox 2.0.0.5) nicht zu finden... lediglich mein sekundäres Postfach (yahoo.de) ist mit solchen Mails überlastet...und wird dementsprechend nie abgerufen.:D:D:D:D

Handles kann ich mal nachsehen.... Frage: Was für Programme verwenden solche Prozesse im Normalfall?
Ich habe auf meiner D: Partition ca. 5 GB Programme... kann es sein, das eines von diesen einen solchen Prozess verursacht?

Ich kann euch mal einen Teil der Programme nennen, die ich verwende:
- ICQ 6.5
- Live Messenger von Windoofs
- Xfire
- Skype
- Limewire
- Azureus 3.0 - jedoch seit ca. 4 Monaten nicht mehr aktiv beim ziehen !!!!!!
- Lockon 1.12b Flaming Cliffs (E: )
- Silent Hunter 3 (E: )
- FS2004 (E: )
- FSX Standardedition (E: )
- ProTrain Perfect (E: )
- Train Simulator inkl. ca. 35 Addons (E: )

Ich würde in einem solchen Fall folgendes machen.

Process Explorer starten.
Dann auf den Process klicken und in dem "Strings" Tab nach verdächtigen Einträgen suchen. Sollte das Image verschlüsselt vorliegen, dann den Punkt "Memory" anhaken.

Preisfrage: Was ist verdächtig?
http Einträge zu irgendwelchen obskuren Webseiten. Viagra-Wörter etc., sprich all das, was man nicht in einem seriösen Prozess erwartet. Zudem kann eine Auflistung der offenen Handles Aufschluss darüber geben, ob man es mit Schadsoftware zu tun hat. STRG+L schaltet die Liste der aktuellen Handles auf.

Gruß und viel Erfolg,
TC

Jetzt habe ich natürlich Quatsch gemacht und den Prozess nach dem Starten geschlossen.:uhammer:

Ansonsten sind die insgesamt 33 laufenden Prozesse ungefährlich.... 5 von mir, /Xfire,ICQ,Winrar,Firefox und den ProzessExplorer),27 Prozesse sind von XP, und ein weiterer ist dann Avira Antivir.

Viele Grüße
goldenarrowde

EDIT: (21.33 Uhr) Ich habe mal einen Suchlauf gestartet, mit dem Suchbegriff "pythonservice.exe" und habe 3 Ergebnisse gefunden.
Ich hänge noch ein Screenshot mit rein, mach grad noch das Copyright drunter und lade es hoch...

http://img530.imageshack.us/img530/3769/screenshotpythonservicehe6.th.jpg (http://img530.imageshack.us/my.php?image=screenshotpythonservicehe6.jpg)

Besonders wichtig ist die Tatsache, das es sich bei der Datei scheinbar um eine System-Datei handelt.Zumal ich das Antivirenprogramm NICHT darauf loslassen konnte... !!!

(1)Besonders wichtig ist die Tatsache, das es sich bei der Datei scheinbar um eine System-Datei handelt.(2)Zumal ich das Antivirenprogramm NICHT darauf loslassen konnte... !!!

Zu (1): Ähm... was?

Zu (2): Würmer --> Nase ziehen. WARUM nicht?

EDIT: (21.33 Uhr) Ich habe mal einen Suchlauf gestartet, mit dem Suchbegriff "pythonservice.exe" und habe 3 Ergebnisse gefunden.
Ich hänge noch ein Screenshot mit rein, mach grad noch das Copyright drunter und lade es hoch...

http://img530.imageshack.us/img530/3769/screenshotpythonservicehe6.th.jpg (http://img530.imageshack.us/my.php?image=screenshotpythonservicehe6.jpg)

Also...Sucheintrag 1 und 2 zeigen auf das gleiche.

Nun die Frage: Hast du dir zufällig die Windows-Version des AGT (Adventure Game Toolkit) installiert?
Oder irgendein Game (wohl ein älteres Adventure) was dieses vielleicht mitinstalliert hat?

Weil darauf deutet das "AGT" im Pfad des Suchergebnisses.....

Zu (1): Ähm... was?

Zu (2): Würmer --> Nase ziehen. WARUM nicht?

(1) Also, die Tatsache, das sich die Datei im Ordner Win32 befindet, zeigt doch wohl, das es sich um eine Systemdatei handelt.... Oder?

Kleine Anmerkung: Beim letzten Suchlauf (Siehe Screenshot in meinem letzten Post) waren 3 Ergebnisse zu sehen. Ich wollte jetzt grad ein neues Screenshot machen, um dem Gast, auf dessen Beitrag ich grad antworte, zu zeigen, das ich das Antivir nicht auf diesen Prozess loslassen kann, und musste feststellen: Ich habe plötzlich nur noch ein Ergebnis: Pfad: C:\Programme\AGI\common\win32

Also...Sucheintrag 1 und 2 zeigen auf das gleiche.

Nun die Frage: Hast du dir zufällig die Windows-Version des AGT (Adventure Game Toolkit) installiert?
Oder irgendein Game (wohl ein älteres Adventure) was dieses vielleicht mitinstalliert hat?

Weil darauf deutet das "AGT" im Pfad des Suchergebnisses.....

Also, die letzten Sachen, die ich installiert habe, waren:
- FSX (24.12)
- Silent Hunter 3 (gestern :D )
- ProTrain Perfect (Mitte November, jedoch nicht auf der C: Partition)

und das wars auch schon.... OK, es kommen die XP-Updates dazu, doch die kann ich wohl getrost draußen lassen...die legen a) keine eigenen Programme auf der Platte ab und b) schon gar keinen Prozess/e, der den PC langsamer macht/machen....

:confused:

Viele Grüße
Arrow

(1) Also, die Tatsache, das sich die Datei im Ordner Win32 befindet, zeigt doch wohl, das es sich um eine Systemdatei handelt.... Oder?

Öffne den Explorer, gehe in den System32-Ordner, erstelle einen neue Textdatei. Voila, du hast eine neue Systemdatei erstellt.
Oder auch nicht. Wo eine Datei liegt sagt über ihre Funktion genau so wenig aus wie ihr Name.


Kleine Anmerkung: Beim letzten Suchlauf (Siehe Screenshot in meinem letzten Post) waren 3 Ergebnisse zu sehen. Ich wollte jetzt grad ein neues Screenshot machen, um dem Gast, auf dessen Beitrag ich grad antworte, zu zeigen, das ich das Antivir nicht auf diesen Prozess loslassen kann, und musste feststellen: Ich habe plötzlich nur noch ein Ergebnis: Pfad: C:\Programme\AGI\common\win32

Antivir kannst du manuell auch nicht auf Prozesse loslassen. Aber auf Dateien. Und ich warte immer noch auf die Antwort warum du Antivir nicht auf die Datei loslassen kannst.


OK, es kommen die XP-Updates dazu, doch die kann ich wohl getrost draußen lassen...die legen a) keine eigenen Programme auf der Platte ab und b) schon gar keinen Prozess/e, der den PC langsamer macht/machen....

Wenn ich mal zu viel Zeit habe suche ich dir den Thread hier im Forum über das ServicePack 3 raus, das bei einigen Rechner nach dem Systemstart 100% Prozessorlast generiert hat...
Aber zumindest sollte sich keines der Updates "pythonservice.exe" nennen.

Also ich habe letztens was mit den Models von Fallout3 probiert,
u. da nannte sich was Python,
bei den Modulen die für den In/Export in Blender zuständig waren,

Hier die Webseite zu Python (http://www.python.org/),

kann also durchaus was mit den Spielen zu tun haben, ist wohl für irgendwelche Scriptfunktionen zuständig, :|

Kann natürlich immer noch ein Schädling sein, aber auch mal in der Richtung weiterforschen ob es nicht doch von einen Game kommt.

Jetzt habe ich natürlich Quatsch gemacht und den Prozess nach dem Starten geschlossen.:uhammer:


und er ist auch geschlossen geblieben?

wenn ja ist es zumindest ein indiz, dass es sich um keinen schädling handelt, die meisten schädlinge starten sich selbst wieder wenn sie abgeschossen werden.

http://www.pcpitstop.com/libraries/process/i/pythonservice.exe.html

Nicht alles, was sich nach "Schlange" anhört, ist auch gleich gefährlich!
Da hat die Bibel ja echt was angerichtet...
;D

"Python" ist ein kombinierter HTTP/FTP-Server der dazu dient HTTP-Applikationen in einem Netzwerk (und natürlich auch auf einem einzelnen Rechner) anzubieten.

Schau mal hier vorbei: http://www.haufe.de/

Die benutzen z.Bsp. den Python-Server für die Applikations-Distribution und die zugehörigen Software-Aktualisierungs-Komponenten.

Wenn Dich dieser Service "stört", deinstalliere die zugehörige Anwendung.
Und immer daran denken, auch andere Personen, die Zugang zu dem Rechner haben, können mal was installieren... :rolleyes:

Razor

P.S.: der Phython-Server ist natürlich nur eine Komponente... Phyton selbst ist eine Entwicklungsumgebung, wie Java oder .NET.

wenn man wüsste, wann man welche software von wo und wie auf dem rechner installiert, dann wäre es auch bedeutend einfacher das selbst oder auch über google herauszufinden, anstatt andere leute damit zu behelligen.
sorry, aber nicht zu wissen, was man installiert und sich dann zu wundern da ist ein prozess xyz...
generell kann man sowieso sagen, dass ein trojaner oder gar ein virus sich eher selten im taskmanager zu erkennen gibt oder da auftaucht, also lass besser die finger davon. wenn du nicht mehr willst, dass der prozess mitstartet, dann kann man das ja mit win bordmitteln oder diverser kostenloser software in 2min erledigen.

EDIT - muss den Beitrag neu schreiben, kann gelöscht werden.

Hallo zusammen,

also, zum einen danke für eure hilfe. Ich habe nach nur kurzem Nachsehen herausgefunden, welches Programm diesen Prozess verursacht hat. Es ist eine Toolbar, die ich vor einiger Zeit jedoch gelöscht habe. Die sog. KiweeToolbar.

Zitat:
Nicht alles, was sich nach "Schlange" anhört, ist auch gleich gefährlich!
Da hat die Bibel ja echt was angerichtet...
Zitatende

Das hat nichts mit der Bibel zu tun, ich bin nicht gläubig. :wink: :D

Nein, ich habe es jetzt von den typischen Eigenschaften eines Virus abgeleitet.

Das Thema hat sich auf jeden Fall erledigt und kann geschlossen werden.

Danke und Gruß
Arrow