.........................
Outlook start automatisch
- Onderwerp starter Antoine27
- Startdatum
- Status
In Process Explorer staan 10 svchost.exe's, allemaal in een roze balkje, met veel services.
Ik heb ook eens gezocht naar outlook in Process Explorer, en ik vind enkel een aantal handles:
- HKLM\SYSTEM\ControlSet001\Services\Outlook\Performance
- \BaseNamedObjects\Outlook_Perf_Library_Lock_PID_105c
Wat die handles precies doen, of wat ze betekenen weet ik niet.
@gast0225: Sorry systeemherstel stond uitgeschakeld, en is dus geen optie.
Ik heb ook eens gezocht naar outlook in Process Explorer, en ik vind enkel een aantal handles:
- HKLM\SYSTEM\ControlSet001\Services\Outlook\Performance
- \BaseNamedObjects\Outlook_Perf_Library_Lock_PID_105c
Wat die handles precies doen, of wat ze betekenen weet ik niet.
@gast0225: Sorry systeemherstel stond uitgeschakeld, en is dus geen optie.
Zover ik kan zien hebben die handles alleen te maken met het meten van prestaties in Outlook (de "Performance" van (onderdelen van) Outlook dus).
Ook met mijn Outlook versie (=versie 2003) bestaan dergelijke handles in Process Explorer (zelfs wanneer Outlook zelf niet gestart is), dus dat helpt niet verder m.b.t. je probleem.
Misschien was niet duidelijk wat ik bedoelde: Het ging er mij om dat je Process Explorer open laat staan totdat svchost.exe weer Outlook start. Dan kijken wélke svchost.exe Outlook gestart heeft, zodat je daar dan (wellicht) uit kon halen welke service dan voor het starten van Outlook verantwoordelijk is. Klaarblijkelijk kun je blijkbaar niet 'snel' genoeg reageren om die bewuste svchost.exe te tackelen.
Wat je dan nog zou kunnen proberen (en dan zijn echt mijn opties op) is om Process Monitor te installeren en starten en daarmee te loggen wat er in realtime op je systeem gebeurt. Zodra Outlook gestart is door svchost.exe de logging afzetten en dan teruglezen welke zaken dat svchost.exe allemaal geraadpleegd (denk aan registry-instellingen) en geopend/gestart heeft (denk aan bestanden, dll's etc.) om wellicht een beeld te krijgen wat er op dat moment aan de hand is/was.
Succes,
Tijs.
Ook met mijn Outlook versie (=versie 2003) bestaan dergelijke handles in Process Explorer (zelfs wanneer Outlook zelf niet gestart is), dus dat helpt niet verder m.b.t. je probleem.
Misschien was niet duidelijk wat ik bedoelde: Het ging er mij om dat je Process Explorer open laat staan totdat svchost.exe weer Outlook start. Dan kijken wélke svchost.exe Outlook gestart heeft, zodat je daar dan (wellicht) uit kon halen welke service dan voor het starten van Outlook verantwoordelijk is. Klaarblijkelijk kun je blijkbaar niet 'snel' genoeg reageren om die bewuste svchost.exe te tackelen.
Wat je dan nog zou kunnen proberen (en dan zijn echt mijn opties op) is om Process Monitor te installeren en starten en daarmee te loggen wat er in realtime op je systeem gebeurt. Zodra Outlook gestart is door svchost.exe de logging afzetten en dan teruglezen welke zaken dat svchost.exe allemaal geraadpleegd (denk aan registry-instellingen) en geopend/gestart heeft (denk aan bestanden, dll's etc.) om wellicht een beeld te krijgen wat er op dat moment aan de hand is/was.
Succes,
Tijs.
Ok, ik heb nog wat gespeeld met "Process Monitor", en daarmee de event gecaptured.
Ik heb ontdekt dat Outlook geopend wordt vanuit DcomLaunch (Provides launch functionality for DCOM services. [De lanceerfunctie voor DCOM werd in SP2 ingevoerd. Voor die tijd stond DCOM standaard aan. Automatisch lijkt de beste keus, tenzij u alle DCOM diensten wilt uitschakelen]).
Dit is dus een standaard windows service. Ik snap nog niet waarom deze service Outlook opent.
Ik heb "Process Monitor" gestart toen ik melding kreeg van ThreatFire dat svchost mijn outlook wou starten.
Op dat moment toont PM een cyclus van "queryOpen", "CreateFile", "CreateFileMapping", "QueryStandardInformationFile", "ReadFile" en "CloseFile".
(command-line: I:\WINDOWS\system32\svchost -k DcomLaunch)
Wanneer ik ThreatFire toestemming geef Outlook te openen, verschijnt er een nieuw process "Process Create" dat mijn Outlook opent. Weerom met command-line: I:\WINDOWS\system32\svchost -k DcomLaunch.
De eigenschappen van dit Process zijn:
Description:
Company:
Name: svchost.exe
Version:
Path: I:\WINDOWS\system32\svchost.exe
Command Line: I:\WINDOWS\system32\svchost -k DcomLaunch
PID: 1192
Parent PID: 1016
Session ID: 0
User: NT AUTHORITY\SYSTEM
Auth ID: 00000000:000003e7
Architecture: 32-bit
Virtualized: n/a
Integrity: n/a
Started: 18/10/2010 11:07:15
Ended: (Running)
Modules:
xpsp2res.dll
svchost.exe
TFWAH.dll
UxTheme.dll
NETAPI32.dll
ShimEng.dll
comctl32.dll
rsaenh.dll
AcGenral.DLL
WS2HELP.dll
WS2_32.dll
SAMLIB.dll
ICAAPI.dll
mstlsapi.dll
termsrv.dll
USERENV.dll
rpcss.dll
ATL.DLL
WINMM.dll
REGAPI.dll
WINTRUST.dll
IMAGEHLP.dll
adsldpc.dll
WLDAP32.dll
CLBCATQ.DLL
COMRes.dll
OLEAUT32.dll
comctl32.dll
ole32.dll
NTMARTA.DLL
AUTHZ.dll
SETUPAPI.dll
CRYPT32.dll
MSASN1.dll
Apphelp.dll
MSACM32.dll
VERSION.dll
msvcrt.dll
ACTIVEDS.dll
ADVAPI32.dll
RPCRT4.dll
GDI32.dll
SHLWAPI.dll
Secur32.dll
kernel32.dll
ntdll.dll
SHELL32.dll
msi.dll
USER32.dll
Ik heb ontdekt dat Outlook geopend wordt vanuit DcomLaunch (Provides launch functionality for DCOM services. [De lanceerfunctie voor DCOM werd in SP2 ingevoerd. Voor die tijd stond DCOM standaard aan. Automatisch lijkt de beste keus, tenzij u alle DCOM diensten wilt uitschakelen]).
Dit is dus een standaard windows service. Ik snap nog niet waarom deze service Outlook opent.
Ik heb "Process Monitor" gestart toen ik melding kreeg van ThreatFire dat svchost mijn outlook wou starten.
Op dat moment toont PM een cyclus van "queryOpen", "CreateFile", "CreateFileMapping", "QueryStandardInformationFile", "ReadFile" en "CloseFile".
(command-line: I:\WINDOWS\system32\svchost -k DcomLaunch)
Wanneer ik ThreatFire toestemming geef Outlook te openen, verschijnt er een nieuw process "Process Create" dat mijn Outlook opent. Weerom met command-line: I:\WINDOWS\system32\svchost -k DcomLaunch.
De eigenschappen van dit Process zijn:
Description:
Company:
Name: svchost.exe
Version:
Path: I:\WINDOWS\system32\svchost.exe
Command Line: I:\WINDOWS\system32\svchost -k DcomLaunch
PID: 1192
Parent PID: 1016
Session ID: 0
User: NT AUTHORITY\SYSTEM
Auth ID: 00000000:000003e7
Architecture: 32-bit
Virtualized: n/a
Integrity: n/a
Started: 18/10/2010 11:07:15
Ended: (Running)
Modules:
xpsp2res.dll
svchost.exe
TFWAH.dll
UxTheme.dll
NETAPI32.dll
ShimEng.dll
comctl32.dll
rsaenh.dll
AcGenral.DLL
WS2HELP.dll
WS2_32.dll
SAMLIB.dll
ICAAPI.dll
mstlsapi.dll
termsrv.dll
USERENV.dll
rpcss.dll
ATL.DLL
WINMM.dll
REGAPI.dll
WINTRUST.dll
IMAGEHLP.dll
adsldpc.dll
WLDAP32.dll
CLBCATQ.DLL
COMRes.dll
OLEAUT32.dll
comctl32.dll
ole32.dll
NTMARTA.DLL
AUTHZ.dll
SETUPAPI.dll
CRYPT32.dll
MSASN1.dll
Apphelp.dll
MSACM32.dll
VERSION.dll
msvcrt.dll
ACTIVEDS.dll
ADVAPI32.dll
RPCRT4.dll
GDI32.dll
SHLWAPI.dll
Secur32.dll
kernel32.dll
ntdll.dll
SHELL32.dll
msi.dll
USER32.dll
Ik heb er ook geen verklaring voor. Misschien een Google zoektocht organiseren naar:
outlook "DCOM Server Process Launcher"
2 dingen heb ik nog voor je:
a. De DCOM Server Process Launcher service staat bij mij op opstarttype Automatisch. Waarom start die bij jou niet automatisch met Windows? Kijk het eens na in Start -> Uitvoeren -> services.msc
Als die service bij jou anders heet: De NL omschrijving is: Hiermee wordt opstartfunctionaliteit voor DCOM-services geboden
b. Van de .dll bestanden die je noemde stond TFWAH.dll niet op mijn computer. Misschien interessant om eens te kijken wat dat voor bestand is. Lijkt me overigens niet gerelateerd aan je directe probleem.
Succes,
Tijs.
outlook "DCOM Server Process Launcher"
2 dingen heb ik nog voor je:
a. De DCOM Server Process Launcher service staat bij mij op opstarttype Automatisch. Waarom start die bij jou niet automatisch met Windows? Kijk het eens na in Start -> Uitvoeren -> services.msc
Als die service bij jou anders heet: De NL omschrijving is: Hiermee wordt opstartfunctionaliteit voor DCOM-services geboden
b. Van de .dll bestanden die je noemde stond TFWAH.dll niet op mijn computer. Misschien interessant om eens te kijken wat dat voor bestand is. Lijkt me overigens niet gerelateerd aan je directe probleem.
Succes,
Tijs.
- Lid geworden
- 8 dec 2008
- Berichten
- 16.496
Hoi,
ik heb 's ff wat gegoogeld op threatfire (van de maker van pc tools) en kwam bijvoorbeeld het volgende tegen:
Hoe gaat Threatfire te werk?
Dat klinkt naar keylogger activiteiten dus zo'n programma zou ik niet op m'n pc willen hebben.Ik weet niet of het met je probleem wat te maken heeft maar ik heb zo mijn bedenkingen met dit soort programma's. Je kan beter je hosts-file regelmatig updaten.
Succes.
Edit: Je moet eens even kijken bij Remote Procedure Call(RPC) (die weer afhankelijk is van de DCom Server Launcher) welke systeemonderdelen van deze service afhankelijk zijn en dat zijn er veel (althans in win7) waaronder je virusscanner e.d. en verscheidene Windows onderdelen,waaronder windows update e.d. en geplande taken) en kijk eens of je daar een verdacht onderdeel vindt.
ik heb 's ff wat gegoogeld op threatfire (van de maker van pc tools) en kwam bijvoorbeeld het volgende tegen:
Hoe gaat Threatfire te werk?
Wat me hierin niet bevalt zijn de passages " Elke letter die je typt wordt door het programma 'gezien' en gecontroleerd." en de zin in de laatste quote.
Dat klinkt naar keylogger activiteiten dus zo'n programma zou ik niet op m'n pc willen hebben.Ik weet niet of het met je probleem wat te maken heeft maar ik heb zo mijn bedenkingen met dit soort programma's. Je kan beter je hosts-file regelmatig updaten.
Succes.
Edit: Je moet eens even kijken bij Remote Procedure Call(RPC) (die weer afhankelijk is van de DCom Server Launcher) welke systeemonderdelen van deze service afhankelijk zijn en dat zijn er veel (althans in win7) waaronder je virusscanner e.d. en verscheidene Windows onderdelen,waaronder windows update e.d. en geplande taken) en kijk eens of je daar een verdacht onderdeel vindt.
Laatst bewerkt:
Bedankt voor die tip ivm de host file, dat heb ik gedaan. Ook bij "remote procedure call" was niets verdachts te vinden.
Maar ik denk dat ik uiteindelijk de "boosdoener" gevonden heb!
Ondertussen had ik een vermoeden dat outlook steeds 60 min na het opstarten van mijn pc opende (wat zonet bevestigd werd).
Uit voorzorg had ik een imagehack geplaatst op outlook.exe (zodat cmd opende ipv outlook). Hierjuist, 60 min na het opstarten van mijn pc, startte dus cmd. Ongeveer een minuut later verscheen er op de achtergrond een foutbericht dat er geen verbinding kon gemaakt worden met Outlook. Dat bericht had ik nog gezien, maar nu bedacht ik dat die foutmelding expliciet Outlook vermeldde, terwijl cmd geopend was. Toen ik "alt+tab"-te naar de foutmelding, zag ik dat ze een bekend uitziend icoon had, namelijk dat van Google Calendar Sync, die mijn oulook kalender met mijn google kalender synchroniseert. Bij het openen van google calendar sync zag ik meteen dat het sync-interval op 60 minuten stond.
Het was dus steeds google calendar sync die mijn outlook opende, geen spy/malware :thumb:
Allemaal heel erg bedankt voor de hulp bij het opsporen van mijn probleem. Speciaal bedankje voor dnties
feeling like dr. House
Maar ik denk dat ik uiteindelijk de "boosdoener" gevonden heb!
Ondertussen had ik een vermoeden dat outlook steeds 60 min na het opstarten van mijn pc opende (wat zonet bevestigd werd).
Uit voorzorg had ik een imagehack geplaatst op outlook.exe (zodat cmd opende ipv outlook). Hierjuist, 60 min na het opstarten van mijn pc, startte dus cmd. Ongeveer een minuut later verscheen er op de achtergrond een foutbericht dat er geen verbinding kon gemaakt worden met Outlook. Dat bericht had ik nog gezien, maar nu bedacht ik dat die foutmelding expliciet Outlook vermeldde, terwijl cmd geopend was. Toen ik "alt+tab"-te naar de foutmelding, zag ik dat ze een bekend uitziend icoon had, namelijk dat van Google Calendar Sync, die mijn oulook kalender met mijn google kalender synchroniseert. Bij het openen van google calendar sync zag ik meteen dat het sync-interval op 60 minuten stond.
Het was dus steeds google calendar sync die mijn outlook opende, geen spy/malware :thumb:
Allemaal heel erg bedankt voor de hulp bij het opsporen van mijn probleem. Speciaal bedankje voor dnties
feeling like dr. House
Laatst bewerkt:
- Lid geworden
- 8 dec 2008
- Berichten
- 16.496
Fijn dat je ons de oplossing hebt aangedragen en dat je het uiteindelijk opgelost hebt.
Zo zijn wij ook weer wat wijzer geworden en kunnen we daar de volgende keer rekening mee houden. In mijn laatste thread heb ik je proberen te wijzen op Remote Procedure Call (RPC)
Succes verder.
Zo zijn wij ook weer wat wijzer geworden en kunnen we daar de volgende keer rekening mee houden. In mijn laatste thread heb ik je proberen te wijzen op Remote Procedure Call (RPC)
om aan te geven dat je het daar moet zoeken en ik weet zeker dat Google Calendar Sync daar ook bij staat.
Succes verder.
- Status
