Starker Traffic bei svchost.exe

Re(9): Starker Traffic bei svchost.exe

Glockman — Tue, 25 May 2004 21:12:53 GMT

Du hast immer mehrere Instanzen von svchost.exe laufen, je nachdem wie viele Dienste gestartet werden, die als Basis eben svchost (=Abkürzung für Service Host) brauchen. Bei mir laufen zB nur 2, bei anderen bis zu 5 Instanzen. Das ist an sich nicht ungewöhnlich.

Mir ist nur nicht ganz klar, warum der RpcSs eine Verbindung nach außen hergestellt hat. Interessant wäre gewesen, von welcher Seite aus die Verbindung initiiert wurde.

Wie man mit den Reglen der Sygate Firewall genau umgeht weis ich leider nicht genau, ich hab sie selbst nicht im Einsatz, aber es sollte möglich sein, Regeln zu definieren, die einfach ausgedrückt etwa so ausschauen:

block/deny inbound IP, remote IP=0.0.0.0/0.0.0.0, remote port/service=any, local IP=any, local port/service=135 (oder epmap bzw. der Port Deiner Wahl).

Damit schliesst Du die Ports (um genau zu sein blockst Du damit den gesamten IP Verkehr).

Wenn Du den Rechner in einem Netzwerk hast brauchst Du eine Regel, die dem internen Netz die Ports explizit erlaubt:

permit/allow either/both IP remote IP=192.168.0.0/255.255.255.0, remote port/service=any, local IP=any, local port/service=any

Die Allow-Regel sollte in der Reihenfolge weiter oben stehen, damit nicht die Deny-Regel vorher blockt.

An sich sollte es eine Einstellung geben, die jeden Traffic, egal in welche Richtung per default blockt und erst wenn Du diesen Traffic erlaubst wird dafür eine Allow-Regel erstellt. Es sollte auch kein Problem sein, für bestimmte Anwendungen gewisse Ports zu schliessen.

Vielleicht kann Dir jemand bei der Konfiguration der Sygate FW genauer helfen, ich verwende sie leider wie gesagt selbst nicht. Sorry.

Ich hoffe, das hilft Dir trotzdem ein wenig weiter.

Re(8): Starker Traffic bei svchost.exe

DJ Mastakilla — Tue, 25 May 2004 19:50:03 GMT

Sind knapp 300 blockierte Uploads für heute (ich war nur ein paar Stunden im Internet) normal?

Re(8): Starker Traffic bei svchost.exe

DJ Mastakilla — Tue, 25 May 2004 19:39:07 GMT

Danke für die Antwort! Ich bin erst jetzt wieder nach Hause und zum PC gekommen. Ich hatte in der Zwischenzeit die Verbindung allerdings getrennt.

Ja, die Patches habe ich alle brav eingespielt. Was ich aber seltsam finde, ist, das ich svchost.exe 4 mal in meinem Task Manager habe. Warum kann das sein?

Und wie kann ich bei der Sygate Firewall den Port 135 (oder auch andere Ports) sperren. Ich hab jetzt bei allen Meldungen mit svchost.exe einfach auf "Nein" geklickt - muss doch passen oder?

Re(7): Starker Traffic bei svchost.exe

Glockman — Tue, 25 May 2004 14:13:38 GMT

OK, worum es mir ging: epmap ist Port 135, und das ist genau der Port, auf dem uA auch MSBlast, Sasser und Co herumspinnen. Also darf der keinesfalls irgendwo vom Internet aus erreichbar sein.

Wenn Du in der Zwischenzeit nicht vielleicht die Internetverbindung getrennt und nachher wieder neu aufgebaut hast, so war das eine Verbindung von Deinem Rechner zu einem Fremdsystem (Deine IP=62.47.18.54, Fremde IP=62.47.55.126) welche garantiert ohne Dein Zutun hergestellt wurde -> Patches brav eingespielt?

Ich kann grad nicht mehr schreiben, hab ja auch ein "bisschen" zu arbeiten

Melde mich dann am Abend nochmal.

Re(7): Starker Traffic bei svchost.exe

dizo — Tue, 25 May 2004 12:48:39 GMT

peda bauch dich im icq

wie heist des lied was da rotti bei gigidab video als 2des spielt ?

Re(6): Starker Traffic bei svchost.exe

DJ Mastakilla — Tue, 25 May 2004 12:41:15 GMT

So, hab mir jetzt Sygate Firewall installiert. Und bereits kurz nach der Installation wollte sich svchost irgendwohin verbinden. Hab ich natürlich unterdrückt. Ich hatte dann in den nächsten paar Minuten bereits einige Einträge im Protokoll, und habe bei http://www.ripe.net nachgesehen, woher die einzelnen IP-Adressen sind. Eine aus Frankreich, aus der Türkei, aus Deutschland... was soll das bitte?

Re(6): Starker Traffic bei svchost.exe

DJ Mastakilla — Tue, 25 May 2004 11:23:06 GMT

Ja, äh, sagt mir alles relativ wenig was du da schreibst.
Wenn ich auf die Internetverbindungseigenschaften gehe, dann seh ich:

Server-IP-Adresse: 62.47.31.254
Client-IP-Adresse: 62.47.18.54

Re(5): Starker Traffic bei svchost.exe

Glockman — Tue, 25 May 2004 11:01:00 GMT

Hm, würde mich interessieren, was denn der RPC Dienst auf der ADSL-Verbindung zu suchen hat

Es geht um die "epmap"-Verbindung zum Modem. Das ist die PID 824, welche lt. Tasklist der RpcSs ist, welcher wiederum für meinen Geschmack nichts am ADSL Modem zu suchen hat.
Vor allem: bist Du N892P030? Hast Du die externe IP Adresse 62.47.55.126?

Re(4): Starker Traffic bei svchost.exe

DJ Mastakilla — Tue, 25 May 2004 10:31:26 GMT

Und tasklist /svc bringt folgendes:

Re(4): Starker Traffic bei svchost.exe

DJ Mastakilla — Tue, 25 May 2004 10:28:43 GMT

netstat -a -o bringt folgendes zum Vorschein:

Sagt mir alles nichts. Ist da vielleicht etwas Verdächtiges dabei?

Re(2): Starker Traffic bei svchost.exe

DJ Mastakilla — Tue, 25 May 2004 10:22:32 GMT

Browser ist IE 6.0, Toolbar habe ich nur die von Google.

Re: Starker Traffic bei svchost.exe

mjy@geizhals.at — Tue, 25 May 2004 10:20:50 GMT

Welchen Browser verwendest du?

Hast du irgendwelche Toolbars oder Browser-Utilities installiert?

Re(3): Starker Traffic bei svchost.exe

mjy@geizhals.at — Tue, 25 May 2004 10:19:55 GMT

> Welche Firewall würdest Du empfehlen? Und wie seh ich dann über welchen Port
> das läuft?

Sygate Personal Firewall scheint OK zu sein (hatte ich kurz im Einsatz):

http://www.sygate.de/

Re(3): Starker Traffic bei svchost.exe

Glockman — Tue, 25 May 2004 10:17:25 GMT

Hi!

Wenn das OS XP ist: netstat -a -o

Dort bekommst Du den Quell- und Zielport, die Host- und Remoteadresse sowie die PID des Prozesses, der die Verbindung aufmacht.

Das "-o" geht unter Win2k allerdings nicht, damit fällt die PID-Kennung leider weg.
Aber Du könntest versuchen, Dir mit dem Utility Tasklist (http://forum.geizhals.at/files/35/tasklist.exe , Virenfrei und von MS) und der Syntax "tasklist /svc" die Tasks und deren Dienste (in Deinem Fall svchost) anzeigen zu lassen, vielleicht kommt da was zum Vorschein, das dort nicht hingehört.

Firewall: Sygate oder Kerio sind ganz brauchbar und für den persönlichen Gebrauch gratis (aber nicht umsonst).

hth,

Re(2): Starker Traffic bei svchost.exe

DJ Mastakilla — Tue, 25 May 2004 10:02:23 GMT

So, hab jetzt AdAware (neuestes Update) und Spybot (neuestes Update) drüberlaufen lassen. AdAware findet nichts; Spybot hat 50 Probleme gefunden und auch behoben. Ich hab jetzt ein paar Minuten gewartet, aber der Traffic scheint nicht aufzuhören.

Welche Firewall würdest Du empfehlen? Und wie seh ich dann über welchen Port das läuft?

Re: Starker Traffic bei svchost.exe

mjy@geizhals.at — Tue, 25 May 2004 09:47:59 GMT

1) Spybot S&D verwenden
2) Welcher Port wird verwendet? Mach' den einfach per Firewall zu ...

Starker Traffic bei svchost.exe

DJ Mastakilla — Tue, 25 May 2004 09:34:14 GMT

Seit gestern habe ich starken Traffic wenn ich gar nichts im Internet mache. Wenn ich mich einwähle und überhaupt nichts mache, habe ich nach 1 Stunde ein paar MB Traffic. Das meisten davon im Download.

Ich habe beim netlimiter nachgesehen, der meiste Teil fällt auf svchost.exe; und da zu den IP-Nummern 232.1.0.0 und 20.1.0.0

Was kann das sein? Ich bin mit Windowsupdate und Virenscanner immer auf den neusten Stand.