svchost.exe

Irgendwie ist die Aktivität mit svchost.exe bei mir gestiegen
Also kam ich nicht um diese ätzende Arbeit der Regeleingabe herum...

Erlaube DHCP
Protokoll: UDP
Lokaler Port: 68
Remote Port: 67
Verbindungsrichtung: Ankommend
Aktion: AllowIt


Erlaube DNS
Protokoll: UDP
Lokaler Port: 53
Aktion: Erlaubt

Erlaube Time Synchronizer Verbindung
Protokoll: UDP
Remote Port: 123
Aktion: Erlaubt


Erlaube HTTP Verbindung
Protokoll: TCP
Remote Port: 80
Verbindungsrichtung: Ausgehend
Aktion: Erlaubt


Erlaube HTTPS Verbindung
Protokoll: TCP
Remote Port: 443
Verbindungsrichtung: Ausgehend
Aktion: Erlaubt


Erlaube TCP für Router (falls vorhanden)
Protokoll: TCP
Remote Host: IP des Routers
Verbindungsrichtung: ausgehend
Aktion: AllowIt


Erlaube UDP für Router (falls vorhanden)
Protokoll: UDP
Remote Host: IP des Routers
Aktion: AllowIt


Blockiere "SSDP Discovery Service" und "UPnP device Host" Services
Protokoll: UDP
Remote Port: 1900
Remote Host: 239.255.255.250
Aktion: Blockiert


Blockiere "SSDP Discovery Service" und "UPnP device Host" Services
Protokoll: TCP
Remote Port: 5000
Remote Host: 239.255.255.250
Verbindungsrichtung: Ankommend
Aktion: Blockiert


Blockiere "SSDP Discovery Service" und "UPnP Device Host" Services
Protokoll: UDP
Remote Port: 5000
Remote Host: 239.255.255.250
Aktion: Blockiert


Als letzte Regel sollte eine "Block All" Regel alle weiteren Verbindungen blockieren:
Blockiere TCP ausgehend
Protokoll: TCP
Lokaler Port: 135
Verbindungsrichtung: Ausgehend
Aktion: Blockiert


Blockiere TCP ankommend
Protokoll: TCP
Lokaler Port: 135
Verbindungsrichtung: ankommend
Aktion: Blockiert


Blockiere UDP ausgehend
Protokoll: UDP
Lokaler Port: 135
Verbindungsrichtung: Ausgehend
Aktion: Blockiert


Blockiere UDP ankommend
Protokoll: UDP
Lokaler Port: 135
Verbindungsrichtung: ankommend
Aktion: Blockiert

Gruss
Tim

aha

Aaalso....
das mühselige Blockieren von Port 135 hättest du einfacher haben können -
einfach DCOM deaktivieren...

Mit Current Ports von NirSoft erhälst Du umfangreiche Informationen zu den zugrunde liegenden Prozessen.

Sollte auf keinem PC fehlen.

CurrPorts displays the list of all currently opened TCP/IP and UDP ports on your local computer. For each port in the list, information about the process that opened the port is also displayed, including the process name, full path of the process, version information of the process (product name, file description, and so on), the time that the process was created, and the user that created it.
In addition, CurrPorts allows you to close unwanted TCP connections, kill the process that opened the ports, and save the TCP/UDP ports information to HTML file , XML file, or to tab-delimited text file.
CurrPorts also automatically mark with pink color suspicious TCP/UDP ports owned by unidentified applications (Applications without version information and icons)

Zum Vergrößern anklicken....

Ist eleganter als netstat -ao

Ich erwähne hier nochmal die beiden Umsonst-Programme von sysinternal, Filemonitor und ProzessExplorer.
Damit kann ich nämlich einen Prozess bzw. den ganzen Tree nicht nur killen, sondern suspenden.
Manche Prozesse (Würmer, shell32.exe) starten ja sofort neu nach dem Killen.
Mit SUSPEND bleiben die tot und ich kann löschen, da sie nicht in Benutzung sind.
Ausserdem ist das Debugging super.

Gruss
Tim

Die Datei svchost.exe kann auch in anderer Form mal Stress machen.

Meine Tochter bekam pötzlich eine Fehlermeldung und der PC sollte heruntergefahren werden, jedoch nicht zwanghaft.

Ich habe alles ausprobiert. Dann habe ich mal ihre uralte McAfee-Firewall durch eine aktuelle Vollversion ersetzt und die
Datei svchost.exe unter Vollzugriff eingetragen. Seitdem ist Ruhe im Karton! :motz siehe hier

man kann das auch unter dienste einstellen unter RPC LOcator ist standartmässig eingestellt PC runterfahren bei prob, und man kann auch einstellen "keine Aktion durchführen"

übrigens hat das bei mir ein virus ausgelöst, einige würmer machen das.

Die Platten wurde neben allen Standardprogrammen gegen Viren, Spyware etc. auch im abgesicherten Modus mit eScan untersucht, sowie im Dos-Modus mit Kaspersky/Sophos (CT-Sicherheitsheits-CD) durchgewühlt.

Ich hatte erst die Befürchtung, dass da die bekannte Sicherheitslücke durch W32.Blaster ö.ä. genutzt wurde, da durch die svchost.exe sich auch andere Dienste:devil einschleichen können.