t.hoelzl 10 Geschrieben 11. Januar 2012 Melden Geschrieben 11. Januar 2012 Hallo, die svchost.exe versucht regelmäßig über Port 80 Verbindungen zu diversen IPs im Internet aufzubauen. Die externe IP-Bereiche gehören meist level3.net, akamai oder Microsoft selbst. Allerdings haben die Clients einen Proxyserver in den Internetoptionen eingetragen und kommen nur über diesen ins www. Alle Windowsupdates laufen über einen internen WSUS. Die Verbindungen über Port 80 werden dann natürlich an der Firewall geblockt. Mit tasklist /svc /fi "Imagename eq svchost.exe" habe ich mir mal angesehen, welche Dienste sich hinter der svchost.exe verstecken, die die Aufrufe versuchen. Diese sind CryptSvc, Dnscache, LanmanWorkstation, NlaSvc, WinRM. Kann mir jemand einen Tipp geben, welcher dieser Dienste wirklich den Traffic verursacht und warum er sich nicht an die Interneteinstellungen hält?
djmaker 95 Geschrieben 11. Januar 2012 Melden Geschrieben 11. Januar 2012 Welches OS haben die Clients?
t.hoelzl 10 Geschrieben 12. Januar 2012 Autor Melden Geschrieben 12. Januar 2012 In diesem Fall handelt es sich um einen Server 2008 R2. Allerdings kann man das auch auf XP SP3 beobachten.
Rumak18 11 Geschrieben 11. September 2012 Melden Geschrieben 11. September 2012 Ich hole diesen Thread mal zurück, da ich das gleiche Problem mit unseren virtuellen Rechner (Über 1000!!) haben. Das haut natürlich ganz schön rein bei der Firewall. Gibt es hierfür evtl. einen Tipp?
mapi4780 10 Geschrieben 6. November 2012 Melden Geschrieben 6. November 2012 dreh mal die ganzen dienste welche - du nicht brauchst und - die den svchost nutzen ab. Beispiele sind Windows Audio Computerbrowser Kryptografiedienste DHCP-Client COM+-Ereignissystem Kompatibilität für schnelle Benutzerumschaltung HID Input Service Server Arbeitsstationsdienst Netzwerkverbindungen NLA (Network Location Awareness} RAS-Verbindungsverwaltung Taskplaner Systemereignisbenachrichtigung Shellhardwareerkennung Systemwiederherstellungsdienst Telefonie Designs Überwachung verteilter Verknüpfungen (Client) Windows-Verwalltungsinstrumentation Automatische Updates etc. etc.... auto-update (bei wsus) einstellungen und registry einträge kontrollieren und evt anpassen. hauptursache für traffic ist meist der updatedienst. ich nehme an dass deine svchost im system32 ordner liegt. ansonsten mal anti-schädlings-aktion starten.
olc 18 Geschrieben 6. November 2012 Melden Geschrieben 6. November 2012 Hi, wenn ich den Sub-Prozess "CryptSvc" in Deinen Angaben sehe, wird es sich bei den Zugriffsversuchen vermutlich um folgende Funktion handeln: An automatic updater of revoked certificates is available for Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2 Kannst Du prüfen, ob auch die folgenden URLs geprüft werden? http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab Viele Grüße olc
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden