Jump to content

"Raustelefonieren" der svchost.exe unterbinden


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

die svchost.exe versucht regelmäßig über Port 80 Verbindungen zu diversen IPs im Internet aufzubauen. Die externe IP-Bereiche gehören meist level3.net, akamai oder Microsoft selbst. Allerdings haben die Clients einen Proxyserver in den Internetoptionen eingetragen und kommen nur über diesen ins www. Alle Windowsupdates laufen über einen internen WSUS. Die Verbindungen über Port 80 werden dann natürlich an der Firewall geblockt.

 

Mit tasklist /svc /fi "Imagename eq svchost.exe" habe ich mir mal angesehen, welche Dienste sich hinter der svchost.exe verstecken, die die Aufrufe versuchen. Diese sind CryptSvc, Dnscache, LanmanWorkstation, NlaSvc, WinRM. Kann mir jemand einen Tipp geben, welcher dieser Dienste wirklich den Traffic verursacht und warum er sich nicht an die Interneteinstellungen hält?

Link zu diesem Kommentar
  • 7 Monate später...
  • 1 Monat später...

dreh mal die ganzen dienste welche

- du nicht brauchst und

- die den svchost nutzen

ab.

Beispiele sind

Windows Audio

Computerbrowser

Kryptografiedienste

DHCP-Client

COM+-Ereignissystem

Kompatibilität für schnelle Benutzerumschaltung

HID Input Service

Server

Arbeitsstationsdienst

Netzwerkverbindungen

NLA (Network Location Awareness}

RAS-Verbindungsverwaltung

Taskplaner

Systemereignisbenachrichtigung

Shellhardwareerkennung

Systemwiederherstellungsdienst

Telefonie

Designs

Überwachung verteilter Verknüpfungen (Client)

Windows-Verwalltungsinstrumentation

Automatische Updates

 

etc. etc....

 

auto-update (bei wsus) einstellungen und registry einträge kontrollieren und evt anpassen.

 

hauptursache für traffic ist meist der updatedienst.

 

ich nehme an dass deine svchost im system32 ordner liegt. ansonsten mal anti-schädlings-aktion starten.

Link zu diesem Kommentar

Hi,

 

wenn ich den Sub-Prozess "CryptSvc" in Deinen Angaben sehe, wird es sich bei den Zugriffsversuchen vermutlich um folgende Funktion handeln: An automatic updater of revoked certificates is available for Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2

 

Kannst Du prüfen, ob auch die folgenden URLs geprüft werden?

 

http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab

http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

 

Viele Grüße

olc

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...