Archief
- De topics van lang geleden
svchost outbound
27-02-2002, 00:54 door Anoniem, 10 reacties
Onderstaand Rapport komt van Norton Personal Firewall.
Ik weet me met deze melding geen raad.
Het lijkt me een win applicatie maar heb geen idee waarom die bij het opstarten naar buiten wil.
Date: 2/27/2002 Time: 0:33:34
This one time, the user has chosen to "block" communications. Details:
Outbound UDP packet
Local address,service is (heretic,efs)
Remote address,service is (213.46.111.63,efs)
Process name is "C:WINNTsystem32svchost.exe"
*the mind is like a parachute, when it opens it works
Ik weet me met deze melding geen raad.
Het lijkt me een win applicatie maar heb geen idee waarom die bij het opstarten naar buiten wil.
Date: 2/27/2002 Time: 0:33:34
This one time, the user has chosen to "block" communications. Details:
Outbound UDP packet
Local address,service is (heretic,efs)
Remote address,service is (213.46.111.63,efs)
Process name is "C:WINNTsystem32svchost.exe"
*the mind is like a parachute, when it opens it works
Reacties (10)
Ik kijk altijd eerst hier als ik iets wil weten over MicroShaft.. Dom he ?
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q250320
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q250320
Dat is een vette 404, helaas, kweenie waar fout ging, maar gewoon deze volgen dan.. Google..
http://www.google.com/search?q=svchost.exe&btnG=Google+Search%21
Moet lukken deze keer..
http://www.google.com/search?q=svchost.exe&btnG=Google+Search%21
Moet lukken deze keer..
Ik had al een zoektochtje besteed aan de gegevens die ik vermeld in mijn post, daar ben ik dus niet wijzer van geworden, ik weet nog steeds niet wat er gebeurd, waarom en/of het verstandig is dit te blijven blokkeren..
Regards, Peter
Regards, Peter
27-02-2002, 21:35 door
pierpanda
Beste Peter,
Je bent waarschijnlijk geinfecteerd met W32.BlueCode.Worm. In het Windows Systeem Register is bij de volgende sleutel de volgende waarde toegevoegd:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRun
Je vindt dan de waarde: svchost.exe
Dit betekent dat je Firewall de uitgaande communicatie probeert plat te leggen. Als je dit wilt verwijderen moet je het Systeem Register "schoon" maken. Dat wil zeggen dat je die waarde (svchost.exe) moet verwijderen.
Je opent het Register met de volgende commando's:
1. Start
2. Uitvoeren
3. Typ in het pad: regedit (register edit) klik op OK
4. Nu opent het Systeem Register.
Zoek dus op:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRun
En kijk of in het rechter venster: svchost.exe staat. Verwijder alleen dit.
Wanneer je Windows opnieuw opstart, moet de W32.BlueCode.Worm verdwenen zijn.
Je kunt ook via de Symantec webpagina informatie opvragen over CodeBlue. De URL is:
http://securityresponse.symantec.com/avcenter/venc/data/w32.bluecode.worm.html
Succes!
Je bent waarschijnlijk geinfecteerd met W32.BlueCode.Worm. In het Windows Systeem Register is bij de volgende sleutel de volgende waarde toegevoegd:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRun
Je vindt dan de waarde: svchost.exe
Dit betekent dat je Firewall de uitgaande communicatie probeert plat te leggen. Als je dit wilt verwijderen moet je het Systeem Register "schoon" maken. Dat wil zeggen dat je die waarde (svchost.exe) moet verwijderen.
Je opent het Register met de volgende commando's:
1. Start
2. Uitvoeren
3. Typ in het pad: regedit (register edit) klik op OK
4. Nu opent het Systeem Register.
Zoek dus op:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRun
En kijk of in het rechter venster: svchost.exe staat. Verwijder alleen dit.
Wanneer je Windows opnieuw opstart, moet de W32.BlueCode.Worm verdwenen zijn.
Je kunt ook via de Symantec webpagina informatie opvragen over CodeBlue. De URL is:
http://securityresponse.symantec.com/avcenter/venc/data/w32.bluecode.worm.html
Succes!
Pierpanda,
Mijn dank voor je input,
Gelukkig (of niet) heb ik geen trace van W32.BlueCode.Worm kunnen vinden. Ik heb nogmaals Norton AV en firewall bijgewerkt (live update) en niks kunnen vinden. Ook de voorgestelde regedit leverde een negatief resultaat op.
Eigenlijk vind ik het ook vreemd omdat ik vrij regelmatig op updates(norton) en patches(microsoft) controleer.
Rest mij alleen nog de logfile naar symantec te sturen.
Als ik iets hoor post ik het hier.
Regards and Thanks...
Peter
Mijn dank voor je input,
Gelukkig (of niet) heb ik geen trace van W32.BlueCode.Worm kunnen vinden. Ik heb nogmaals Norton AV en firewall bijgewerkt (live update) en niks kunnen vinden. Ook de voorgestelde regedit leverde een negatief resultaat op.
Eigenlijk vind ik het ook vreemd omdat ik vrij regelmatig op updates(norton) en patches(microsoft) controleer.
Rest mij alleen nog de logfile naar symantec te sturen.
Als ik iets hoor post ik het hier.
Regards and Thanks...
Peter
28-02-2002, 22:03 door
pierpanda
Beste Peter,
Bedankt voor je reactie. Ik vind het wel erg vreemd dat er geen spoor van W32.BlueCode.Worm wordt gevonden. Het opgegeven pad: C:WINNTsys32svchost.exe komt wel overeen met de gegevens die ik op de website van Symantec terugvind.
Mijn advies is, om de (ongevraagde) communicatie naar buiten toe, toch voor alle zekerheid door de Firewall te blijven blokkeren. Maak desnoods maar een Firewall regel daarvoor.
Overigens ben ik ook benieuwd naar de reactie van Symantec over jouw probleem.
Groeten,
Pierpanda.
Bedankt voor je reactie. Ik vind het wel erg vreemd dat er geen spoor van W32.BlueCode.Worm wordt gevonden. Het opgegeven pad: C:WINNTsys32svchost.exe komt wel overeen met de gegevens die ik op de website van Symantec terugvind.
Mijn advies is, om de (ongevraagde) communicatie naar buiten toe, toch voor alle zekerheid door de Firewall te blijven blokkeren. Maak desnoods maar een Firewall regel daarvoor.
Overigens ben ik ook benieuwd naar de reactie van Symantec over jouw probleem.
Groeten,
Pierpanda.
Waarom wel Svchost.exe en geen Virus ?
Nou........
Svchost.exe is a generic host process name for services that are run from dynamic-link libraries (DLLs). The Svchost.exe file is located in the %SystemRoot%System32 folder. At startup, Svchost.exe checks the services portion of the registry to construct a list of services that it needs to load. There can be multiple instances of Svchost.exe running at the same time. Each Svchost.exe session can contain a grouping of services, so that separate services can be run depending on how and where Svchost.exe is started. This allows for better control and debugging.
Dat maakt al 4 cent :)
Nou........
Svchost.exe is a generic host process name for services that are run from dynamic-link libraries (DLLs). The Svchost.exe file is located in the %SystemRoot%System32 folder. At startup, Svchost.exe checks the services portion of the registry to construct a list of services that it needs to load. There can be multiple instances of Svchost.exe running at the same time. Each Svchost.exe session can contain a grouping of services, so that separate services can be run depending on how and where Svchost.exe is started. This allows for better control and debugging.
Dat maakt al 4 cent :)
Is dik in orde dat
"Svchost.exe is a generic host process name for services that are run from ....... etc"
maar waarom dan outbound.. en altijd naar het zelfde adres, en op verschillende poorten, alle adware is van mijn systeem, maar firewall blijft gillen... heb al een paar dagen gekeken of die bewuste url live is..
no &*^*() reply
"Svchost.exe is a generic host process name for services that are run from ....... etc"
maar waarom dan outbound.. en altijd naar het zelfde adres, en op verschillende poorten, alle adware is van mijn systeem, maar firewall blijft gillen... heb al een paar dagen gekeken of die bewuste url live is..
no &*^*() reply
[Outbound UDP packet
Local address,service is (heretic,efs)
Remote address,service is (213.46.111.63,efs)
Process name is "C:WINNTsystem32svchost.exe" ]
inetnum: 213.46.96.0 - 213.46.111.255
netname: TK-HLM-CABLE
descr: Chello DHCP Brabant
country: NL
efs: 520/tcp extended file name server
....
Niet toevallig een kennis met een gameservertje oid ?
Local address,service is (heretic,efs)
Remote address,service is (213.46.111.63,efs)
Process name is "C:WINNTsystem32svchost.exe" ]
inetnum: 213.46.96.0 - 213.46.111.255
netname: TK-HLM-CABLE
descr: Chello DHCP Brabant
country: NL
efs: 520/tcp extended file name server
....
Niet toevallig een kennis met een gameservertje oid ?
oeps, er staat UDP, niet TCP :-)
Dat is RIP, op port 520:
"RIP is a UDP-based protocol. Each host that uses RIP has a routing process that sends and receives datagrams on UDP port number 520. All communications directed at another host's RIP processor are sent to port 520. All routing update messages are sent from port 520. Unsolicited routing update messages have both the source and destination port equal to 520. Those sent in response to a request are sent to the port from which the request came. Specific queries and debugging requests may be sent from ports other than 520, but they are directed to port 520 on the target machine."
Zie ook: http://www.cis.ohio-state.edu/cgi-bin/rfc/rfc1058.html
Hangt je box direct aan het kabelmodem ??
Dat is RIP, op port 520:
"RIP is a UDP-based protocol. Each host that uses RIP has a routing process that sends and receives datagrams on UDP port number 520. All communications directed at another host's RIP processor are sent to port 520. All routing update messages are sent from port 520. Unsolicited routing update messages have both the source and destination port equal to 520. Those sent in response to a request are sent to the port from which the request came. Specific queries and debugging requests may be sent from ports other than 520, but they are directed to port 520 on the target machine."
Zie ook: http://www.cis.ohio-state.edu/cgi-bin/rfc/rfc1058.html
Hangt je box direct aan het kabelmodem ??
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
