Als je aan de opties de letter "o" toevoegt (niet cijfer 0):
netstat -ano
dan zal deze ook het proces ID of "PID" van het luisterende
proces vermelden. In Task Manager (NL: Taakbeheer) staat
standaard de kolom met proces ID's uit, die kun je ergens
onder de instellingen aanzetten. Er zijn dan vaak twee
onduidelijkheden.

Ik vermoed dat je hierboven uitsluitend regels die eindigen
met "Bezig met luisteren" hebt neergezet, en dat je dus een
stel andere regels hebt weggelaten. Van de
meeste locale TCP poorten van 1025 t/m 1060 verwacht
ik dat ze behoren bij bestaande (of nog niet geheel
afgesloten) verbindingen. Dergelijke regels zijn zeer
verwarrend. Als we even naar de volgende regel kijken (ik
zet er even een underscore tussen om de spaties te vervangen
die er normaal tussen staan):

TCP 0.0.0.0:1040 _ 0.0.0.0:0 _ Bezig met luisteren

dan lijkt dit te suggereren dat de PC verbindingen zal
accepteren vanaf elke host en elke poort ("0.0.0.0:0"). Dat
is niet het geval als er ook een regel bestaat
die er zo uit zou kunnen zien:

TCP 192.168.2.115:1040 _ 213.156.1.80:80 _ Established

Van die "Established" weet ik even de NL tekst niet, en er
zou ook iets als "Close_Wait" o.i.d. kunnen staan. Punt is
dat beide "1040" regels bij elkaar horen!

Hoewel het proces dat "luistert op poort 1040" op dat moment
een verbinding heeft met 213.156.1.80, kan netstat
(en andere programma's zoals TCPView van sysinternals) die
informatie kennelijk niet uit Windows halen. Als het goed is
(maar we hebben het hier over een Microsoft product :)
worden van de pakketjes die op poort 1040 binnenkomen
uitsluitend pakketjes geaccepteerd vanaf
213.156.1.80:80, waarbij tevens de TCP sequence
nummers moeten kloppen. Oftewel, als je in Windows ziet dat
iets luistert op poort 1040 wil dat niet altijd zeggen dat
daarop ook nieuwe verbindingen zullen worden
geaccepteerd.

Dit geldt echter alleen voor TCP, en niet voor bijv. UDP!
UDP is een "connectionless" protocol, oftewel er wordt niet
"onthouden" dat er een verbinding bestaat. Als er iets
luistert op een UDP poort moet je er van uitgaan dat alle
binnenkomende pakketjes kunnen worden geaccepteerd.

De tweede verwarring ontstaat doordat Microsoft gemeend
heeft een heel stel subprocessen te moeten bundelen in
"svchost". Daardoor is het vaak niet duidelijk wat er
precies gebeurt in je systeem. Ik vind dat Microsoft keer op
keer blundert op dit gebied. Er worden ondertussen legio
tools meegeleverd met XP (zoals WMI en commandlinetools als
netsh en sc) maar het is erg lastig om snel een beeld te
krijgen wat er onder de motorkap gebeurt. Vooral voor minder
ervaren gebruikers is dit ondoenlijk.

De reden dat jij net na opstarten een stel van die regels
hebt is waarschijnlijk dat er al een aantal processen loopt
(of net gelopen hebben) die netwerkverbindingen maken. Zoals
het ophalen van de datum/tijd en het goedzetten van je klok
en het checken op allerlei updates (Windows, antivirus etc).
Als je een autostartend email programma hebt kan die al
hebben "gepopt", en wellicht heb je een autostartende RSS
reader o.i.d.

Nir Sofer heeft een stel aardige (gratis) programma's
ontwikkeld, waaronder SmartSniff (onder XP werkt deze ook
heel aardig zonder WinPCap driver). Daarmee kun je zien
welke pakketjes je systeem binnenkomen en verlaten. Helaas
moet je meen ik wel een admin zijn (account lid van de groep
Administrators) om het te kunnen draaien. Ook draait deze
natuurlijk nog niet tijdens opstarten, evt. verkeer dat er
is voordat je goed en wel bent ingelogd zal niet worden
gecaptured.
http://www.nirsoft.net/utils/smsniff.html

wellicht heb je aan deze pagina iets:

http://www.grc.com/port_135.htm

In principe zijn het services die op bepaalde porten
luisteren, zoals shares etc. Je kan de desbetreffende
functies uitschakelen (file-sharing utischakelen, bijv) en
dan hoort die er niet meer in je lijstje te staan.

Maargoed, met een firewall die op inkoming ports checked,
hoef je er verders geen drukte over te maken

Dat klopt inderdaad ik dacht dat namelijk dat het twee afzonderlijke
verbindingen waren.Het gehele overzicht ziet er zo uit:

Actieve verbindingen

Proto Lokaal adres Extern adres Status PID

TCP 0.0.0.0:1146 0.0.0.0:0 Bezig met luisteren 1184
TCP 0.0.0.0:1147 0.0.0.0:0 Bezig met luisteren 1184
TCP 0.0.0.0:1148 0.0.0.0:0 Bezig met luisteren 1184
TCP 0.0.0.0:1151 0.0.0.0:0 Bezig met luisteren 1184
TCP 0.0.0.0:1152 0.0.0.0:0 Bezig met luisteren 1184
TCP 0.0.0.0:1153 0.0.0.0:0 Bezig met luisteren 1184
TCP 0.0.0.0:1154 0.0.0.0:0 Bezig met luisteren 1184
TCP 0.0.0.0:1178 0.0.0.0:0 Bezig met luisteren 1184
TCP 182.156.3.189:1146 207.46.199.60:80 ESTABLISHED
1184
TCP 182.156.3.189:1147 213.199.159.209:80 ESTABLISHED
1184
TCP 182.156.3.189:1148 207.68.173.76:80 ESTABLISHED
1184
TCP 182.156.3.189:1151 207.68.178.239:80 ESTABLISHED
1184
TCP 182.156.3.189:1152 65.54.195.185:80 ESTABLISHED
1184
TCP 182.156.3.189:1153 207.68.178.239:80 ESTABLISHED
1184
TCP 182.156.3.189:1154 207.68.178.239:80 ESTABLISHED
1184
TCP 182.156.3.189:1178 66.249.93.99:80 ESTABLISHED
1184

UDP 127.0.0.1:1145 *:* 1184

Die -ano optie is trouwens ideaal met wininterrogate-0.1.7 geeft die precies
weer naar waar ik zocht.Nu is alleen nog het grootste probleem denk ik
wat jij zei met srvhost.Maar dat zal wel gewoon veel surfen zijn denk ik op
de msdn site en op google.

Het is trouwens toch moeilijker dan ik dacht heb wel al gevonden hoe het
proces verlopt met van lass.exe. En waar voor de
lsasrv.dll,cryptdll.dll,secur32.dll,crypt32.dll,ntdll.dll,netapi32.dll,
kerberos.dll,netlogon.dll,schannel.dll,winipsec.dll,mswsock.dll zijn.Omdat
deze netjes beschreven staan op de msdn site.Maar voor de rest is het gis
werk.Wat voor programma precies doet.

nbtstat geeft iets andere info dan netstat. nbtstat gaat
voornamelijk over NetBIOS info. De <03> en <00> slaan op
bestands en printer delen en zijn WINS registraties.
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/prork/pref_tts_pjtk.mspx?mfr=true

De rits open poorten (luisteren) die je met netstat ziet
zijn voor 99% voor bestands en printer delen.

Poort 5000 is voor UPnP.

Maar heb je die wel eigenlijk nodig voor een xp home computer die niet is
aangesloten op een netwerk? Want het zijn nog al wat processen die ik
eigenlijk niet gebruik. Zoals onder tcp/ip instellingen staan "client voor
microsoft netwerken" , "Bestands- en printerdeling voor microsoft
netwerken".Omdat ik namelijk niet op een netwerk ingelogd ben maar de
pc op een router is aangesloten. Want dan heb ik toch eigenlijk ook geen
netbios nodig wat geloof ik stond voor network basisc input output system
dat ontworpen was voor microsoft netwerken?

bestands- en printerdeling heb je dan inderdaad niet nodig,
die kun je dus gerust uitschakelen. Over netbios weet ik 't
niet, maar je doet er verstandig aan de processen op te
zoeken op microsoft's pagina, om te zien of je de processen
gebruikt, of windows ze zelf nodig heeft, of dat je ze kan
uitschakelen

Overigens is 't geen echte thread, aangezien je achter 'n
router zit, maar het is natuurlijk handig om ze uit te
schakelen als je ze niet gebruikt

Thx,Ben wel nieuwscheirig wat die dan weer geeft met netstat welke
processen er weg zijn.Bij netbios weet ik wel dat bij een dhcp server deze
aan moet staat omdat er bij vermeld wordt. Al vraag ik me af waarom
omdat alles over tcp/ip gaat.

Weet iemand hoe de ethernet statistieken (netstat -e) kunnen
naar 0 gezet worden?

probeer google eens.

Netwerk adapter down/up :)
Ofwel disabelen en weer enabelen.
Grafisch via Start->Instellingen->Netwerkverbindingen
Adapter rechtsklikken en voor Uitschakelen kiezen,
vervolgens opnieuw rechtsklikken en Inschakelen kiezen.

hallo Ik had een vraagje als dat zou mogen.Wanneer ik de PID bekijk van
msnmsgr.exe geeft die dit weer:

"msnmsgr.exe","","6815744","3/30/2005 2:28","9/17/2006 11:3","3/30/2005
2:28","0.0.0.0:1032/tcp""0.0.0.0:2436/tcp""192.168.2.115:1032/tcp""0.0.0.0:1
039/udp""127.0.0.1:1033/udp""192.168.2.115:9/udp""192.168.2.115:7121/u
dp"

Wanneer ik dan netstat -ano intype geeft die :
Lokaal adress extern adress
182.156.3.189:2722 207.100.29.56:1863

Nu vraag of messenger die overige processen wel nodig heeft en of deze
ook uit te zetten zijn.En waarom service 2722en service 1863 niet bij pid
wordt weergegeven.