Computerbeveiliging - Hoe je bad guys buiten de deur houdt

scvhost.exe maakt connectie's

08-04-2009, 22:00 door Anoniem, 11 reacties
het bestand scvhost.exe maakt connectie's naar ip adressen. Is dit normaal of is het bestand geinfecteert ? hoe kan ik dit het beste na gaan en mogelijk oplossen ?

bijvoorbaat dank
Reacties (11)
09-04-2009, 16:04 door [Account Verwijderd]
[Verwijderd]
09-04-2009, 16:49 door Anoniem
Ik had ook last van scvhost.exe.
hij gebruikte op een gegeven moment 80% van mijn CPU en draaide soms wel 10 tegelijk.

las op een ander forum dat ik scvhost.exe van naam moest veranderen en rebooten
dan zou vista een nieuwe aanmaken
echter was dat niet het geval en starte hij wel op maar beeld bleef zwart en zag alleen een mousepointer

dus moest alsnog ff opnieuw instaleren :(
09-04-2009, 20:44 door eMilt
SVCHOST.EXE is een algemeen proces wat voor allerlei doeleinden wordt gebruikt. Veel van de standaard Windows services draaien onder SVCHOST.EXE. Soms draaien meerdere services onder één SVCHOST.EXE proces, soms is het maar één service.

Ook third party vendors maken gebruik van SVCHOST.EXE dus het kan letterlijk van alles zijn. Dat het een verbinding maakt naar een IP adres is op zich nog niet raar. Je kan meer uitvinden met b.v. Process Explorer van de SysInternals tools. Daar kan je o.a. per proces zien hoe het is gestart (uit welke directory en met welke parameters) en wat voor verbindingen dat proces open heeft. Zo kan je er wellicht achterkomen wat het is en of het eventueel iets verdachts is.
09-04-2009, 21:19 door Anoniem
process explorer is de oplossing, meestal is het windows update dat de eerste 10 minuten na het opstarten via svchost.exe de processor flink belast en een aantal connecties (voor de updates) naar buiten opzet.
09-04-2009, 23:13 door Anoniem
C:\>tasklist /SVC
10-04-2009, 11:56 door Anoniem
Kijk je services na middels start->run->services.msc of "net start" in een cmd.
Een pastebin van hijackthis is ook interessant.
10-04-2009, 13:41 door Anoniem
/*

scvhost.exe maakt connectie's

*/
/*

SVCHOST.EXE is een algemeen proces wat voor allerlei doeleinden wordt gebruikt. Veel van de standaard Windows services draaien onder SVCHOST.EXE. Soms draaien meerdere services onder één SVCHOST.EXE proces, soms is het maar één service.

Ook third party vendors maken gebruik van SVCHOST.EXE dus het kan letterlijk van alles zijn. Dat het een verbinding maakt naar een IP adres is op zich nog niet raar. Je kan meer uitvinden met b.v. Process Explorer van de SysInternals tools. Daar kan je o.a. per proces zien hoe het is gestart (uit welke directory en met welke parameters) en wat voor verbindingen dat proces open heeft. Zo kan je er wellicht achterkomen wat het is en of het eventueel iets verdachts is.
*/


Praat men over hetzelfde of maakt hier iedereen text fouten.
10-04-2009, 15:45 door [Account Verwijderd]
[Verwijderd]
11-04-2009, 18:52 door H.King
Het is sowieso de juiste proces, alleen wat ik denk is dat doormiddel van api hooking er een DLL met malware in het proces is geladen en die de connectie's maakt. En weet ongeveer zelf ook hoe je een api hook maakt alleen weet echt niet hoe ik een api hook kan detecteren. Is hier software of dergelijke voor ?

Nog bedankt voor de reactie's: 1 van de reactie's was "tasklist /SVC" als ik dit doe zie ik ook een process
die ik niet via crtl + alt + del of een andere proces manager kan vinden.
12-04-2009, 02:38 door Ilyas
Download ProcessExplorer.
Tegenwoordig is dit geloof ik onder de vlag van Microsoft geschaard, google op "sysinternals" als je het neit kan vinden.

Zoals boven mij gezegd, het is een generiek onderdeel van Windows dat soms TCP/IP verbindingen opzet naar de buitenwereld.
Het hoeft dus niet per sé een beveiligingslek te zijn.

Wat wel fijn zou zijn is als Microsoft ALLE mogelijke poorten zou vrijgeven die worden gebruikt door de eigen services.
Hier kun je vervolgens dan weer een firewall mee opstellen....
Detecteren of scvhost.exe is geïnfecteerd of niet, ik zou het met een virusccanner proberen en/or iets als rootkitrevealer of Hijackthis.
12-04-2009, 12:45 door Anoniem
wanneer je 80% van je CPU gebruikt is je Windows Update vaak stuk. Dan moet je WURT draaien


Windows Update Repair Toolit


IS een programma van iemand, daarna draait die geen 80% of hoger meer.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.