svchost outbound
Ik weet me met deze melding geen raad.
Het lijkt me een win applicatie maar heb geen idee waarom die bij het opstarten naar buiten wil.
Date: 2/27/2002 Time: 0:33:34
This one time, the user has chosen to "block" communications. Details:
Outbound UDP packet
Local address,service is (heretic,efs)
Remote address,service is (213.46.111.63,efs)
Process name is "C:WINNTsystem32svchost.exe"
*the mind is like a parachute, when it opens it works
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q250320
http://www.google.com/search?q=svchost.exe&btnG=Google+Search%21
Moet lukken deze keer..
Regards, Peter
Je bent waarschijnlijk geinfecteerd met W32.BlueCode.Worm. In het Windows Systeem Register is bij de volgende sleutel de volgende waarde toegevoegd:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRun
Je vindt dan de waarde: svchost.exe
Dit betekent dat je Firewall de uitgaande communicatie probeert plat te leggen. Als je dit wilt verwijderen moet je het Systeem Register "schoon" maken. Dat wil zeggen dat je die waarde (svchost.exe) moet verwijderen.
Je opent het Register met de volgende commando's:
1. Start
2. Uitvoeren
3. Typ in het pad: regedit (register edit) klik op OK
4. Nu opent het Systeem Register.
Zoek dus op:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRun
En kijk of in het rechter venster: svchost.exe staat. Verwijder alleen dit.
Wanneer je Windows opnieuw opstart, moet de W32.BlueCode.Worm verdwenen zijn.
Je kunt ook via de Symantec webpagina informatie opvragen over CodeBlue. De URL is:
http://securityresponse.symantec.com/avcenter/venc/data/w32.bluecode.worm.html
Succes!
Mijn dank voor je input,
Gelukkig (of niet) heb ik geen trace van W32.BlueCode.Worm kunnen vinden. Ik heb nogmaals Norton AV en firewall bijgewerkt (live update) en niks kunnen vinden. Ook de voorgestelde regedit leverde een negatief resultaat op.
Eigenlijk vind ik het ook vreemd omdat ik vrij regelmatig op updates(norton) en patches(microsoft) controleer.
Rest mij alleen nog de logfile naar symantec te sturen.
Als ik iets hoor post ik het hier.
Regards and Thanks...
Peter
Bedankt voor je reactie. Ik vind het wel erg vreemd dat er geen spoor van W32.BlueCode.Worm wordt gevonden. Het opgegeven pad: C:WINNTsys32svchost.exe komt wel overeen met de gegevens die ik op de website van Symantec terugvind.
Mijn advies is, om de (ongevraagde) communicatie naar buiten toe, toch voor alle zekerheid door de Firewall te blijven blokkeren. Maak desnoods maar een Firewall regel daarvoor.
Overigens ben ik ook benieuwd naar de reactie van Symantec over jouw probleem.
Groeten,
Pierpanda.
Nou........
Svchost.exe is a generic host process name for services that are run from dynamic-link libraries (DLLs). The Svchost.exe file is located in the %SystemRoot%System32 folder. At startup, Svchost.exe checks the services portion of the registry to construct a list of services that it needs to load. There can be multiple instances of Svchost.exe running at the same time. Each Svchost.exe session can contain a grouping of services, so that separate services can be run depending on how and where Svchost.exe is started. This allows for better control and debugging.
Dat maakt al 4 cent :)
"Svchost.exe is a generic host process name for services that are run from ....... etc"
maar waarom dan outbound.. en altijd naar het zelfde adres, en op verschillende poorten, alle adware is van mijn systeem, maar firewall blijft gillen... heb al een paar dagen gekeken of die bewuste url live is..
no &*^*() reply
Local address,service is (heretic,efs)
Remote address,service is (213.46.111.63,efs)
Process name is "C:WINNTsystem32svchost.exe" ]
inetnum: 213.46.96.0 - 213.46.111.255
netname: TK-HLM-CABLE
descr: Chello DHCP Brabant
country: NL
efs: 520/tcp extended file name server
....
Niet toevallig een kennis met een gameservertje oid ?
Dat is RIP, op port 520:
"RIP is a UDP-based protocol. Each host that uses RIP has a routing process that sends and receives datagrams on UDP port number 520. All communications directed at another host's RIP processor are sent to port 520. All routing update messages are sent from port 520. Unsolicited routing update messages have both the source and destination port equal to 520. Those sent in response to a request are sent to the port from which the request came. Specific queries and debugging requests may be sent from ports other than 520, but they are directed to port 520 on the target machine."
Zie ook: http://www.cis.ohio-state.edu/cgi-bin/rfc/rfc1058.html
Hangt je box direct aan het kabelmodem ??
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.