Computerbeveiliging - Hoe je bad guys buiten de deur houdt

svchost

26-05-2012, 17:34 door Anoniem, 3 reacties
In mijn Win 7 Ultimate staan soms 30 svchost.exe (nagekeken met TCP-view van sysinternals) http://technet.microsoft.com/en-us/sysinternals/bb897437
Nu heb ik daar geen idee van maar dit lijkt mij wel een beetje teveel van het goede.
Iemand die hier meer over weet want ik raak er niet echt wijs uit op het net of dit nu goed of kwaadaardig is.
Reacties (3)
26-05-2012, 22:26 door Anoniem
Svchost is een container applicatie voor allerlei soorten dll's,
Zodat dit geen losse exe's te hoeven zijn.
Per svchost lopen meerdere threads, die kunnen ook
makkelijk geshuffeld worden door MS
27-05-2012, 01:14 door choi
Je moet daar geen TCPView voor gebruiken maar Proces Explorer. Als je in Process Explorer op een willekeurige svchost instance hovered (of rechts-klik>Properties>Services) kan je de dll's en de daaraan gekoppelde services zien:
http://technet.microsoft.com/en-us/sysinternals/bb896653

Process Explorer geeft elk type proces een eigen kleur (Options>Configure Highlighting) op basis waarvan je e.e.a verder kan onderzoeken:
http://www.msigeek.com/6229/ten-best-practices-troubleshooting-tips-with-process-explorer-tool

Een wat simpeler tooltje is Svchost Process Analyzer:
http://www.neuber.com/free/svchost-analyzer/index.html
27-05-2012, 10:06 door Anoniem
doe ook een netstat -n
Alle uitgaande connecties op 80 of 443 zijn meestal onschuldig
Maar om het zeker te weten kun je al je browsers en programma's afsluiten

opnieuw netstat -n doen
Als er dan een uitgaande connectie is, is er meestal wat mis en al helmaal als het een absurt hoge poort is
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search