Sygate firewall en svchost.exe

jan28 · 15 jul 2004, 11:12

Mijn firewall geeft telkens melding van een "probleem" met svchost.exe
Ik dacht dat dat een onderdeel van windows was. zie bijgevoegd sreenshot.

Mag ik het negeren of is er iets anders aan de hand?

die fout in verband met de schermafdruk, ik had blijkbaar op een of andere manier het bericht 2x gepost en heb er dan 1 ervan terug verwijderd, dat zal dan daar ergens misgelopen zijn zeker.

15 jul 2004, 11:21

svchost.exe is het programma's waarbinnen services draaien van NT-systemen. Het is dus waarschijnlijk 1 van de services die via svchost draaien die eigenlijk problemen geeft, maar je firewall geeft aan dat svchost.exe zelf het probleem is, je firewall weet namelijk niet beter.
En waar is je attachment naartoe? Die fout heb ik nog nooit gezien

Sasuke · 15 jul 2004, 11:24

Heb jij alle Windows patches ?

Want de Blaster, nachi en sasser worm proberen allemaal de svchost.exe te overladen met data zodat die vastloopt. In jouw geval houd je firewall dit wel tegen, maar zal hij dit gewoon melden.

Dit wil ook bedoelen dat jouw firewall blijkbaar het process pas bekijkt tijdens of na de aanval. Kijk eens na of je firewall settings zo staan dat alle inkomende poorten echt gesloten zijn.

Mvg,

Sasuke

ubremoved_539 · 15 jul 2004, 11:34

SVCHOST is een soort proxy voor andere processen... het probleem hierbij is dat je nooit weet wat het originele process is, en dus ook niet of het een geldig (ttz. virus) request is of niet.

Het enige wat je dus kan doen is SVCHOST toelating geven... maar eerst misschien best een actuele en up-to-date virus scan doen, en controleren op trojans en andere rommel.

jan28 · 15 jul 2004, 11:40

Dankzij, of ondanks het slechte weer tijdens mijn vakantie heb ik wat tijd om aan de PC te prutsen :roll:

Dus wat heb ik deze week al reeds gedaan, Ad-aware laten zoeken, virusscan online laten uitvoeren (ik gebruik de virusscan van Skynet), een test laten doen van de beveiliging van de PC (online) dus ik ben bijna zeker dat alle actuele voorzorgen genomen zijn.
Nog tips?

'k Heb nog wat tijd. :evil:

ubremoved_539 · 15 jul 2004, 13:06

Gewoon SVCHOST zijn ding laten doen dan.

Heb je de firewall pas geinstalleerd, en is het de eerste keer dat je het merkt (geen probleem dan), of heb je de firewall al langer, en doet het zich nu pas voor (toch wel gek dan) ?

15 jul 2004, 13:24

tip eens

Code: Selecteer alles

tasklist /SVC

in een dos box, hier zie je welk proces welke svchost gebruikt

unicomplex · 15 jul 2004, 16:21

http://www.liutilities.com/products/win ... y/svchost/

alle info over svchost of andere processen hier te vinden,

mvg Uni

jan28 · 15 jul 2004, 17:01

SeNsEi Ze0n schreef:tip eens
Code: Selecteer alles
tasklist /SVC
in een dos box, hier zie je welk proces welke svchost gebruikt

Voila, dat is al gelukt, het resultaat zie je inhet screenshot, want daar ken ik toch niets van

15 jul 2004, 17:04

ik zie niets abnormaal staan, dus volgens mij moet je je geen zorgen maken

jan28 · 15 jul 2004, 17:09

Dan heb ik ook nog twee toepassingen die toegang tot het www vragen maar die ik niet ken en die door Ad-aware niet herkend worden als spyware namelijk oted.exe en tljaq.exe

Google levert voor deze twee zaken geen resultaten. Wie kent deze toepassingen, het zijn misschien onschuldige zaken maar je kan beter wat voorzchtig zijn tegenwoordig.

jan28 · 16 jul 2004, 00:07

jan28 schreef:Dan heb ik ook nog twee toepassingen die toegang tot het www vragen maar die ik niet ken en die door Ad-aware niet herkend worden als spyware namelijk oted.exe en tljaq.exe

Google levert voor deze twee zaken geen resultaten. Wie kent deze toepassingen, het zijn misschien onschuldige zaken maar je kan beter wat voorzchtig zijn tegenwoordig.

Iemand een idee?

ubremoved_539 · 16 jul 2004, 09:08

Zoek eens waar die twee EXE's staan op je harddisk.

Misschien kan je daaruit aflijden van welke software ze zijn.

jan28 · 16 jul 2004, 10:29

oted.exe staat C:\documents and Settings\Jan\Application Data\oted.exe

tljaq.exe staat in C:\WINDOWS\system3\tljaq.exe

ubremoved_539 · 16 jul 2004, 10:39

Mmm... gek.

OTED.EXE is blijkbaar iets wat je daar toch zelf hebt geplaatst op een of andere manier. Staan er nog andere files in die directory ?

Wat die TLJAQ.EXE betreft... is het effectief SYSTEM3 (dan zou ik mij toch een klein beetje zorgen maken)... ipv. SYSTEM32 ? Ook hier weer de vraag of er nog andere files instaan ?

jan28 · 16 jul 2004, 10:54

r2504 schreef:Mmm... gek.

OTED.EXE is blijkbaar iets wat je daar toch zelf hebt geplaatst op een of andere manier. Staan er nog andere files in die directory ?

Wat die TLJAQ.EXE betreft... is het effectief SYSTEM3 (dan zou ik mij toch een klein beetje zorgen maken)... ipv. SYSTEM32 ? Ook hier weer de vraag of er nog andere files instaan ?

Nee, het is wel degelijk system32

bijgevoegd een schermpje van de respectievelijke mappen

ubremoved_539 · 16 jul 2004, 11:06

Kan je screenshots moeilijk lezen... enfin, toch wel gek dat die OTED daar gans alleen staat. Ding renamen, en opnieuw opstarten zou ik zeggen. Misschien ook eens zoeken in je registry of het daar te vinden is. Wat voor connectie wou het trouwens leggen naar het internet ?

Het tweede... aan het icoontje gezien geschreven met MFC... misschien zelfde tip (renamen en herstarten) en vragen als hierboven.