Toon posts:

Symantec Endpoint Protection blokkeert svchost.exe

Pagina: 1
Acties:

vrijdag 7 januari 2011 15:44

Acties:
  • 0 Henk 'm!

Anoniem: 323021

Topicstarter
Ik heb Windows 7 Ultimate x64 met daarop Symantec Endpoint Protection als virusscanner en firewall. Nu krijg ik sinds vandaag continue (ongeveer om de 2 minuten) een melding van SEP: traffic has been blocked from this application: (svchost.exe)


Ik maak op deze pc al langer gebruik van een homegroup, en heb om dat werkend te krijgen IPv6 nodig. (Als ik IPv6 uitzet blijft de melding komen) Nu vraag ik me af wat ik kan doen om dit op te lossen, en ik ben benieuwd of ik een virus heb of niet, daarom wil ik het ook niet zomaar doorlaten. Verder, en dit vind ik wel vreemd icm met het IPv6 voor homegroup verhaal, blokkeert SEP de IPv6 als standaard.

Dit is verdere info die ik er al over had gevonden:
http://www.symantec.com/c...eat-protection-sep-11-mr5
opnieuw opstarten heeft niks veranderd, en er is nu nog een volle systeem-scan bezig.

Daarnaast heb ik gisteren een Wifi-adapter geinstalleerd, maar die wou ik alleen gebruiken om draadloos internet op de laptop te gebruiken, en die heb ik dus nu uit staan.
(Realtek RTL8187B Wireless 802.11b/g 54Mbps USB 2.0 Network Adapter)

Edit: Hij komt voor vanaf vandaag 14:19, terwijl ik de pc al de hele tijd aan had staan. Wel heb ik rond die tijd enkele gedownloade films geopend om te kijken of ze goed waren, het kan dus zijn dat ze hiervan afkomstig zijn..

Edit2: in de logs blokkeert hij meerdere keren achter elkaar in de zelfde seconde, en dat in zulke clustertjes van 1 tot 5 stuks, mooi om de 5 seconden.
Verder staat svchost.exe niet in de netwerklogs van voor 14:19 of van gisteren.


Logs van Network threat protection geven:
severity: 3 outgoing protocol: UDP remote host: teredo.ipv6.microsoft.com[94.245.115.184]
... application: ... \system32\svchost.exe

als ik backtrace via de log files komt hij lang allerlei dingen:
trace route:
Hop IP Name
1 speedtouch
2 83.117.15.1 s53750f01.adsl.wanadoo.nl
3 194.134.156.53 V794.dr3-asd5.nl.euro.et
4 (nog een euro.net)
5 *** (aka onbekend)
6 195.69.145.21 ams-ix-2.microsoft.com
7 207.46.42.81 ge-7-3-0-0.ams-64cb-1b.ntwk.msn.net
8 (nog 3 keer een ntwk.msn.net)
9
10
****
**** 94.245.115.184
Daarnaast heb ik nog een aantal andere rare dingen, zo is er zowel een ntoskrnl.exe als een NTOSKRNL.EXE applicatie bezig, waarbij ik bij de eerste ook zo'n soort lijst te zijn krijg, en waarbij bij de tweede een melding komt: This is an invalid IP for back tracing
(hier kan ik nog extra info over sturen als dit nodig is)

EDIT3:
-virusscan heeft enkele troj. horses ontdekt, maar niet in de systeembestanden. Melding komt nu na opnieuw opstarten nog voor. Echter is er nu een klein beetje tekst bijgekomen: traffic has been blocked from this application: Host Process for windows services (svchost.exe)

[ Voor 16% gewijzigd door Anoniem: 323021 op 08-01-2011 10:23 ]

zondag 9 januari 2011 13:28

Acties:
  • 0 Henk 'm!

Anoniem: 323021

Topicstarter
iemand?

maandag 10 januari 2011 11:41

Acties:
  • 0 Henk 'm!

Anoniem: 323021

Topicstarter
Ik zit nog steeds met hetzelfde probleem dat ik wil weten of het een virus is of niet, de virusscan heeft in ieder geval wat gevonden maar niet in systeemfolders. (ook niet via opstartscan) Alsnog vind ik het wel vreemd dat het programma wel erg vaak (nu >10x in een sec, elke 5 seconden) probeert verbinding te maken met internet.

Aangezien ik vergeten was te tasklist /svc lijst te posten doe ik dat nu hier, en hoop ik dat iemand mij wat wijzer kan maken.


Microsoft Windows [versie 6.1.7600]
Copyright (c) 2009 Microsoft Corporation. Alle rechten voorbehouden.

D:\Users\Koos>tasklist /svc

Imagenaam Proces-i Services
========================= ======== ============================================
System Idle Process----0 n.v.t.
System---------------------- 4 n.v.t.
smss.exe------------------- 388 n.v.t.
csrss.exe------------------- 640 n.v.t.
csrss.exe--------------------696 n.v.t.
wininit.exe-------------------704 n.v.t.
winlogon.exe---------------760 n.v.t.
services.exe----------------808 n.v.t.
lsass.exe--------------------816 KeyIso, ProtectedStorage, SamSs
lsm.exe---------------------- 828 n.v.t.
svchost.exe---------------- 916 DcomLaunch, PlugPlay, Power
nvvsvc.exe-------------------984 NVSvc
svchost.exe-----------------120 RpcEptMapper, RpcSs
svchost.exe-----------------616 AudioSrv, Dhcp, eventlog,
------------------------------------------- HomeGroupProvider, lmhosts, wscsvc
svchost.exe-----------------412 AudioEndpointBuilder, CscService, hidserv,
------------------------------------------ Netman, PcaSvc, SysMain, TrkWks, UxSms,
------------------------------------------- WdiSystemHost, Wlansvc, WPDBusEnum, wudfsvc
svchost.exe-----------------888 Appinfo, BITS, Browser, EapHost, gpsvc,
------------------------------------------ IKEEXT, iphlpsvc, LanmanServer, MMCSS,
------------------------------------------ ProfSvc, Schedule, SENS, ShellHWDetection,
------------------------------------------ Themes, Winmgmt, wuauserv
audiodg.exe--------------- 1092 n.v.t.
svchost.exe--------------- 1168 EventSystem, fdPHost, netprofm, nsi,
----------------------------------------- WdiServiceHost, WinHttpAutoProxySvc
Smc.exe------------------- 1268 SmcService
NvXDSync.exe------------1316 n.v.t.
nvvsvc.exe------------------1328 n.v.t.
dwm.exe------------------- 1544 n.v.t.
explorer.exe----------------1552 n.v.t.
svchost.exe--------------- 1616 CryptSvc, Dnscache, LanmanWorkstation,
---------------------------------- NlaSvc
ccSvcHst.exe--------------1768 ccEvtMgr, ccSetMgr
spoolsv.exe----------------- 2036 Spooler
svchost.exe---------------- 1188 BFE, DPS, MpsSvc
taskhost.exe---------------1604 n.v.t.
SmcGui.exe----------------2144 n.v.t.
vsnp2uvc.exe---------------2156 n.v.t.
msnmsgr.exe---------------2212 n.v.t.
svchost.exe------------------2244 FDResPub, FontCache, SSDPSRV
uTorrent.exe-----------------2596 n.v.t.
sidebar.exe----------------- 2708 n.v.t.
StikyNot.exe----------------2828 n.v.t.
syncappw.exe-------------2848 n.v.t.
sppsvc.exe------------------2964 sppsvc
UltraMon.exe---------------3012 n.v.t.
nvSCPAPISvr.exe--------- 1828 Stereo Service
taskhost.exe------------------1452 n.v.t.
svchost.exe------------------ 1156 stisvc
Rtvscan.exe------------------ 2436 Symantec AntiVirus
WLIDSVC.EXE------------- 3092 wlidsvc
ccApp.exe-------------------- 3200 n.v.t.
WLIDSVCM.EXE------------3228 n.v.t.
reinstall_svc.exe------------ 3320 OS Selector
ProtectionUtilSurrogate.e--3388 n.v.t.
SearchIndexer.exe-----------1416 WSearch
svchost.exe-------------------- 2480 PolicyAgent
wlcomm.exe--------------------4340 n.v.t.
wmpnetwk.exe-----------------4440 WMPNetworkSvc
WUDFHost.exe----------------4472 n.v.t.
SearchProtocolHost.exe----4924 n.v.t.
svchost.exe---------------------1588 p2pimsvc, p2psvc, PNRPsvc
RTSHookInterop.exe---------4520 n.v.t.
dllhost.exe---------------------- 2000 n.v.t.
wlmail.exe-----------------------2052 n.v.t.
svchost.exe-------------------- 5100 WinDefend
firefox.exe------------------------820 n.v.t.
plugin-container.exe----------4108 n.v.t.
iexplore.exe--------------------4960 n.v.t.
iexplore.exe--------------------4868 n.v.t.
plugin-container.exe---------6032 n.v.t.
SymCorpUI.exe-------------- 5568 n.v.t.
UltraMonUiAcc.exe--------- 6004 n.v.t.
RTSHookInterop.exe---------5976 n.v.t.
SearchFilterHost.exe--------5596 n.v.t.
cmd.exe------------------------ 3372 n.v.t.
conhost.exe------------------- 4748 n.v.t.
tasklist.exe---------------------5340 n.v.t.
WmiPrvSE.exe--------------- 5304 n.v.t.


D:\Users\Koos>tasklist /svc

BVD!
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq