Win XP und die Svchost.exe sowie Ssdpsrv.exe

#0
24.11.2001, 16:14
~JimBim
zu Gast
#1 Hallöchen! ;)

Ich habe das hier irgendwo schonmal gelesen, jedoch scheint das Board hier ein komplettes Update bekommen zu haben! Sieht toll aus!

Jedoch wofür sind die Svchost.exe und die Ssdpsrv.exe unter Windows XP nochmal zuständig? Meine Firewall (Tiny) möchte die ganze Zeit irgendetwas für die konfigurieren, darf ich das zulassen?

Danke schoneinmal!
tjau

Jim
Seitenanfang Seitenende
24.11.2001, 16:14
~JimBim
zu Gast

Themenstarter
#2 gibt es übrigens noch das alte Board zum nachlesen?
Seitenanfang Seitenende
24.11.2001, 20:31
Administrator
Avatar Lukas

Beiträge: 1742
#3 Hi JimBim!

Habe mal im alten Forum, was -> hier noch existiert was dazu geschrieben!

Genauer hier: http://pub46.ezboard.com/fsecurityboard43032frm1.showMessage?topicID=52.topic
__________
Gruß Lukas :yo
Seitenanfang Seitenende
24.11.2001, 20:34
Administrator
Avatar Lukas

Beiträge: 1742
#4 Hi

Ich habe mich mal ein wenig informiert, und hoffe, das ihr mir ein wenig helft, da ich für diese Services gerne Rules auf http://faq.at/firewalls basteln würde!

1.) ssdpsrv.exe
Ssdpsrv.exe - Diese Komponente stellt SSDP- und GENA-Dienste bereit. Was auch immer das ist! Windows XP besitzt die Eigenschaft den Port 5000 grundsätzlich für das Netzwerk-Plug'n'Play offen zu halten.
An genau diesem port lauscht auch der Backdoor-Trojaner "Sockets de Troie", weshalb einige Trojan Scanner falschen Alarm schlagen weil der Port offen ist
Den Port kann man wie folgt schliessen:
Start -> Ausführen und dann "msconfig" eingeben. Danach auf den Registerreiter "Autostart" und den Eintrag "ssdpsrv.exe" deaktivieren. Das geschieht, indem das Häckchen entfernt wird. Danach das System neu starten. Nun müßte dieser Port geschlossen sein.
mehr zu diesem Service:
http://support.microsoft.com/support/kb/articles/Q262/4/58.asp
und hier in deutsch
http://www.microsoft.com/IntlKB/Germany/support/kb/d262/d262458.htm?LN=DE&SD=SO&FR=0
Das Teil lauscht auch noch an UDP 1900 zur IP vom anderen Netzwerkpartner! scheint also harmlos!

2.) rundll32.dll
lauscht soweit mir bekannt nur an den Localhosts, was die genau macht ist mir jedoch nicht bekannt!

3.) svchost.exe
Kurz mit meinen Worten: Die Svchost.exe fasst mehrere gestartete Services in der Registry zusammen und taucht deshalb im Taskmanager auch öfter auf!
Description of Svchost.exe
http://support.microsoft.com/support/kb/articles/Q250/3/20.ASP
and... s.th in english..i am to lazy to translate it:
One immediately wonders what these are. The name, SvcHost, apparently stands for “service host,” since SVCHOST is a generic host process name for services that are run from DLL files. At startup, SVCHOST checks the Windows Registry to build a list of services that it needs to load. Then it loads them. Several copies of SVCHOST may be seen running at the same time because each group of services listed in the Registry triggers a separate SVCHOST session.
Übrigens: Was hier steht ist meines Wissens nach gnadenloser Quatsch!
http://www.tpffaq.com/cgi-bin/faqmanager.cgi?file=xp&toc=faq#q2

habt ihr noch infos?

Gruß

Lukas
__________
Gruß Lukas :yo
Seitenanfang Seitenende
24.11.2001, 20:35
Administrator
Avatar Lukas

Beiträge: 1742
#5 ...sowie aus dem alten Forum:

Zitat

Duke postete
nach erneutem Durchstöbern des Internets habe ich eine endgültige Lösung für die svchost.exe unter Windows XP Prof. gefunden; zumindest funktioniert diese Lösung bei mir.
Man kann in der TPF der Datei svchost.exe komplett den Zugriff auf das Internet verbieten, wenn man vorher unter Systemsteuerung/Verwaltung/Dienste den DNS-Client deaktiviert hat. Tut man dies nicht, so ist bei einer Komplettsperrung des svchost´s ein Surfen im Internet nicht mehr möglich. Wieso eine Deaktivierung des DNS-Clients genau das Gegenteil bewirkt, ist für mich im Moment noch unklar. Vielleicht finde ich darauf auch noch eine Antwort. Oder hast Du vielleicht eine solche?
Nun denn, auf jeden Fall kann der svchost mit dieser Maßnahme Marke "Vorschlaghammer" nicht mehr dazu verwendet werden, um möglicherweise Daten an MS zu senden.
Ich habe die Regel in der TPF folgendermaßen konfiguriert (an oberster Stelle meines Regelwerkes):

1. Protocol: TCP and UDP (svchost nutzt beide Protokolle)
2. Direction: Both (der svchost soll von außerhalb auch nicht zugänglich sein)
3. Local endpoint:
- Port Type: Any
- Application: c:\windows\system32\svchost.exe
4. Remote endpoint:
- Address: Any
- Port: Any
5. Action: Deny

Ich hoffe, dass ich Dir und allen anderen XP-Usern damit (etwas) weiterhelfen konnte. Ob diese Methode allerdings der "Königsweg" ist und für alle Computer gleichermaßen gilt, kann ich so nicht beurteilen. Aber auf jeden Fall ist er endgültig! Falls jemand andere Erfahrungen gemacht hat oder einen besseren Weg gefunden hat, so möge er oder sie dies doch bitte hier posten.
Bis die Tage!

Grüße

Duke

__________
Gruß Lukas :yo
Dieser Beitrag wurde am 24.11.2001 um 20:36 Uhr von Lukas editiert.
Seitenanfang Seitenende
26.12.2001, 12:08
~Megashira
zu Gast
#6 Habe das Problem mit der svchost.exe auch.
Was ist bitte unter der TPF der Datei zu vertehen ?
Bitte mal unter megashira2000@gmx.de melden.


Zitat

Lukas postete
...sowie aus dem alten Forum:

Zitat

Duke postete
[i]nach erneutem Durchstöbern des Internets habe ich eine endgültige Lösung für die svchost.exe unter Windows XP Prof. gefunden; zumindest funktioniert diese Lösung bei mir.
Man kann in der TPF der Datei svchost.exe komplett den Zugriff auf das Internet verbieten, wenn man vorher unter Systemsteuerung/Verwaltung/Dienste den DNS-Client deaktiviert hat. Tut man dies nicht, so ist bei einer Komplettsperrung des svchost´s ein Surfen im Internet nicht mehr möglich. Wieso eine Deaktivierung des DNS-Clients genau das Gegenteil bewirkt, ist für mich im Moment noch unklar. Vielleicht finde ich darauf auch noch eine Antwort. Oder hast Du vielleicht eine solche?
Nun denn, auf jeden Fall kann der svchost mit dieser Maßnahme Marke "Vorschlaghammer" nicht mehr dazu verwendet werden, um möglicherweise Daten an MS zu senden.
Ich habe die Regel in der TPF folgendermaßen konfiguriert (an oberster Stelle meines Regelwerkes):

1. Protocol: TCP and UDP (svchost nutzt beide Protokolle)
2. Direction: Both (der svchost soll von außerhalb auch nicht zugänglich sein)
3. Local endpoint:
- Port Type: Any
- Application: c:\windows\system32\svchost.exe
4. Remote endpoint:
- Address: Any
- Port: Any
5. Action: Deny

Ich hoffe, dass ich Dir und allen anderen XP-Usern damit (etwas) weiterhelfen konnte. Ob diese Methode allerdings der "Königsweg" ist und für alle Computer gleichermaßen gilt, kann ich so nicht beurteilen. Aber auf jeden Fall ist er endgültig! Falls jemand andere Erfahrungen gemacht hat oder einen besseren Weg gefunden hat, so möge er oder sie dies doch bitte hier posten.
Bis die Tage!

Grüße

Duke
[/i]
Seitenanfang Seitenende
26.12.2001, 18:44
Member

Beiträge: 32
#7 Habe mal meinen Beitrag aus dem Trojaner-Bord kopiert .
http://www.trojaner-board.de/forum/ultimatebb.cgi?ubb=get_topic&f=4&t=001241


wenn du dir das mal bitte durchlesen könntest !
http://www.trojaner-board.de/forum/ultimatebb.cgi?ubb=get_topic&f=4&t=001205

und das
http://pub15.ezboard.com/fsecurityboardsfrm6.showMessage?topicID=572.topic

und hier
http://www.windows2000helpline.de/daten/index.php?shownews=96

danach dürfte die svchost.exe keinen Mux mehr von sich geben !

cu abbi
Dieser Beitrag wurde am 26.12.2001 um 18:47 Uhr von abbi editiert.
Seitenanfang Seitenende
30.12.2001, 02:52
~haarstreub
zu Gast
#8 Hi----Finger weg von diesem Häckchen!!!!!!!!!!!!Nur Probleme!!!!!!
Zitat von oben............
Start -> Ausführen und dann "msconfig" eingeben. Danach auf den Registerreiter "Autostart" und den Eintrag "ssdpsrv.exe" deaktivieren. Das geschieht, indem das Häckchen entfernt wird. Danach das System neu starten. Nun müßte dieser Port geschlossen sein..........

Statt dessen Systemsteuerung-Software-Windows Setup-verbindungen
Häckchen bei Universelles Plug &PLAY weg.Selber Effekt,System bleibt topstabil.
Universelles Plug &PLAY ist überflüssig wie ein Kropf.
Gute Nacht
Haarstreub
Seitenanfang Seitenende
08.01.2002, 20:52
Administrator
Avatar Lukas

Beiträge: 1742
#9 Yau, hat dieses Thread viele Views!

Um es nochmal zusammenfassend festzustellen, die svchost ist harmlos, das sie sozusagen nur ein Pool ist, wo mehrere Systemprozesse drin gesammelt sind! Wen interessiert, welche Prozesse so alle in der Svchost gesammelt sind kann dies hier nachsehen: Start -> Ausführen -> Regedit
HKLM/Software/Microsoft/Windows NT/CurrentVersion/Svchost

Gruß
Lukas
__________
Gruß Lukas :yo
Seitenanfang Seitenende
27.01.2002, 19:50
Member

Beiträge: 67
#10 Ich hab noch die deutsche Seite zur Beschreibung der Svchost bei Microsoft gefunden die diese nocheinmal ausführlich beschreibt:
http://www.microsoft.com/intlkb/Germany/Support/kb/D42/D42517.HTM
und folgende Seite: http://www.winfaq.de/faq_html/Tip0505.htm

Gruß
Ando
Seitenanfang Seitenende
14.02.2002, 20:53
Member

Beiträge: 67
#11 hab auch noch ein Link, da ist beschrieben, wie man die einzelne Services wie svchost etc. abschaltet...

http://www.kssysteme.de/htdocs/documents/wxpports.shtml
Seitenanfang Seitenende
19.02.2002, 04:35
~unknown CCB
zu Gast
#12 @ ~Megashira
@ Lukas

die DNS-Einstellungen unter Dienste hab ich nun auch deaktiviert...
anfangs konnte Winamp nicht mehr connecten....???
hab dann den Port 53 für den GENERIC HOST PROZESS FÜR WIN32 SERVICE wieder freischalten müssen....
jetzt scheint´s zu klappen...;)

XP-PRO
ZA-Pro


.... Grüsse .....
Seitenanfang Seitenende
23.02.2002, 22:17
Member
Avatar Tille

Beiträge: 451
#13 hier ist übrigens auch ein kleiner Bericht über die Svchost
http://www.chip.de/praxis_wissen/unterseite_praxis_wissen_8636771.html

Tille
__________
Anonymität im Internet ist, wenn Du keinen kennst, aber alle Dich.
Seitenanfang Seitenende
01.05.2002, 20:54
zu Gast
#14 Ich hab mal gehört, dass MS die irgendwelche Infos mitgesendet bekommt, wenn ich im Internet bin seitdem hab ich echt schiss! bei mir ist nehmlich nicht alles ganz legal bitte hilft mir schnell danke!!
Seitenanfang Seitenende
01.05.2002, 22:56
zu Gast
#15 @Grimo
??? - ist das jetzt auf die Svchost bezogen? - die ist harmlos!
Falls du Windows XP verwendest versuch dich mal mit www.xpantispy.de - dann ist dein Windows auf jeden Fall sicher...

Ansonsten ist eigentlich noch nicht bekannt, das MS persönliche Daten zur Überprüfung von illegalen Inhalten verwendet.
Seitenanfang Seitenende