Supportnet / Forum / NW-Sonstiges
generic host process for win 32 server
Frage
hallo, ich bin beunruhigt: habe xp-home, gehe über einen router ins netz und habe mich mit zonealarm "versucht" abzusichern. seit etwa 2 wochen zeigt mir die firewall ein programm, das in einem fenster folgendes pop zeigt:
generic host process for win 32 services, listening to port(s):UDP:126.
was bedeutet das und wie werd ich das wieder los: will nicht, dass jemand "listening".
herzlichen dank einstweilen für hilfe
Antwort 1 von Limbius
Einfach mal was generelles zu Generic host Process for Win32 Services = SVCHost.exe
Die im Netz viel und häufig kontrovers diskutierte Systemdatei führt zwar keine bösen Dinge aus, benutzt aber Dienste, die nicht unbedingt notwendig sind. Ein paar Firewallregeln bringen ihr Benehmen bei.
Interessierten Computer- und/oder Firewall-Benutzern mit den Betriebssystemen Windows 2000 oder XP ist die Datei "svchost.exe" seit längerer Zeit bereits ein Dorn im Auge, da sie scheinbar nirgendwo richtig zugeordnet werden kann und auch die primären Funktionen werden ausgiebig diskutiert.
Laut Aussage des Herstellers Microsoft wird die Datei wie folgt beschrieben:
""Svchost.exe" ist ein allgemeiner Hostprozessname für Dienste, die mit Hilfe von Dynamic-Link Libraries (DLLs) ausgeführt werden. Die ausführbare Datei "Svchost.exe" befindet sich im Ordner "%SystemRoot%System32". Beim Start überprüft "Svchost.exe" den auf Dienste bezogenen Abschnitt der Registrierung, um eine Liste von Diensten zusammenzustellen, die geladen werden müssen. Es können mehrere Instanzen von "Svchost.exe" gleichzeitig ausgeführt werden. Jede "Svchost.exe"-Sitzung kann eine eigene Gruppe von Diensten enthalten, sodass in Abhängigkeit davon, wie und wo "Svchost.exe" gestartet wird, verschiedene Dienste ausgeführt werden können. Dies sorgt für eine bessere Kontrolle und ein einfacheres Debuggen."
Werden Verbindungen der Datei durch ein Firewallsystem rigoros blockiert, stellt der eine oder andere Computerbenutzer je nach Rechner- und Netz-Konfiguration schnell fest, dass keine Internet-Verbindung mehr ausgeführt werden kann.
"Svchost.exe" führt keine geheimen oder spionierenden Funktionen aus aber sie regelt unter anderem Dienste, die für die Netz-Funktionalität notwendig sind und benutzt hierbei teils auch Dienste, die unter Umständen von potentiellen Angreifern missbraucht werden können. Agnitum, der Hersteller des Firewallsystems Outpost hat aus dem Grund ein Basis-Regelset zur Konfiguration der "svchost.exe" zur Verfügung gestellt, die für die meisten Rechner-Konfigurationen sinnvoll ist und an und für sich auch auf andere Firewallsysteme übertragbar ist.
Quelle weiß ich nicht mehr :
Das "Listening" an Port UDP 126 ist also nichts außergewöhnliches kann aber durch eine Firewall unterbunden werden...
Folgende Regeln kann man anwenden wenn man zB die Firewall Outpost (freeware Version) verwendet :
Im Einzelnen werden folgende Regeln für "svchost.exe" empfohlen:
* Erlaube DHCP
Protokoll: UDP
Lokaler Port: 68
Remote Port: 67
Verbindungsrichtung: Ankommend
Aktion: AllowIt
* Erlaube DNS
Protokoll: UDP
Lokaler Port: 53
Aktion: Erlaubt
* Erlaube Time Synchronizer Verbindung
Protokoll: UDP
Remote Port: 123
Aktion: Erlaubt
* Erlaube HTTP Verbindung
Protokoll: TCP
Remote Port: 80
Verbindungsrichtung: Ausgehend
Aktion: Erlaubt
* Erlaube HTTPS Verbindung
Protokoll: TCP
Remote Port: 443
Verbindungsrichtung: Ausgehend
Aktion: Erlaubt
* Blockiere "SSDP Discovery Service" und "UPnP device Host" Services
Protokoll: UDP
Remote Port: 1900
Remote Host: 239.255.255.250
Verbindungsrichtung: Ankommend
Aktion: Blockiert
* Blockiere "SSDP Discovery Service" und "UPnP device Host" Services
Protokoll: TCP
Remote Port: 5000
Remote Host: 239.255.255.250
Verbindungsrichtung: Ankommend
Aktion: Blockiert
* Blockiere "SSDP Discovery Service" und "UPnP Device Host" Services
Protokoll: UDP
Remote Port: 5000
Remote Host: 239.255.255.250
Verbindungsrichtung: Ankommend
Aktion: Blockiert
* Blockiere "Remote Procedure Call"
Protokoll: TCP
Lokaler Port: 135
Aktion: Blockiert
Hoffe das hilft weiter
Die im Netz viel und häufig kontrovers diskutierte Systemdatei führt zwar keine bösen Dinge aus, benutzt aber Dienste, die nicht unbedingt notwendig sind. Ein paar Firewallregeln bringen ihr Benehmen bei.
Interessierten Computer- und/oder Firewall-Benutzern mit den Betriebssystemen Windows 2000 oder XP ist die Datei "svchost.exe" seit längerer Zeit bereits ein Dorn im Auge, da sie scheinbar nirgendwo richtig zugeordnet werden kann und auch die primären Funktionen werden ausgiebig diskutiert.
Laut Aussage des Herstellers Microsoft wird die Datei wie folgt beschrieben:
""Svchost.exe" ist ein allgemeiner Hostprozessname für Dienste, die mit Hilfe von Dynamic-Link Libraries (DLLs) ausgeführt werden. Die ausführbare Datei "Svchost.exe" befindet sich im Ordner "%SystemRoot%System32". Beim Start überprüft "Svchost.exe" den auf Dienste bezogenen Abschnitt der Registrierung, um eine Liste von Diensten zusammenzustellen, die geladen werden müssen. Es können mehrere Instanzen von "Svchost.exe" gleichzeitig ausgeführt werden. Jede "Svchost.exe"-Sitzung kann eine eigene Gruppe von Diensten enthalten, sodass in Abhängigkeit davon, wie und wo "Svchost.exe" gestartet wird, verschiedene Dienste ausgeführt werden können. Dies sorgt für eine bessere Kontrolle und ein einfacheres Debuggen."
Werden Verbindungen der Datei durch ein Firewallsystem rigoros blockiert, stellt der eine oder andere Computerbenutzer je nach Rechner- und Netz-Konfiguration schnell fest, dass keine Internet-Verbindung mehr ausgeführt werden kann.
"Svchost.exe" führt keine geheimen oder spionierenden Funktionen aus aber sie regelt unter anderem Dienste, die für die Netz-Funktionalität notwendig sind und benutzt hierbei teils auch Dienste, die unter Umständen von potentiellen Angreifern missbraucht werden können. Agnitum, der Hersteller des Firewallsystems Outpost hat aus dem Grund ein Basis-Regelset zur Konfiguration der "svchost.exe" zur Verfügung gestellt, die für die meisten Rechner-Konfigurationen sinnvoll ist und an und für sich auch auf andere Firewallsysteme übertragbar ist.
Quelle weiß ich nicht mehr :
Das "Listening" an Port UDP 126 ist also nichts außergewöhnliches kann aber durch eine Firewall unterbunden werden...
Folgende Regeln kann man anwenden wenn man zB die Firewall Outpost (freeware Version) verwendet :
Im Einzelnen werden folgende Regeln für "svchost.exe" empfohlen:
* Erlaube DHCP
Protokoll: UDP
Lokaler Port: 68
Remote Port: 67
Verbindungsrichtung: Ankommend
Aktion: AllowIt
* Erlaube DNS
Protokoll: UDP
Lokaler Port: 53
Aktion: Erlaubt
* Erlaube Time Synchronizer Verbindung
Protokoll: UDP
Remote Port: 123
Aktion: Erlaubt
* Erlaube HTTP Verbindung
Protokoll: TCP
Remote Port: 80
Verbindungsrichtung: Ausgehend
Aktion: Erlaubt
* Erlaube HTTPS Verbindung
Protokoll: TCP
Remote Port: 443
Verbindungsrichtung: Ausgehend
Aktion: Erlaubt
* Blockiere "SSDP Discovery Service" und "UPnP device Host" Services
Protokoll: UDP
Remote Port: 1900
Remote Host: 239.255.255.250
Verbindungsrichtung: Ankommend
Aktion: Blockiert
* Blockiere "SSDP Discovery Service" und "UPnP device Host" Services
Protokoll: TCP
Remote Port: 5000
Remote Host: 239.255.255.250
Verbindungsrichtung: Ankommend
Aktion: Blockiert
* Blockiere "SSDP Discovery Service" und "UPnP Device Host" Services
Protokoll: UDP
Remote Port: 5000
Remote Host: 239.255.255.250
Verbindungsrichtung: Ankommend
Aktion: Blockiert
* Blockiere "Remote Procedure Call"
Protokoll: TCP
Lokaler Port: 135
Aktion: Blockiert
Hoffe das hilft weiter
Antwort 2 von watz
hallo limbius,
danke erst mal, werde sehen, was ich blocken kann.
danke erst mal, werde sehen, was ich blocken kann.