Ratkaistu! svchost.exe incoming speed? (ylimääräistä netti liikennettä)

Eli mitään nettiä käyttäviä ohjelmia ei ole nyt päällä.

svchost.exe tiedosto näyttää netlimiter2 monitorilla jatkuvaa incoming nopeutta n 1-7 KB. (iso B eli vissiin siis Kt)
-tämä data kulkee PID 1384 kautta.
-ip-osotteita josta tavuja tulee on valtava määrä ja vaihtuu n. kerran/s


Tiedän että svchost pitäisi olla windowsin oma tiedosto,
mutta pitäisikö sen kuljettaa tuota dataa jatkuvasti sisäänpäin näinkin paljon.


ps.
-Sunbelt firewall näyttää saapuvaksi nopeudeksi n.6-25 Kt/s
-Tehtävän hallinnastakin näkyy että tavuja liikkuu aivan jatkuvasti sisään päin. (verkonkäyttö prosentteina n.1%)

 

löytyykö keneltäkään tietoa asiaan?

 

svchost.exe lataa esimerkiksi win päivityksiä koneelle. Komentorivillä netstat -a näyttää mitä yhteyksiä on aktiivisina, netstat -ab näyttää paljon yksityiskohtaisemmin. Myös -n optiota voit käyttää.

 

netstat -ab >c:\liikenne.txt näyttää seuraavaa:


Aktiiviset yhteydet

Proto Paikallinen osoite Vieras osoite Tila PID
TCP h-pc:epmap h-pc:0 LISTENING 1076
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\svchost.exe
-- tuntematon osa tai tuntemattomat osat --
[svchost.exe]

TCP h-pc:microsoft-ds h-pc:0 LISTENING 4
[J„rjestelm„]

TCP h-pc:1031 h-pc:0 LISTENING 2568
[SbPFCl.exe]

TCP h-pc:44334 h-pc:0 LISTENING 224
[SbPFSvc.exe]

TCP h-pc:44501 h-pc:0 LISTENING 224
[SbPFSvc.exe]

TCP h-pc:1025 h-pc:0 LISTENING 2412
[alg.exe]

TCP h-pc:5152 h-pc:0 LISTENING 1796
[jqs.exe]

TCP h-pc:12025 h-pc:0 LISTENING 2008
[ashMaiSv.exe]

TCP h-pc:12080 h-pc:0 LISTENING 2088
[ashWebSv.exe]

TCP h-pc:12110 h-pc:0 LISTENING 2008
[ashMaiSv.exe]

TCP h-pc:12119 h-pc:0 LISTENING 2008
[ashMaiSv.exe]

TCP h-pc:12143 h-pc:0 LISTENING 2008
[ashMaiSv.exe]

TCP h-pc:1029 localhost:44334 ESTABLISHED 2568
[SbPFCl.exe]

TCP h-pc:1031 localhost:1033 ESTABLISHED 2568
[SbPFCl.exe]

TCP h-pc:1033 localhost:1031 ESTABLISHED 224
[SbPFSvc.exe]

TCP h-pc:44334 localhost:1029 ESTABLISHED 224
[SbPFSvc.exe]

TCP h-pc:1850 localhost:5152 FIN_WAIT_2 1372
[J„rjestelm„]

TCP h-pc:5152 localhost:1850 CLOSE_WAIT 1796
[jqs.exe]

TCP h-pc:44501 localhost:1828 CLOSE_WAIT 224
[SbPFSvc.exe]

TCP h-pc:1847 localhost:1846 TIME_WAIT 0
TCP h-pc:1854 localhost:12080 TIME_WAIT 0
TCP h-pc:1855 localhost:12080 TIME_WAIT 0
TCP h-pc:1859 localhost:12080 TIME_WAIT 0
TCP h-pc:1863 localhost:12080 TIME_WAIT 0
TCP h-pc:1871 localhost:12080 TIME_WAIT 0
TCP h-pc:1876 localhost:12080 TIME_WAIT 0
TCP h-pc:1880 localhost:12080 TIME_WAIT 0
TCP h-pc:1882 localhost:12080 TIME_WAIT 0
TCP h-pc:1884 localhost:12080 TIME_WAIT 0
TCP h-pc:1886 localhost:12080 TIME_WAIT 0
TCP h-pc:1891 localhost:12080 TIME_WAIT 0
TCP h-pc:1895 localhost:12080 TIME_WAIT 0
TCP h-pc:1898 localhost:12080 TIME_WAIT 0
TCP h-pc:12080 localhost:1873 TIME_WAIT 0
TCP h-pc:12080 localhost:1889 TIME_WAIT 0
TCP h-pc:12080 localhost:1861 TIME_WAIT 0
TCP h-pc:12080 localhost:1893 TIME_WAIT 0
TCP h-pc:12080 localhost:1866 TIME_WAIT 0
TCP h-pc:12080 localhost:1898 TIME_WAIT 0
TCP h-pc:12080 localhost:1851 TIME_WAIT 0
TCP h-pc:12080 localhost:1891 TIME_WAIT 0
TCP h-pc:12080 localhost:1864 TIME_WAIT 0
TCP h-pc:44501 localhost:1897 TIME_WAIT 0
TCP h-pc:44501 localhost:1888 TIME_WAIT 0
TCP h-pc:44501 localhost:1870 TIME_WAIT 0
TCP h-pc:44501 localhost:1869 TIME_WAIT 0
UDP h-pc:isakmp *:* 848
[lsass.exe]

UDP h-pc:1303 *:* 2568
[SbPFCl.exe]

UDP h-pc:1032 *:* 2568
[SbPFCl.exe]

UDP h-pc:4500 *:* 848
[lsass.exe]

UDP h-pc:1030 *:* 2568
[SbPFCl.exe]

UDP h-pc:44334 *:* 224
[SbPFSvc.exe]

UDP h-pc:microsoft-ds *:* 4
[J„rjestelm„]

UDP h-pc:1900 *:* 1240
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP h-pc:1844 *:* 1124
c:\windows\system32\WS2_32.dll
c:\windows\system32\WINHTTP.dll
C:\WINDOWS\system32\upnp.dll
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\ole32.dll
[svchost.exe]

UDP h-pc:ntp *:* 1124
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP h-pc:1900 *:* 1240
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP h-pc:ntp *:* 1124
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

 

Ja se on nyt tämä joka kuljettaa tuota dataa sisäänpäin:

UDP h-pc:1900 *:* 1240
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

ps.kaikki selaimet,messengeri skypet ym.slujettu.
palomuuri ja virustorjunta päällä.

 

Tämän totesit ilmeisesti tuolla netlimiterillä? Minä en salli tuolle portille yhteyttä en ulos enkä sisään päin. Palvelunkin sammuttelen windowsissa. Sisäverkossa on asia erikseen jos sielläkään tarvitset. Lisätietoja löydät hakusanoilla udp 1900 upnp.

 

Mitenköhän tuon portin saa blockattua, ja mistä tuo palvelu sammutetaan?
koitin googlailla, mutta en itse löytänyt.
Palomuurina ollut käytössä Sunbelt personal firewall.

 

kerrottakoon että netlimiter kaatoi konetta vähä välin, ja ongelma poistui kun poistin netlimiterin.

Tällaisella ohjelmalla koitin tuloksetta sulkea sisääntulevan datan reitit.
http://www.grc.com/UnPnP/UnPnP.htm

 

Siis että mitä? Oletus kaiketi on että palomuuri ei salli mitään ulkoa tulevia yhtyksiä!? Ulos päin sitten sallitaan vain tarpeelliset. Ja niissä ei ole mukana tuo UDP portti 1900. Ei tuon sulkemiseen mitään erillisiä ohjelmia tarvita. Jos palomuuri ei pysty sitä sulkemaan se ei ole palomuuri. Vaihtoon moinen kelvottomuus ja heti!

Jos tuota upnp:tä ei tarvitse sisäverkossa niin sen voi tosiaan kokonaan pysäyttää windowsissa. Suomeksi palvelut. Klikkaa hiiren oikealla Oma tietokone kuvaketta ja valitse Hallitse. Alimpana Palvelut ja sovellukset. Plussasta auki ja klikkaus kohtaan Palvelut. Oikelta löytyy kohta Universal Plug & Play. Tuplaklikkaus siihen ja jos se on käynnissä pysäytä ensin ja sitten muuta käynnistystavaksi Manuaalinen tai Ei käytössä.

 

joo tuo oli kyllä pois päältä ja manuaalisena käynnistys.
mutta mistä tuo sittenvoi johtua että kokoajan tulee sisään yli 10 KB/s dataa

 

Laitappa tulemaan mitä kertoo netstat -an

 

vikasietotilassa sisääntuleva nopeus oli siellä 5KB/s paikkeilla.
noita skannereita olen kyllä pyöritellyt tuloksetta.

netstat -ab sanoo tämmöistä:

Aktiivisia yhteyksi„

Protokolla Paikallinen osoite Vieras osoite Tila
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1033 0.0.0.0:0 LISTENING
TCP 0.0.0.0:44334 0.0.0.0:0 LISTENING
TCP 0.0.0.0:44501 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1029 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1031 127.0.0.1:44334 ESTABLISHED
TCP 127.0.0.1:1033 127.0.0.1:1035 ESTABLISHED
TCP 127.0.0.1:1035 127.0.0.1:1033 ESTABLISHED
TCP 127.0.0.1:1046 127.0.0.1:12080 TIME_WAIT
TCP 127.0.0.1:1048 127.0.0.1:12080 TIME_WAIT
TCP 127.0.0.1:1050 127.0.0.1:12080 TIME_WAIT
TCP 127.0.0.1:1052 127.0.0.1:12080 TIME_WAIT
TCP 127.0.0.1:1057 127.0.0.1:12080 TIME_WAIT
TCP 127.0.0.1:1059 127.0.0.1:12080 TIME_WAIT
TCP 127.0.0.1:1065 127.0.0.1:12080 TIME_WAIT
TCP 127.0.0.1:1067 127.0.0.1:12080 TIME_WAIT
TCP 127.0.0.1:1068 127.0.0.1:12080 TIME_WAIT
TCP 127.0.0.1:1072 127.0.0.1:12080 TIME_WAIT
TCP 127.0.0.1:1076 127.0.0.1:12080 TIME_WAIT
TCP 127.0.0.1:1080 127.0.0.1:44501 TIME_WAIT
TCP 127.0.0.1:1085 127.0.0.1:12080 TIME_WAIT
TCP 127.0.0.1:1092 127.0.0.1:12080 TIME_WAIT
TCP 127.0.0.1:1103 127.0.0.1:12080 TIME_WAIT
TCP 127.0.0.1:1106 127.0.0.1:12080 TIME_WAIT
TCP 127.0.0.1:12025 0.0.0.0:0 LISTENING
TCP 127.0.0.1:12080 0.0.0.0:0 LISTENING
TCP 127.0.0.1:12080 127.0.0.1:1055 TIME_WAIT
TCP 127.0.0.1:12080 127.0.0.1:1061 TIME_WAIT
TCP 127.0.0.1:12080 127.0.0.1:1063 TIME_WAIT
TCP 127.0.0.1:12080 127.0.0.1:1065 TIME_WAIT
TCP 127.0.0.1:12080 127.0.0.1:1074 TIME_WAIT
TCP 127.0.0.1:12080 127.0.0.1:1076 TIME_WAIT
TCP 127.0.0.1:12080 127.0.0.1:1077 TIME_WAIT
TCP 127.0.0.1:12080 127.0.0.1:1081 TIME_WAIT
TCP 127.0.0.1:12080 127.0.0.1:1083 TIME_WAIT
TCP 127.0.0.1:12080 127.0.0.1:1087 TIME_WAIT
TCP 127.0.0.1:12080 127.0.0.1:1089 TIME_WAIT
TCP 127.0.0.1:12080 127.0.0.1:1094 TIME_WAIT
TCP 127.0.0.1:12080 127.0.0.1:1096 TIME_WAIT
TCP 127.0.0.1:12080 127.0.0.1:1099 TIME_WAIT
TCP 127.0.0.1:12080 127.0.0.1:1101 TIME_WAIT
TCP 127.0.0.1:12080 127.0.0.1:1103 TIME_WAIT
TCP 127.0.0.1:12110 0.0.0.0:0 LISTENING
TCP 127.0.0.1:12119 0.0.0.0:0 LISTENING
TCP 127.0.0.1:12143 0.0.0.0:0 LISTENING
TCP 127.0.0.1:44334 127.0.0.1:1031 ESTABLISHED
TCP 127.0.0.1:44501 127.0.0.1:1054 TIME_WAIT
TCP 127.0.0.1:44501 127.0.0.1:1071 TIME_WAIT
TCP 127.0.0.1:44501 127.0.0.1:1091 TIME_WAIT
TCP 127.0.0.1:44501 127.0.0.1:1098 TIME_WAIT
TCP 127.0.0.1:44501 127.0.0.1:1104 TIME_WAIT
TCP 127.0.0.1:44501 127.0.0.1:1108 TIME_WAIT
TCP ´´´´´´´´´´´´´´:1060 208.122.31.13:80 TIME_WAIT
TCP ´´´´´´´´´´´´´´:1062 208.122.31.18:80 TIME_WAIT
TCP ´´´´´´´´´´´´´´:1079 208.122.31.17:80 TIME_WAIT
TCP ´´´´´´´´´´´´´´:1088 208.122.31.17:80 TIME_WAIT
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:1032 *:*
UDP 0.0.0.0:1034 *:*
UDP 0.0.0.0:4500 *:*
UDP 0.0.0.0:44334 *:*
UDP 127.0.0.1:123 *:*
UDP 127.0.0.1:1900 *:*
UDP ´´´´´´´´´´´´´´´´:123 *:*
UDP ´´´´´´´´´´´´´´´´:1900 *:*

 

taisi jäädä b kirjain pois. eli uusiks:

netstat -ab sanoo seuraavaa:





Aktiiviset yhteydet

Proto Paikallinen osoite Vieras osoite Tila PID
TCP heiman:epmap heiman:0 LISTENING 1008
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\svchost.exe
-- tuntematon osa tai tuntemattomat osat --
[svchost.exe]

TCP heiman:microsoft-ds heiman:0 LISTENING 4
[J„rjestelm„]

TCP heiman:1033 heiman:0 LISTENING 2296
[SbPFCl.exe]

TCP heiman:44334 heiman:0 LISTENING 248
[SbPFSvc.exe]

TCP heiman:44501 heiman:0 LISTENING 248
[SbPFSvc.exe]

TCP heiman:1029 heiman:0 LISTENING 992
[alg.exe]

TCP heiman:12025 heiman:0 LISTENING 1128
[ashMaiSv.exe]

TCP heiman:12080 heiman:0 LISTENING 836
[ashWebSv.exe]

TCP heiman:12110 heiman:0 LISTENING 1128
[ashMaiSv.exe]

TCP heiman:12119 heiman:0 LISTENING 1128
[ashMaiSv.exe]

TCP heiman:12143 heiman:0 LISTENING 1128
[ashMaiSv.exe]

TCP heiman:1031 localhost:44334 ESTABLISHED 2296
[SbPFCl.exe]

TCP heiman:1033 localhost:1035 ESTABLISHED 2296
[SbPFCl.exe]

TCP heiman:1035 localhost:1033 ESTABLISHED 248
[SbPFSvc.exe]

TCP heiman:44334 localhost:1031 ESTABLISHED 248
[SbPFSvc.exe]

TCP heiman:1513 localhost:44501 FIN_WAIT_2 3144
[J„rjestelm„]

TCP heiman:44501 localhost:1513 CLOSE_WAIT 248
[SbPFSvc.exe]

TCP heiman:44501 localhost:1140 CLOSE_WAIT 248
[SbPFSvc.exe]

TCP heiman:44501 localhost:1282 CLOSE_WAIT 248
[SbPFSvc.exe]

TCP heiman:1281 217-212-227-85.customer.teliacarrier.com:http CLOSE_WAIT 836
[ashWebSv.exe]

TCP heiman:1458 localhost:1457 TIME_WAIT 0
TCP heiman:1461 localhost:12080 TIME_WAIT 0
TCP heiman:1465 localhost:12080 TIME_WAIT 0
TCP heiman:1467 localhost:12080 TIME_WAIT 0
TCP heiman:1469 localhost:44501 TIME_WAIT 0
TCP heiman:1470 localhost:12080 TIME_WAIT 0
TCP heiman:1472 localhost:12080 TIME_WAIT 0
TCP heiman:1474 localhost:12080 TIME_WAIT 0
TCP heiman:1476 localhost:12080 TIME_WAIT 0
TCP heiman:1477 localhost:12080 TIME_WAIT 0
TCP heiman:1480 localhost:12080 TIME_WAIT 0
TCP heiman:1483 localhost:12080 TIME_WAIT 0
TCP heiman:1485 localhost:12080 TIME_WAIT 0
TCP heiman:1487 localhost:12080 TIME_WAIT 0
TCP heiman:1492 localhost:12080 TIME_WAIT 0
TCP heiman:1494 localhost:12080 TIME_WAIT 0
TCP heiman:1496 localhost:12080 TIME_WAIT 0
TCP heiman:1499 localhost:12080 TIME_WAIT 0
TCP heiman:1501 localhost:12080 TIME_WAIT 0
TCP heiman:1509 localhost:12080 TIME_WAIT 0
TCP heiman:1514 localhost:12080 TIME_WAIT 0
TCP heiman:1518 localhost:12080 TIME_WAIT 0
TCP heiman:1519 localhost:12080 TIME_WAIT 0
TCP heiman:1528 localhost:12080 TIME_WAIT 0
TCP heiman:12080 localhost:1516 TIME_WAIT 0
TCP heiman:12080 localhost:ingreslock TIME_WAIT 0
TCP heiman:12080 localhost:1511 TIME_WAIT 0
TCP heiman:12080 localhost:1504 TIME_WAIT 0
TCP heiman:12080 localhost:1519 TIME_WAIT 0
TCP heiman:12080 localhost:1522 TIME_WAIT 0
TCP heiman:12080 localhost:1506 TIME_WAIT 0
TCP heiman:12080 localhost:1490 TIME_WAIT 0
TCP heiman:12080 localhost:1528 TIME_WAIT 0
TCP heiman:44501 localhost:1527 TIME_WAIT 0
TCP heiman:44501 localhost:1507 TIME_WAIT 0
TCP heiman:44501 localhost:1489 TIME_WAIT 0
TCP heiman:44501 localhost:1498 TIME_WAIT 0
TCP heiman:44501 localhost:1482 TIME_WAIT 0
TCP heiman:44501 localhost:1503 TIME_WAIT 0
TCP heiman:44501 localhost:1525 TIME_WAIT 0
UDP heiman:1034 *:* 2296
[SbPFCl.exe]

UDP heiman:isakmp *:* 792
[lsass.exe]

UDP heiman:1032 *:* 2296
[SbPFCl.exe]

UDP heiman:microsoft-ds *:* 4
[J„rjestelm„]

UDP heiman:4500 *:* 792
[lsass.exe]

UDP heiman:44334 *:* 248
[SbPFSvc.exe]

UDP heiman:1430 *:* 2296
[SbPFCl.exe]

UDP heiman:1455 *:* 1104
c:\windows\system32\WS2_32.dll
C:\WINDOWS\System32\WINHTTP.dll
C:\WINDOWS\system32\upnp.dll
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\ole32.dll
[svchost.exe]

UDP heiman:ntp *:* 1104
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP heiman:1900 *:* 1300
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP heiman:1900 *:* 1300
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP heiman:ntp *:* 1104
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

 

Tuon udp portti 1900 sulkemiseksi pitää sammuttaa Palveluista

"Close SSDP Discovery Service in order to stop svchost.exe from opening a udp socket on port 1900."

En tiedä riittääkö tuo vielä lopettamaan liikennettä, mutta katsotaan. Kyllä tuosta sunbeltistäkin pitäisi löytyä mahdollisuus estää yhteys tuohon porttiin.

Edit Täällä hyviä ohjeita http://www.petri.co.il/quickly_find_local_open_ports.htm

 

tarkoitatko että suljen "SSDP-palvelu (Simple Service Discovery Protocol)" kohdan.
se ei ainakaan liikennettä lopettanut

 

Koneesi ei sitten ole natin takana? Se lienee utu.fi verkossa? Se näkyy noissa netstat komentojen tuloksissa.

Luin niitä vähän hätäisesti. Sen antamien tietojen järjestyshän on:
Proto Paikallinen osoite Vieras osoite Tila PID
UDP 127.0.0.1:1900 *:* LIST tai jotain muuta

Jos et halua että ip näkyy täällä voisit poistaa nuo 130. alkuiset.

Sitten miksi tässä on h-pc?
TCP h-pc:epmap h-pc:0 LISTENING 1076

ja tässä heiman?
TCP heiman:epmap heiman:0 LISTENING 1008

Onko kone eri vai käyttäjätunnus?

 

verrko on utu.fi.

nimi muuttui koska yksi windowsin uudelleen asetus välissä.

 

kokeilin mokkulan kautta yhdistää koneen nettiin.
Hyvin toimi, eikä ylimääräistä dataa liikkunut mihinkään suuntaan.
Hyvin hämärää..?

 

Tässähän ei ole established tilassa mitään ulkoista yhteyttä. Jatkuuko edelleen dataliikenne?

Olisitko sallinut epähuomiossa palomuurilla jotakin? Kun en tuota sunbeltiä tunne ollenkaan niin sen osalta joudun arvailemaan.

 

kyllä koko ajan tulee sisään n.8KB/s