svchost.exe killt ganzes Netzwerk

[Fabian_otto]

Hi liebe CBler,

habe hier im Schulnetzwerk als EDV-Beauftragter gerade ein Problem. Und zwar scheint die svchost.exe im Hintergrund trotz manueller Updates das 100er Netzwerk komplett auszulasten. Es sind ca. 30 Rechner im LAN und wenn die alle 10-20 MBit/s ziehen, wäre selbst ein Gigabit-LAN keine Lösung.



Meine Frage: Wie finde ich raus, was da im Hintergrund genau geladen wird (welche Dateien zum Beispiel)? Und wie finde ich raus, welcher Dienst das genau ist? svchost.exe kann ja fast alles sein, was mit Firewall/Updates und Netzwerk zu tun hat.


Viele Grüße


ERGÄNZUNG: Virenscan mit C't Desinfec't ergab nix Auffälliges und Updates sind deaktiviert (manuelle Installation).

 

[ntloader]

Virenbefall geprüft?
Führe ein Tasklist /svc aus, dann siehste was in dem entsprechenden SVChost läuft.

 

[rg88]

Wireshark drauf und die Pakete analysieren und kannst dann evtl. durch den Inhalt Rückschlüße ziehen.
Das ist ja alles IPv6. Wohin gehen denn die Verbindungen? Die Adresse ist ein deinem Screenshot nicht vollständig zu lesen.

 

[cbtestarossa]

gbit = 1000mbit

reicht für 30 rechner mit 30mbit oder?

 

[Fabian_otto]

über Tasklist /svc sehe ich aber nicht, welcher dienst gerade den traffic erzeugt, oder?

wireshark zeigt mir die dateien an, die getauscht werden? ich muss mal nachsehen, wo der traffic hingeht, dachte nur, es gäbe da ein einfaches tool, was mir genau anzeigt, welcher dienst welche dateien austauscht.

Ergänzung (28. April 2016)

gbit = 1000mbit

reicht für 30 rechner mir 30mbit oder?

nicht ganz. es waren 30 rechner an. wir haben aber 55 rechner. und es löst das eigentliche problem nicht. das netz wäre weiterhin unnötig ausgelastet. würde lieber den dienst deaktivieren als in neue infrastruktur zu investieren.

 

[chrigu]

was für eine ausbildung hast du als edv-beauftragten?
wie ist das schulnetz aufgebaut?
welche sicherheitsmassnahmen gegen unbefugtes downloaden oder datentauschen ist an jedem rechner aktiv?

 

[cbtestarossa]

ne ändert an deinem Problem nix

bei 60 Rechner hast faktisch immer noch 15 mbit/Rechner

 

[Fabian_otto]

bin gelernter automatisierungstechniker.
schulnetz ist ein sternförmig aufgebautes ethernet mit PLC support. bohren und kabelkanäle ziehen war nicht erlaubt im schulgebäude.
die PCs sind virenfrei und aktuell. datentausch ist auf SMB ebene intern erlaubt. extern per router geblockt.

Ergänzung (28. April 2016)

ne ändert an deinem Problem nix

bei 60 Rechner hast faktisch immer noch 15 mbit/Rechner

da kommt ich teilweise schon drüber (siehe screenshot).
würde gerne wissen, was da von svchost genau geladen wird. welche dateien etc.

 

[Harry_Franken]

Schau hier. Vermutlich brauchst du KB3102810 in 64 bit und/oder 32 bit

 

[olympiakos]

nutze doch den Process Explorer, der zeigt dir doch mehr Informationen an als der normale Taskmanager. den kannst du doch auch beliebig konfigirieren, dann siehst Du auch welche svhost die Cpulast verursacht und welcher Thread u.s.w.

Als Beispiel hab ich mal ein Screenshot mit angehängt

 

[Fabian_otto]

der 100% auslastungs-Bug ist es gott sei dank nicht. hier der geht auf die LAN-auslastung. aber war ein guter gedanke.
den procexp hatte ich ebenfalls im hinterkopf, aber auch der zeigt mir nur, dass die SVChost da traffic erzeugt, aber nicht genau den dienst geschweigedenn die datei, die da getauscht wird. das wäre mal echt interessant. zu wissen, was da im hintergrund geschrieben/gelesen wird. da müsste es doch was geben, oder?

 

[rg88]

darf ich nochmal auf meinen Beitrag #3 verweisen?

 

[Fabian_otto]

ok, wird gemacht. dort kann ich dann auch getauschte dateien etc. in echtzeit überwachen?

 

[chrigu]

steht das genau so "SVChost.exe" oder "svchost.exe" oder scvhost.exe... das wäre ein sehr wichtiges detail.... ersteres und letzteres wäre mögliche malware..

was passiert, wenn der internetzugang gekappt ist?

 

[rg88]

@Fabi: Nein, von Dateien war nie die Rede. Es geht um (Netzwerk-)Pakete. Wer sagt denn, dass überhaupt Dateien ausgetauscht werden?

 

[Wilhelm14]

Im Process Explorer die Maus auf svchost.exe schweben lassen oder Rechtsklick, Properties... So sieht man, was sich genauer dahinter verbirgt.

Und wie oben schon erwähnt, die verbundene IP prüfen. Rechtsklick, Tools, Ping, Traceroute...

Edit: https://www.google.de/search?q=port+3587
Könnte "Heimnetz" sein.

 

[firexs]

Nicht nur könnte. Adresse FE80 zu FE80. Da werden Datenpakete lokal hinundher geschubst. Eventuell nur ein Dienst hängen geblieben. Einfach die svchost.exe abschiessen. Entweder schmiert Windows ab und wird neugestartet, oder der Dienst wird neugestartet.

 

[Fabian_otto]

danke für eure hilfe
werde morgen eure tipps mal abarbeiten.

 

[Fabian_otto]

also es gibt neues:


der übeltäter ist der dienst: svchost.exe -k LocalServicePeerNet





nun brauche ich nur noch den namen des dienstes und könnte ihn unter services.msc deaktivieren, wenn er nicht wirklich gebraucht wird (wovon ich ausgehe).

weiß jemand zufällig wie der dienst heißt und wofür er gut ist? ähnlich wie der 100% CPU Load Bug des Dienstes "Windows Update", der sich hinter der "svchost.exe -k netsvcs" versteckt, wird dieser "svchost.exe -k LocalServicePeerNet" auch irgendeine gängige Bezeichnung unter "Dienste" haben, oder?


ach so: gewiresharkt habe ich auch

sagt mir aber nicht wirklich was:

 

[ntloader]

Es gibt Malware die dieses Verhalten hervoruft, bist du sicher dass deine Rechner clean sind?
siehe z.b: http://forum.chip.de/windows-7/100-...bzw-p2pimsvc-u-homegrouplistener-1558585.html
Der Dienstname ist p2pimsvc. Wenn du net stop p2pimsvc eingibst, sollte der CPU Last weg sein. Ausgeschrieben heißt der Dienst Peernetzwerkidentitäts-Manager.