Generic Host Process / Norton

HAllo,

ich würde gerne Eure Hilfe in Anspruch nehmen.

Zunächst die notwendigen Infos:
WIN2000 mit IExplorer, neueste Updates von Microsoft sind installiert.
Internet Security 2002 von Norton, neueste Updates sind installiert.
Zugang Itnernet über DSL.

Voraussetzung bei Fehlerzustand:
Anmeldung Internet, Aktive Firewall und aktiven Virenscanner.

NAch kurzer Zeit im Netz kommt eine Medung der Firewall:
Ein Remote System versucht Generic Host Process für WIN32 Services auf
Ihrem Computer zuzugreifen.
Anwendung C:WinnT\System32\svchost.exe
usw.usw.

Die Firewall schlägt vor den Zugriff zuzulassen
und automatisch zu konfigurieren.

Tja langer Rede kurzer Sinn, die Firewall meldet sich ab diesem Zeitpunkt mit oben beschriebener Meldung ca. 1 mal pro Minute.
Die Internetverbindung wird immer langsamer.
Surfen ist nur noch möglich, wenn ich die Firewall abschalte.
Ich forsche nun seit zwei Tagen im Netz,
habe aber noch keine ähnliche Fehlerbeschreibung gefunden.

Hat jemand eine Ahnung was los ist und wie ich dem abhelfen kann?
Besten Dank
Günni

 

Teste doch mal das Ganze mit einem Tool wie OpenPorts, um leichter eine Zuordnung von Prozessen und Netzwerkaktivitäten durchführen zu können. Für XP gibt es für netstat auch den Parameter -o, der einem die PID des Prozesses anzeigt, der eine Netzwerkaktivität initiiert, so dass man dann im Taskmanager den Übeltäter leicht identifizieren kann (also netstart -ano)

 

Yep,

habe ich gemacht.

Ich warte jetzt mal das nächste Update von Norton ab.
Zwischenzeitlich surfe ich das eine oder andere Forum und Goggle durch.

Zur Not muss es eben ohne FW gehen, wie jetzt das ganze Wochenende schon.

Bis hierhin besten Dank, lasst Euch aber nicht abhalten weitere Lösungsvorschläge zu posten.

Günni

 

OK, Netbios lässt sich (bei mir zumindest) auch über die Registry abschalten. Und zwar stahen im Schlüssel [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces] die einzelnen Netzwerkverbindungen (bei mir sind es 7 Stück)

In jedem Unterschlüssel (Name: Tcpip_{xxxxxx-xxxx-xxxx....} gibt es einen dword-Wert "NetbiosOptions". Wenn da auch noch ein Wert mit Namen "NameServerList" dabei steht, dann setze die "NetbiosOptions" mal auf 2. Spätestens nach einem Neustart sollte der 445'er Port dicht sein.

Ach ja... Es ist sinnvoll den Zweig vorher zu sichern; man weiß ja nie was so alles passieren kann.

 

Da fällt mir gerade ein:

Letztes JAhr im August oder September gab es schon mal Unverträglichkeiten zwischen Norton uns WIn2000.

Unter Windows 2000 hat nach dem Update auf SP3 der Live -Update von Norton nicht funktioniert.

Vielleicht liegt wieder ein ähnlicher Fall vor.
Es gab nämlich letzten Mittwoch oder Donnerstag ein größeres Programm-Update von Norton und glaube danach fongen die Schwierigkeiten an.
Das fällt mir leider jetzt erst ein.
Vielleicht isdt es ja die Lösung aller Probleme.
Trotzdem wundere ich mich, dass ich mit dieser Konstellation anscheinend allein auf der Welt bin.

Günni

 

Die Netbios-Sache ist interessant. Hast einen Webspace? Lade mal ein Bild von dem Fenster rauf und gib uns einen Link dazu.

Das hat sicher seltenheitswert.

 

Nichts wirklich neues oder hilfreiches....
Wie ich vermutet habe heisst der Übeltäter (offenbar) Norton Internet Security ober genauer: der FW-Teil davon.

Versuche dem Generic Host Process alle _eingehenden_ Verbindungen zu verbieten und hoffe dass sich die FW dadurch beruhigt.

 

Genau,

ich bin Deine Anleitung gerade nochmal durchgegangen.
Ergebnis wie vorhin beschrieben.
Der KAsten trägt die Überschrift:
Erweiterte TCP/IP Einstellungen
DAnn vier Reiter von Allgmein bis Optionen
Unter Wins steht:
Wins-Adressen in Verwendungsreihenfolge
unter der KAsten ist l e e r.
Möglich ist es, die Taste hinzufügen zu drücken, dort kann man dann einen WINS Server eingeben!!???, aber wie gesagt nicht zum aktivieren, deaktivieren, kein Wort über NET-Bios:

Bin ich im richtigen Film??
Zum Glück kennt mich hier keiner persönlich, so langsam wirds peinlich, oder??

Günni

 

@Nevok:

Bis zum Reiter WIns bin ich gekommen.
Ab dort herrscht gähnende Leere, es gibt dort keine Einträge zum
aktivieren oder deaktivieren.

Gruß
Günni

 

HAllo sarkastic_one,
kannst Du damit etwas anfangen??

==================================================
Process Name : SymProxySvc.exe
Process ID : 744
Protocol : TCP
Local Port : 1027
Local Port Name :
Local Address : 127.0.0.1
Remote Port : 43108
Remote Port Name :
Remote Address : 0.0.0.0
State : Listening
Process Path : C:\Programme\Norton Internet Security\SymProxySvc.exe
Product Name : Norton Internet Security
File Description : Transparent Proxy Server
File Version : 4.0.1.91
Company : Symantec Corporation
Process Created On: 16.05.2004 18:04:59
User Name : NT-AUTORITÄT\SYSTEM
==================================================

==================================================
Process Name : SymProxySvc.exe
Process ID : 744
Protocol : TCP
Local Port : 1815
Local Port Name :
Local Address : 80.133.28.119
Remote Port : 80
Remote Port Name : http
Remote Address : 66.102.11.104
State : Established
Process Path : C:\Programme\Norton Internet Security\SymProxySvc.exe
Product Name : Norton Internet Security
File Description : Transparent Proxy Server
File Version : 4.0.1.91
Company : Symantec Corporation
Process Created On: 16.05.2004 18:04:59
User Name : NT-AUTORITÄT\SYSTEM
==================================================

==================================================
Process Name : SymProxySvc.exe
Process ID : 744
Protocol : TCP
Local Port : 1027
Local Port Name :
Local Address : 127.0.0.1
Remote Port : 1681
Remote Port Name :
Remote Address : 127.0.0.1
State : Established
Process Path : C:\Programme\Norton Internet Security\SymProxySvc.exe
Product Name : Norton Internet Security
File Description : Transparent Proxy Server
File Version : 4.0.1.91
Company : Symantec Corporation
Process Created On: 16.05.2004 18:04:59
User Name : NT-AUTORITÄT\SYSTEM
==================================================

==================================================
Process Name : SymProxySvc.exe
Process ID : 744
Protocol : TCP
Local Port : 1027
Local Port Name :
Local Address : 127.0.0.1
Remote Port : 1813
Remote Port Name : radacct
Remote Address : 127.0.0.1
State : Established
Process Path : C:\Programme\Norton Internet Security\SymProxySvc.exe
Product Name : Norton Internet Security
File Description : Transparent Proxy Server
File Version : 4.0.1.91
Company : Symantec Corporation
Process Created On: 16.05.2004 18:04:59
User Name : NT-AUTORITÄT\SYSTEM
==================================================

==================================================
Process Name : SymProxySvc.exe
Process ID : 744
Protocol : TCP
Local Port : 1683
Local Port Name :
Local Address : 80.133.28.119
Remote Port : 80
Remote Port Name : http
Remote Address : 66.102.9.104
State : Established
Process Path : C:\Programme\Norton Internet Security\SymProxySvc.exe
Product Name : Norton Internet Security
File Description : Transparent Proxy Server
File Version : 4.0.1.91
Company : Symantec Corporation
Process Created On: 16.05.2004 18:04:59
User Name : NT-AUTORITÄT\SYSTEM
==================================================

==================================================
Process Name : SymProxySvc.exe
Process ID : 744
Protocol : TCP
Local Port : 1027
Local Port Name :
Local Address : 127.0.0.1
Remote Port : 1689
Remote Port Name :
Remote Address : 127.0.0.1
State : Time Wait
Process Path : C:\Programme\Norton Internet Security\SymProxySvc.exe
Product Name : Norton Internet Security
File Description : Transparent Proxy Server
File Version : 4.0.1.91
Company : Symantec Corporation
Process Created On: 16.05.2004 18:04:59
User Name : NT-AUTORITÄT\SYSTEM
==================================================

==================================================
Process Name : SymProxySvc.exe
Process ID : 744
Protocol : TCP
Local Port : 1027
Local Port Name :
Local Address : 127.0.0.1
Remote Port : 1820
Remote Port Name :
Remote Address : 127.0.0.1
State : Time Wait
Process Path : C:\Programme\Norton Internet Security\SymProxySvc.exe
Product Name : Norton Internet Security
File Description : Transparent Proxy Server
File Version : 4.0.1.91
Company : Symantec Corporation
Process Created On: 16.05.2004 18:04:59
User Name : NT-AUTORITÄT\SYSTEM
==================================================

==================================================
Process Name : SymProxySvc.exe
Process ID : 744
Protocol : TCP
Local Port : 1027
Local Port Name :
Local Address : 127.0.0.1
Remote Port : 1719
Remote Port Name :
Remote Address : 127.0.0.1
State : Time Wait
Process Path : C:\Programme\Norton Internet Security\SymProxySvc.exe
Product Name : Norton Internet Security
File Description : Transparent Proxy Server
File Version : 4.0.1.91
Company : Symantec Corporation
Process Created On: 16.05.2004 18:04:59
User Name : NT-AUTORITÄT\SYSTEM
==================================================

==================================================
Process Name : SymProxySvc.exe
Process ID : 744
Protocol : TCP
Local Port : 1683
Local Port Name :
Local Address : 0.0.0.0
Remote Port : 2176
Remote Port Name :
Remote Address : 0.0.0.0
State : Listening
Process Path : C:\Programme\Norton Internet Security\SymProxySvc.exe
Product Name : Norton Internet Security
File Description : Transparent Proxy Server
File Version : 4.0.1.91
Company : Symantec Corporation
Process Created On: 16.05.2004 18:04:59
User Name : NT-AUTORITÄT\SYSTEM
==================================================

==================================================
Process Name : SymProxySvc.exe
Process ID : 744
Protocol : TCP
Local Port : 1815
Local Port Name :
Local Address : 0.0.0.0
Remote Port : 2186
Remote Port Name :
Remote Address : 0.0.0.0
State : Listening
Process Path : C:\Programme\Norton Internet Security\SymProxySvc.exe
Product Name : Norton Internet Security
File Description : Transparent Proxy Server
File Version : 4.0.1.91
Company : Symantec Corporation
Process Created On: 16.05.2004 18:04:59
User Name : NT-AUTORITÄT\SYSTEM
==================================================
Die Einträge veränder sich allerdings ständig.
Dazu habe ich auch noch eine Menge von "unknown" Prozessen.
Günni

 

Das sieht doch ganz OK aus. Ein paar Loopbacks sind normal (interne Verbindungen zwischen oder in Programmen/-teilen) aber bei günni ist definitiv was faul.

Vor allem welches Proggy hinter dem TCP 1027'er Port steckt würde mich an seiner Stelle brennend interessieren.

 

HAllo

blicke nicht ganz durch was Du meinst, habe das Prog ausgeführt und bin jetzt überfordert.

KAnnst Du bitte nochmal erklären was Du brauchst?

Besten DAnk.

Muss jetzt leider weg.
Melde mich am frühen abend wieder.

DANKE!!!

Günni

 

Also die vielen Loopback-Verbindungen sind nicht original

Finde mal hiermit heraus zu welchen Proggies das "TCP 127.0.0.1:wzyx 127.0.0.1:xyzw WARTEND" gehört. Möglicherweise ein Bug in der FW oder ein Wurm.

 

Hier das Ergebnis von netstat -an.

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1025 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1028 0.0.0.0:0 ABHÖREN
TCP 127.0.0.1:1027 0.0.0.0:0 ABHÖREN
TCP 127.0.0.1:1027 127.0.0.1:2065 WARTEND
TCP 127.0.0.1:1027 127.0.0.1:2099 WARTEND
TCP 127.0.0.1:1027 127.0.0.1:2175 WARTEND
TCP 127.0.0.1:1027 127.0.0.1:2209 WARTEND
TCP 127.0.0.1:1027 127.0.0.1:2241 WARTEND
TCP 127.0.0.1:1027 127.0.0.1:2243 WARTEND
TCP 127.0.0.1:1027 127.0.0.1:2245 WARTEND
TCP 127.0.0.1:1027 127.0.0.1:2280 WARTEND
TCP 127.0.0.1:1029 0.0.0.0:0 ABHÖREN
TCP 127.0.0.1:2062 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2071 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2073 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2075 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2078 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2080 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2082 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2084 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2088 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2091 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2093 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2097 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2098 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2102 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2105 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2107 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2109 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2111 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2114 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2116 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2118 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2122 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2124 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2126 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2128 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2130 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2131 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2134 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2136 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2138 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2140 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2142 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2143 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2146 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2148 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2157 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2158 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2161 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2163 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2165 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2167 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2168 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2171 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2173 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2177 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2179 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2181 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2183 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2185 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2187 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2189 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2191 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2193 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2195 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2197 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2199 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2201 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2203 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2205 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2207 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2211 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2213 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2215 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2217 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2219 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2221 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2223 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2225 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2227 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2229 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2231 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2233 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2235 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2237 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2239 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2247 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2249 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2251 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2253 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2255 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2257 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2259 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2261 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2263 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2265 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2267 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2269 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2271 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2273 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2275 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2277 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2282 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2284 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2289 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2291 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2293 127.0.0.1:1027 WARTEND
TCP 127.0.0.1:2295 127.0.0.1:1027 WARTEND
TCP 217.228.10.149:2069 66.102.11.104:80 WARTEND
TCP 217.228.10.149:2087 66.102.11.99:80 WARTEND
TCP 217.228.10.149:2121 62.159.194.13:80 WARTEND
TCP 217.228.10.149:2159 217.110.95.80:80 WARTEND
TCP 217.228.10.149:2160 217.110.95.80:80 WARTEND
TCP 217.228.10.149:2274 217.110.95.81:80 WARTEND
TCP 217.228.10.149:2290 64.158.223.144:80 WARTEND
TCP 217.228.10.149:2292 64.158.223.144:80 WARTEND
TCP 217.228.10.149:2294 64.158.223.144:80 WARTEND
TCP 217.228.10.149:2296 64.158.223.144:80 WARTEND
UDP 0.0.0.0:445 *:*
UDP 127.0.0.1:2060 *:*
UDP 217.228.10.149:500 *:*
UDP 217.228.10.149:4500 *:*

C:\Dokumente und Einstellungen\privat>

 

@Nevok

Für den Generic Host Process for Win32 Services habe ich alle eingehenden Zugriffe gesperrt und das Internet funzt einwandfrei.

Gruß Gert

 

Poste mal was rauskomm, wenn du in Start/Ausführen/cmd.exe "netstat -an" eingibst.

 

Hallo zusammen,

danke für alle Tipps.

Virusscan ohne Ergebnis, Spybot, Adaware, Registry fix = alles negativ.

Es tritt keine Änderung ein.

Ich bin ratlos.

Günni

 

Hallo günni12,

Diesen Zugriff unbedingt verweigern! Ein fremder Rechner hat dort nichts zu suchen. Der Generic Host Process ist Ziel einiger Schadprogramme.

Den Vorschlag halte ich persönlich für dumm und gefährlich.

Gruß Gert

 

Dann probier mal das noch
Ad-Aware
Spybot

Lastet irgendeine svchost.exe im Task Manager den Prozessor zu hoch aus?

Ansonsten muß ich für heut leider passen

Hab noch einige interessante Links gefunden
http://www.wintotal.de/Tipps/Eintrag.php?RBID=3&TID=777&URBID=14
http://www.xdial.de/news/Meldung.asp?Id=6598

 

Tja, hat leider nichts genutzt.

Unveränderte Lage.

Haben zwischenzeitlich auch mal einen Scan mit Cwshredder durchgeführt.

Keine Auffälligkeiten gemeldet.

Was kann ich sonst tun??????

Danke
Günni