Protectors of Moonglow

eben hatte ich i8m NetMeter einen outgoing Traffic von fast 50kb/sek
Da ich aber keine Programme am laufen hatte kuckte ich in der Netzwerkaktivität in Outpost Firewall nach und siehe da, SVCHOST.exe sendet doch glatt an eine Adresse Daten.

xxx-xxx-xxx-xxx.dynip.superkabel.de

Google bringt nur, dass es sich um einen Server der KabelDeutschland handelt. Aber warum SVCHOST dorthin sendet ... Pustekucken.
Beim Durchstöbern der Firewall Logdaten fand ich noch weitere mir bis Dato unbekannte Verbindungen von SVCHOST.exe ähnlicher Art.

Hat da jemand ne Idee ? Trojaner ? Wurm ?

Also die SVChost.exe ist ein Dinstprogramm von Windows was als Host für Prozesse dient. Hier ein paar mehr Infos dazu :

http://www.neuber.com/taskmanager/deutsch/prozess/svchost.exe.html

Wird z.B. Als Host für Hintergrundübertragungsdienst für Windowsupdates verwendet.

Und Superkabel.de ist halt der Server deines Breitbandanbieters, sofern du bei Superkabel/KAbeldeutschlan bist.

naja mit Kabel Deutschland insbesondere hab ich eigentlich rein garnix zu tun.
ich habe auch andere Verbindungen, zb

xxx-xxx-xxx-xxx.customer.teliacarrier.com
xxx-xxx-xxx-xxx.web.vodafone.de
xxx.versanet.de
xxx.adsl.alicedsl.de
xxx-xxx-xxx-xxx.deploy.akamaittechnologie.de


dass es einmal zu irgendwelchen Verbingungen kommt, damit habe ich mich bereits schon abgefunden.
Doch 80MB upload ... hm .. ich weiss ned

SVChost.exe wird für Jawa-Updates benutzt, aber dass die ohne irgenwas Daten on Mass versenden is scho nen harter Tobak.

Habe gerade nachgeschaut, ich habe SVChost.exe gerade 12x am laufen, tja, was willst dagegen tun.

Passend zum Thema, die nichtkritischen Updates von WoW mit dem Launcher haben bei mir NIE etwas heruntergeladen, sondern immer nur hochgeladen.

tasklist/svc

Damit siehst du welche Applikationen die SVCs nutzen

Gruß
Tidoc

xxx-xxx-xxx-xxx.customer.teliacarrier.com

wird wahrscheinlich der Blizzard Server sein

sieht nicht danach aus :

Domain Name.......... teliacarrier.com
Creation Date........ 2000-05-26
Registration Date.... 2004-08-31
Expiry Date.......... 2011-05-26
Organisation Name.... TeliaSonera AB
Organisation Address. Sturegatan 1
Organisation Address.
Organisation Address. Stockholm
Organisation Address. SE-106 63
Organisation Address. -
Organisation Address. SWEDEN

Admin Name........... Domain Manager
Admin Address........ -
Admin Address........
Admin Address........ Gothenburg
Admin Address........ SE-405 35
Admin Address........ -
Admin Address........ SWEDEN
Admin Email.......... domain-manager@teliasonera.com
Admin Phone.......... +46.850455000
Admin Fax............ +46.86114642

Tech Name............ Registry Telia Net
Tech Address......... Marbackagatan 11
Tech Address.........
Tech Address......... Stockholm
Tech Address......... SE-123 86
Tech Address......... -
Tech Address......... SWEDEN
Tech Email........... dns@telia.net
Tech Phone........... +46.84568930
Tech Fax............. +46.84568935
Name Server.......... dns1.telia.com
Name Server.......... dns2.telia.com

http://de.wikipedia.org/wiki/TeliaSonera

Gruß
Tidoc

Telia ist in EU der Partner von Blizzard für die Rechenzentren.

Ich dachte in Stockholm stehen die "Russen"- Ost - Server und in Paris, Hamburg, Frankfurt die westeuropäischen Server für WoW, wusste nicht das die Deutschen über Stockholm gerouted werden können.
Mein WoW Client versucht bei der Adresse nichts, vielleicht ist das auch ein "Torrent" Dienst der in Stockholm läuft und Paras Client seeded noch (was die 80 MB erklären würde)

Danke für den Hinweis, wusste nicht, dass die Stockholm Farm auch Westeuropa mit WoW "beliefert"

Gruß
Tidoc

Hast du einen Battle.Net Dienst laufen? der könnte auch in Stockholm sein (diablo, sc2 ?)

Also meine WoW Verbindung über port 1119 endet auch auf einer xxx.xxx.xxx.xxx.customer.teliacarrier.com Adresse
Das wird wohl Tirion sein - kA, wo der dann physisch wirklich steht.

ich denke ich habe den Übeltäter gefunden

4Story

hatte ich doch glatt vor langer Zeit installiert und dieses üble grauenerweckende Onlinespiel hat eine prepatch.exe ins Autostart geschrieben.
Mitten drin im Taskmanager hab ich ihn gefunden. Ohne Aktivität. Keine Prozessorauslastung verursacht. Fast unsichtbar ..

Kaum war der Prozess beeendet schon war der Uploadstream von 40Kb/sek weg.


Ich halte euch am Laufenden