7
TCPSVCS.EXE Netzauslastung Fehlersuche
Moin, mein Win7-PC zeigt plötzlich eine hohe Netzauslastung ins Internet.
Mein erster Verdacht fiel auf den DNS-Client, doch der ist es nicht, trotz beenden des DNS-Clients bleibt die Last hoch.
Normalerweise dümpelt die Auslastung bei 0,1 bis 0,5, doch auf einmal diese hohe Auslastung.
Ein netstat bringt auch nichts auffälliges zum Vorschein. Virenscan ist negativ.
Der Rechner hängt direkt am Router, es sind keine weiteren PCs im Netz.
Auffällig ist das Sägezahnmuster, hier ein Screenshot des Taskmanagers:
Wie gehe ich am besten bei der Fehlersuche vor ?
MfG
Mein erster Verdacht fiel auf den DNS-Client, doch der ist es nicht, trotz beenden des DNS-Clients bleibt die Last hoch.
Normalerweise dümpelt die Auslastung bei 0,1 bis 0,5, doch auf einmal diese hohe Auslastung.
Ein netstat bringt auch nichts auffälliges zum Vorschein. Virenscan ist negativ.
Der Rechner hängt direkt am Router, es sind keine weiteren PCs im Netz.
Auffällig ist das Sägezahnmuster, hier ein Screenshot des Taskmanagers:
MfG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 207370
Url: https://administrator.de/contentid/207370
Printed on: April 24, 2024 at 06:04 o'clock
7 Comments
Latest comment
Moin.
Wie kommt es denn zu dem Fragetitel, hat die TCPSVCS.EXE diese Auslastung verursacht? Wenn ja, wie abgelesen? Und wo liegt diese .exe?
Wie kommt es denn zu dem Fragetitel, hat die TCPSVCS.EXE diese Auslastung verursacht? Wenn ja, wie abgelesen? Und wo liegt diese .exe?
Sorry, der Netlimiter Monitor sagt, es ist die TCPSVCS.EXE, die liegt in C:\Windows\System32\
Das die Auslastung auf 2,5 % geht, heisst Vollanschlag, da 2,5 Mbit/s max. Upload ist.
Das die Auslastung auf 2,5 % geht, heisst Vollanschlag, da 2,5 Mbit/s max. Upload ist.
Ok. Dann lad Dir mal procmon runter und monitore, was diese .exe genau tut. Du kannst Dunächst auch mit dem Resource Mointor (über den Taskmanager erreichbar) ablesen, welche Dateien diese exe anfässt (im Bereich "Disk").
Scheint doch ein Virus zu sein, die Netzauslastung scheint auf System zurückzugehen, die IP-Adressen zeigen nach USA, und Singapur.
IP-Addresse: 65.55.223.17
Landeskürzel: US (USA)
Region: Washington
Stadt: Redmond
IP-Addresse: 111.221.74.16
Land: Singapore
Ein Virenscan findet aber nichts, selbst offline mit der neuesten Antiviren-Signatur nicht.
Ist plattmachen die einzige Alternative ?
Es sind alle Sicherheitsupdates installiert, auch Flash und Java neueste Version.
Firefox läuft schon nur als Benutzer.
IP-Addresse: 65.55.223.17
Landeskürzel: US (USA)
Region: Washington
Stadt: Redmond
IP-Addresse: 111.221.74.16
Land: Singapore
Ein Virenscan findet aber nichts, selbst offline mit der neuesten Antiviren-Signatur nicht.
Ist plattmachen die einzige Alternative ?
Es sind alle Sicherheitsupdates installiert, auch Flash und Java neueste Version.
Firefox läuft schon nur als Benutzer.
Problem gelöst, es wohl ein Angriff auf chargen (laut Wireshark), nach blocken des Ports 19 geht der Netzverkehr sofort wieder auf 0,01 % zurück.
Danke, DerWoWusste !
Danke, DerWoWusste !
Interessehalber: war der Rechner direkt vom Internet zu erreichen?
Was sind "chargen"?
Was sind "chargen"?
Der PC hängt am Router, aber mit Portweiterleitung zum PC.
Port 19 (Chargen):
http://www.speedguide.net/port.php?port=19
http://en.wikipedia.org/wiki/Character_Generator_Protocol
Port 19 (Chargen):
http://www.speedguide.net/port.php?port=19
http://en.wikipedia.org/wiki/Character_Generator_Protocol
