Перейти к содержанию
СофтФорум - всё о компьютерах и не только

"svchost.exe" - в сеть просится...

Slaik

Автор Slaik
в Сетевая безопасность

 Поделиться

Рекомендуемые сообщения

Slaik

Slaik

Опубликовано
Опубликовано

Товарищи, кто знает, подскажите, уменя какой-то "svchost.exe" в сеть просится (ZoneAlarm сигнализирует)

Хто ето и че хочет?

Спасибо за участие :bye1:

Ссылка на комментарий
Поделиться на другие сайты
BMW

BMW

Опубликовано
Опубликовано

Эта программа несколько похожа по своему назначению на утилиту rundll.exe из Windows 9x, то есть с ее помощью запускаются различные системные сервисы, представленные в виде DLL-библиотек. Это, кстати говоря, видно и из ее названия, отображаемого в свойствах файла - "Generic Host Process for Win32 Services". Так что сама эта утилита вполне легитимна, но правильно будет говорить, что не svchost.exe пытается выйти в интернет, а какой-то сервис пытается с ее помощью получить доступ к Сети. И вот тут-то и кроется потенциальная уязвимость.

Можно предположить, что не только законный "виндовый" сервис, но и некий троянский вирус использует для своего запуска в качестве сервиса эту программу. Поэтому необходимо выяснить, какие запущенные сервисы используют svchost.exe, и, отключая их по очереди, определить тот, который обращается в Сеть. Увидеть, какие сервисы запущены, вам поможет утилита tlist.exe с компакт-диска Windows 2000 (ее можно найти и в интернете) - введите в командной строке tlist -s и в полученном списке посмотрите, какие сервисы воспользовались услугами svchost.exe.

Остается изучить описание каждого сервиса, поискать информацию о нем в интернете, и определить, насколько его работа и, в частности, выход в Сеть полезен вам лично. Также можно, отключая по очереди каждый из замеченных сервисов, определить тот, который и вызывает подозрения у вашего файрволла.

http://computery.ru/upgrade/faq/soft/2002/sfaq_066.htm

Ссылка на комментарий
Поделиться на другие сайты
Stolik

Stolik

Опубликовано
Опубликовано

Slaik

Он и должен просится. Если вкратце и очень приближенно, svchost - это процесс, управляющий запуском других процессов. В сети он рулит DNS-запросами. Файер (не знаю как ZA, я использую Аутпост) должен создавать стандартные правила доступа для svchost. А еще к нему любят зверьки цепляться, посмотри, куда имеено он лезет.

ЗЫ. Поиск рулит.

http://www.softboard.ru/index.php?showtopi...&hl=svchost

http://www.softboard.ru/index.php?showtopi...&hl=svchost

PS. 2BMW

Одновременно отвечали =)

Ссылка на комментарий
Поделиться на другие сайты
Slaik

Slaik

Опубликовано
  • Автор
Опубликовано

BMW,Stolik

Спасибо за советы ;)

Признаюсь, несколько сложновато для меня :bleh:

Воспользовался командой "Tasklist/svc".

Вот службы использующие "svchost.exe":

DcomLaunch, TermService, RpcSs, Dnscache, Lmhosts, RemoteRegistry, SSDPSRV, WebClient,

stisvc, AudioSrv, Browser, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, helpsvc, lanmanserver,

lanmanworkstation, Netman, Nla, RasMan, Schedule, seclogon, SENS, SharedAccess,

ShellHWDetection, srservice, TapiSrv, Themes, TrkWks, W32Time, winmgmt,

wscsvc, wuauserv,WZCSVC

Уже здесь, можно выявить что-то подозрительное?

Ссылка на комментарий
Поделиться на другие сайты
Stolik

Stolik

Опубликовано
Опубликовано

Slaik

Поищи описание каждой службы в любом поисковике. Например:

http://www.yandex.ru/yandsearch?stype=www&...text=DcomLaunch

Ссылка на комментарий
Поделиться на другие сайты
Slaik

Slaik

Опубликовано
  • Автор
Опубликовано

Stolik

Есть IP куда он просится: 212.188.4.10:DSN, это что-то дает?

Slaik

Поищи описание каждой службы в любом поисковике. Например:

http://www.yandex.ru/yandsearch?stype=www&...text=DcomLaunch

Все понял, буем искать...

И последний вопрос:

Разрешить-ли "svchost.exe" доступ в сеть до выяснений, или чревато?

:sad_2:

Ссылка на комментарий
Поделиться на другие сайты
Kobi

Kobi

Опубликовано
Опубликовано

Stolik

Есть IP куда он просится: 212.188.4.10:DSN, это что-то дает?

Все понял, буем искать...

И последний вопрос:

Разрешить-ли "svchost.exe" доступ в сеть до выяснений, или чревато?

:sad_2:

212.188.4.10 - это стримовский ДНС сервер, можешь спокойно разрешать ему коннект

Ссылка на комментарий
Поделиться на другие сайты
  • 3 недели спустя...
Lemtoks

Lemtoks

Опубликовано
Опубликовано
Разрешить-ли "svchost.exe" доступ в сеть до выяснений, или чревато?

Лучше не разрешать. Всмысле вообще, хуже не станет.

Не помню где, но видел замечательное руководство по настройке файрволла:

Нужно разрешить ходить в Сеть только тем программам, кототорыми пользуешься, а остальным запретить. Например, я использую Firefox - ему можно, я использую ICQ - ей можно, я не использую svchost - ему нельзя. Ну и так далее.

Ссылка на комментарий
Поделиться на другие сайты
Kobi

Kobi

Опубликовано
Опубликовано

Лучше не разрешать. Всмысле вообще, хуже не станет.

Не помню где, но видел замечательное руководство по настройке файрволла:

Нужно разрешить ходить в Сеть только тем программам, кототорыми пользуешься, а остальным запретить. Например, я использую Firefox - ему можно, я использую ICQ - ей можно, я не использую svchost - ему нельзя. Ну и так далее.

Ты сам может и не используешь svchost.exe, но система использует, и если делать как ты советуешь, не разобравшись что к чему, то это чревато....

ЗЫ

простите за флуд

svchost.exe отвечает за следующие сервисы в системе:

1) DHCP service

2) DNS service (TCP и UDP)

3) DCOM

4) Time sinchronizer

5) UPnP

6) SSDP

7) RDP

и ещё несколько не особо вжных сервисов.

Таким образом, нужно понимать кому из этого списка нужно разрешать выход в инет, а кому нет.

Ссылка на комментарий
Поделиться на другие сайты
dnk

dnk

Опубликовано
Опубликовано

svchost.exe отвечает за следующие сервисы в системе:

1) DHCP service

2) DNS service (TCP и UDP)

У меня полмесяца назад тоже была ситуация: Утром подключив свое мостовое соединение с инетом, обнаруживаю, что со многими серверами нет коннекта, а некоторое, если и грузятся, то с задержкой.Я понял: скорее всего что-то с DNS, перезагрузился - и оповещение DEP:"svchost.exe Generic Host Process for Win32 Эта программа была закрыта, системой", потом захожу в свойства своего мостового соединения, а там какая-то зараза (вирус, наверное) установил свои DNS адреса..., ну я их снес, поставил на автомат и все пошло...

Возможно какой-то вирус тоже промелькнул у Вас Slaik

Ссылка на комментарий
Поделиться на другие сайты
Lemtoks

Lemtoks

Опубликовано
Опубликовано
Ты сам может и не используешь svchost.exe, но система использует, и если делать как ты советуешь, не разобравшись что к чему, то это чревато....

Я ему запретил делать что-либо и всё работает (ну кроме синхронизации времени, но я ей не пользуюсь).

Ссылка на комментарий
Поделиться на другие сайты
Kobi

Kobi

Опубликовано
Опубликовано

Я ему запретил делать что-либо и всё работает (ну кроме синхронизации времени, но я ей не пользуюсь).

svchost.exe должен находиться в x:\windows\system32, например C:\windows\system32\svchost.exe, иначе это вирус.

Проверь!

Ссылка на комментарий
Поделиться на другие сайты
Lemtoks

Lemtoks

Опубликовано
Опубликовано
svchost.exe должен находиться в x:\windows\system32, например C:\windows\system32\svchost.exe, иначе это вирус.

Проверь!

Спасибо за заботу, конечно :blushing: , но с чего ты взял, что у меня это должен быть вирус? Я так делаю всегда, после каждой переустановки системы и всегда всё ОК. Тем более тогда файрволл предложил бы создать правило для настоящего svchost и это было бы заметно.
Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...