Slaik Опубликовано 16 октября, 2006 Жалоба Поделиться Опубликовано 16 октября, 2006 Товарищи, кто знает, подскажите, уменя какой-то "svchost.exe" в сеть просится (ZoneAlarm сигнализирует) Хто ето и че хочет? Спасибо за участие Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
BMW Опубликовано 16 октября, 2006 Жалоба Поделиться Опубликовано 16 октября, 2006 Эта программа несколько похожа по своему назначению на утилиту rundll.exe из Windows 9x, то есть с ее помощью запускаются различные системные сервисы, представленные в виде DLL-библиотек. Это, кстати говоря, видно и из ее названия, отображаемого в свойствах файла - "Generic Host Process for Win32 Services". Так что сама эта утилита вполне легитимна, но правильно будет говорить, что не svchost.exe пытается выйти в интернет, а какой-то сервис пытается с ее помощью получить доступ к Сети. И вот тут-то и кроется потенциальная уязвимость. Можно предположить, что не только законный "виндовый" сервис, но и некий троянский вирус использует для своего запуска в качестве сервиса эту программу. Поэтому необходимо выяснить, какие запущенные сервисы используют svchost.exe, и, отключая их по очереди, определить тот, который обращается в Сеть. Увидеть, какие сервисы запущены, вам поможет утилита tlist.exe с компакт-диска Windows 2000 (ее можно найти и в интернете) - введите в командной строке tlist -s и в полученном списке посмотрите, какие сервисы воспользовались услугами svchost.exe. Остается изучить описание каждого сервиса, поискать информацию о нем в интернете, и определить, насколько его работа и, в частности, выход в Сеть полезен вам лично. Также можно, отключая по очереди каждый из замеченных сервисов, определить тот, который и вызывает подозрения у вашего файрволла. http://computery.ru/upgrade/faq/soft/2002/sfaq_066.htm Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Stolik Опубликовано 16 октября, 2006 Жалоба Поделиться Опубликовано 16 октября, 2006 Slaik Он и должен просится. Если вкратце и очень приближенно, svchost - это процесс, управляющий запуском других процессов. В сети он рулит DNS-запросами. Файер (не знаю как ZA, я использую Аутпост) должен создавать стандартные правила доступа для svchost. А еще к нему любят зверьки цепляться, посмотри, куда имеено он лезет. ЗЫ. Поиск рулит. http://www.softboard.ru/index.php?showtopi...&hl=svchost http://www.softboard.ru/index.php?showtopi...&hl=svchost PS. 2BMW Одновременно отвечали =) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Slaik Опубликовано 17 октября, 2006 Автор Жалоба Поделиться Опубликовано 17 октября, 2006 BMW,Stolik Спасибо за советы ;) Признаюсь, несколько сложновато для меня Воспользовался командой "Tasklist/svc". Вот службы использующие "svchost.exe": DcomLaunch, TermService, RpcSs, Dnscache, Lmhosts, RemoteRegistry, SSDPSRV, WebClient, stisvc, AudioSrv, Browser, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, helpsvc, lanmanserver, lanmanworkstation, Netman, Nla, RasMan, Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, srservice, TapiSrv, Themes, TrkWks, W32Time, winmgmt, wscsvc, wuauserv,WZCSVC Уже здесь, можно выявить что-то подозрительное? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Stolik Опубликовано 17 октября, 2006 Жалоба Поделиться Опубликовано 17 октября, 2006 Slaik Поищи описание каждой службы в любом поисковике. Например: http://www.yandex.ru/yandsearch?stype=www&...text=DcomLaunch Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Варчун Опубликовано 17 октября, 2006 Жалоба Поделиться Опубликовано 17 октября, 2006 Stolik спасибо.. я давно хотел узнать что это такое Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Slaik Опубликовано 17 октября, 2006 Автор Жалоба Поделиться Опубликовано 17 октября, 2006 Stolik Есть IP куда он просится: 212.188.4.10:DSN, это что-то дает? Slaik Поищи описание каждой службы в любом поисковике. Например: http://www.yandex.ru/yandsearch?stype=www&...text=DcomLaunch Все понял, буем искать...И последний вопрос: Разрешить-ли "svchost.exe" доступ в сеть до выяснений, или чревато? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Kobi Опубликовано 17 октября, 2006 Жалоба Поделиться Опубликовано 17 октября, 2006 Stolik Есть IP куда он просится: 212.188.4.10:DSN, это что-то дает? Все понял, буем искать... И последний вопрос: Разрешить-ли "svchost.exe" доступ в сеть до выяснений, или чревато? 212.188.4.10 - это стримовский ДНС сервер, можешь спокойно разрешать ему коннект Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Slaik Опубликовано 17 октября, 2006 Автор Жалоба Поделиться Опубликовано 17 октября, 2006 212.188.4.10 - это стримовский ДНС сервер, можешь спокойно разрешать ему коннект KobiСПА-СИ-БО!!! Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Lemtoks Опубликовано 2 ноября, 2006 Жалоба Поделиться Опубликовано 2 ноября, 2006 Разрешить-ли "svchost.exe" доступ в сеть до выяснений, или чревато? Лучше не разрешать. Всмысле вообще, хуже не станет. Не помню где, но видел замечательное руководство по настройке файрволла: Нужно разрешить ходить в Сеть только тем программам, кототорыми пользуешься, а остальным запретить. Например, я использую Firefox - ему можно, я использую ICQ - ей можно, я не использую svchost - ему нельзя. Ну и так далее. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Kobi Опубликовано 2 ноября, 2006 Жалоба Поделиться Опубликовано 2 ноября, 2006 Лучше не разрешать. Всмысле вообще, хуже не станет. Не помню где, но видел замечательное руководство по настройке файрволла: Нужно разрешить ходить в Сеть только тем программам, кототорыми пользуешься, а остальным запретить. Например, я использую Firefox - ему можно, я использую ICQ - ей можно, я не использую svchost - ему нельзя. Ну и так далее. Ты сам может и не используешь svchost.exe, но система использует, и если делать как ты советуешь, не разобравшись что к чему, то это чревато.... ЗЫ простите за флуд svchost.exe отвечает за следующие сервисы в системе: 1) DHCP service 2) DNS service (TCP и UDP) 3) DCOM 4) Time sinchronizer 5) UPnP 6) SSDP 7) RDP и ещё несколько не особо вжных сервисов. Таким образом, нужно понимать кому из этого списка нужно разрешать выход в инет, а кому нет. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dnk Опубликовано 2 ноября, 2006 Жалоба Поделиться Опубликовано 2 ноября, 2006 svchost.exe отвечает за следующие сервисы в системе: 1) DHCP service 2) DNS service (TCP и UDP) У меня полмесяца назад тоже была ситуация: Утром подключив свое мостовое соединение с инетом, обнаруживаю, что со многими серверами нет коннекта, а некоторое, если и грузятся, то с задержкой.Я понял: скорее всего что-то с DNS, перезагрузился - и оповещение DEP:"svchost.exe Generic Host Process for Win32 Эта программа была закрыта, системой", потом захожу в свойства своего мостового соединения, а там какая-то зараза (вирус, наверное) установил свои DNS адреса..., ну я их снес, поставил на автомат и все пошло... Возможно какой-то вирус тоже промелькнул у Вас Slaik Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Lemtoks Опубликовано 7 ноября, 2006 Жалоба Поделиться Опубликовано 7 ноября, 2006 Ты сам может и не используешь svchost.exe, но система использует, и если делать как ты советуешь, не разобравшись что к чему, то это чревато.... Я ему запретил делать что-либо и всё работает (ну кроме синхронизации времени, но я ей не пользуюсь). Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Loader Опубликовано 8 ноября, 2006 Жалоба Поделиться Опубликовано 8 ноября, 2006 сама по себе прога безобидная но есть довольно много вирей и троянов которые под нее маскируются Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Kobi Опубликовано 8 ноября, 2006 Жалоба Поделиться Опубликовано 8 ноября, 2006 Я ему запретил делать что-либо и всё работает (ну кроме синхронизации времени, но я ей не пользуюсь). svchost.exe должен находиться в x:\windows\system32, например C:\windows\system32\svchost.exe, иначе это вирус. Проверь! Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Lemtoks Опубликовано 8 ноября, 2006 Жалоба Поделиться Опубликовано 8 ноября, 2006 svchost.exe должен находиться в x:\windows\system32, например C:\windows\system32\svchost.exe, иначе это вирус.Проверь! Спасибо за заботу, конечно , но с чего ты взял, что у меня это должен быть вирус? Я так делаю всегда, после каждой переустановки системы и всегда всё ОК. Тем более тогда файрволл предложил бы создать правило для настоящего svchost и это было бы заметно. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.