Slaik Posted October 16, 2006 Report Share Posted October 16, 2006 Товарищи, кто знает, подскажите, уменя какой-то "svchost.exe" в сеть просится (ZoneAlarm сигнализирует) Хто ето и че хочет? Спасибо за участие Link to comment Share on other sites More sharing options...
BMW Posted October 16, 2006 Report Share Posted October 16, 2006 Эта программа несколько похожа по своему назначению на утилиту rundll.exe из Windows 9x, то есть с ее помощью запускаются различные системные сервисы, представленные в виде DLL-библиотек. Это, кстати говоря, видно и из ее названия, отображаемого в свойствах файла - "Generic Host Process for Win32 Services". Так что сама эта утилита вполне легитимна, но правильно будет говорить, что не svchost.exe пытается выйти в интернет, а какой-то сервис пытается с ее помощью получить доступ к Сети. И вот тут-то и кроется потенциальная уязвимость. Можно предположить, что не только законный "виндовый" сервис, но и некий троянский вирус использует для своего запуска в качестве сервиса эту программу. Поэтому необходимо выяснить, какие запущенные сервисы используют svchost.exe, и, отключая их по очереди, определить тот, который обращается в Сеть. Увидеть, какие сервисы запущены, вам поможет утилита tlist.exe с компакт-диска Windows 2000 (ее можно найти и в интернете) - введите в командной строке tlist -s и в полученном списке посмотрите, какие сервисы воспользовались услугами svchost.exe. Остается изучить описание каждого сервиса, поискать информацию о нем в интернете, и определить, насколько его работа и, в частности, выход в Сеть полезен вам лично. Также можно, отключая по очереди каждый из замеченных сервисов, определить тот, который и вызывает подозрения у вашего файрволла. http://computery.ru/upgrade/faq/soft/2002/sfaq_066.htm Link to comment Share on other sites More sharing options...
Stolik Posted October 16, 2006 Report Share Posted October 16, 2006 Slaik Он и должен просится. Если вкратце и очень приближенно, svchost - это процесс, управляющий запуском других процессов. В сети он рулит DNS-запросами. Файер (не знаю как ZA, я использую Аутпост) должен создавать стандартные правила доступа для svchost. А еще к нему любят зверьки цепляться, посмотри, куда имеено он лезет. ЗЫ. Поиск рулит. http://www.softboard.ru/index.php?showtopi...&hl=svchost http://www.softboard.ru/index.php?showtopi...&hl=svchost PS. 2BMW Одновременно отвечали =) Link to comment Share on other sites More sharing options...
Slaik Posted October 17, 2006 Author Report Share Posted October 17, 2006 BMW,Stolik Спасибо за советы ;) Признаюсь, несколько сложновато для меня Воспользовался командой "Tasklist/svc". Вот службы использующие "svchost.exe": DcomLaunch, TermService, RpcSs, Dnscache, Lmhosts, RemoteRegistry, SSDPSRV, WebClient, stisvc, AudioSrv, Browser, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, helpsvc, lanmanserver, lanmanworkstation, Netman, Nla, RasMan, Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, srservice, TapiSrv, Themes, TrkWks, W32Time, winmgmt, wscsvc, wuauserv,WZCSVC Уже здесь, можно выявить что-то подозрительное? Link to comment Share on other sites More sharing options...
Stolik Posted October 17, 2006 Report Share Posted October 17, 2006 Slaik Поищи описание каждой службы в любом поисковике. Например: http://www.yandex.ru/yandsearch?stype=www&...text=DcomLaunch Link to comment Share on other sites More sharing options...
Варчун Posted October 17, 2006 Report Share Posted October 17, 2006 Stolik спасибо.. я давно хотел узнать что это такое Link to comment Share on other sites More sharing options...
Slaik Posted October 17, 2006 Author Report Share Posted October 17, 2006 Stolik Есть IP куда он просится: 212.188.4.10:DSN, это что-то дает? Slaik Поищи описание каждой службы в любом поисковике. Например: http://www.yandex.ru/yandsearch?stype=www&...text=DcomLaunch Все понял, буем искать...И последний вопрос: Разрешить-ли "svchost.exe" доступ в сеть до выяснений, или чревато? Link to comment Share on other sites More sharing options...
Kobi Posted October 17, 2006 Report Share Posted October 17, 2006 Stolik Есть IP куда он просится: 212.188.4.10:DSN, это что-то дает? Все понял, буем искать... И последний вопрос: Разрешить-ли "svchost.exe" доступ в сеть до выяснений, или чревато? 212.188.4.10 - это стримовский ДНС сервер, можешь спокойно разрешать ему коннект Link to comment Share on other sites More sharing options...
Slaik Posted October 17, 2006 Author Report Share Posted October 17, 2006 212.188.4.10 - это стримовский ДНС сервер, можешь спокойно разрешать ему коннект KobiСПА-СИ-БО!!! Link to comment Share on other sites More sharing options...
Lemtoks Posted November 2, 2006 Report Share Posted November 2, 2006 Разрешить-ли "svchost.exe" доступ в сеть до выяснений, или чревато? Лучше не разрешать. Всмысле вообще, хуже не станет. Не помню где, но видел замечательное руководство по настройке файрволла: Нужно разрешить ходить в Сеть только тем программам, кототорыми пользуешься, а остальным запретить. Например, я использую Firefox - ему можно, я использую ICQ - ей можно, я не использую svchost - ему нельзя. Ну и так далее. Link to comment Share on other sites More sharing options...
Kobi Posted November 2, 2006 Report Share Posted November 2, 2006 Лучше не разрешать. Всмысле вообще, хуже не станет. Не помню где, но видел замечательное руководство по настройке файрволла: Нужно разрешить ходить в Сеть только тем программам, кототорыми пользуешься, а остальным запретить. Например, я использую Firefox - ему можно, я использую ICQ - ей можно, я не использую svchost - ему нельзя. Ну и так далее. Ты сам может и не используешь svchost.exe, но система использует, и если делать как ты советуешь, не разобравшись что к чему, то это чревато.... ЗЫ простите за флуд svchost.exe отвечает за следующие сервисы в системе: 1) DHCP service 2) DNS service (TCP и UDP) 3) DCOM 4) Time sinchronizer 5) UPnP 6) SSDP 7) RDP и ещё несколько не особо вжных сервисов. Таким образом, нужно понимать кому из этого списка нужно разрешать выход в инет, а кому нет. Link to comment Share on other sites More sharing options...
dnk Posted November 2, 2006 Report Share Posted November 2, 2006 svchost.exe отвечает за следующие сервисы в системе: 1) DHCP service 2) DNS service (TCP и UDP) У меня полмесяца назад тоже была ситуация: Утром подключив свое мостовое соединение с инетом, обнаруживаю, что со многими серверами нет коннекта, а некоторое, если и грузятся, то с задержкой.Я понял: скорее всего что-то с DNS, перезагрузился - и оповещение DEP:"svchost.exe Generic Host Process for Win32 Эта программа была закрыта, системой", потом захожу в свойства своего мостового соединения, а там какая-то зараза (вирус, наверное) установил свои DNS адреса..., ну я их снес, поставил на автомат и все пошло... Возможно какой-то вирус тоже промелькнул у Вас Slaik Link to comment Share on other sites More sharing options...
Lemtoks Posted November 7, 2006 Report Share Posted November 7, 2006 Ты сам может и не используешь svchost.exe, но система использует, и если делать как ты советуешь, не разобравшись что к чему, то это чревато.... Я ему запретил делать что-либо и всё работает (ну кроме синхронизации времени, но я ей не пользуюсь). Link to comment Share on other sites More sharing options...
Loader Posted November 8, 2006 Report Share Posted November 8, 2006 сама по себе прога безобидная но есть довольно много вирей и троянов которые под нее маскируются Link to comment Share on other sites More sharing options...
Kobi Posted November 8, 2006 Report Share Posted November 8, 2006 Я ему запретил делать что-либо и всё работает (ну кроме синхронизации времени, но я ей не пользуюсь). svchost.exe должен находиться в x:\windows\system32, например C:\windows\system32\svchost.exe, иначе это вирус. Проверь! Link to comment Share on other sites More sharing options...
Lemtoks Posted November 8, 2006 Report Share Posted November 8, 2006 svchost.exe должен находиться в x:\windows\system32, например C:\windows\system32\svchost.exe, иначе это вирус.Проверь! Спасибо за заботу, конечно , но с чего ты взял, что у меня это должен быть вирус? Я так делаю всегда, после каждой переустановки системы и всегда всё ОК. Тем более тогда файрволл предложил бы создать правило для настоящего svchost и это было бы заметно. Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now