Jump to content

"svchost.exe" - в сеть просится...


Recommended Posts

Товарищи, кто знает, подскажите, уменя какой-то "svchost.exe" в сеть просится (ZoneAlarm сигнализирует)

Хто ето и че хочет?

Спасибо за участие :bye1:

Link to comment
Share on other sites

Эта программа несколько похожа по своему назначению на утилиту rundll.exe из Windows 9x, то есть с ее помощью запускаются различные системные сервисы, представленные в виде DLL-библиотек. Это, кстати говоря, видно и из ее названия, отображаемого в свойствах файла - "Generic Host Process for Win32 Services". Так что сама эта утилита вполне легитимна, но правильно будет говорить, что не svchost.exe пытается выйти в интернет, а какой-то сервис пытается с ее помощью получить доступ к Сети. И вот тут-то и кроется потенциальная уязвимость.

Можно предположить, что не только законный "виндовый" сервис, но и некий троянский вирус использует для своего запуска в качестве сервиса эту программу. Поэтому необходимо выяснить, какие запущенные сервисы используют svchost.exe, и, отключая их по очереди, определить тот, который обращается в Сеть. Увидеть, какие сервисы запущены, вам поможет утилита tlist.exe с компакт-диска Windows 2000 (ее можно найти и в интернете) - введите в командной строке tlist -s и в полученном списке посмотрите, какие сервисы воспользовались услугами svchost.exe.

Остается изучить описание каждого сервиса, поискать информацию о нем в интернете, и определить, насколько его работа и, в частности, выход в Сеть полезен вам лично. Также можно, отключая по очереди каждый из замеченных сервисов, определить тот, который и вызывает подозрения у вашего файрволла.

http://computery.ru/upgrade/faq/soft/2002/sfaq_066.htm

Link to comment
Share on other sites

Slaik

Он и должен просится. Если вкратце и очень приближенно, svchost - это процесс, управляющий запуском других процессов. В сети он рулит DNS-запросами. Файер (не знаю как ZA, я использую Аутпост) должен создавать стандартные правила доступа для svchost. А еще к нему любят зверьки цепляться, посмотри, куда имеено он лезет.

ЗЫ. Поиск рулит.

http://www.softboard.ru/index.php?showtopi...&hl=svchost

http://www.softboard.ru/index.php?showtopi...&hl=svchost

PS. 2BMW

Одновременно отвечали =)

Link to comment
Share on other sites

BMW,Stolik

Спасибо за советы ;)

Признаюсь, несколько сложновато для меня :bleh:

Воспользовался командой "Tasklist/svc".

Вот службы использующие "svchost.exe":

DcomLaunch, TermService, RpcSs, Dnscache, Lmhosts, RemoteRegistry, SSDPSRV, WebClient,

stisvc, AudioSrv, Browser, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, helpsvc, lanmanserver,

lanmanworkstation, Netman, Nla, RasMan, Schedule, seclogon, SENS, SharedAccess,

ShellHWDetection, srservice, TapiSrv, Themes, TrkWks, W32Time, winmgmt,

wscsvc, wuauserv,WZCSVC

Уже здесь, можно выявить что-то подозрительное?

Link to comment
Share on other sites

Stolik

Есть IP куда он просится: 212.188.4.10:DSN, это что-то дает?

Slaik

Поищи описание каждой службы в любом поисковике. Например:

http://www.yandex.ru/yandsearch?stype=www&...text=DcomLaunch

Все понял, буем искать...

И последний вопрос:

Разрешить-ли "svchost.exe" доступ в сеть до выяснений, или чревато?

:sad_2:

Link to comment
Share on other sites

Stolik

Есть IP куда он просится: 212.188.4.10:DSN, это что-то дает?

Все понял, буем искать...

И последний вопрос:

Разрешить-ли "svchost.exe" доступ в сеть до выяснений, или чревато?

:sad_2:

212.188.4.10 - это стримовский ДНС сервер, можешь спокойно разрешать ему коннект

Link to comment
Share on other sites

  • 3 weeks later...
Разрешить-ли "svchost.exe" доступ в сеть до выяснений, или чревато?

Лучше не разрешать. Всмысле вообще, хуже не станет.

Не помню где, но видел замечательное руководство по настройке файрволла:

Нужно разрешить ходить в Сеть только тем программам, кототорыми пользуешься, а остальным запретить. Например, я использую Firefox - ему можно, я использую ICQ - ей можно, я не использую svchost - ему нельзя. Ну и так далее.

Link to comment
Share on other sites

Лучше не разрешать. Всмысле вообще, хуже не станет.

Не помню где, но видел замечательное руководство по настройке файрволла:

Нужно разрешить ходить в Сеть только тем программам, кототорыми пользуешься, а остальным запретить. Например, я использую Firefox - ему можно, я использую ICQ - ей можно, я не использую svchost - ему нельзя. Ну и так далее.

Ты сам может и не используешь svchost.exe, но система использует, и если делать как ты советуешь, не разобравшись что к чему, то это чревато....

ЗЫ

простите за флуд

svchost.exe отвечает за следующие сервисы в системе:

1) DHCP service

2) DNS service (TCP и UDP)

3) DCOM

4) Time sinchronizer

5) UPnP

6) SSDP

7) RDP

и ещё несколько не особо вжных сервисов.

Таким образом, нужно понимать кому из этого списка нужно разрешать выход в инет, а кому нет.

Link to comment
Share on other sites

svchost.exe отвечает за следующие сервисы в системе:

1) DHCP service

2) DNS service (TCP и UDP)

У меня полмесяца назад тоже была ситуация: Утром подключив свое мостовое соединение с инетом, обнаруживаю, что со многими серверами нет коннекта, а некоторое, если и грузятся, то с задержкой.Я понял: скорее всего что-то с DNS, перезагрузился - и оповещение DEP:"svchost.exe Generic Host Process for Win32 Эта программа была закрыта, системой", потом захожу в свойства своего мостового соединения, а там какая-то зараза (вирус, наверное) установил свои DNS адреса..., ну я их снес, поставил на автомат и все пошло...

Возможно какой-то вирус тоже промелькнул у Вас Slaik

Link to comment
Share on other sites

Ты сам может и не используешь svchost.exe, но система использует, и если делать как ты советуешь, не разобравшись что к чему, то это чревато....

Я ему запретил делать что-либо и всё работает (ну кроме синхронизации времени, но я ей не пользуюсь).

Link to comment
Share on other sites

Я ему запретил делать что-либо и всё работает (ну кроме синхронизации времени, но я ей не пользуюсь).

svchost.exe должен находиться в x:\windows\system32, например C:\windows\system32\svchost.exe, иначе это вирус.

Проверь!

Link to comment
Share on other sites

svchost.exe должен находиться в x:\windows\system32, например C:\windows\system32\svchost.exe, иначе это вирус.

Проверь!

Спасибо за заботу, конечно :blushing: , но с чего ты взял, что у меня это должен быть вирус? Я так делаю всегда, после каждой переустановки системы и всегда всё ОК. Тем более тогда файрволл предложил бы создать правило для настоящего svchost и это было бы заметно.
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...