Сижу я сегодня ночью в инете и мой фаерволл вдруг выдает сообщение: Generic Host Process.... короче, хочет вылезти в Инет по адресу 222.208.168.126. Мне это надо? Запрещаю. Но перестает работать Инет вообще (ниче не грузится - "Network problem"). Припоминаю, что недавно уже было подобное. Ладно, из запрещенных перевожу его в нормальные. Все опять работает. Из лога Agnitum Outpost: SVCHOST.EXE 222.208.168.126 № порта 56312 порт UDP принято 0 bytes передано 0 bytes 24/01/05 00:46:24 пробиваю по WHOIS адресок: 222.208.168.126 222.208.168.0 - 222.208.168.255 meishan telecom idc meishan,Sichuan PR China YuShan Zhang [email protected] No.72,Wen Miao Qian Str Data Communication Bureau Of Sichuan Province Chengdu SiChuan PR China Может кто чего умного по поводу сказать? И ведь не первый раз уже он меня достает. У меня XP SP1, Opera 7.22, Outlook 6.0, Agnitum Outpost 1.0. Spider грузится при подключении. Троянов вроде не хватал, на обновленный антивир постоянно все проверяю.
Это как же круто должен троян замаскироваться - под SVHOST, да еще, если запретить, инет вырубает. И никакие антивиры его не берут. Насчет ставить новый Outpost - ставил 2.0.290 - глюки были недетские, и тормоза, как ни настраивал, красивые журналы, менюшки, а результат тот же, что и 1.0 Короче "тайна сия велика есть"..
Fatali Ты запретил SVCHOST'у полностью доступ в инет или создал правило запрещающее по этому адресу обратиться? Если первое (что скорей всего), то зря! SVCHOST этож host сервисов, в том числе и DNS-клиента - а без него сами понимаете инет работать не будет!
Ну так ты их не ставь на етот комп, а проскань винт с другой машины. SVCHost это процесс, который клонирует себя по мере надобности, весь его запрещать действительно нет смысла... Если только троян, то жить с этим можно но лучше все-таки попробовать его убить. Я бы переустановил виндовзз вообще если уж пошла такая пьянка...
Я так понял, что можно из-под чистого ДОС просканить (с дискетки)? Ладно, обновлю базы и попробую. Хотя склонен думать, что это все же глюк XP. "Глюки - лучшее средство от скуки", так сказать..
Стоп-стоп. Процесс запрашивает ВХОДЯЩЕЕ или ИСХОДЯЩЕЕ соедиение? Если исходящее - то подцепил чего-то (нефиг IЁ юзать), а если входящее - то не все так страшно (китайцы сканируют диапазон адресов в поисках дырявых компов).
В том то и дело, что Исходящее. И никаким антивиром ничего не находится. А IE я уже год не пользуюсь - я оперу люблю.
Это понятно. А вообще было бы интересно знать, как может троян замаскироваться под SVHOST в XP? Хотел бы я посмотреть на этого трояна, к-й ничем не определяется. Потому как на XP, которая ведет себя как троян, я уже посмотрел.
Fatali DNStester - Использует стандартный сервис Винды (services.exe/svchost.exe), обрабатывабщий DNS - запросы. Эта прога лишь показывает что можно использовать дырку в DNS-запросе (Кстати Outpost Pro 2.5 не перекрывает эту дырку) ....... может кто-то увидел эту идею и создал свою прогу, для своих нужд! наверное, кто-то был из Китая
Сегодня проверил на антивирус (AVP обновление от 25-01-2005) из "Безопасного режима" - ниче не нашел. А это нормально, если SVHOST просит исходящее соединение с сайтом провайдера? Кстати, поставил-таки себе Agnitum Outpost 2.5, жалко кряк у него левый - только 254 дня, да и то вряд ли
Поздравляю Дельный совет тут был: подключить винт к другому компу и просканить на виры. Очень похоже на руткит. Попробуй заглянуть на www.securitylab.ru. Там что-то есть на ету тэму. А китайские сервера довольно часто используются как промежуточные. Значит какой-то злобный хакер выбрал именно тебя. Наверно что то секретное и нужное на компе ищет. Или просто новый софт проверяет в полевых условиях.
Вполне нормально, хотя можно запретить данному приложению выходить в инет, правда бывает инет пропадает
[Secure SVCHOST Process] VisibleState: 0 Exe: Generic Host Process, svchost.exe DefaultState: 1 RuleName: Allow DHCP Service Protocol: UDP RemoteHost: AAA.BBB.CCC.DDD ;<-- Enter your DHCP server IP here LocalPort: 68 RemotePort: 67 AllowIt DefaultState: 1 RuleName: Allow DNS Service Protocol: UDP RemoteHost: AAA.BBB.CCC.DDD, AAA.BBB.CCC.DDD ;<-- Enter your ISP's DNS server IP's here RemotePort: 53 AllowIt DefaultState: 1 RuleName: Allow TCP DNS Service Protocol: TCP RemoteHost: AAA.BBB.CCC.DDD, AAA.BBB.CCC.DDD ;<-- Enter your ISP's DNS server IP's here RemotePort: 53 Direction: Outbound AllowIt DefaultState: 1 RuleName: Possible UDP Trojan DNS Protocol: UDP RemotePort: 53 ReportIt BlockIt DefaultState: 1 RuleName: Possible TCP Trojan DNS Protocol: TCP RemotePort: 53 Direction: Outbound ReportIt BlockIt DefaultState: 1 RuleName: HTTP connection Protocol: TCP RemotePort: 80 Direction: Outbound AllowIt DefaultState: 1 RuleName: HTTPS connection Protocol: TCP RemotePort: 443 Direction: Outbound AllowIt DefaultState: 1 RuleName: Time Synchronizer connection Protocol: UDP RemoteHost: 192.43.244.18, 207.46.130.100 RemotePort: 123 AllowIt DefaultState: 1 RuleName: Block Inbound SSDP Protocol: UDP LocalPort: 1900 BlockIt DefaultState: 1 RuleName: Block Outbound SSDP Protocol: UDP RemotePort: 1900 BlockIt DefaultState: 1 RuleName: Block Inbound UPnP Protocol: TCP LocalPort: 5000 Direction: Inbound BlockIt DefaultState: 1 RuleName: Block Outbound UPnP Protocol: TCP RemotePort: 5000 Direction: Outbound BlockIt DefaultState: 1 RuleName: Block RPC (TCP) Protocol: TCP Direction: Inbound LocalPort: 135 BlockIt DefaultState: 1 RuleName: Block RPC (UDP) Protocol: UDP LocalPort: 135 BlockIt DefaultState: 1 RuleName: TCP Inbound Coverage Rule Protocol: TCP Direction: Inbound BlockIt DefaultState: 1 RuleName: TCP Outbound Coverage Rule Protocol: TCP Direction: Outbound BlockIt DefaultState: 1 RuleName: UDP Coverage Rule Protocol: UDP BlockIt Kosot добавил [date]1107975960[/date]: это правильная настройка svchost для outpost :-)
Ну что тут скажешь - крутыми бывают не только яйца. Пойду прикручивать. Ты только скажи, что это за хрень: VisibleState: 0 DefaultState: 1 и где брать your ISP's DNS server IP's (если их нет у них на сайте) ?
Fatali Подключится к и-нету и набрать в коммандной стрке IPconfig :-) Это все надо добавлять в файл preset.lst
Agnitum Outpost 2.5 Снял галочку со стандартных правил для SCVHOST и Сделал себе такие правила для SCVHOST : 1. Где протокол : UDP Где направление : Исходящее Где удаленный адрес : DNS-сервера провайдеров Где удаленный порт : DNS = > Разрешить эти данные 2. Где протокол : TCP Где направление : Исходящее Где удаленный адрес : DNS-сервера провайдеров Где удаленный порт : 53 (DOMAIN) = > Разрешить эти данные 3. Где направление : Inbound = > Блокировать эти данные 4. Где направление : Исходящее = > Блокировать эти данные В результате инет пропал. Тогда снял галочку с правила №4 - все заработало. Это значит, SCVHOST нужны не только "DNS-сервера провайдеров" для нормальной работы или у меня какой-то хитрый троян? Говорят червяк Blast использовал эту дырку, но я проверялся на вири во всех режимах и патч ставил. Не похоже на вирус. Похоже на недоработку в правилах для SCVHOST.
а это забыл? RuleName: HTTP connection Protocol: TCP RemotePort: 80 Direction: Outbound AllowIt RuleName: HTTPS connection Protocol: TCP RemotePort: 443 Direction: Outbound AllowIt Kosot добавил [date]1108894384[/date]: и вообще не заморачивайся, добавь вышеуказанное в preset.lst и удали правила для svchost как плезешь в и-нет outpost сам предложит создать правила для generic host process
В общем сделал как ты сказал - удалил правило для SCVHOST из списка "Приложения" и добавил твои правила в preset.lst Но с одним исключением: не знаю где брать "your DHCP server IP" - поэтому это правило пока убрал из общего списка. И еще: при попытке набрать IPConfig в командной строке (во время подключения) выскакивает на секунду какое-то досовское окно и тут же пропадает. Ниче не разглядеть. Может прога какая для этого есть? Windows XP SP1 => адреса DNS провайдеров брал у них на сайте (или звонил).
Fatali если провайдер - dialUp то DHCP сервер не нужен а если какая нибудь корпоративная сетка с динамичскими IP то нужен... короче если не уверен то как говорится "Contact your System Administrator :-D"
Подниму 10летнюю тему - кладет svhost систему. Win7. Две машины (ноут и обычный). На ноуте уже невозможно работать (i3, 4gb), на обычном куда не шло еще пока что (i5 8gb ssd). Всякие антивирусы и противошпионники ничего не находят. Svhost системный родной там где надо и как бы не проблемный сам по себе, но кушает не менее 1gb и съедает процессор по полной временами. Отгрузка дерева процессов временная мера. Интернет пишет разное. Микрософтовцы в итоге сообщают "не переустановитесь". Я какбы не настоящий электрик, но чтото нужно делать.