1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.

Злобный Svchost

Тема в разделе "Софт", создана пользователем Fatali, 24.01.05.

  1. Fatali

    Fatali Активный участник

    563
    1
    Сижу я сегодня ночью в инете и мой фаерволл вдруг выдает сообщение: Generic Host Process.... короче, хочет вылезти в Инет по адресу 222.208.168.126. Мне это надо? Запрещаю. Но перестает работать Инет вообще (ниче не грузится - "Network problem"). Припоминаю, что недавно уже было подобное. Ладно, из запрещенных перевожу его в нормальные. Все опять работает.

    Из лога Agnitum Outpost:
    SVCHOST.EXE
    222.208.168.126
    № порта 56312
    порт UDP
    принято 0 bytes
    передано 0 bytes
    24/01/05 00:46:24

    пробиваю по WHOIS адресок:
    222.208.168.126
    222.208.168.0 - 222.208.168.255
    meishan telecom idc
    meishan,Sichuan
    PR China
    YuShan Zhang
    [email protected]
    No.72,Wen Miao Qian Str
    Data Communication Bureau Of Sichuan Province
    Chengdu SiChuan
    PR China

    Может кто чего умного по поводу сказать? И ведь не первый раз уже он меня достает.

    У меня XP SP1, Opera 7.22, Outlook 6.0, Agnitum Outpost 1.0. Spider грузится при подключении. Троянов вроде не хватал, на обновленный антивир постоянно все проверяю.
     
  2. Bob

    Bob Активный

    21.795
    2
    Может трояна подцепил? Встречал похожие проблемы. Адрес банить.
     
  3. Alexs

    Alexs Активный участник

    10.133
    111
    Оутпост пора 2.5 ставить;)
     
  4. Fatali

    Fatali Активный участник

    563
    1


    Это как же круто должен троян замаскироваться - под SVHOST, да еще, если запретить, инет вырубает. И никакие антивиры его не берут.
    Насчет ставить новый Outpost - ставил 2.0.290 - глюки были недетские, и тормоза, как ни настраивал, красивые журналы, менюшки, а результат тот же, что и 1.0
    Короче "тайна сия велика есть"..
     
  5. vitalic

    vitalic Активный участник

    2.993
    6
    Fatali
    Ты запретил SVCHOST'у полностью доступ в инет или создал правило запрещающее по этому адресу обратиться?
    Если первое (что скорей всего), то зря!
    SVCHOST этож host сервисов, в том числе и DNS-клиента - а без него сами понимаете инет работать не будет!
     
  6. Гость

    Гость Гость

    Спасибо, это дельное замечание. Попробую создать такое правило.
     
  7. Pecatum

    Pecatum Гость


    Ну так ты их не ставь на етот комп, а проскань винт с другой машины.
    SVCHost это процесс, который клонирует себя по мере надобности, весь его запрещать действительно нет смысла...
    Если только троян, то жить с этим можно :) но лучше все-таки попробовать его убить. Я бы переустановил виндовзз вообще :) если уж пошла такая пьянка...
     
  8. Fatali

    Fatali Активный участник

    563
    1

    Я так понял, что можно из-под чистого ДОС просканить (с дискетки)? Ладно, обновлю базы и попробую. Хотя склонен думать, что это все же глюк XP. "Глюки - лучшее средство от скуки", так сказать..
     
  9. Kuzmich

    Kuzmich Активный участник

    1.118
    0
    Стоп-стоп. Процесс запрашивает ВХОДЯЩЕЕ или ИСХОДЯЩЕЕ соедиение? Если исходящее - то подцепил чего-то (нефиг IЁ юзать), а если входящее - то не все так страшно (китайцы сканируют диапазон адресов в поисках дырявых компов).
     
  10. Fatali

    Fatali Активный участник

    563
    1

    В том то и дело, что Исходящее. И никаким антивиром ничего не находится. А IE я уже год не пользуюсь - я оперу люблю.
     
  11. Alexs

    Alexs Активный участник

    10.133
    111
    Если уж на вирусы чиститься, то в безопасном режиме пжалуста;)
     
  12. Fatali

    Fatali Активный участник

    563
    1


    Это понятно.
    А вообще было бы интересно знать, как может троян замаскироваться под SVHOST в XP?
    Хотел бы я посмотреть на этого трояна, к-й ничем не определяется. Потому как на XP, которая ведет себя как троян, я уже посмотрел.
     
  13. Kuzmich

    Kuzmich Активный участник

    1.118
    0
    Fatali
    Запросто. rootkits (хотя врядли) или подгружаясь в область памяти системных процессов.
     
  14. DENRI

    DENRI Активный участник

    2.754
    2
    Fatali
    DNStester - Использует стандартный сервис Винды (services.exe/svchost.exe), обрабатывабщий DNS - запросы. Эта прога лишь показывает что можно использовать дырку в DNS-запросе (Кстати Outpost Pro 2.5 не перекрывает эту дырку) ....... может кто-то увидел эту идею и создал свою прогу, для своих нужд!
    наверное, кто-то был из Китая :)
     
  15. Fatali

    Fatali Активный участник

    563
    1


    Ладно, сегодня обновлю базы антивирей и протестируюсь в безопасном режиме. О результатах сообщу.
     
  16. Nester

    Nester Активный участник

    824
    0
    У меня на аутпосте он стоит как приложение svchost и ничего не говорит.
     
  17. Adv0

    Adv0 Новичок

    42
    0
    может просто резолвит DNS?
     
  18. Fatali

    Fatali Активный участник

    563
    1
    Сегодня проверил на антивирус (AVP обновление от 25-01-2005) из "Безопасного режима" - ниче не нашел.
    А это нормально, если SVHOST просит исходящее соединение с сайтом провайдера?
    Кстати, поставил-таки себе Agnitum Outpost 2.5, жалко кряк у него левый - только 254 дня, да и то вряд ли
     
  19. Гость

    Гость Гость

    Поздравляю

    Дельный совет тут был: подключить винт к другому компу и просканить на виры.
    Очень похоже на руткит. Попробуй заглянуть на www.securitylab.ru. Там что-то есть на ету тэму.
    А китайские сервера довольно часто используются как промежуточные.
    Значит какой-то злобный хакер выбрал именно тебя. Наверно что то секретное и нужное на компе ищет.
    Или просто новый софт проверяет в полевых условиях. :doc:
     
  20. Alexs

    Alexs Активный участник

    10.133
    111


    Вполне нормально, хотя можно запретить данному приложению выходить в инет, правда бывает инет пропадает ;)
     
  21. Kosot

    Kosot Новичок

    25
    0
    [Secure SVCHOST Process]
    VisibleState: 0
    Exe:
    Generic Host Process, svchost.exe
    DefaultState: 1
    RuleName: Allow DHCP Service
    Protocol: UDP
    RemoteHost: AAA.BBB.CCC.DDD ;<-- Enter your DHCP server IP here
    LocalPort: 68
    RemotePort: 67
    AllowIt

    DefaultState: 1
    RuleName: Allow DNS Service
    Protocol: UDP
    RemoteHost: AAA.BBB.CCC.DDD, AAA.BBB.CCC.DDD ;<-- Enter your ISP's DNS server IP's here
    RemotePort: 53
    AllowIt

    DefaultState: 1
    RuleName: Allow TCP DNS Service
    Protocol: TCP
    RemoteHost: AAA.BBB.CCC.DDD, AAA.BBB.CCC.DDD ;<-- Enter your ISP's DNS server IP's here
    RemotePort: 53
    Direction: Outbound
    AllowIt

    DefaultState: 1
    RuleName: Possible UDP Trojan DNS
    Protocol: UDP
    RemotePort: 53
    ReportIt
    BlockIt

    DefaultState: 1
    RuleName: Possible TCP Trojan DNS
    Protocol: TCP
    RemotePort: 53
    Direction: Outbound
    ReportIt
    BlockIt

    DefaultState: 1
    RuleName: HTTP connection
    Protocol: TCP
    RemotePort: 80
    Direction: Outbound
    AllowIt

    DefaultState: 1
    RuleName: HTTPS connection
    Protocol: TCP
    RemotePort: 443
    Direction: Outbound
    AllowIt

    DefaultState: 1
    RuleName: Time Synchronizer connection
    Protocol: UDP
    RemoteHost: 192.43.244.18, 207.46.130.100
    RemotePort: 123
    AllowIt

    DefaultState: 1
    RuleName: Block Inbound SSDP
    Protocol: UDP
    LocalPort: 1900
    BlockIt

    DefaultState: 1
    RuleName: Block Outbound SSDP
    Protocol: UDP
    RemotePort: 1900
    BlockIt

    DefaultState: 1
    RuleName: Block Inbound UPnP
    Protocol: TCP
    LocalPort: 5000
    Direction: Inbound
    BlockIt

    DefaultState: 1
    RuleName: Block Outbound UPnP
    Protocol: TCP
    RemotePort: 5000
    Direction: Outbound
    BlockIt

    DefaultState: 1
    RuleName: Block RPC (TCP)
    Protocol: TCP
    Direction: Inbound
    LocalPort: 135
    BlockIt

    DefaultState: 1
    RuleName: Block RPC (UDP)
    Protocol: UDP
    LocalPort: 135
    BlockIt

    DefaultState: 1
    RuleName: TCP Inbound Coverage Rule
    Protocol: TCP
    Direction: Inbound
    BlockIt

    DefaultState: 1
    RuleName: TCP Outbound Coverage Rule
    Protocol: TCP
    Direction: Outbound
    BlockIt

    DefaultState: 1
    RuleName: UDP Coverage Rule
    Protocol: UDP
    BlockIt

    Kosot добавил [date]1107975960[/date]:
    это правильная настройка svchost для outpost :-)
     
  22. Fatali

    Fatali Активный участник

    563
    1
    Ну что тут скажешь - крутыми бывают не только яйца. Пойду прикручивать. Ты только скажи, что это за хрень:

    VisibleState: 0
    DefaultState: 1

    и где брать
    your ISP's DNS server IP's (если их нет у них на сайте) ?
     
  23. Kosot

    Kosot Новичок

    25
    0
    Fatali

    Подключится к и-нету и набрать в коммандной стрке IPconfig :-)


    Это все надо добавлять в файл preset.lst
     
  24. Fatali

    Fatali Активный участник

    563
    1
    Agnitum Outpost 2.5
    Снял галочку со стандартных правил для SCVHOST и
    Сделал себе такие правила для SCVHOST :

    1.
    Где протокол : UDP
    Где направление : Исходящее
    Где удаленный адрес : DNS-сервера провайдеров
    Где удаленный порт : DNS
    = > Разрешить эти данные

    2.
    Где протокол : TCP
    Где направление : Исходящее
    Где удаленный адрес : DNS-сервера провайдеров
    Где удаленный порт : 53 (DOMAIN)
    = > Разрешить эти данные

    3.
    Где направление : Inbound
    = > Блокировать эти данные

    4.
    Где направление : Исходящее
    = > Блокировать эти данные

    В результате инет пропал.
    Тогда снял галочку с правила №4 - все заработало.
    Это значит, SCVHOST нужны не только "DNS-сервера провайдеров" для нормальной работы или у меня какой-то хитрый троян?

    Говорят червяк Blast использовал эту дырку, но я проверялся на вири во всех режимах и патч ставил. Не похоже на вирус. Похоже на недоработку в правилах для SCVHOST.
     
  25. Kosot

    Kosot Новичок

    25
    0
    а это забыл?
    RuleName: HTTP connection
    Protocol: TCP
    RemotePort: 80
    Direction: Outbound
    AllowIt

    RuleName: HTTPS connection
    Protocol: TCP
    RemotePort: 443
    Direction: Outbound
    AllowIt

    Kosot добавил [date]1108894384[/date]:
    и вообще не заморачивайся, добавь вышеуказанное в preset.lst и удали правила для svchost как плезешь в и-нет outpost сам предложит создать правила для generic host process
     
  26. Fatali

    Fatali Активный участник

    563
    1
    В общем сделал как ты сказал - удалил правило для SCVHOST из списка "Приложения" и добавил твои правила в preset.lst
    Но с одним исключением: не знаю где брать "your DHCP server IP" - поэтому это правило пока убрал из общего списка.
    И еще: при попытке набрать IPConfig в командной строке (во время подключения) выскакивает на секунду какое-то досовское окно и тут же пропадает. Ниче не разглядеть. Может прога какая для этого есть? Windows XP SP1
    => адреса DNS провайдеров брал у них на сайте (или звонил).
     
  27. vitalic

    vitalic Активный участник

    2.993
    6
    Fatali
    чтоб окно с ipconfig'ом не пропадало набирай так:
    cmd /k ipconfig /all
     
  28. Kosot

    Kosot Новичок

    25
    0
    Fatali
    если провайдер - dialUp то DHCP сервер не нужен а если какая нибудь корпоративная сетка с динамичскими IP то нужен...
    короче если не уверен то как говорится "Contact your System Administrator :-D"
     
  29. Fatali

    Fatali Активный участник

    563
    1
    Ага, всем спасибо (персонально - Kosot!) все получилось.
     
  30. mike410

    mike410 Активный участник

    3.428
    1
    Подниму 10летнюю тему - кладет svhost систему. Win7. Две машины (ноут и обычный). На ноуте уже невозможно работать (i3, 4gb), на обычном куда не шло еще пока что (i5 8gb ssd). Всякие антивирусы и противошпионники ничего не находят. Svhost системный родной там где надо и как бы не проблемный сам по себе, но кушает не менее 1gb и съедает процессор по полной временами. Отгрузка дерева процессов временная мера. Интернет пишет разное. Микрософтовцы в итоге сообщают "не переустановитесь". Я какбы не настоящий электрик, но чтото нужно делать.
     
Рекомендуем гипермаркет KNS - мфу Epson EcoTank L3216 - билеты на футбол в подарок каждому покупателю | Интернет-магазин КНС Нева - rbd52g 5hacd2hnd tc - КНС Санкт-Петербург - мы дорожим каждым клиентом! | столы журнальные | пробирный камень это | барнхаус одноэтажный