1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.

Злобный Svchost

Тема в разделе "Софт", создана пользователем Fatali, 24.01.05.

  1. Fatali

    Fatali Активный участник

    563
    0
    Сижу я сегодня ночью в инете и мой фаерволл вдруг выдает сообщение: Generic Host Process.... короче, хочет вылезти в Инет по адресу 222.208.168.126. Мне это надо? Запрещаю. Но перестает работать Инет вообще (ниче не грузится - "Network problem"). Припоминаю, что недавно уже было подобное. Ладно, из запрещенных перевожу его в нормальные. Все опять работает.

    Из лога Agnitum Outpost:
    SVCHOST.EXE
    222.208.168.126
    № порта 56312
    порт UDP
    принято 0 bytes
    передано 0 bytes
    24/01/05 00:46:24

    пробиваю по WHOIS адресок:
    222.208.168.126
    222.208.168.0 - 222.208.168.255
    meishan telecom idc
    meishan,Sichuan
    PR China
    YuShan Zhang
    zhangys@mail.sc.cninfo.net
    No.72,Wen Miao Qian Str
    Data Communication Bureau Of Sichuan Province
    Chengdu SiChuan
    PR China

    Может кто чего умного по поводу сказать? И ведь не первый раз уже он меня достает.

    У меня XP SP1, Opera 7.22, Outlook 6.0, Agnitum Outpost 1.0. Spider грузится при подключении. Троянов вроде не хватал, на обновленный антивир постоянно все проверяю.
     
  2. Bob

    Bob Активный

    21.804
    0
    Может трояна подцепил? Встречал похожие проблемы. Адрес банить.
     
  3. Alexs

    Alexs Активный участник

    9.156
    5
    Оутпост пора 2.5 ставить;)
     
  4. Fatali

    Fatali Активный участник

    563
    0


    Это как же круто должен троян замаскироваться - под SVHOST, да еще, если запретить, инет вырубает. И никакие антивиры его не берут.
    Насчет ставить новый Outpost - ставил 2.0.290 - глюки были недетские, и тормоза, как ни настраивал, красивые журналы, менюшки, а результат тот же, что и 1.0
    Короче "тайна сия велика есть"..
     
  5. vitalic

    vitalic Активный участник

    2.967
    0
    Fatali
    Ты запретил SVCHOST'у полностью доступ в инет или создал правило запрещающее по этому адресу обратиться?
    Если первое (что скорей всего), то зря!
    SVCHOST этож host сервисов, в том числе и DNS-клиента - а без него сами понимаете инет работать не будет!
     
  6. Гость

    Гость Гость

    Спасибо, это дельное замечание. Попробую создать такое правило.
     
  7. Pecatum

    Pecatum Активный участник

    626
    0

    Ну так ты их не ставь на етот комп, а проскань винт с другой машины.
    SVCHost это процесс, который клонирует себя по мере надобности, весь его запрещать действительно нет смысла...
    Если только троян, то жить с этим можно :) но лучше все-таки попробовать его убить. Я бы переустановил виндовзз вообще :) если уж пошла такая пьянка...
     
  8. Fatali

    Fatali Активный участник

    563
    0

    Я так понял, что можно из-под чистого ДОС просканить (с дискетки)? Ладно, обновлю базы и попробую. Хотя склонен думать, что это все же глюк XP. "Глюки - лучшее средство от скуки", так сказать..
     
  9. Kuzmich

    Kuzmich Активный участник

    1.118
    0
    Стоп-стоп. Процесс запрашивает ВХОДЯЩЕЕ или ИСХОДЯЩЕЕ соедиение? Если исходящее - то подцепил чего-то (нефиг IЁ юзать), а если входящее - то не все так страшно (китайцы сканируют диапазон адресов в поисках дырявых компов).
     
  10. Fatali

    Fatali Активный участник

    563
    0

    В том то и дело, что Исходящее. И никаким антивиром ничего не находится. А IE я уже год не пользуюсь - я оперу люблю.
     
  11. Alexs

    Alexs Активный участник

    9.156
    5
    Если уж на вирусы чиститься, то в безопасном режиме пжалуста;)
     
  12. Fatali

    Fatali Активный участник

    563
    0


    Это понятно.
    А вообще было бы интересно знать, как может троян замаскироваться под SVHOST в XP?
    Хотел бы я посмотреть на этого трояна, к-й ничем не определяется. Потому как на XP, которая ведет себя как троян, я уже посмотрел.
     
  13. Kuzmich

    Kuzmich Активный участник

    1.118
    0
    Fatali
    Запросто. rootkits (хотя врядли) или подгружаясь в область памяти системных процессов.
     
  14. DENRI

    DENRI Активный участник

    2.755
    0
    Fatali
    DNStester - Использует стандартный сервис Винды (services.exe/svchost.exe), обрабатывабщий DNS - запросы. Эта прога лишь показывает что можно использовать дырку в DNS-запросе (Кстати Outpost Pro 2.5 не перекрывает эту дырку) ....... может кто-то увидел эту идею и создал свою прогу, для своих нужд!
    наверное, кто-то был из Китая :)
     
  15. Fatali

    Fatali Активный участник

    563
    0


    Ладно, сегодня обновлю базы антивирей и протестируюсь в безопасном режиме. О результатах сообщу.
     
  16. Nester

    Nester Активный участник

    824
    0
    У меня на аутпосте он стоит как приложение svchost и ничего не говорит.
     
  17. Adv0

    Adv0 Новичок

    42
    0
    может просто резолвит DNS?
     
  18. Fatali

    Fatali Активный участник

    563
    0
    Сегодня проверил на антивирус (AVP обновление от 25-01-2005) из "Безопасного режима" - ниче не нашел.
    А это нормально, если SVHOST просит исходящее соединение с сайтом провайдера?
    Кстати, поставил-таки себе Agnitum Outpost 2.5, жалко кряк у него левый - только 254 дня, да и то вряд ли
     
  19. Гость

    Гость Гость

    Поздравляю

    Дельный совет тут был: подключить винт к другому компу и просканить на виры.
    Очень похоже на руткит. Попробуй заглянуть на www.securitylab.ru. Там что-то есть на ету тэму.
    А китайские сервера довольно часто используются как промежуточные.
    Значит какой-то злобный хакер выбрал именно тебя. Наверно что то секретное и нужное на компе ищет.
    Или просто новый софт проверяет в полевых условиях. :doc:
     
  20. Alexs

    Alexs Активный участник

    9.156
    5


    Вполне нормально, хотя можно запретить данному приложению выходить в инет, правда бывает инет пропадает ;)
     
  21. Kosot

    Kosot Новичок

    25
    0
    [Secure SVCHOST Process]
    VisibleState: 0
    Exe:
    Generic Host Process, svchost.exe
    DefaultState: 1
    RuleName: Allow DHCP Service
    Protocol: UDP
    RemoteHost: AAA.BBB.CCC.DDD ;<-- Enter your DHCP server IP here
    LocalPort: 68
    RemotePort: 67
    AllowIt

    DefaultState: 1
    RuleName: Allow DNS Service
    Protocol: UDP
    RemoteHost: AAA.BBB.CCC.DDD, AAA.BBB.CCC.DDD ;<-- Enter your ISP's DNS server IP's here
    RemotePort: 53
    AllowIt

    DefaultState: 1
    RuleName: Allow TCP DNS Service
    Protocol: TCP
    RemoteHost: AAA.BBB.CCC.DDD, AAA.BBB.CCC.DDD ;<-- Enter your ISP's DNS server IP's here
    RemotePort: 53
    Direction: Outbound
    AllowIt

    DefaultState: 1
    RuleName: Possible UDP Trojan DNS
    Protocol: UDP
    RemotePort: 53
    ReportIt
    BlockIt

    DefaultState: 1
    RuleName: Possible TCP Trojan DNS
    Protocol: TCP
    RemotePort: 53
    Direction: Outbound
    ReportIt
    BlockIt

    DefaultState: 1
    RuleName: HTTP connection
    Protocol: TCP
    RemotePort: 80
    Direction: Outbound
    AllowIt

    DefaultState: 1
    RuleName: HTTPS connection
    Protocol: TCP
    RemotePort: 443
    Direction: Outbound
    AllowIt

    DefaultState: 1
    RuleName: Time Synchronizer connection
    Protocol: UDP
    RemoteHost: 192.43.244.18, 207.46.130.100
    RemotePort: 123
    AllowIt

    DefaultState: 1
    RuleName: Block Inbound SSDP
    Protocol: UDP
    LocalPort: 1900
    BlockIt

    DefaultState: 1
    RuleName: Block Outbound SSDP
    Protocol: UDP
    RemotePort: 1900
    BlockIt

    DefaultState: 1
    RuleName: Block Inbound UPnP
    Protocol: TCP
    LocalPort: 5000
    Direction: Inbound
    BlockIt

    DefaultState: 1
    RuleName: Block Outbound UPnP
    Protocol: TCP
    RemotePort: 5000
    Direction: Outbound
    BlockIt

    DefaultState: 1
    RuleName: Block RPC (TCP)
    Protocol: TCP
    Direction: Inbound
    LocalPort: 135
    BlockIt

    DefaultState: 1
    RuleName: Block RPC (UDP)
    Protocol: UDP
    LocalPort: 135
    BlockIt

    DefaultState: 1
    RuleName: TCP Inbound Coverage Rule
    Protocol: TCP
    Direction: Inbound
    BlockIt

    DefaultState: 1
    RuleName: TCP Outbound Coverage Rule
    Protocol: TCP
    Direction: Outbound
    BlockIt

    DefaultState: 1
    RuleName: UDP Coverage Rule
    Protocol: UDP
    BlockIt

    Kosot добавил [date]1107975960[/date]:
    это правильная настройка svchost для outpost :-)
     
  22. Fatali

    Fatali Активный участник

    563
    0
    Ну что тут скажешь - крутыми бывают не только яйца. Пойду прикручивать. Ты только скажи, что это за хрень:

    VisibleState: 0
    DefaultState: 1

    и где брать
    your ISP's DNS server IP's (если их нет у них на сайте) ?
     
  23. Kosot

    Kosot Новичок

    25
    0
    Fatali

    Подключится к и-нету и набрать в коммандной стрке IPconfig :-)


    Это все надо добавлять в файл preset.lst
     
  24. Fatali

    Fatali Активный участник

    563
    0
    Agnitum Outpost 2.5
    Снял галочку со стандартных правил для SCVHOST и
    Сделал себе такие правила для SCVHOST :

    1.
    Где протокол : UDP
    Где направление : Исходящее
    Где удаленный адрес : DNS-сервера провайдеров
    Где удаленный порт : DNS
    = > Разрешить эти данные

    2.
    Где протокол : TCP
    Где направление : Исходящее
    Где удаленный адрес : DNS-сервера провайдеров
    Где удаленный порт : 53 (DOMAIN)
    = > Разрешить эти данные

    3.
    Где направление : Inbound
    = > Блокировать эти данные

    4.
    Где направление : Исходящее
    = > Блокировать эти данные

    В результате инет пропал.
    Тогда снял галочку с правила №4 - все заработало.
    Это значит, SCVHOST нужны не только "DNS-сервера провайдеров" для нормальной работы или у меня какой-то хитрый троян?

    Говорят червяк Blast использовал эту дырку, но я проверялся на вири во всех режимах и патч ставил. Не похоже на вирус. Похоже на недоработку в правилах для SCVHOST.
     
  25. Kosot

    Kosot Новичок

    25
    0
    а это забыл?
    RuleName: HTTP connection
    Protocol: TCP
    RemotePort: 80
    Direction: Outbound
    AllowIt

    RuleName: HTTPS connection
    Protocol: TCP
    RemotePort: 443
    Direction: Outbound
    AllowIt

    Kosot добавил [date]1108894384[/date]:
    и вообще не заморачивайся, добавь вышеуказанное в preset.lst и удали правила для svchost как плезешь в и-нет outpost сам предложит создать правила для generic host process
     
  26. Fatali

    Fatali Активный участник

    563
    0
    В общем сделал как ты сказал - удалил правило для SCVHOST из списка "Приложения" и добавил твои правила в preset.lst
    Но с одним исключением: не знаю где брать "your DHCP server IP" - поэтому это правило пока убрал из общего списка.
    И еще: при попытке набрать IPConfig в командной строке (во время подключения) выскакивает на секунду какое-то досовское окно и тут же пропадает. Ниче не разглядеть. Может прога какая для этого есть? Windows XP SP1
    => адреса DNS провайдеров брал у них на сайте (или звонил).
     
  27. vitalic

    vitalic Активный участник

    2.967
    0
    Fatali
    чтоб окно с ipconfig'ом не пропадало набирай так:
    cmd /k ipconfig /all
     
  28. Kosot

    Kosot Новичок

    25
    0
    Fatali
    если провайдер - dialUp то DHCP сервер не нужен а если какая нибудь корпоративная сетка с динамичскими IP то нужен...
    короче если не уверен то как говорится "Contact your System Administrator :-D"
     
  29. Fatali

    Fatali Активный участник

    563
    0
    Ага, всем спасибо (персонально - Kosot!) все получилось.
     
  30. mike410

    mike410 Активный участник

    3.388
    0
    Подниму 10летнюю тему - кладет svhost систему. Win7. Две машины (ноут и обычный). На ноуте уже невозможно работать (i3, 4gb), на обычном куда не шло еще пока что (i5 8gb ssd). Всякие антивирусы и противошпионники ничего не находят. Svhost системный родной там где надо и как бы не проблемный сам по себе, но кушает не менее 1gb и съедает процессор по полной временами. Отгрузка дерева процессов временная мера. Интернет пишет разное. Микрософтовцы в итоге сообщают "не переустановитесь". Я какбы не настоящий электрик, но чтото нужно делать.