svchost.exe постоянно сканирует порты. Что это?
 

Outpost стал выдавать постоянно запрос на создание правила для svchost.exe
Generic Host Process for Win 32 services
приложение запрашивает вход. соединение
локальный порт ****
локальный адрес - моя тачка
удаленный адрес - сервак

Это началось, наверное, неделю назад(предположительно после установки Траффик инспектора, но он ставился на моей тачке). Самое главное что порты всегда udp' шные и всегда разные. Outpost стал блокировать сервак. Он его как атакующего распазнает. Тип атаки сканер портов и перечисляет порты(а там их действительно много). Что это может быть? Достает капитально.

Глянь , ежели в папке С:/Windows есть этот файл- это вирус, точнее троянец. Там его не должно быть. Он в папках System32 и system32/dllcaсhe быть должен. Кстати, этого троянца не обнаруживает ни ad-aware, ни anti troyan elite, ни troyan remover. Я его нашел с помощью XoftSpy. А его я взял http://www.3dnews.ru/download/security/. Лекарство есть в сети. Ищи.

У меня наличие С:/Windows/svchost.exe, совсем непохожего на одноименный файл из папки System32, определил Avast 4.6 Home Edition.
Причём это не просто троян, а ещё и червь, он поразмножался, скотина... :(

Счас бук домой принесу, к сетке не буду подключаться и проверю его. А заодно и домашний комп, его сын в инете юзит. Кстати, я об этом черве вчера узнал, когда ZoneAlarm поставил. Только файер запустил, как эта гадость (svchost) стала ломиться и наружу и внутрь. Ну, я его блокирнул на всякий случай и в поиск отправился, за инфой. И вот результат.

Короче, ни XoftSpy, ни Outpost Anti-Spyware, ни визуальный осмотр результатов не дали :( NOD32 с последними обновлениями тоже ниче не находит. Кто еще что может подсказать???? Блин, у вас хоть причина найдена, здесь же нифига не ясно....

Сравни файл побитно, с гарантированно чистой машины (или в SP), не совпадает - затри его.

Даже если он в систем32 лежит? Есть в C:\WINDOWS\Prefetch называется SVCHOST.EXE-3530F672.pf весит 15кб незнаю для чего он. Но он лежит на моей тачке, а outpost говорит что приложение запрашивает входящее соединение, значит что-то долбится с сервака.... Я так думаю... ААА все равно прибью.... на другой тачке его нет.....

На серваке посмотрел.... svchost.exe есть только в system32 и system32\dllcashe оба по 14 кб. Сервак кстати w2k3. У всех так? На моей уже писал один в систем32 весит 14кб, другой - тот что выше описан пока не удалял. Кто знает для чего эта папка? и для чего это файл?

Ты-ж сам на этот вопрос отвечал:
Качни что-нибудь типа AnVir Task Manager - там видно всё.

http://www.anvir.com/index_ru.htm

у самого была схожая проблема, но файл назывался очччень схоже с svchost но немного иначе, вылечилось простым убиванием, а обнаружился в службах винды.

Ещё раз поподробнее скажите как называется этот гадкий файл и где он лежит, у меня таже проблема.
И как его убить.

P.S.
Обнаружил C\Windows\Prefetch\svchost.exe.-3530F672- 42кб - это он?
Это троян, червь?

Я-ж сказал, качни программу типа AnVir Task Manager, запусти - там видно всё - кто, что, почём, зачем, откуда запущен и сколько жрёть. Ну и где сёрет, соответственно.

Если одновременно запущено более одной программы (сервиса) одинакового названия из разных мест - уже нужно думать. А можно и не думать, а нажимать красный крест и следовать указаниям. Настоящие системные файлы винда один фиг восстановит, когда (если :haha: ) перезагрузится.

У меня ничо не показывает :( Все svchost'ы запущены из систем 32, все подписаны майкрософтом. все одинакового размера. А все равно долбится что-то.... Что дальше-то смотреть?

я про AnVir Task Manager говорил:

ТАК ЧТО ДЕЛАТЬ ТО ЕЩЕ??? Бить все свхосты подряд? Так там один есть который потом всю систему отрубает(если не ошибаюсь)....

Значит со стороны svchost всё в порядке (их там по пять штук бывает в разные моменты работы системы), а в И-нет ломится совсем другое. И вообще, я так понял что это к тебе ломится сервер. Он же ломится за каким-то хреном. Либо это троян с сервера пытается связаться со своей базой, либо это наоборот база с сервера пытается опросить твой троян, которого ты уже убил, а связаться с трупом запрещаешь файером.

APOSTOL





Если можешь, посмотри пожалуйста как спец, всё ли в порядке, я плохо в этом понимаю.
Если качество плохое, то здесь тоже самое в архиве RAR.
Спасибо.

Не хрен я и спец, тем более что это ХР.

С точки зрения svchost - вроде всё в порядке. Но не исключено, что троян ими просто пользуется.

Скажем, что бы стал делать я:
- Первым же движением убил бы Касперского (вместе с его сервисом), может это он и ломится.
- Затем нужно дождаться, пока что-нибудь будет ломиться в И-нет (смотреть за файером).
- Запрещать однократно, и выключать по одной программы, смотреть дальше.
- Выключать (судя по списку):
вначале запущенные из Program files - всякие там CD-крутилки, Шедулеры Акрониковские, Чистилки и Доктора Реестровые, и прочую хлабудень. Что такое ObjectDock - не знаю.
- Ну а уж если всё равно кто-то будет продолжать ломиться наружу - рубить по одному system32-сервисы.

ser6720
Хм-м-м... Т. е. к тебе тоже стучится сервак?
Входящие идут на определенный процесс, файл которого в полном порядке... Почему же просто не предположить, что это штатная ситуация? Плохо что аутпост не показывает ИД процессов, тогда бы точно можно было узнать, к какой службе стучиться сервак, но при необходимости можно и вычислить... С ложным сробатыванием аутпоста на сканирование портов я сталкивался уже не раз, т. ч. это в порядке вещей. Просто бывает, что штатный сервис пытается установить соединение, но из-за того, что оно блокируется ПСЭ, сразу идет попытка установить соединение на другом порту и т.д. Соответственно это аутпост и определяет за атаку сканированием портов... Мне же кажется, что это просто работа чего-нить, связанного с удаленным управлением (рееста, рабочий стол, политики и т. п.). Щас на память по службам уже не скажу, но можно выбрать наиболее вероятные службы, с которым пытается общатся сервак, а для верности грохать по очереди наиболее вероятные при очередных попытках установить соединение. Т. е. то, что к тебе стучится сервак с т. з. твоей машины, вполне нормально... А вот должен ли стучатся сам сервак, это уже вопрос номер некст... Это может быть как причина установленных настроек, так и работа трояна.
Естьвозможность сравнить логи экрана с сервера на то же время, когда он к тебе долбится? На основании этого, можно судить кто именно конектится, а потом уже думать. Рабочая станция тут не при чем, оэидание входящих это свойство некоторых стандартных сетевых служб...

APOSTOL
Greyman

Спасибо, буду думать.
Господа у меня был на днях очень интересный глюк OutPosta и IE и я вел дискуссию вот здесь: http://forum.five.mhost.ru/showthread.php?t=2972.
Я думаю, что это из той же серии, что обсуждается эдесь.
Если кому интересно посмотрите, может что скажете или научите чему-нибудь.
Надеюсь я не нарушаю правил форума.

Я пробовал Разрешить однократно, но потом следует тот же вопрос, но на другой порт. И таким образом я разрешил 3 раза, а потом снова стал блокировать. Политики групповые не менялись, сервак не обновлялся в этот период времени. Так что грешить на службу как-то не хочется.

Тогда почему все время протокол UDP? Что может работать на этом порту из системных служб? AnVir Task Manager родительским процессом у всех svchost.exe показывает services.exe

У меня сервак на w2k3+sp1. У вас такой же? Рабочая машина ХР+SP2.

GrubНа чью службу? На службу АРМ - да, не стоит. Но вот что стучиться с сервака - это вопрос и в этом и стоит разбираться. Как вариант, это может быть штатная ситуация, но может быть и что-нить вредное, надо разбираться...Я уже писал про недостаток того, что аутпост не паказывает ИД-процессов. Указанный родительский процесс говорит как раз о том, что идет запуск сужб. Ну а сам принцип работы svchost.exe вообще практически не позволяет определить, к какой конкретно службе стучится сервак. Про сам это процесс можно посмотреть у микрософта:
Описание процесса Svchost.exe в Windows XP
Т. о. один отображаемый в списке задач процесс запускает целую группу служб и методом отключения можно определить тоолько эту группу. Для определения же конкретной службы, а соответственно и ее подозрительной *.dll необходимо проделывать утомительную работу по проверке служб из конкретной группы, задавая их отключение и запуск и проверяя работу машины. Может у мелкомяхких и была какая-то мысль, но то, что они не могли выделить запуск отдельных библиотек в отдельные процессы, кажется большой глупостью, когда речь заходит о подобной отладке.

Т. е. варинт "трояна" таки возможен. Первый приходящий в голову - это заражение библиотеки одной из стандартный служб. Однако т. к. они все подписаны, то командой SFC подобное заражение легко ликведируется (если не рассматривать вариант руткитов). Однако возможна подсадка трояна так, что в сервисах прописывается дополнительная служба со своими параметрами, соответственно не содержащая подписи MS, возможно с "подходящим" названием, заносится в одну из групп svhosts и ставится ее автоматическая загрузка. В этом случае троянская библиотека будет грузится на равне со стандартными службами и система ничего не будет видеть в этом подозрительного.

Как вариант, можно собрать все *.dll загружаемые svhosts (определяется анализом соответствующих ключей реестра) и проверить их в инете на мультиантивирусных сканерах (ссылка есть в объявлениях в разделе ИБ). Я бы наверное начал бы именно с этого, если бы подозревал именно смою тачку, а не сервер.

Кстати, щас еще пришла идея по поводу этого дурацкого svhosts. Если в аутпосте включен контроль компонентов, то он записывает все используемые файлы для каждого процесса в файле "modules.0". Поэтому можно не рыскать по реестру, а взять файлы для проверки основываясь прямо на нем... Вот только все равно, придется анализировать сразу несколько мест, т. к. для процесса он записывает только порядковые номера, поэтому чтобы найти имя файла, надо найти его номер, ну а для того, чтобы найти его место расположение, надо еще и в начале текущего блока посмотреть. Да к тому же количество используемых файлов все же больше, чем количество запущенных им служб (в моем случае аутпос сохранил данные о 154 файлах). Для упрощения работы можно было бы конечно написать простенькую програмку, к-ая бы сама анализирвала реестр или файл аутпоста и сразу собирала нужные файлы для проверки, но это уже отдельная тема...

Ладно... Будем думать над твоими словами... Но вот только у меня еще один сам по себе возникает: почему НИ ОДИН АНТИВИРЬ ничего не нашел? Я перепробовал всё что здесь предлагалось против червей и рез-т = НОЛЬ :( ... Может и не червь это,а?

По симптомам это не может быть червь. Червь должен был бы быть на серваке, если он есть. Если же какая-то дрян на самом АРМ, то это троян. Я же и говорю, что вряд ли это действительно что-то специально вредоносное. ИМХО это все же что-то штатное, либо ошибка программиста конкретного приложения одной из запущенных библиотек. Вот только определить именну ту биллиотеку, на которую идет соединения, из-за мелкософтовской идеи "укрупнения" можно только путем отладки, просматривая куда потом передает svhosts пришедший сетевой запрос. Как это сделать более простым способом - понятия не имею... Может со временем и появится соответствующий ПСЭ, позволяющий отслеживать движение сетевых запросов на более низком уровне процессов, чем это предусмотрено маздаевцами...

Хм-м-м... Совсем забыл про снифферы... Можно же перехватывать соответствующие запросы, а потом анилизировать с целью того, чтобы определить куда они идут. Правда это будет нудная и ручная работа...

Prio показывает что сервак конектится вот к этой службе Hosting Services: DNS-клиент. Все разрешенные мною соединения подписаны этой службой. Вопрос: так должно быть? Я понимаю что DNS - это важняцкая служба, но зачем ей столько соединений с моим компом? Я разрешил 9 раз, а он(сервак) все равно долбится ко мне.... :( У всех процессов одинаковый PID.