Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)
-   -   svchost.exe постоянно сканирует порты. Что это? (http://forum.oszone.net/showthread.php?t=63558)

Grub 29-03-2006 09:44 422754

svchost.exe постоянно сканирует порты. Что это?
 
Outpost стал выдавать постоянно запрос на создание правила для svchost.exe
Generic Host Process for Win 32 services
приложение запрашивает вход. соединение
локальный порт ****
локальный адрес - моя тачка
удаленный адрес - сервак

Это началось, наверное, неделю назад(предположительно после установки Траффик инспектора, но он ставился на моей тачке). Самое главное что порты всегда udp' шные и всегда разные. Outpost стал блокировать сервак. Он его как атакующего распазнает. Тип атаки сканер портов и перечисляет порты(а там их действительно много). Что это может быть? Достает капитально.

Euromac 30-03-2006 17:00 423291

Глянь , ежели в папке С:/Windows есть этот файл- это вирус, точнее троянец. Там его не должно быть. Он в папках System32 и system32/dllcaсhe быть должен. Кстати, этого троянца не обнаруживает ни ad-aware, ни anti troyan elite, ни troyan remover. Я его нашел с помощью XoftSpy. А его я взял http://www.3dnews.ru/download/security/. Лекарство есть в сети. Ищи.

APOSTOL 30-03-2006 17:38 423302

У меня наличие С:/Windows/svchost.exe, совсем непохожего на одноименный файл из папки System32, определил Avast 4.6 Home Edition.
Причём это не просто троян, а ещё и червь, он поразмножался, скотина... :(

Euromac 30-03-2006 18:17 423310

Счас бук домой принесу, к сетке не буду подключаться и проверю его. А заодно и домашний комп, его сын в инете юзит. Кстати, я об этом черве вчера узнал, когда ZoneAlarm поставил. Только файер запустил, как эта гадость (svchost) стала ломиться и наружу и внутрь. Ну, я его блокирнул на всякий случай и в поиск отправился, за инфой. И вот результат.

Grub 31-03-2006 10:31 423498

Короче, ни XoftSpy, ни Outpost Anti-Spyware, ни визуальный осмотр результатов не дали :( NOD32 с последними обновлениями тоже ниче не находит. Кто еще что может подсказать???? Блин, у вас хоть причина найдена, здесь же нифига не ясно....

kim-aa 31-03-2006 12:08 423547

Сравни файл побитно, с гарантированно чистой машины (или в SP), не совпадает - затри его.

Grub 31-03-2006 14:41 423600

Даже если он в систем32 лежит? Есть в C:\WINDOWS\Prefetch называется SVCHOST.EXE-3530F672.pf весит 15кб незнаю для чего он. Но он лежит на моей тачке, а outpost говорит что приложение запрашивает входящее соединение, значит что-то долбится с сервака.... Я так думаю... ААА все равно прибью.... на другой тачке его нет.....

Grub 31-03-2006 15:12 423618

На серваке посмотрел.... svchost.exe есть только в system32 и system32\dllcashe оба по 14 кб. Сервак кстати w2k3. У всех так? На моей уже писал один в систем32 весит 14кб, другой - тот что выше описан пока не удалял. Кто знает для чего эта папка? и для чего это файл?

APOSTOL 31-03-2006 16:19 423645

Цитата:

для чего эта папка? и для чего это файл?
Ты-ж сам на этот вопрос отвечал:
Цитата:

ломиться и наружу и внутрь
Цитата:

сканер портов
Цитата:

Outpost стал блокировать сервак
Цитата:

Достает капитально
Цитата:

в поиск отправился, за инфой. И вот результат :haha:
Качни что-нибудь типа AnVir Task Manager - там видно всё.

http://www.anvir.com/index_ru.htm


nurislam 01-04-2006 12:49 423872

у самого была схожая проблема, но файл назывался очччень схоже с svchost но немного иначе, вылечилось простым убиванием, а обнаружился в службах винды.

Ser6720 03-04-2006 01:05 424306

Ещё раз поподробнее скажите как называется этот гадкий файл и где он лежит, у меня таже проблема.
И как его убить.

P.S.
Обнаружил C\Windows\Prefetch\svchost.exe.-3530F672- 42кб - это он?
Это троян, червь?

APOSTOL 03-04-2006 08:49 424366

Я-ж сказал, качни программу типа AnVir Task Manager, запусти - там видно всё - кто, что, почём, зачем, откуда запущен и сколько жрёть. Ну и где сёрет, соответственно.

Если одновременно запущено более одной программы (сервиса) одинакового названия из разных мест - уже нужно думать. А можно и не думать, а нажимать красный крест и следовать указаниям. Настоящие системные файлы винда один фиг восстановит, когда (если :haha: ) перезагрузится.

Grub 03-04-2006 11:59 424428

У меня ничо не показывает :( Все svchost'ы запущены из систем 32, все подписаны майкрософтом. все одинакового размера. А все равно долбится что-то.... Что дальше-то смотреть?

Grub 03-04-2006 14:29 424477

я про AnVir Task Manager говорил:
Цитата:

У меня ничо не показывает Все svchost'ы запущены из систем 32, все подписаны майкрософтом. все одинакового размера. А все равно долбится что-то.... Что дальше-то смотреть?

ТАК ЧТО ДЕЛАТЬ ТО ЕЩЕ??? Бить все свхосты подряд? Так там один есть который потом всю систему отрубает(если не ошибаюсь)....

APOSTOL 03-04-2006 16:46 424514

Цитата:

Все svchost'ы запущены из систем 32, все подписаны майкрософтом. все одинакового размера.
Значит со стороны svchost всё в порядке (их там по пять штук бывает в разные моменты работы системы), а в И-нет ломится совсем другое. И вообще, я так понял что это к тебе ломится сервер. Он же ломится за каким-то хреном. Либо это троян с сервера пытается связаться со своей базой, либо это наоборот база с сервера пытается опросить твой троян, которого ты уже убил, а связаться с трупом запрещаешь файером.

Ser6720 03-04-2006 18:50 424539

APOSTOL





Если можешь, посмотри пожалуйста как спец, всё ли в порядке, я плохо в этом понимаю.
Если качество плохое, то здесь тоже самое в архиве RAR.
Спасибо.

APOSTOL 03-04-2006 20:32 424561

Не хрен я и спец, тем более что это ХР.

С точки зрения svchost - вроде всё в порядке. Но не исключено, что троян ими просто пользуется.

Скажем, что бы стал делать я:
- Первым же движением убил бы Касперского (вместе с его сервисом), может это он и ломится.
- Затем нужно дождаться, пока что-нибудь будет ломиться в И-нет (смотреть за файером).
- Запрещать однократно, и выключать по одной программы, смотреть дальше.
- Выключать (судя по списку):
Код:

1. alg.exe          C:\WINDOWS\system32\alg.exe
2. anvir.exe        D:\Program files\AnVir Task Manager\AnVir.exe
3. boostspeed.exe    C:\Program Files\AusLogics BoostSpeed\boostspeed.exe
4. cdslow.exe        D:\Program Files\Cdslow\cdslow.exe
5. coolsnap.exe      D:\Program files\CoolSnap\Cool Snap\CoolSnap.exe
6. csrss.exe        C:\WINDOWS\system32\csrss.exe
7. ctfmon.exe        C:\WINDOWS\system32\ctfmon.exe
8. explorer.exe      C:\WINDOWS\explorer.exe
9. hddlifepro.exe    D:\Program files\HDDlife\HDDlifePro.exe
10. incdsrv.exe      D:\Program files\Nero\Nero 7\InCD\InCDsrv.exe
11. kav.exe
12. kavsvc.exe
13. lsass.exe        C:\WINDOWS\system32\lsass.exe
14. mdm.exe          C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
15. nvsvc32.exe      C:\WINDOWS\system32\nvsvc32.exe
16. objectdock.exe    D:\Program files\Objectdock\ObjectDock\ObjectDock.exe
17. outpost.exe      D:\Program files\Agnitum\Outpost Firewall\outpost.exe
18. regmanserv.exe    D:\Program files\Advanced Registry Doctor\RegManServ.exe
19. schedul2.exe      C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
20. services.exe      C:\WINDOWS\system32\services.exe
21. smss.exe          C:\WINDOWS\system32\smss.exe
22. spoolsv.exe      C:\WINDOWS\system32\spoolsv.exe
23. svchost.exe      C:\WINDOWS\system32\svchost.exe
24. svchost.exe      C:\WINDOWS\system32\svchost.exe
25. svchost.exe      C:\WINDOWS\system32\svchost.exe
26. svchost.exe      C:\WINDOWS\system32\svchost.exe
27. svchost.exe      C:\WINDOWS\system32\svchost.exe
28. svchost.exe      C:\WINDOWS\system32\svchost.exe
29. system
30. System Idle Process
31. tcpsvcs.exe      C:\WINDOWS\system32\tcpsvcs.exe
32. uphclean.exe      C:\Program Files\UPHClean\uphclean.exe
33. wdfmgr.exe        C:\WINDOWS\system32\wdfmgr.exe
34. winlogon.exe      C:\WINDOWS\system32\winlogon.exe

вначале запущенные из Program files - всякие там CD-крутилки, Шедулеры Акрониковские, Чистилки и Доктора Реестровые, и прочую хлабудень. Что такое ObjectDock - не знаю.
- Ну а уж если всё равно кто-то будет продолжать ломиться наружу - рубить по одному system32-сервисы.

Greyman 03-04-2006 21:50 424575

ser6720
Хм-м-м... Т. е. к тебе тоже стучится сервак?
Входящие идут на определенный процесс, файл которого в полном порядке... Почему же просто не предположить, что это штатная ситуация? Плохо что аутпост не показывает ИД процессов, тогда бы точно можно было узнать, к какой службе стучиться сервак, но при необходимости можно и вычислить... С ложным сробатыванием аутпоста на сканирование портов я сталкивался уже не раз, т. ч. это в порядке вещей. Просто бывает, что штатный сервис пытается установить соединение, но из-за того, что оно блокируется ПСЭ, сразу идет попытка установить соединение на другом порту и т.д. Соответственно это аутпост и определяет за атаку сканированием портов... Мне же кажется, что это просто работа чего-нить, связанного с удаленным управлением (рееста, рабочий стол, политики и т. п.). Щас на память по службам уже не скажу, но можно выбрать наиболее вероятные службы, с которым пытается общатся сервак, а для верности грохать по очереди наиболее вероятные при очередных попытках установить соединение. Т. е. то, что к тебе стучится сервак с т. з. твоей машины, вполне нормально... А вот должен ли стучатся сам сервак, это уже вопрос номер некст... Это может быть как причина установленных настроек, так и работа трояна.
Естьвозможность сравнить логи экрана с сервера на то же время, когда он к тебе долбится? На основании этого, можно судить кто именно конектится, а потом уже думать. Рабочая станция тут не при чем, оэидание входящих это свойство некоторых стандартных сетевых служб...

Ser6720 03-04-2006 22:01 424577

APOSTOL
Greyman

Спасибо, буду думать.
Господа у меня был на днях очень интересный глюк OutPosta и IE и я вел дискуссию вот здесь: http://forum.five.mhost.ru/showthread.php?t=2972.
Я думаю, что это из той же серии, что обсуждается эдесь.
Если кому интересно посмотрите, может что скажете или научите чему-нибудь.
Надеюсь я не нарушаю правил форума.

Grub 04-04-2006 07:45 424657

Цитата:

но из-за того, что оно блокируется ПСЭ, сразу идет попытка установить соединение на другом порту и т.д. Соответственно это аутпост и определяет за атаку сканированием портов...
Я пробовал Разрешить однократно, но потом следует тот же вопрос, но на другой порт. И таким образом я разрешил 3 раза, а потом снова стал блокировать. Политики групповые не менялись, сервак не обновлялся в этот период времени. Так что грешить на службу как-то не хочется.

Цитата:

Мне же кажется, что это просто работа чего-нить, связанного с удаленным управлением (рееста, рабочий стол, политики и т. п.
Тогда почему все время протокол UDP? Что может работать на этом порту из системных служб? AnVir Task Manager родительским процессом у всех svchost.exe показывает services.exe

У меня сервак на w2k3+sp1. У вас такой же? Рабочая машина ХР+SP2.

Greyman 04-04-2006 10:35 424698

Grub
Цитата:

Так что грешить на службу как-то не хочется.
На чью службу? На службу АРМ - да, не стоит. Но вот что стучиться с сервака - это вопрос и в этом и стоит разбираться. Как вариант, это может быть штатная ситуация, но может быть и что-нить вредное, надо разбираться...
Цитата:

Тогда почему все время протокол UDP? Что может работать на этом порту из системных служб? AnVir Task Manager родительским процессом у всех svchost.exe показывает services.exe
Я уже писал про недостаток того, что аутпост не паказывает ИД-процессов. Указанный родительский процесс говорит как раз о том, что идет запуск сужб. Ну а сам принцип работы svchost.exe вообще практически не позволяет определить, к какой конкретно службе стучится сервак. Про сам это процесс можно посмотреть у микрософта:
Описание процесса Svchost.exe в Windows XP
Т. о. один отображаемый в списке задач процесс запускает целую группу служб и методом отключения можно определить тоолько эту группу. Для определения же конкретной службы, а соответственно и ее подозрительной *.dll необходимо проделывать утомительную работу по проверке служб из конкретной группы, задавая их отключение и запуск и проверяя работу машины. Может у мелкомяхких и была какая-то мысль, но то, что они не могли выделить запуск отдельных библиотек в отдельные процессы, кажется большой глупостью, когда речь заходит о подобной отладке.

Т. е. варинт "трояна" таки возможен. Первый приходящий в голову - это заражение библиотеки одной из стандартный служб. Однако т. к. они все подписаны, то командой SFC подобное заражение легко ликведируется (если не рассматривать вариант руткитов). Однако возможна подсадка трояна так, что в сервисах прописывается дополнительная служба со своими параметрами, соответственно не содержащая подписи MS, возможно с "подходящим" названием, заносится в одну из групп svhosts и ставится ее автоматическая загрузка. В этом случае троянская библиотека будет грузится на равне со стандартными службами и система ничего не будет видеть в этом подозрительного.

Как вариант, можно собрать все *.dll загружаемые svhosts (определяется анализом соответствующих ключей реестра) и проверить их в инете на мультиантивирусных сканерах (ссылка есть в объявлениях в разделе ИБ). Я бы наверное начал бы именно с этого, если бы подозревал именно смою тачку, а не сервер.

Greyman 04-04-2006 10:58 424705

Кстати, щас еще пришла идея по поводу этого дурацкого svhosts. Если в аутпосте включен контроль компонентов, то он записывает все используемые файлы для каждого процесса в файле "modules.0". Поэтому можно не рыскать по реестру, а взять файлы для проверки основываясь прямо на нем... Вот только все равно, придется анализировать сразу несколько мест, т. к. для процесса он записывает только порядковые номера, поэтому чтобы найти имя файла, надо найти его номер, ну а для того, чтобы найти его место расположение, надо еще и в начале текущего блока посмотреть. Да к тому же количество используемых файлов все же больше, чем количество запущенных им служб (в моем случае аутпос сохранил данные о 154 файлах). Для упрощения работы можно было бы конечно написать простенькую програмку, к-ая бы сама анализирвала реестр или файл аутпоста и сразу собирала нужные файлы для проверки, но это уже отдельная тема...

Grub 04-04-2006 15:27 424802

Ладно... Будем думать над твоими словами... Но вот только у меня еще один сам по себе возникает: почему НИ ОДИН АНТИВИРЬ ничего не нашел? Я перепробовал всё что здесь предлагалось против червей и рез-т = НОЛЬ :( ... Может и не червь это,а?

Greyman 04-04-2006 16:26 424836

По симптомам это не может быть червь. Червь должен был бы быть на серваке, если он есть. Если же какая-то дрян на самом АРМ, то это троян. Я же и говорю, что вряд ли это действительно что-то специально вредоносное. ИМХО это все же что-то штатное, либо ошибка программиста конкретного приложения одной из запущенных библиотек. Вот только определить именну ту биллиотеку, на которую идет соединения, из-за мелкософтовской идеи "укрупнения" можно только путем отладки, просматривая куда потом передает svhosts пришедший сетевой запрос. Как это сделать более простым способом - понятия не имею... Может со временем и появится соответствующий ПСЭ, позволяющий отслеживать движение сетевых запросов на более низком уровне процессов, чем это предусмотрено маздаевцами...

Хм-м-м... Совсем забыл про снифферы... Можно же перехватывать соответствующие запросы, а потом анилизировать с целью того, чтобы определить куда они идут. Правда это будет нудная и ручная работа...

Grub 24-04-2006 13:13 431166

Prio показывает что сервак конектится вот к этой службе Hosting Services: DNS-клиент. Все разрешенные мною соединения подписаны этой службой. Вопрос: так должно быть? Я понимаю что DNS - это важняцкая служба, но зачем ей столько соединений с моим компом? Я разрешил 9 раз, а он(сервак) все равно долбится ко мне.... :( У всех процессов одинаковый PID.


Время: 00:43.

Время: 00:43.
© OSzone.net 2001-