Outpost стал выдавать постоянно запрос на создание правила для svchost.exe
Generic Host Process for Win 32 services
приложение запрашивает вход. соединение
локальный порт ****
локальный адрес - моя тачка
удаленный адрес - сервак

Это началось, наверное, неделю назад(предположительно после установки Траффик инспектора, но он ставился на моей тачке). Самое главное что порты всегда udp' шные и всегда разные. Outpost стал блокировать сервак. Он его как атакующего распазнает. Тип атаки сканер портов и перечисляет порты(а там их действительно много). Что это может быть? Достает капитально.

Глянь , ежели в папке С:/Windows есть этот файл- это вирус, точнее троянец. Там его не должно быть. Он в папках System32 и system32/dllcaсhe быть должен. Кстати, этого троянца не обнаруживает ни ad-aware, ни anti troyan elite, ни troyan remover. Я его нашел с помощью XoftSpy. А его я взял http://www.3dnews.ru/download/security/. Лекарство есть в сети. Ищи.

У меня наличие С:/Windows/svchost.exe, совсем непохожего на одноименный файл из папки System32, определил Avast 4.6 Home Edition.
Причём это не просто троян, а ещё и червь, он поразмножался, скотина... :(

Счас бук домой принесу, к сетке не буду подключаться и проверю его. А заодно и домашний комп, его сын в инете юзит. Кстати, я об этом черве вчера узнал, когда ZoneAlarm поставил. Только файер запустил, как эта гадость (svchost) стала ломиться и наружу и внутрь. Ну, я его блокирнул на всякий случай и в поиск отправился, за инфой. И вот результат.

Короче, ни XoftSpy, ни Outpost Anti-Spyware, ни визуальный осмотр результатов не дали :( NOD32 с последними обновлениями тоже ниче не находит. Кто еще что может подсказать???? Блин, у вас хоть причина найдена, здесь же нифига не ясно....

Сравни файл побитно, с гарантированно чистой машины (или в SP), не совпадает - затри его.

Даже если он в систем32 лежит? Есть в C:\WINDOWS\Prefetch называется SVCHOST.EXE-3530F672.pf весит 15кб незнаю для чего он. Но он лежит на моей тачке, а outpost говорит что приложение запрашивает входящее соединение, значит что-то долбится с сервака.... Я так думаю... ААА все равно прибью.... на другой тачке его нет.....

На серваке посмотрел.... svchost.exe есть только в system32 и system32\dllcashe оба по 14 кб. Сервак кстати w2k3. У всех так? На моей уже писал один в систем32 весит 14кб, другой - тот что выше описан пока не удалял. Кто знает для чего эта папка? и для чего это файл?

для чего эта папка? и для чего это файл?
Ты-ж сам на этот вопрос отвечал:
ломиться и наружу и внутрь
сканер портов
Outpost стал блокировать сервак
Достает капитально
в поиск отправился, за инфой. И вот результат :haha:

Качни что-нибудь типа AnVir Task Manager - там видно всё.

http://www.anvir.com/index_ru.htm

http://www.anvir.com/ss/viewstartup.jpg

у самого была схожая проблема, но файл назывался очччень схоже с svchost но немного иначе, вылечилось простым убиванием, а обнаружился в службах винды.

Ещё раз поподробнее скажите как называется этот гадкий файл и где он лежит, у меня таже проблема.
И как его убить.

P.S.
Обнаружил C\Windows\Prefetch\svchost.exe.-3530F672- 42кб - это он?
Это троян, червь?

Я-ж сказал, качни программу типа AnVir Task Manager, запусти - там видно всё - кто, что, почём, зачем, откуда запущен и сколько жрёть. Ну и где сёрет, соответственно.

Если одновременно запущено более одной программы (сервиса) одинакового названия из разных мест - уже нужно думать. А можно и не думать, а нажимать красный крест и следовать указаниям. Настоящие системные файлы винда один фиг восстановит, когда (если :haha: ) перезагрузится.

У меня ничо не показывает :( Все svchost'ы запущены из систем 32, все подписаны майкрософтом. все одинакового размера. А все равно долбится что-то.... Что дальше-то смотреть?

я про AnVir Task Manager говорил:
У меня ничо не показывает Все svchost'ы запущены из систем 32, все подписаны майкрософтом. все одинакового размера. А все равно долбится что-то.... Что дальше-то смотреть?


ТАК ЧТО ДЕЛАТЬ ТО ЕЩЕ??? Бить все свхосты подряд? Так там один есть который потом всю систему отрубает(если не ошибаюсь)....

Все svchost'ы запущены из систем 32, все подписаны майкрософтом. все одинакового размера.
Значит со стороны svchost всё в порядке (их там по пять штук бывает в разные моменты работы системы), а в И-нет ломится совсем другое. И вообще, я так понял что это к тебе ломится сервер. Он же ломится за каким-то хреном. Либо это троян с сервера пытается связаться со своей базой, либо это наоборот база с сервера пытается опросить твой троян, которого ты уже убил, а связаться с трупом запрещаешь файером.

APOSTOL

http://img129.imageshack.us/img129/7935/18fa1.th.jpg (http://img129.imageshack.us/my.php?image=18fa1.jpg)

http://img208.imageshack.us/img208/5511/23yu.th.jpg (http://img208.imageshack.us/my.php?image=23yu.jpg)

Если можешь, посмотри пожалуйста как спец, всё ли в порядке, я плохо в этом понимаю.
Если качество плохое, то здесь тоже самое в архиве RAR.
Спасибо.

Не хрен я и спец, тем более что это ХР.

С точки зрения svchost - вроде всё в порядке. Но не исключено, что троян ими просто пользуется.

Скажем, что бы стал делать я:
- Первым же движением убил бы Касперского (вместе с его сервисом), может это он и ломится.
- Затем нужно дождаться, пока что-нибудь будет ломиться в И-нет (смотреть за файером).
- Запрещать однократно, и выключать по одной программы, смотреть дальше.
- Выключать (судя по списку):
1. alg.exe C:\WINDOWS\system32\alg.exe
2. anvir.exe D:\Program files\AnVir Task Manager\AnVir.exe
3. boostspeed.exe C:\Program Files\AusLogics BoostSpeed\boostspeed.exe
4. cdslow.exe D:\Program Files\Cdslow\cdslow.exe
5. coolsnap.exe D:\Program files\CoolSnap\Cool Snap\CoolSnap.exe
6. csrss.exe C:\WINDOWS\system32\csrss.exe
7. ctfmon.exe C:\WINDOWS\system32\ctfmon.exe
8. explorer.exe C:\WINDOWS\explorer.exe
9. hddlifepro.exe D:\Program files\HDDlife\HDDlifePro.exe
10. incdsrv.exe D:\Program files\Nero\Nero 7\InCD\InCDsrv.exe
11. kav.exe
12. kavsvc.exe
13. lsass.exe C:\WINDOWS\system32\lsass.exe
14. mdm.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
15. nvsvc32.exe C:\WINDOWS\system32\nvsvc32.exe
16. objectdock.exe D:\Program files\Objectdock\ObjectDock\ObjectDock.exe
17. outpost.exe D:\Program files\Agnitum\Outpost Firewall\outpost.exe
18. regmanserv.exe D:\Program files\Advanced Registry Doctor\RegManServ.exe
19. schedul2.exe C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
20. services.exe C:\WINDOWS\system32\services.exe
21. smss.exe C:\WINDOWS\system32\smss.exe
22. spoolsv.exe C:\WINDOWS\system32\spoolsv.exe
23. svchost.exe C:\WINDOWS\system32\svchost.exe
24. svchost.exe C:\WINDOWS\system32\svchost.exe
25. svchost.exe C:\WINDOWS\system32\svchost.exe
26. svchost.exe C:\WINDOWS\system32\svchost.exe
27. svchost.exe C:\WINDOWS\system32\svchost.exe
28. svchost.exe C:\WINDOWS\system32\svchost.exe
29. system
30. System Idle Process
31. tcpsvcs.exe C:\WINDOWS\system32\tcpsvcs.exe
32. uphclean.exe C:\Program Files\UPHClean\uphclean.exe
33. wdfmgr.exe C:\WINDOWS\system32\wdfmgr.exe
34. winlogon.exe C:\WINDOWS\system32\winlogon.exe


вначале запущенные из Program files - всякие там CD-крутилки, Шедулеры Акрониковские, Чистилки и Доктора Реестровые, и прочую хлабудень. Что такое ObjectDock - не знаю.
- Ну а уж если всё равно кто-то будет продолжать ломиться наружу - рубить по одному system32-сервисы.

ser6720
Хм-м-м... Т. е. к тебе тоже стучится сервак?
Входящие идут на определенный процесс, файл которого в полном порядке... Почему же просто не предположить, что это штатная ситуация? Плохо что аутпост не показывает ИД процессов, тогда бы точно можно было узнать, к какой службе стучиться сервак, но при необходимости можно и вычислить... С ложным сробатыванием аутпоста на сканирование портов я сталкивался уже не раз, т. ч. это в порядке вещей. Просто бывает, что штатный сервис пытается установить соединение, но из-за того, что оно блокируется ПСЭ, сразу идет попытка установить соединение на другом порту и т.д. Соответственно это аутпост и определяет за атаку сканированием портов... Мне же кажется, что это просто работа чего-нить, связанного с удаленным управлением (рееста, рабочий стол, политики и т. п.). Щас на память по службам уже не скажу, но можно выбрать наиболее вероятные службы, с которым пытается общатся сервак, а для верности грохать по очереди наиболее вероятные при очередных попытках установить соединение. Т. е. то, что к тебе стучится сервак с т. з. твоей машины, вполне нормально... А вот должен ли стучатся сам сервак, это уже вопрос номер некст... Это может быть как причина установленных настроек, так и работа трояна.
Естьвозможность сравнить логи экрана с сервера на то же время, когда он к тебе долбится? На основании этого, можно судить кто именно конектится, а потом уже думать. Рабочая станция тут не при чем, оэидание входящих это свойство некоторых стандартных сетевых служб...

APOSTOL
Greyman

Спасибо, буду думать.
Господа у меня был на днях очень интересный глюк OutPosta и IE и я вел дискуссию вот здесь: http://forum.five.mhost.ru/showthread.php?t=2972.
Я думаю, что это из той же серии, что обсуждается эдесь.
Если кому интересно посмотрите, может что скажете или научите чему-нибудь.
Надеюсь я не нарушаю правил форума.

но из-за того, что оно блокируется ПСЭ, сразу идет попытка установить соединение на другом порту и т.д. Соответственно это аутпост и определяет за атаку сканированием портов...

Я пробовал Разрешить однократно, но потом следует тот же вопрос, но на другой порт. И таким образом я разрешил 3 раза, а потом снова стал блокировать. Политики групповые не менялись, сервак не обновлялся в этот период времени. Так что грешить на службу как-то не хочется.

Мне же кажется, что это просто работа чего-нить, связанного с удаленным управлением (рееста, рабочий стол, политики и т. п.
Тогда почему все время протокол UDP? Что может работать на этом порту из системных служб? AnVir Task Manager родительским процессом у всех svchost.exe показывает services.exe

У меня сервак на w2k3+sp1. У вас такой же? Рабочая машина ХР+SP2.