-
Junior Member
- Вес репутации
- 59
system заменил svchost
Проверял сетевые соединения при помощи програмки cports.
До настроек выходил в интернет и там появлялся процесс svchost (процесса system не было). Что-то настроил и появился процесс system (svchostа - нет).
Хорошо это или плохо?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
http://virusinfo.info/showthread.php?t=1235 - это для начала, а потом, если захотите продолжим общение
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Junior Member
- Вес репутации
- 59
Это слишком профессионально
Посто интересует - должны присутствовать указанные процессы или нет . Оба или достаточно одного?
-
- на самом деле, из того что мы видим в Диспетчере задач, svchost, это хост-процесс обеспечивающий запуск и функционирование уймы системных служб, как собственно самой Windows, так и стороннего софта, и зачастую не знаешь наверняка какой именно сервис стоит за каждым таким процессом... ну, а System, так и вовсе понятие абстрактное, и подразумевает некую совокупность процессов...
- посему, рекомендации остаются прежними, вдумчиво прочитать и в точности исполнить всё написанное на http://virusinfo.info/showthread.php?t=1235
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
"svchost.exe" - процесс служб Windows. Возможно, некоторые службы Вы отключили и теперь количество этих процессов уменьшилось. Их может быть несколько. Не должно быть "svchost.exe", у которых "имя пользователя" в диспетчере задач указано как Ваше имя - только "SYSTEM", "LOCAL SERVICE" или "NETWORK SERVICE" являются допустимыми значениями - "svchost.exe" с именем Вашего пользователя может быть вирусом.
"System" должен быть по-любому. Это как бы виртуальный процесс, обозначающий системные задачи.
-
-
Сообщение от
Virtual
...хотя многое из этого можно и с помощью авз сделать.
- ясное дело, можно... но в чёрном то окне консоли, куда, как круче смотрится
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Alex Plutoff,
вопрос не в крутости а в информативности, так что со своей линейкой давай...... как нибудь потом.
вот авз
Порт Статус Remote Host Remote Port
135 LISTENING 0.0.0.0 59474 [1016] c:\windows\system32\svchost.exe
а вот netstat
Имя Локальный адрес Внешний адрес Состояние PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1016
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ADVAPI32.dll
[svchost.exe]
. так что кому как удобней, мышкотыкать или в консоли набрать несколько комманд, да потом читать текстовые файлы.
ЗЫЗЫ а вот попробуй то-же самое с авз проделать в консоли удаленного сервера .
-
Junior Member
- Вес репутации
- 59
Вопрос был именно в этом.
1. Нет ли какой-либо пользы в том, чтобы вот эти dll и sys файлы записать в стандартный виндоус фаервол с пометкой disable? Есть от этого какая-либо польза?
2. Вообще есть ли какие-либо общераспространенные программы, которые следовало бы туда записать? (Ваш АВЗ то не надо ли случайно?)
3. Вообще вопрос был задан не столько с целью защиты от троянов (в коих я не верю), сколько от несанкционированного удаленного доступа. Вот на этом бы упор сделать.
-
- о, значит, как дело то оборачивается... ну, тут я Вам не помощник, раз даже выполнение несложных правил для Вас - "слишком профессионально"(а Virtual пытался предложить Вам ещё более информативные методы)... да и с вопросами веры, Вы, явно не на тот ресурс обратились
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
versed,
1. нет! только вред, ибо напр как раз порт 135 это DCOM! и его точно нужно прикрыть файрволом.
2. в исключения, по возможности, не нужно вообще ничего писать. ибо правильно открывать доступ не программе как таковой, а программе по опр протоколам и направлениям.
3.
не столько с целью защиты от троянов (в коих я не верю)
нюню .
следует понимать терминологию...
несанкционированного удаленного доступа
это следствие, а причина может быть как в троянской программе, вирусе, или прямой атаке "влоб" на уязвимую службу.
так вот использование уязвимостей сетевых служб, все меньше. ибо очень легко прикрыть файрволом, да и нат проблем добавит. а вот использование дыр в обработке документов сколько угодно....
__пример из последних.
посещаешь зараженную страницу
1. в скрытом фрейме, подгружается зловредная pdf
2. не задавая вопросов!, автоматически открывается акробатом, срабатывает код...
3. от имени акробата или браузера, подгружает качалку (..Downloader...) ///кстати класифицируется как Trojan.DownLoad.
4. и ту начинается самое интересное... этот Trojan.DownLoad выкачивает и устанавливает из инета, все что угодно!!! обычно разных удаленных администраторов (твой пресловутый "несанкционированный удаленный доступ"), скрытых прокси, "тырилки" паролей и другой конфиденциальной информации.....
простейшие методы защиты:
п.1 умные фильтры контента (часто просто отсеят скрытые запросы), хоть какая-то защиты, но не панацея.
п 2. правильная настройка плагинов браузера и своевременное обновление софта (как системного так и внешнего)
п 3. ну контроль компонентов в файрволе иногда помогает, но далеко невсегда ибо внешних модулей не подгружалось.
п 4. а вот тут контроль компонентов файрвола развернется на полную, если конечно файрвол не будет заранее обезврежен Trojan.DownLoadером . отсюда
п.4.1 ограниченные права пользователя (даже если и сможет скачать зловредов, то в 90% случаев не установит их)+ ограниченные права не дадут возможности нейтрализации файрволов и антивирусов!.
п.4.2 правильно настроенные файрволы и антивирусы. напр контроль сетевой активности приложений сразу заорет что какойто там троян.ехе из папки темп ломится в инет. .
ЗЫ надеюсь доходчиво обьяснил...
-
versed, Вам люди всё уже по сути пояснили, чего ждём, Рождества? Одно уже было, другое скоро будет.
-- почему матчасть прогуливаем, карантин?
Для кого готовая шпаргалка на http://security-advisory.virusinfo.info ?
-- почему у Вас штатный брендмауэр (фаервол)?
У него очень слаба защита на исходящие и довольно много "недомолвок и умолчаний".
-- вопрос был только теоретический? Ведь на практике это легко проверяется, главное - уметь "читать".
Удачи.
Нас объединяет то, что разъединяет