-
Junior Member
- Вес репутации
- 56
Загадка уведомлений Outpost'a о запросах входящих соединений.
Приветсвую всех участников этого крайне полезного форума!
Прошу помощи в разьяснении:
Система Microsoft Windows XP Professional версия 2002 SP3 (оригинальный)
Стоит Outpost Firewall Pro 2009 Версия 6.5... Режим обучения.
Так вот время от времени (2 раза за 1 час точно, иногда по 5 за 20 минут) появляются сообщения/предупрежения о том что:
Generic Host Process for Win32 Services
Приложение запрашивает входящее соединение
Процесс: C:\WINDOWS\system32\svchost.exe
Удалённый адрес: 192.168....., DCOM (TCP:135)
Outpost Firewall Pro должен:
- Разрешить любую активность этому приложению
- Блокировать любую активность этого приложения
- Создать правило на основе стандартных
(кнопки)
Разрешить однократно Блокировать однократно ОК
Удалённые адреса - почти всегда локальные, порядка 10 - 15 штук, т.е. одни и теже. Изредка добавляются новые. Частота таких запросов у всех разная.
Пару раз были внешние адреса, так же на DCOM (TCP:135).
Ещё несколько раз были внешние адреса, с так же входящим соединением, но на UPD:1900.
В каждом случае я нажимаю "Блокировать однократно".
Никаких сбоев или изменений в работе компьютера при этом не замечаю.
Самое интересное, что правила для таких случаев уже есть, а эти уведомления всё равно вылазят, я уже и сам правила создавал - толку 0.
Звонил в тех. поддержку провайдера, обьяснил ситуацию, представил список адресов, попросил обьяснить что это.
Общался с 4 людьми - все говорят разные вещи.
Один говорит - вирусы это ломятся, запрещайте!
У другого - безобидные проги - разрешайте!
Третий - интернет перестанет работать, ничего не трогайте!
4ый - вообще без понятия что происходит.
Искал в сети ответ на мой вопрос - плюрализм мнений такого же размаха.
Регулярно проверяюсь сканером Dr.Web'a, AVZ - всё чисто.
Так вот вопрос: Что это за входящие соединения, и что с ними делать?
П.С.: Извиняюсь если не в тот раздел, ибо я не знаю куда лучше поместить эту тему. Этот раздел показался мне наиболее близким.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Помоему по такому порту эта служба не должна работать. У меня эта служба раз вылезла в инет и я про нее забыл. Если запретишь, может пропасть интернет. Сделайте как тут написано, я думаю, что вирус
-
-
На ХР 135-й порт можно закрыть раз и навсегда. Инет будет, с чего бы ему от этого пропадать.
wwdc.exe попробуйте, тулза закроет порт, и не только этот 135-й.
Последний раз редактировалось bse; 27.12.2008 в 22:13.
-
Jack D., вы находитесь в локальной сети?
это адреса роутера
Звонил в тех. поддержку провайдера, обьяснил ситуацию, представил список адресов, попросил обьяснить что это.
и что они ответили? скорее всего идут запросы именно от них.
значит так, сейчас попытаюсь описать здоровый ход этого дела
для начала закройте все браузеры, аськи и все что постоянно висит в интернете . снесите все настройки вашего аутпоста по Generic Host Process for Win32 Services, после этого запускайте ваш браузер. первый аллерт по этому делу обязательно пропускайте, в противном случае у вас действительно не будет интернета, последующие (примерно от 5 до 8 аллертов) блокируйте однократно. после этого должна быть "тишина" на эту сессию фаервола. вы должны понимать, что однократный пропуск по аллерту не создает правила, а посему действителен только для единичного случая, то бишь, если в запросе хоть что-то изменится (достаточно последней цифры ай-пи) то последует новый аллерт. есть доверенная зона, а именно ваша сеть, а есть интернет.
если вы так плотно пользуетесь авз, то скорее всего сама авз вам сообщила об опасных службах, разрешенных на вашем компьютере и вы их закрыли. не так ли? если нет, то это тоже часть ответа на ваш вопрос
-
Junior Member
- Вес репутации
- 56
Спасибо всем откликнувшися!
По порядку:
Про присутствие на моём компьютере зловредов я грешу в последнюю очередь.
Т.к. всё чисто и постоянно проверяется. Если конечно не что-то из ряда вон выходящее и не опознающееся.
senyak, служба эта как раз работает по такому порту и это, как тут напомнили Удаленный Вызов Процедур (RPC) и Удаленный Помощник (DCOM).
seb, спасибо!
megadat, да, я в локальной сети.
И знаю, что 192.168..... - это локальные адреса.
Поэтому собственно и звонил в тех.поддержку.
А сказали мне (см.1 сообщение)
Общался с 4 людьми - все говорят разные вещи.
Один говорит - вирусы это ломятся, запрещайте!
У другого - безобидные проги - разрешайте!
Третий - интернет перестанет работать, ничего не трогайте!
4ый - вообще без понятия что происходит.
На счёт AVZ - пользуюсь не плотно и службы в ней не запрещал.
Ненужные службы отключал вручную через администрирование.
Сейчас залез в Outpost смотрю правила для svchost.exe, там ктам нет почему-то правил по блокировке входящих соединений на 135 порт.
Мистика, своими глазами видел эти правила, которые и уже были и которые я добавлял сам, сейчас ничего этого нет... Правда эти правила мне показывались при открытии этого предупреждения (о вход.соединениях на 135 порт), когда переходишь сразу на создание правил.
Сейчас создал правило через настройки, посмотрим что будет.
Если продолжиться - закрою порт через предложенную sebом прогу.
И всё таки интересно, что это за соединения?
И как узнать безобидные ли это проги или дествительно гадость какая-то ломится?
И кстати удалённый помошник обращается по входящие TCP-соединения на порт 3389 для процесса C:\WINDOWS\system32\sessmgr.exe. (взято от сюда http://www.computerra.ru/gid/rtfm/system/245869/)
И кто из рядовых юзеров будет так часто пользоваться этим помошником или вызовом удалённых процедур?
Помойму им вообще никто не пользуется.
И тут вот ещё прокоментируйте пожалуста:
Такие запросы на 135 порт приходили и с "внешки".
И приходили запросы о входящих соединениях на UPD:1900, тоже с "внешки".
Что это?
-
Jack D. я же все вам попыталась объяснить )
Мистика, своими глазами видел эти правила, которые и уже были и которые я добавлял сам, сейчас ничего этого нет... Правда эти правила мне показывались при открытии этого предупреждения (о вход.соединениях на 135 порт), когда переходишь сразу на создание правил.
это не мистика, это то, что я вам говорила, а именно, что при блокировке однократно
вы должны понимать, что однократный пропуск по аллерту не создает правила
не создаются правила, в этом случае фаер запоминает конкретный аллерт на текущей сесии. при ребуте/выключении компьютера/фаера текущая сессия сбрасывается и начинается новая, а значит свистопляска с аллертами тоже начнется по новой.
Сейчас создал правило через настройки, посмотрим что будет.
Если продолжиться - закрою порт через предложенную sebом прогу.
по идее должна быть тишина, а вот если вы находитесь в локалке, то заткнуть все что вы хотите будет проблематично, если у вас открыта доверенная зона, в вашем случае локалка
На счёт AVZ - пользуюсь не плотно и службы в ней не запрещал.
Ненужные службы отключал вручную через администрирование.
при следующем сканировании обратите внимание на то, что именно пишет авз в конце, я имею ввиду список потенциально опасных служб. если авз не предоставит список и подобных служб не обнаружит, то тогда уже и начнем думать о плохом наверно)
-
Junior Member
- Вес репутации
- 56
Это ад!=)
Через настройки создал правила:
В Брандмауэр - Правила для приложений - SVCHOST.EXE
*Блокировать Входящее TCP на DCOM для SVCHOST.EXE
Потом нашёл ещё вкладку с сетевыми правилами - системные правила.
Там есть 2 типа правил:
1) Применяемые ДО правил для приложений.
2) Применяемы ПОСЛЕ правил для приложений.
И там и там я создал *Блокировать Входящее TCP на DCOM
Те. я создал аж 3 правила везде где только можно и передвинул их в самый верх списка.
Но предупреждения всё равно появляются...
Но тут вот ещё какое дело.
В окне создания приложений для СВЦХОСТ.ЕХЕ например есть вкладка Параметры.
Там у меня такие настройки:
При переключении приложения в полноэкранный: Спрашивать (Перейти в Игровой режим, Не переходить в Игровой режим)
Доступ к rawsocket: Спрашивать (Разрешить, Блокировать)
Фильтрация содержимого: Использовать глобальные настройки (Включить фильтрацию, Не осуществлять фильтрацию)
В скобочках возможные варианты.
Может здесь что-то изменить?
И ещё по поводу зловредов у меня: Я 3 раза уже форматировал диск С, на который ставил Винду. Правда 2 других раздела оставались без изменений.
(Жёсткий диск один, разбит через БИОС).
Поэтому врятли там что могло остаться. Если только при первом подключении к интернету. И этот зловред ничего не может определить...
В общем маловероятная ситуация.
-
Jack D.
UDP 1900 - Служба SSDP (Simple Service Discovery Protocol) включает обнаружение UPnP-устройств в сети (SSDP Discovery) - отключить.
И всё-таки последуйте совету seb относительно wwdc.exe - почвы для "кошмарных" предположений изрядно поубавится.
-
Junior Member
- Вес репутации
- 56
Jack D., испытывал аналогичную проблему с Outpost'ом
пока искал в чем дело, поудалял с компьютера все вирусы, это вроде как не очень помогло, сообщения все равно появлялись... потом заглянул в Outost'е в журнал событий в радел "Контроль Anti-Leak" и обнаружил там мноежство записей типа
21:04:28 Разрешить SVCHOST.EXE Запуск сетевого приложения c:\windows\system32\hpbpro.exe
задумался, проверил файл антивирусом - ничего, потом просто удалил его и все прекратилось. Как по мановению волшебной палочки! Проблем пока никаких не испытываю вследствие этого) Буду рад, если я чем-то смог помочь.
-
Junior Member
- Вес репутации
- 56
Спасибо всем, кто откликнулся.
Проблема решена.
Я воспользовался предложенной мне программой wwdc.exe и закрыл порты, не только 135.
Никаких уведомлений.
Эти порты, как я понял, почти не используются, при этом являются дырками для зловредов.
Так что закрывать можно безболезненно.
sharkiff, эх! Жалко не сохранились логи. Я бы с удовольствием проверил бы что это.
Тему можно закрывать.
Ещё раз всем большое спасибо!