可以讓 svchost.exe 存取網路嗎?

[阿雄]

我的作業系統是WinXP.一開機C:\WINDOWS\System32\SVCHOST.EXE 就會去存取網路.
曾經搜尋過幾篇文章.說明這個程式是微軟的.但有的是駭客植入的木馬.那要怎麼去判斷
要不要阻止它的網路存取?謝謝!

[aday]

應可看到remote端是那個ip要連上你的svchost.exe檔；
是來自您內部區網，或您本身自己的電腦那應該就沒關係，
若是remote端是別人，那恐怕就..

[阿雄]

謝謝您的指教!小弟對於網路有點生疏.可以請您幫我看一下嗎?謝謝!

[aday]

我的做法是
先設定區網為安全區域範圍
你灌的norton internet security 2002有個地方可設
假設您的區網是192.168.0.X
那麼您就設
網路:192.168.0.0
mask:255.255.0.0
以後.區網任何程式要通過server這台都沒問題,
會有問題的是,區網若有電腦要用瀏灠器進入別人ftp站時會進不去,
這時,在防火牆處增加一個規則,就是rmote端服務類別是ftp和ftp-data;
本地端服務任一即可,只是我不知這樣會否再造成安全上的疑慮
ezpeer也一樣,說實在的,我也還在學...

同理,您所信任的位置都可把它設為安全區域範圍,
以後您看到,類似上張圖的情形,都直接設個規則,全把他擋掉,
除非您有架站,如webserver,那麼就設個規則吧,讓別人可進來您的port80

我的做法是架個nat及dhcp,別人一進我port80立刻就連上 區網某台虛擬ip有架webserver的机器,這台机器非網域控制站,因此假設不信被駭,那就至少暫時不會駭到網域控制站那台吧!
(不知我觀念對不對),當然,webserver也不會考慮用IIS了,否則每天都有搞不完的漏洞要填..

前幾天我在server那台設資源分享,不久,打開那分享資料夾右鍵,內容,安全,權限,
赫然發現某位人兄也在裡面,而且名字還一大串,後來我發現可能是everyone這個群組在做怪
,因此以後有資源分享就把everyone砍掉,可是過不久我想想,乾脆把網芳的功能都取消算了,
這樣一來就不會再被空連結了,只是...這樣一來也不用分享了,

我本來以為架防火牆可擋掉這,但駭客實在太勵害了...
所以server那台最大的安全就是提供最小的服務,也不要灌任何雜七八程式,(聽說
cuteftp,ws_ftp等程式要是有灌,又有駭客侵入,它的某些重要檔案會被駭客拿去參考)
而且萬一在網路上抓抓樂的程式有特落依就火大了

[aday]

如果感染了CodeBlue網路蠕蟲病毒的話，在WIN2K“系統資訊”的“軟體環境”下的“啟動程式”中可以看到程式名稱為：Domain Manager (域名管理器)。該程式的具體指向是c:\svchost.exe, 該文件可以為所有的用戶來使用。

在系統的註冊表中增加了鍵值：HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN，其中有字元串鍵值Domain Manager, 該文件是引用的c:\svchost.exe。而SVCHOST.EXE文件還會創建一個腳本文件D.VBS, 被修改的系統會運行D.VBS。

該進程會啟動很多次，大量佔用系統記憶體，導致系統運行速度下降並引發系統癱瘓。系統的CPU佔用率有會達到100%, 而運行的程式svchost.exe佔用最多

[阿雄]

謝謝您的指點.我在系統中找不到這些機碼值.最後試著把剛安裝完的WinXP(未安裝任何軟體)拿來試試.也是有svghost的問題(英文版也有).我猜是不是A7V-133 Raid-0 Promise FastTrak100 沒有合適的Driver.Windows回報問題所造成的.我再找個時間測試一下.不好意思.麻煩你了!

[pcsony]

可否解釋一下通訊協定

UDP 和 TCP 的不同

（在防火牆的設定）

[aday]

因自己錯誤的觀念,差點誤導了你

是這樣的

ip封包傳遞模式

1.unicast:

2.broadcast:

3.multicast:

其中multicast是用來傳遞給一群電腦使用,因此在封包表頭的目的位址,通常是一群電腦,
這種傳遞模式通常用作即時影音傳流很有效率(否則用unicast方式將耗費大量頻寛,

你應該知道廣播位址為255.255.255.255吧?還有像127.0.0.1為迴路位址,
192.168.0.x和10.10.x.x可被當作私人虛擬位址,這些位址在internet都不會出現的,
因為這些位址在區域網路或個人主机都有其功用性,
現在224.x.y.z~239.x.y.z正是代表著multicast位址,而這些位置同樣也是只在區域網路會見到,而依照定址規則,這批位址被歸為 CLASS D 位址.

所以根據您你 第一張圖所示,這是個安全位置

若小弟所言有誤,請各位高手指正!

至於TCP和udp封包基本上的不同,在於
TCP封包連線是較可靠的,因為
他要和對方先做好一大堆的check(確認)與協調的工作,之後才真正傳輸,且當封包不幸遺失他會再重送(例如,A路由突然關机,TCP會再找b路由,總之會想辦法把任務逹成,代表性的TCP連線為webserver

而udp卻不用如此麻煩,因此他的功能僅止於記錄著封包來源端port和目的端的port,
幫助封包到逹對方IP位址時,知道要到對方那一個應用程式(即port)去處理,
不過他也有他存在的必要,例如dns server便用UDP連線,
試想若查詢DNS服務者眾多,
而用tcp連線,那DNS恐怕受不了,還有像路由器之間的交換資料常是週期性的事,若
這次傳送失敗,下次還會再來,因此便會用udp連線,
其它像multicast和broadcast也都是用UDP

因為TCP僅限於一對一的傳送方式(unicast).

[srobin]

我最近也發生雷同的問題, 我的作業系統為WinXP
最近在"工作管理員"中出現了四個"Svchost.exe"的檔案, 我試著將
它們都刪除(附註一)掉, 結果造成了"RPC功能被取消"...接著就出現
了"關機六十秒"的畫面, 這和"疾風病毒"是有關的嗎??

我有裝Norton的防火牆本來沒事, 一關掉就出現了, 真是太奇怪了。


附註一：因為昨天8/13號才裝ADSL, 才裝好就似乎中了"疾風", 不過
我在Regedit 以及 工作管理員 中都沒看到病毒的踪蹤, 不
過有注意到工作管理員的 "svchost"似乎多了二個, 原本二
個.....所以請大家知道這問題者請回覆我, 謝謝。

[TAIWAN]

最初由 srobin 發表
我最近也發生雷同的問題, 我的作業系統為WinXP
最近在"工作管理員"中出現了四個"Svchost.exe"的檔案, 我試著將
它們都刪除(附註一)掉, 結果造成了"RPC功能被取消"...接著就出現
了"關機六十秒"的畫面, 這和"疾風病毒"是有關的嗎??

我有裝Norton的防火牆本來沒事, 一關掉就出現了, 真是太奇怪了。


附註一：因為昨天8/13號才裝ADSL, 才裝好就似乎中了"疾風", 不過
我在Regedit 以及 工作管理員 中都沒看到病毒的踪蹤, 不
過有注意到工作管理員的 "svchost"似乎多了二個, 原本二
個.....所以請大家知道這問題者請回覆我, 謝謝。

去年有個老病毒偽裝成 svchost 檔案會佔用 CPU 與 MEM

要防最近這個RPC WORM 需先好好設定一下網路通訊協定 !

不見得要修補程式 只是灌好軟體預設值設定

真的麻煩先看一下 WINDOWS SYSTEM MENU 與修改一下預設值

如此而已

祝好運喔

60秒只要一開機快去將時鐘往前推成 2002 年就OK了

不過另一個修正的 RPC WORM 可不會有60 SEC 讓人有時間去修正時鐘的

另一個 RPC EORM 放送中 新登場