Что такое svchost.exe?

[][imera]

Поставил XP ...фаервол при соединении с интернет фиксирует попытку этого приложения через порт 1900 пойти на 239.255.255.250....и так каждый раз.
Что это такое?

насколько я понял ЭТО это - Generic Host Process for Win32 Services... обьясните по-русски что это и зачем оно туда лезет...

[Dead Man]

Эта программа несколько похожа по своему назначению на утилиту rundll.exe из Windows 9x, то есть с ее помощью запускаются различные системные сервисы, представленные в виде DLL-библиотек. Это, кстати говоря, видно и из ее названия, отображаемого в свойствах файла - "Generic Host Process for Win32 Services". Так что сама эта утилита вполне легитимна, но правильно будет говорить, что не svchost.exe пытается выйти в интернет, а какой-то сервис пытается с ее помощью получить доступ к Сети. И вот тут-то и кроется потенциальная уязвимость.

Можно предположить, что не только законный "виндовый" сервис, но и некий троянский вирус использует для своего запуска в качестве сервиса эту программу. Поэтому необходимо выяснить, какие запущенные сервисы используют svchost.exe, и, отключая их по очереди, определить тот, который обращается в Сеть. Увидеть, какие сервисы запущены, вам поможет дипетчер задач, и в полученном списке посмотрите, какие сервисы воспользовались услугами svchost.exe.

Остается изучить описание каждого сервиса, поискать информацию о нем в интернете, и определить, насколько его работа и, в частности, выход в Сеть полезен вам лично. Также можно, отключая по очереди каждый из замеченных сервисов, определить тот, который и вызывает подозрения у вашего файрволла.

[][imera]

напротив svchost в диспетчере задач попадаются три "пользователя":
1. Local service
2. Network sevice
3. System (аж три процесса одновременно)

....и что мне делать?
я так понимаю "это" надо разрешить - если запретить - интернет не работает, ничего не грузится....только вот как разрешить только на 1900 порт или вообще?
Кстати в W2K такой ерунды небыло...

[Dead Man]

Можеш разрешить вообще, в 2000 тоже такая байда была.

[][imera]

Ситуация такая...
под 2000 у меня нортоновский фаер стоял - насчёт этого сервиса молчал как партизан - 100%
сейчас (на свою жопу) перелез на XP и мало того (опять таки не знаю от чего и почему) решился на переход на Outpost - сразу же проявилась вышеописанная ситуация.

Спасибо, что помогли разобраться.
Хотя на всякий пущу его только по 1900...что-то всё-таки боязно мне...

p.s. а почему именно этот ip...ведь каждый раз один и тот же...
правда как-то заметил полезла она через 67 порт на 255.255.255.255.....вот этого я уже вообще не понял....что это за адреса такие???

[Dead Man]

255.255.255.255 это Macкa пoдceти (ничего военного). На всякий случай в ХР уже есть встроенный фаервол.

У себя я её запретил, т.к. работаю через проксю. И, судя по логам, svchost пыжится слать запросы на трансляцию DNS (в моём случае это делает прокси и все работает). Но что-бы svchost делал, получив ответ на свои запросы, трудно сказать.
У меня он пытается слать запросы на:
255.255.255.255:67 - UDP
239.255.255.250:1900 - UDP
212.164.32.18:DNS - UDP

[helldomain]

Hmm... Po-moemu Jmur slegka oshibsya ;-))) 255.255.255.255 - eto ne maska podseti, a eto setewoi broadcast. Port 1900 - eto UPnP (Universal Plug & Play) - figowina dlya poiska otkritih NAT translyatorow w seti. Teper o tom, chto takoe broadcast (esli kto ne znaet, esli znaet - propustit ;-)))): windoza hochet znat, gde w seti est geiti UPnP, skanit wsiu podsetku ne interesno - zadolbaeshsya perebirat. Po-etomu otsilaetsya zapros na IP adres 255.255.255.255 kotorij znachit - otwette wse, kto uslishal. Switchi eto delo ne rubyat, a spokoino propuskajut. Samo soboi bcast rabotaet tolko s UDP i ICMP (ne wes, chastyami). Dabi ono ne wihodilo za predeli seti i ne polzlo w inet, provideri eto barahlo rubyat. Moi sowet - wihod s 1900 porta zakrit - UPnP gliuchnij slishkom (lichnoe mnenie, nichego bolshe).

[Dead Man]

Ок признаю не правильно выразился , со всеми бывает ;-)

[helldomain]

LOL ;-)))