Svchost.exe соединяется с разными IP-адресами на удаленном порту 445

Вопрос или проблема

Я использую Windows XP Professional SP2.

Каждый раз, когда я запускаю Windows, svchost.exe начинает подключаться ко всем возможным IP в локальной сети, от 192.168.1.2 до 192.168.1.200. Локальный порт варьируется от 1000 до 1099, а удалённый порт — 445.

После завершения работы с локальными IP, он начинает подключаться к другим случайным IP.

Я пытался заблокировать подключения к порту 445, используя локальные политики безопасности, но это не сработало. Есть ли способ предотвратить подключение svchost к этим IP без использования установленного брандмауэра? Мой ПК замедляется из-за нагрузки.


Я просканировал свой ПК с помощью MalwareBytes и обнаружил, что он был заражен червем, он был удален, но svchost все еще подключается к IP.

Я также выяснил, что в настройках брандмауэра Windows, в разделе Протокол сообщения управления интернетом (ICMP), стоит галочка на “разрешить входящие запросы на эхо” (обычно отключена), которая заблокирована, и я не могу ее отключить.

Его описание следующее

Сообщения, отправленные на этот компьютер, будут возвращены отправителю. Это используется для устранения неполадок, например, для пинга машины. Запросы такого типа автоматически разрешены, если TCP порт 445 включен.

Есть ли какие-нибудь решения? Я не хочу снова проходить через этап переустановки Windows.

Похоже, ваш ПК заражен вирусом, удалите его или отформатируйте и переустановите Windows.

SP2 устарел. Вам следует использовать последний пакет обновлений для Windows XP (SP3).

Судя по симптомам, которые вы описали, похоже, что у вас инфекция Conficker, разгуливающая по вашей сети. Если вы также не можете запустить обновление Windows на этом компьютере, я бы сказал, что это почти гарантировано червь у вас.

Conficker — это ОЧЕНЬ агрессивный червь, и удаление его с одного компьютера в вашей локальной сети почти бесполезно, потому что возвращение этого компьютера в локальную сеть приведет к почти немедленному повторному заражению. Получите инструмент для удаления инфекции, отключите все ваши машины от локальной сети и дезинфицируйте их по одной, и подключайте их к сети только после того, как все машины будут очищены.

Обратите внимание, что этот червь также распространяется через USB-накопители, поэтому убедитесь, что никто не повторно заражает вашу сеть с зараженного USB-накопителя.

Вот инструмент удаления червя Conficker от Sophos с инструкциями и рекомендациями по безопасности.

Ответ или решение

С учетом предоставленного вами описания проблемы, ваша система, вероятно, заражена вредоносным ПО, особенно учитывая симптомы, связанные с поведением процесса svchost.exe. В данной ситуации важно рассмотреть несколько аспектов:

1. Понимание проблемы

Процесс svchost.exe служит контейнером для выполнения различных служб Windows. Коннекты к множеству IP-адресов в локальной сети, особенно на порт 445, который используется для файлового и принтерного общего доступа по протоколу SMB (Server Message Block), могут указывать на активность вредоносного ПО, такого как червь Conficker. Эта угроза может вызвать значительное замедление работы системы и расширять свою активность через сеть.

2. Устранение вируса

Несмотря на то, что вы уже использовали MalwareBytes для удаления вредоносного ПО, может потребоваться более глубокая проверка. Рекомендуется:

  • Подключите компьютер к сетевому кабелю только после полной проверки.
  • Используйте специализированные инструменты для удаления червя Conficker, такие как инструмент Sophos Conficker Removal Tool. Следуйте инструкциям к инструменту для максимальной эффективности.
  • Убедитесь, что система безопасна от USB-устройств, которые могут переносить заражение.

3. Безопасность системы

Учитывая, что вы используете Windows XP Professional SP2, необходимо обратить внимание на следующие шаги:

  • Обновите систему до Windows XP SP3. Это повысит ее защиту, так как SP2 является устаревшей и больше не поддерживается.
  • Проверьте настройки Windows Firewall. Убедитесь, что incoming echo requests отключен, чтобы предотвратить возможные атаки. Если эта опция заблокирована, это может свидетельствовать о глубоком уровне заражения или неправильных настройках системы.

4. Профилактика

После удаления вредоносного ПО и восстановления системы, необходимо установить меры по предотвращению дальнейших инфекций:

  • Настройка антивирусного программного обеспечения. Поддерживайте антивирус обновленным и регулярно выполняйте сканирование.
  • Обучение пользователей. Убедитесь, что все пользователи сети понимают риски, связанные с подключением внешних USB-накопителей и переходом по подозрительным ссылкам.
  • Изоляция сети. Рассмотрите возможность изоляции зараженного компьютера от основной сети до полного устранения угрозы.

5. Заключение

Хотя отсутствие возможности установить брандмауэр может усложнить ситуацию, нельзя забывать о том, что предотвращение распространения злоумышленников и установка защитных мер в долгосрочной перспективе поможет вам избежать повторного заражения. Свяжитесь с профессионалом, если вы не уверены в своих действиях, и не стесняйтесь инвестировать время в изучение систем безопасности. Не дожидайтесь дальнейших проблем – действия необходимо предпринимать незамедлительно.

Оцените материал
Добавить комментарий

Капча загружается...