svchost 访问37215 端口,有谁知道这个端口

jordren

如下图:

其中192.168.1.168 是我的本机内网IP
192.168.1.1 是ADSL（猫拔号）
我知道一般不会访问这个端口，有访问多半是病毒。可有些不理解的地方：
一 系统是我从微软官员下载的，MD5，哈希全对得上，然后干净安装后备份。安装过程格式化C盘，不访问其它盘（之前也杀过毒，至少没有自动运行病毒），并且拔网线断网。之后联钢装360下载补丁更新，保存补丁。再恢得纯原备份，手工批处理打补丁，到这一步，基本上是很干净的，除非360下载的补丁有问题。打完补丁后再次备份，目前使用的就是这个备份还原的系统。
二 发现异常后，我用小红伞和微点杀毒扫描系统都没提示有病毒。
三 疑问，这是正常的行为，还是病毒呢，有没有人碰到过这个情况。难道还得用XueTr 类手工扫描？

有知道的请留言，谢谢！

nakaxila

开了DNS client服务了么?
如果有软件要做p2p.开了dns的话,可能会用到svchost.exe的
把服务里面的dns设成禁用看一下
那个高端口如果没有如果没有p2p的话,可能就是木马了,禁用吧,然后再全盘查杀
话说用comodo都能被种马的话,那个马难道是免杀的,那就更难办了,除非重装...

穿越星空

开了DNS client服务了么?
如果有软件要做p2p.开了dns的话,可能会用到svchost.exe的
把服务里面的dns设成禁 ...
nakaxila 发表于 2010-6-15 00:38

　　DNS的目标端口是UDP53，所以排除这种可能。高端端口一般都是随机的，想要知道在传输些什么数据，估计只有分析数据包了。

jordren

回复 穿越星空 的帖子


    嗯，我想也是。这个端口接连出现过好多次。后来我想是不是连了路由猫的原因，之后我直接电脑拔号，接着观察了一段时间，未发现，有时间准备再看看。

jordren

回复 nakaxila 的帖子

当时没开P2P，感觉也不象是木马。呵，以后继续观察，目前先打磨毛豆规则。