在局域网中svchost.exe被人使用DoSvc模块上传东西，想知道上...

Darrentzy

电脑开了流量提示窗口，所以再偶然间发现上传流量达到3-4M/s，然后用火绒流量监控看到了如下情况：在局域网中svchost.exe被人（ip是内网）使用DoSvc模块上传东西，想知道上传了哪些东西。后面使用火绒的ip协议控制，自定义禁止那个ip访问，在日志中发现那个ip发起了很多次连接请求（已经被火绒自动阻止）。所以我这就很好奇了，这个ip的所有者想干嘛，求大佬帮忙指点我如何能看到它上传的内容，他是如何有个这权限未经允许来上传东西的（我该如何彻底解决他，因为现在只是禁止了它当前的ip，不能保证他会换ip来发起连接）。附截图见下

12sdj

svchost.exe 可能是恶意软件所伪装，尤其是当它们存在于除C:\Windows\System32和C:\Windows\SysWOW64（仅64位）以外目录。
svchost在正常情况下是Windows的系统进程，大概是用于网络（自行baidu）
10.100.91.166' is a bogon (Private network) IP address.（这个IP是一个内网IP，无法查明）
在微点主动防御的日志上，svchost的指向是美国

12sdj

通过你所提供的信息，这是：Windows传送优化服务，这是系统自动用来下载更新补丁及应用商店等的后台服务程序。通常会占用网络和消耗大量流量。它其实使用来更新Windows的

www.

12sdj 发表于 2021-12-12 19:21
通过你所提供的信息，这是：Windows传送优化服务，这是系统自动用来下载更新补丁及应用商店等的后台服务程 ...

那个，其实就是Windows Update的下载服务和下载业务……而且还是带有P2P功能的那一种……

许方涛

可能是一个人把这台靶机当跳板