Redvex
16-03-2004, 11:06
Ho Sygate firewall installato e mi segna sempre l'svchost come Intrusion detection system......so bene ke è innocuo ma vorrei sapere ke combina
View Full Version : Domanda su svchost
klimt78
16-03-2004, 12:43
non so di preciso ma credo abbia a che fare con i servizi di rete; e ancora: se va in palla c'è qualche virus su uno dei computer della rete, a me è successo col jeefo...
Re_Lizard
16-03-2004, 16:49
E' tutt'altro che innocuo :eek:
Si tratta del worm w32.Welchia :mad: Fatti un giro nella sezione sicurezza e leggi qualcosa in merito, cmq ti dico per certo che lo devi assolutamente bloccare con il Firewall ;)
Si tratta del worm w32.Welchia :mad: Fatti un giro nella sezione sicurezza e leggi qualcosa in merito, cmq ti dico per certo che lo devi assolutamente bloccare con il Firewall ;)
Redvex
16-03-2004, 17:58
Impossibile ke sia un worm ho fatto la scansione con f-prot e adware e nessuna cosa rilevata...non è il welchia
Re_Lizard
16-03-2004, 18:23
Originariamente inviato da Redvex
Impossibile ke sia un worm ho fatto la scansione con f-prot e adware e nessuna cosa rilevata...non è il welchia
Ti assicuro che è quello....
Prova con qualche altro antivirus, ad esempio nod32 e vedrai che lo rileverai...
Ti ripeto, fai un giro nella sezione antivirus e troverai alcuni topic a riguardo..
Io personalmente con il Norton aggiornato non riuscivo nemmeno a rilevarlo, mentre con il nod32 l'ho trovato..
Ci sono anche dei tool appositi per la rimozione..
Impossibile ke sia un worm ho fatto la scansione con f-prot e adware e nessuna cosa rilevata...non è il welchia
Ti assicuro che è quello....
Prova con qualche altro antivirus, ad esempio nod32 e vedrai che lo rileverai...
Ti ripeto, fai un giro nella sezione antivirus e troverai alcuni topic a riguardo..
Io personalmente con il Norton aggiornato non riuscivo nemmeno a rilevarlo, mentre con il nod32 l'ho trovato..
Ci sono anche dei tool appositi per la rimozione..
Redvex
16-03-2004, 18:32
Ho scaricato il tool x la rimozione e non mi ha trovato niente non sono infetto ne sono sicuro
Re_Lizard
16-03-2004, 23:48
Originariamente inviato da Redvex
Ho scaricato il tool x la rimozione e non mi ha trovato niente non sono infetto ne sono sicuro
E se ti dico che nemmeno a me il tool lo rilevava?? :)
Cmq, se sei sicuro non insisto....
Ciao e alla prossima ;)
Ho scaricato il tool x la rimozione e non mi ha trovato niente non sono infetto ne sono sicuro
E se ti dico che nemmeno a me il tool lo rilevava?? :)
Cmq, se sei sicuro non insisto....
Ciao e alla prossima ;)
Redvex
17-03-2004, 08:20
Dimme te il tool adatto xkè di antivirus ne sono pieno f-prot e norton 2004 a mettere anke il nod32 mi esplode il pc prima di completare le scansioni cmq consigliami tu il tool
B/\rella
17-03-2004, 11:46
Originariamente inviato da Re_Lizard
E' tutt'altro che innocuo :eek:
Si tratta del worm w32.Welchia :mad: Fatti un giro nella sezione sicurezza e leggi qualcosa in merito, cmq ti dico per certo che lo devi assolutamente bloccare con il Firewall ;)
Non è un worm nè un virus.
E' un normalissimo servizio di sistema. Leggete QUI (http://support.microsoft.com/?kbid=314056) (sito microsoft ) a cosa serve e cosa fa.
A te Re_Lizard il welchia lo ha infettato, ma di per sé è innocuo ed ha morivo di esistere nel S/O.
Esempio ne sia che se reinstalli su una macchina fuori dalla rete ed ogni tipo di contagio il tuo bel file esiste ed è presente come servizio di sistema che parte in automatico.
Saluti a tutti.
:fagiano:
E' tutt'altro che innocuo :eek:
Si tratta del worm w32.Welchia :mad: Fatti un giro nella sezione sicurezza e leggi qualcosa in merito, cmq ti dico per certo che lo devi assolutamente bloccare con il Firewall ;)
Non è un worm nè un virus.
E' un normalissimo servizio di sistema. Leggete QUI (http://support.microsoft.com/?kbid=314056) (sito microsoft ) a cosa serve e cosa fa.
A te Re_Lizard il welchia lo ha infettato, ma di per sé è innocuo ed ha morivo di esistere nel S/O.
Esempio ne sia che se reinstalli su una macchina fuori dalla rete ed ogni tipo di contagio il tuo bel file esiste ed è presente come servizio di sistema che parte in automatico.
Saluti a tutti.
:fagiano:
Re_Lizard
17-03-2004, 11:58
Originariamente inviato da B/\rella
Non è un worm nè un virus.
E' un normalissimo servizio di sistema. Leggete QUI (http://support.microsoft.com/?kbid=314056) (sito microsoft ) a cosa serve e cosa fa.
A te Re_Lizard il welchia lo ha infettato, ma di per sé è innocuo ed ha morivo di esistere nel S/O.
Esempio ne sia che se reinstalli su una macchina fuori dalla rete ed ogni tipo di contagio il tuo bel file esiste ed è presente come servizio di sistema che parte in automatico.
Saluti a tutti.
:fagiano:
Allora, se ci fate caso....il file teoricamente infetto non è identico a quello di sistema :)
Sono invertite le 2 lettere dopo la "s" iniziale ;)
Vi ripeto, fatevi un giro nella sezione antivirus e cercate...
Se non sbaglio adesso questo file attacca anche con un altro worm... :muro:
Poi può essere benissimo che in questo caso non lo sia...ma il fatto che il firewall lo rileva mi fa pensare proprio di si, infatti nei topic a cui ho partecipato per risolvere il problema si diceva assolutamente di avere un firewall e di bloccare questo processo...
Io infatti ce l'ho bloccato anche in questo momento ;)
E con il nod32 a volte rilevo ancora questo worm :muro:
Non è un worm nè un virus.
E' un normalissimo servizio di sistema. Leggete QUI (http://support.microsoft.com/?kbid=314056) (sito microsoft ) a cosa serve e cosa fa.
A te Re_Lizard il welchia lo ha infettato, ma di per sé è innocuo ed ha morivo di esistere nel S/O.
Esempio ne sia che se reinstalli su una macchina fuori dalla rete ed ogni tipo di contagio il tuo bel file esiste ed è presente come servizio di sistema che parte in automatico.
Saluti a tutti.
:fagiano:
Allora, se ci fate caso....il file teoricamente infetto non è identico a quello di sistema :)
Sono invertite le 2 lettere dopo la "s" iniziale ;)
Vi ripeto, fatevi un giro nella sezione antivirus e cercate...
Se non sbaglio adesso questo file attacca anche con un altro worm... :muro:
Poi può essere benissimo che in questo caso non lo sia...ma il fatto che il firewall lo rileva mi fa pensare proprio di si, infatti nei topic a cui ho partecipato per risolvere il problema si diceva assolutamente di avere un firewall e di bloccare questo processo...
Io infatti ce l'ho bloccato anche in questo momento ;)
E con il nod32 a volte rilevo ancora questo worm :muro:
B/\rella
17-03-2004, 13:43
Originariamente inviato da Redvex
Ho Sygate firewall installato e mi segna sempre l'svchost come Intrusion detection system......so bene ke è innocuo ma vorrei sapere ke combina
Ok Re, ho afferrato il discorso ... Ci troviamo di fronte ad un file di sistema (svchost) innocuo ed ad un file infetto e nocivo che si chiama in modo simile.... intendi dire questo ??? :confused:
Ti chiedo: alla domanda posta ad inizio discussione da Red, e che quoto, rispondiamo dicendo che il suo file è quello innocuo o quello infetto ??
A me, da come l'ha scritto, sembra quello pulito :) ... chiedo conferma a lui, che controlli e ci dica un po' ....
Se così fosse alla sua domanda abbiamo già risposto. Non bloccarlo se è SVCHOST ( in quanto proc di sistema e vedi link postato sopra ) se invece è SCVHOST ( giusto Re ?? è questo il nome ?? ) allora lui è infetto e deve provvedere.
Siete daccordo ?? Magari ho preso un abbaglio, fatemelo notare ...
Alla prox. ;)
Saluti
:fagiano:
P.S. Il firewall lo rileva poichè è un file che gestisce anche i servizi di entrata/uscita dalla rete ( vedi internet, downloads, ecc ).
Ripeto, se è scritto giusto non è infetto e nemmeno nocivo.
Speriamo che Red non abbia già fatto il formattone !!! :D
Ho Sygate firewall installato e mi segna sempre l'svchost come Intrusion detection system......so bene ke è innocuo ma vorrei sapere ke combina
Ok Re, ho afferrato il discorso ... Ci troviamo di fronte ad un file di sistema (svchost) innocuo ed ad un file infetto e nocivo che si chiama in modo simile.... intendi dire questo ??? :confused:
Ti chiedo: alla domanda posta ad inizio discussione da Red, e che quoto, rispondiamo dicendo che il suo file è quello innocuo o quello infetto ??
A me, da come l'ha scritto, sembra quello pulito :) ... chiedo conferma a lui, che controlli e ci dica un po' ....
Se così fosse alla sua domanda abbiamo già risposto. Non bloccarlo se è SVCHOST ( in quanto proc di sistema e vedi link postato sopra ) se invece è SCVHOST ( giusto Re ?? è questo il nome ?? ) allora lui è infetto e deve provvedere.
Siete daccordo ?? Magari ho preso un abbaglio, fatemelo notare ...
Alla prox. ;)
Saluti
:fagiano:
P.S. Il firewall lo rileva poichè è un file che gestisce anche i servizi di entrata/uscita dalla rete ( vedi internet, downloads, ecc ).
Ripeto, se è scritto giusto non è infetto e nemmeno nocivo.
Speriamo che Red non abbia già fatto il formattone !!! :D
Re_Lizard
17-03-2004, 14:01
Allora, premetto che la storia delle 2 lettere l'avevo letta su questo forum prima di scrivere il mio precedente post...
Tuttavia sono andato a controllare il recente rapporto dei virus del mio AV nod32 ed ecco il resoconto dell'ultima settimana solmente....
Occhio che il worm Welchia è anche conociuto come Nachi ;)
http://www.bodynet.org/imm_forum/20040317150509.gif
Come avevo detto, questo file può essere benissimo infetto...quindi la cosa migliore è bloccarne l'ingresso tramite firewall ;)
Tuttavia sono andato a controllare il recente rapporto dei virus del mio AV nod32 ed ecco il resoconto dell'ultima settimana solmente....
Occhio che il worm Welchia è anche conociuto come Nachi ;)
http://www.bodynet.org/imm_forum/20040317150509.gif
Come avevo detto, questo file può essere benissimo infetto...quindi la cosa migliore è bloccarne l'ingresso tramite firewall ;)
B/\rella
17-03-2004, 14:23
Scusa Re...
RED sta parlando del processo ( e programma ) SVCHOST.EXE .
TU di che processo/eseguibile stai parlando quando dici che è infetto ?? :what:
Io ho il NOD 2.0 ( se hai lapossibilità aggiorna il tuo Nod32 che il 2.0 è una bomba !!! ) e a me il processo SVCHOST.EXE non è infetto.
Se esiste un file simile, tipo SCVHOST.EXE per intenderci, nel task manager allora è probabile sia un virus/worm. ( ma non è il caso di RED, stando a quello che ha scritto )
Inoltre se vedi QUI (http://www.nod32.it/pedia/n/nachi-a.htm) sul sito della NOD, a fine pagina dice:
".... Il worm cessa di funzionare se l’anno della data di sistema è uguale o superiore al 2004 "
Stando a questo, visto che dubito RED si diverta a tenere l'orologio ed il datario sballati :eek: , ne consegue che IL SUO non possa essere un worm e che quindi non sia da bloccare con firewall e varianti. :)
Probabilmente stiamo dicendo la stessa cosa senza capirci.
;)
P.S. Per non essere frainteso, quello che penso è questo:
Il file svchost.exe non è sempre infetto, ma solo se contagiato dal worm nachi.
Nel dettaglio, come da guida NOD:
"... Una volta eseguito, il worm compie le seguenti operazioni. In primo luogo copia se stesso nella cartella %System%\Wins usando il nome DLLHOST.EXE: la variabile %System% rappresenta il percorso della cartella di sistema di Windows configurata sul computer. Quindi copia il file
%System%\Dllcache\Tftpd.exe
come
%System%\Wins\svchost.exe "
Quindi nel tuo caso Re, ti sei preso il nachi.
Nel caso di RED non è infetto, perchè, se scansionato con antivirus non da segni di viralità.
Il fatto poi che comunichi con l'esterno non è indice di worm, poichè il processo comunica con l'esterno sempre, anche se pulito e appena installato il S/O, poichè come detto gestisce processi relativi alla navigazione, al browser, al download, ecc ...
RED sta parlando del processo ( e programma ) SVCHOST.EXE .
TU di che processo/eseguibile stai parlando quando dici che è infetto ?? :what:
Io ho il NOD 2.0 ( se hai lapossibilità aggiorna il tuo Nod32 che il 2.0 è una bomba !!! ) e a me il processo SVCHOST.EXE non è infetto.
Se esiste un file simile, tipo SCVHOST.EXE per intenderci, nel task manager allora è probabile sia un virus/worm. ( ma non è il caso di RED, stando a quello che ha scritto )
Inoltre se vedi QUI (http://www.nod32.it/pedia/n/nachi-a.htm) sul sito della NOD, a fine pagina dice:
".... Il worm cessa di funzionare se l’anno della data di sistema è uguale o superiore al 2004 "
Stando a questo, visto che dubito RED si diverta a tenere l'orologio ed il datario sballati :eek: , ne consegue che IL SUO non possa essere un worm e che quindi non sia da bloccare con firewall e varianti. :)
Probabilmente stiamo dicendo la stessa cosa senza capirci.
;)
P.S. Per non essere frainteso, quello che penso è questo:
Il file svchost.exe non è sempre infetto, ma solo se contagiato dal worm nachi.
Nel dettaglio, come da guida NOD:
"... Una volta eseguito, il worm compie le seguenti operazioni. In primo luogo copia se stesso nella cartella %System%\Wins usando il nome DLLHOST.EXE: la variabile %System% rappresenta il percorso della cartella di sistema di Windows configurata sul computer. Quindi copia il file
%System%\Dllcache\Tftpd.exe
come
%System%\Wins\svchost.exe "
Quindi nel tuo caso Re, ti sei preso il nachi.
Nel caso di RED non è infetto, perchè, se scansionato con antivirus non da segni di viralità.
Il fatto poi che comunichi con l'esterno non è indice di worm, poichè il processo comunica con l'esterno sempre, anche se pulito e appena installato il S/O, poichè come detto gestisce processi relativi alla navigazione, al browser, al download, ecc ...
Redvex
17-03-2004, 14:41
No no data in regola, quello che kiedevo io è come mai il sygate firewall pro mi da:
[181.1] Inbound DCE BIND to potentially vulnerable RPC DCOM interface attempt detected
E come file responsabile l'svchost
[181.1] Inbound DCE BIND to potentially vulnerable RPC DCOM interface attempt detected
E come file responsabile l'svchost
B/\rella
17-03-2004, 14:53
La butto lì ....
Problemi relativi all' RPC erano dovuti al Blaster.
Cosa succedeva .... per via di una falla di Win/Iexplore ti beccavi il blaster che ti spegneva il PC in 60 sec, con relativo countdown.
Poniamo che il tuo firewall te ne blocchi l'entrata ( l'svchost, come avrai capito, gestendo i processi relativi alla rete, ne è il mezzo .. ) ... a questo punto segnala l'applicazione incriminata.
Hai installato la patch antiBlaster ??
Oh, mi raccomando, non prendere alla lettera, la mie è una supposizione, visto che nell'errore c'è l'RPC di mezzo... :)
Problemi relativi all' RPC erano dovuti al Blaster.
Cosa succedeva .... per via di una falla di Win/Iexplore ti beccavi il blaster che ti spegneva il PC in 60 sec, con relativo countdown.
Poniamo che il tuo firewall te ne blocchi l'entrata ( l'svchost, come avrai capito, gestendo i processi relativi alla rete, ne è il mezzo .. ) ... a questo punto segnala l'applicazione incriminata.
Hai installato la patch antiBlaster ??
Oh, mi raccomando, non prendere alla lettera, la mie è una supposizione, visto che nell'errore c'è l'RPC di mezzo... :)
Redvex
17-03-2004, 15:08
Veramente sono stato tra i primi a beccarmi il blaster e l'ho tolto manualmente, ancora prima ke norton & co se ne accorgessero :) Non sono un pivello la mia era una domanda di informazione su cosa potesse essere :)
B/\rella
17-03-2004, 15:10
Originariamente inviato da Redvex
Veramente sono stato tra i primi a beccarmi il blaster e l'ho tolto manualmente, ancora prima ke norton & co se ne accorgessero :) Non sono un pivello la mia era una domanda di informazione su cosa potesse essere :)
Lungi da me affermare tu sia un pivello.
:)
Ho fatto un ipotesi per risponderti ed aiutarti al meglio.
Probabilemnte capisci qualcosa di più se ti spulci l'articolo Microsoft che ho linkato sopra.
Potresti trovare info in merito.
Ciao.
:fagiano:
Veramente sono stato tra i primi a beccarmi il blaster e l'ho tolto manualmente, ancora prima ke norton & co se ne accorgessero :) Non sono un pivello la mia era una domanda di informazione su cosa potesse essere :)
Lungi da me affermare tu sia un pivello.
:)
Ho fatto un ipotesi per risponderti ed aiutarti al meglio.
Probabilemnte capisci qualcosa di più se ti spulci l'articolo Microsoft che ho linkato sopra.
Potresti trovare info in merito.
Ciao.
:fagiano:
Re_Lizard
17-03-2004, 17:28
Originariamente inviato da B/\rella
Scusa Re...
RED sta parlando del processo ( e programma ) SVCHOST.EXE .
TU di che processo/eseguibile stai parlando quando dici che è infetto ?? :what:
Dello stesso che hai scritto tu :)
Non so se prima si è visto l'allegato, quindi lo ripropongo..perchè io ricevo ancora spesso molti attacchi, e ho il nod 2.0 ;)
http://dennis1979.interfree.it/Virus.gif
Scusa Re...
RED sta parlando del processo ( e programma ) SVCHOST.EXE .
TU di che processo/eseguibile stai parlando quando dici che è infetto ?? :what:
Dello stesso che hai scritto tu :)
Non so se prima si è visto l'allegato, quindi lo ripropongo..perchè io ricevo ancora spesso molti attacchi, e ho il nod 2.0 ;)
http://dennis1979.interfree.it/Virus.gif
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.