ciao

è possibile che ho in esecuzione ben 5 svchost.exe! :eek:
di
3750 kb SYSTEM
18028 kb SYSTEM
2468 kb SERV. LOC DI RETE
4460 kb SERV. LOCALE
3388 kb SYSTEM

e quando sono connesso senza fare nulla avviene comunque trasferimento di dati!
il firewall filtra tutto logicamente perche altrimenti non potrei avere interscambio di dati quidi c'è libero accesso a Generic Host Process for Win32 Services.
Ho gia provveduto a disabilitare le farie funzioni di Win come aggiornamenti ora, stampanti, che potrebbero generare traffico.

Facendo uno scan delle porte con port explorer scopro che
alcuni di questi svchost sono collegati alla porta 53 ad uno stesso specifico indirizzo IP e hanno interscambio di dati con destinazione. italy.

Come faccio a scoprire se "qualcosa" sta utilizzando svchost per accedere lìalla mia macchina?

Ho provato a terminare uno a uno i vari svchost, è ho riscontrato che 4 di questi si autoriavviano subito andando anche a ridurre senzibilmente le risorse di memoria utilizzate, mentre 1 di questi una volta terminato, quello di 3750 kb SYSTEM fa partire la finestrella simpatica dell'Autority System, che in 30 secondi comporta il riavvio del computer!

che ne pensate? è normale o cosa?

un'altra cosa...

Con il comanda Tasklist /SVC del propt dei comandi ho la lista dei seguenti servizi di svchost:



Nome immagine PID Servizi
========================= ====== =============================================

SVCHOST.EXE 732 RpcSs
SVCHOST.EXE 780 AudioSrv, Browser, CryptSvc, Dhcp, dmserver,
ERSvc, EventSystem,
FastUserSwitchingCompatibility, helpsvc,
lanmanserver, lanmanworkstation, Messenger,
Netman, Nla, RasMan, Schedule, seclogon,
SENS, ShellHWDetection, TapiSrv,
TermService, Themes, TrkWks, uploadmgr,
W32Time, winmgmt, WmdmPmSp, wuauserv
SVCHOST.EXE 852 Dnscache
SVCHOST.EXE 876 Alerter, LmHosts, RemoteRegistry,

SVCHOST.EXE 1348 stisvc

Cè qualcosa di sospetto? cosè RpcSs e stisvc nell'ultimo?

potrebbe essere tutto normale...
devi solo sincerarti di cosa sia quella connessione

prima di tutto usa
il comando
tasklist /svc

per controllare il contenuto di quei svchost

ad occhio vedo tutti servizi legittimi


sei in lan?

no sono in adsl

provo a verificare tutti i singoli servizi!
Volevo sapere da te se è Normale che terminando svchost mi è partito il discorso dell'aUTORITY sYSTEM CHE MI HA RIAVVIATO IL PC?

Originariamente inviato da sbrizzolo
provo a verificare tutti i singoli servizi!
Volevo sapere da te se è Normale che terminando svchost mi è partito il discorso dell'aUTORITY sYSTEM CHE MI HA RIAVVIATO IL PC?
si mi sà che è normale perchè ho terminato svchost che gestisce il servizio Rpc (Remote protection Calling),
qualcuno può confermare ciò per favore?

Originariamente inviato da sbrizzolo
si mi sà che è normale perchè ho terminato svchost che gestisce il servizio Rpc (Remote protection Calling),
qualcuno può confermare ciò per favore?

sì è normale.

sì è normale perchè i servizi ritenuti fondamentali sono settati per riavviare la macchina (ad errore e non funzionamento)



devi tentare di isolare quella net activity ... per il resto i servizi sono a posto...

Originariamente inviato da netquik
sì è normale perchè i servizi ritenuti fondamentali sono settati per riavviare la macchina (ad errore e non funzionamento)



devi tentare di isolare quella net activity ... per il resto i servizi sono a posto...
come faccio ad eliminarla? e ancor prima a capire a che serve quella net attivity, non vorrei che fosse un discorso di collegamento adsl?

prova a vedere se tramite il firewall riesci a trvare più informazioni su questi movimenti di rete...

ok, ho individuato qual'è dei 5 il processo svchost.exe che crea movimonto di rete:
è quello che gestiste l'unico servizio " Dnscache" (quello con PID 852 nel post sopra)

Ora provo a informarmi sulle funzioni di quel servizio, ma se nel frattempo qualcuno sa dirmi qualcosa, il perche questo processo ogni volta che mi collego a internet si logga con due indirizzi IP predefiniti, sempre gli stessi, senza che io neppure apra internet explorer (che cmq andrebbe ad utilizzare un altro processo), senza comandare nessun trasferimento di dati insomma!

Un'altra cosa curiosa! se provo a fare un trace route su questi indirizzi, uno melo completa dicendomi che dista solo 2 hops, mentre l'altro indirizzo al settimo hops si interrompe e va in Time Out, non riuscendo quindi a fare il trace route, cosa davvero stana!!! quindi sembra un pò sospetto che dite?

....

...

.

up

forse ci sono, anzi diciamo che mi sono risposto da solo !:D
vabbè magari queste info saranno utili per qualcun altro..

comunque... dnscache è un servizio di windows dal 2000 in su chiamato Domain Name System che gestisce le caching feature !

siccome a me non me ne può fregar de meno di avere un serve DNS sul mio pc(i famosi due indirizzi che mi venivano associati), posso tranquillamente disabilitarlo per una sola sessione con il comando in CMD:

net stop dnscache

infatti v
facendo ciò scompaiono le famose net attivity che avevo prima! Sul sito della Microsoft dice anche che comunque sarebbe meglio tenere questo servizio così i DNS vengono gestiti in locale e non tramite "servers DNS di rete", velocizzando quindi le operazioni e diminuendo il traffico DNS in quanto gli indirizzi Dns verrebbero registrati in una cache residente in locale !
Lo disattivo e verificherò di persona se è meglio o peggio!

Per disattivarlo permanentemente invece la procedura è un po più lunga, ma evita che ad ogni riavvio del pc il servizio venga riattivato!

sc delete dnscache


per riattivarlo in futuro se servirà


sc create dnscache




Se qualcuno può darmi qualche imput in più su dnscache...posti pure

quel servizio a quanto ne so comunque serve per cachare tutti i dns....


quindi dovrebbe servire... se lo disattivi... forse funzionerà da remoto...


mmm...

ma il file hosts hai modificato per caso?

scusa io non ti ho risposto perchè non mi arrivavano le notifiche

butto un occhio a questa discussione.. il problema senbra uguale

http://forum.tweakness.net/index.php?showtopic=74