Level 3 Communications

[Scantato]

Salve, sono nuovo del forum e vi scrivo per sottoporvi un problema.

Da un paio di giorni noto parecchia attività della mia connessione internet (uso un collegamento Dial-up, non essendo la mia zona ancora coperta da ADSL).

Con il comando netstat/na ho scoperto che il motivo di tale attività è dovuto ad un traffico "insolito" verso gli IP di Level 3 Communication, attraverso il "Generic Host Process fo Win 32 Services".

Non mi era mai capitato prima, e premetto che uso un firewall, un antivirus sempre aggiornato e un antidialer.

Qualcuno ha idea di cosa si tratti?

Grazie

[xcdegasp]

io direi di seguire la procedura descritta in Guida alla Dsinfezione epr Infetti pubblicando tutti i log richiesti usando uno dei sistemi consentiti dalle Regole di Sezione, è preferibile usare il sistema di upload sul server "fileup" e di riportare qui il link al download con magari sèpecificato il nome del log che si cela dietro tale url

grazie per la collaborazione

[Scantato]

Forse avrei dovuto fornire qualche altro elemento.

Ho già fatto una scansione approfondita con NOD32===> Tutto OK
Ho controllato con HiJackThis, sottoponendo a controllo il log===> Tutto OK
Ho controllato eventuali servizi attivi nascosti ===> Tutto ok

Insomma non sembra esserci nessuna infezione, e l'analisi fatta con ADSR di Eset mi ha fornito solo una lista di file innocui di mia produzione (pdf, doc, png ecc).

Tutto sommato sono abbastanza preparato sull'argomento, ecco perchè ho chiesto un parere a qualcuno più esperto di me, visto che il traffico verso Level 3 Communication avviene tramite un processo lecito di Windows (Generic Host for....).

[Nuz]

Visto che sei in dial-up hai fatto una scansione con FindAWF?
E una scansione con PrevxCSI e Gmer?

[Scantato]

Quote:

Originariamente inviato da Nuz

Visto che sei in dial-up hai fatto una scansione con FindAWF?
E una scansione con PrevxCSI e Gmer?

Ho fatto le scansioni con FindAWF e Gmer (ho preferito soprassedere al download di PrevxCSI per via delle dimensioni del file di installazione -circa 14MB- , e con una connessione Dial-Up avrei impiegato troppo tempo).

Comunque, il report di entrambi è qui, sembra pulito.

[Nuz]

PrevxCSI è 1.40 MB.
Il log è solo quello di gmer, però se FindAWF non segnala file duplicati allora non serve il log.
Efettua una scansione con Combofix ed allega il log.

[Scantato]

Quote:

Originariamente inviato da Nuz

PrevxCSI è 1.40 MB.
Il log è solo quello di gmer, però se FindAWF non segnala file duplicati allora non serve il log.
Efettua una scansione con Combofix ed allega il log.

Appena ho lanciato Combofix mi è apparsa la finestra sottostante. Ho cliccato su annulla.

E' sicuro?

[Nuz]

Si, è un tool per la sicurezza. Che poi qualche software lo veda come pericoloso è normale.

Per disinstallarlo:

http://www.hwupgrade.it/forum/showpo...7&postcount=24

[ania]

Quote:

Originariamente inviato da Scantato

Da un paio di giorni noto parecchia attività della mia connessione internet (uso un collegamento Dial-up, non essendo la mia zona ancora coperta da ADSL).

Con il comando netstat/na ho scoperto che il motivo di tale attività è dovuto ad un traffico "insolito" verso gli IP di Level 3 Communication, attraverso il "Generic Host Process fo Win 32 Services".

Ho notato anche io tentativi di connessione del processo svchost.exe, ( il cui parent è services.exe) , ad IP che fanno capo a Level 3 Communication.

La cosa accade anche nel momento in cui provo a verificare se ci sono aggiornamenti di windows da scaricare (alludo alle patchs di sicurezza di windows, tramite windows update) , cioè, se voglio verificare che il S.O. sia aggiornato alle ultime patchs, mi compare il pop up del firewall che mi comunica il tentativo di svchost.exe ( il parent è services.exe) di accadere ad un IP che fa sempre riferimento a Level 3 Communication, se nego il consenso, non posso verificare lo stato di aggiornamento del sistema, nè scaricare alcuna patch ovviamente, ( anche perchè non mi fa nemmeno vedere se e quale patch manca) .

Quindi, la mia domanda/dubbio è :
svchost.exe ha qualcosa a che vedere -nel caso del collegamento a windows update- per la verifica dell'aggiornamento del S.O. e per il download delle patchs di sicurezza, con gli IP di Level 3 Communication ?


Grazie a chi risponderà.


Ania.

da qui sembrerebbe tutto normale
http://en.wikipedia.org/wiki/Level_3
http://www.level3.com/about_us/index.html

[ania]

Quote:

Originariamente inviato da ShoShen

da qui sembrerebbe tutto normale
http://en.wikipedia.org/wiki/Level_3
http://www.level3.com/about_us/index.html

Sigh...sarà che l'inglese non è la mia lingua preferita, ma ancora non mi è chiaro il motivo di questi tentativi di connessione di svchost.exe agli IP di Level 3 Communications.

Ania.

su wikipedia viene descritta come: (tradotto da google)
"una delle più grandi reti dorsali di qualsiasi fornitore di servizi Internet."

oppure per ricollegarci a quello che chiedeva l'utente all'apertura del topic (che aveva una connessione dial-up)

level 3 è uno dei maggiori fornitori all'ingrosso di dial-up ISP con servizio in Nord America ed è il principale fornitore di connettività Internet per milioni di abbonati alla banda larga...usata dai 10 principali vettori europei di telecomunicazioni.

ipotizzavo....è possibile che faccia da tramite per richieste via internet? (magari sbaglio è solo un ipotesi)

[ania]

Quote:

Originariamente inviato da ShoShen

su wikipedia viene descritta come: (tradotto da google)
"una delle più grandi reti dorsali di qualsiasi fornitore di servizi Internet."

oppure per ricollegarci a quello che chiedeva l'utente all'apertura del topic (che aveva una connessione dial-up)

level 3 è uno dei maggiori fornitori all'ingrosso di dial-up ISP con servizio in Nord America ed è il principale fornitore di connettività Internet per milioni di abbonati alla banda larga...usata dai 10 principali vettori europei di telecomunicazioni.

nel mio caso la connessione è una ADSL, immagino che intendano ciò con "banda larga".

Quote:

Originariamente inviato da ShoShen

ipotizzavo....è possibile che faccia da tramite per richieste via internet? (magari sbaglio è solo un ipotesi)

Guarda, solitamente bloccavo svchost.exe a meno ché non cercasse di connettersi agli IP di Microsoft, ma quello che mi ha stupito è stato che l'osservare che se volevo verificare la disponibilità di aggiornamenti di patchs di windows, svchost.exe non chiedeva di connettersi agli IP di M$ , bensì a quelli di Level 3 Communications.


Ania.