File sospetto e dimensione elevata processi svchost

[Rossi88]

Quote:

Originariamente inviato da Chill-Out

Mi spieghi cortesemente da dove hai tirato fuori il SP2 di Vista?

Effettivamente nel log di Hijackthis c'è Vista SP2, lavori alla Microsoft Star trek?

Comunque ho provato quel programma CurrPorts ed effettivamente i vari file svchost ed altri di sistema sono in ascolto su porte molto alte, 40000 e passa tuttavia ho controllato i log del router, (faccio i log sia wan to lan che viceversa) e nel mio caso

1) negli ultimi minuti non c'è alcuna connessione in entrata
2) le porte sugli indirizzi di destinazione sono le classiche e sicure 53, 80 e 137

Consiglio a star trek di verificare le porte in uscite utilizzando il router se ne è in possesso e registra i log delle connessioni

[Star trek]

Quote:

Originariamente inviato da Chill-Out

Mi spieghi cortesemente da dove hai tirato fuori il SP2 di Vista?

Ovviamente è una integrazione.Perchè?

[Chill-Out]

Quote:

Originariamente inviato da Star trek

Ovviamente è una integrazione.Perchè?

Perchè non è stato ancora rilasciato, o sbaglio?

[Star trek]

Quote:

Originariamente inviato da Chill-Out

Perchè non è stato ancora rilasciato, o sbaglio?

A parte che c'è il modo di fargli scrivere anche Windows 95.

Cmq mi è stato passato il file....e io l'ho integrata...forse è la RC.Non saprei.Di certo la vede istallata.

Anzi ti dirò di più.Stamattina ho fatto anche degli aggiornamenti con Windows Update.

[Chill-Out]

Quote:

Originariamente inviato da Star trek

A parte che c'è il modo di fargli scrivere anche Windows 95.

Cmq mi è stato passato il file....e io l'ho integrata...forse è la RC.Non saprei.Di certo la vede istallata.

A parte il fatto che non è legale, pertanto non può essere prestata assistenza, certo che comprenderai la motivazione, ti invito alla lettura del Regolamento

Quote:

1.1 - Comportamento
Non sono consentite:
a) Discussioni riguardanti pornografia, pirateria (niente crack, serials, warez o qualsiasi richiesta tecnica di natura illecita - in particolare quelle su radio, televisione, satelliti e telefonia -) e pubblicità di alcun tipo, oltre a qualsiasi attivita' illecita ai sensi delle vigenti leggi italiane.

[Star trek]

Quote:

Originariamente inviato da Chill-Out

A parte il fatto che non è legale, pertanto non può essere prestata assistenza, certo che comprenderai la motivazione, ti invito alla lettura del Regolamento

Va bene Chill comprendo.Cmq io la licenza di Windows Vista ce l'ho e vivo sereno cmq.

[Chill-Out]

Quote:

Originariamente inviato da Star trek

vivo sereno cmq.

Questo a prescindere da tutto

[Rossi88]

Comunque in Seven la somma del Working set di tutti i file svchost dopo più di un'ora di utilizzo era di 140MB, mentre in Vista dopo aver atteso la fine del processo di cache (quindi memoria libera qualche decina di MB), la stessa somma era di 310MB, una bella differenza

Se qualcuno ha voglia può postare i suoi dati sull'occupazione totale di memoria (utilizzando la colonna working set) di tutti i file svchost.

[Chill-Out]

Quote:

Originariamente inviato da Rossi88

Comunque in Seven la somma del Working set di tutti i file svchost dopo più di un'ora di utilizzo era di 140MB, mentre in Vista dopo aver atteso la fine del processo di cache (quindi memoria libera qualche decina di MB), la stessa somma era di 310MB, una bella differenza

Se qualcuno ha voglia può postare i suoi dati sull'occupazione totale di memoria (utilizzando la colonna working set) di tutti i file svchost.

La Sezione è dedicata solo ed esclusivamente alla rimozione di eventuali virus, per quanto concerne altre problematiche è opportuno utilizzare la Sezione dedicata http://www.hwupgrade.it/forum/forumdisplay.php?f=127

Grazie

[Rossi88]

Quote:

Originariamente inviato da Chill-Out

La Sezione è dedicata solo ed esclusivamente alla rimozione di eventuali virus, per quanto concerne altre problematiche è opportuno utilizzare la Sezione dedicata http://www.hwupgrade.it/forum/forumdisplay.php?f=127

Grazie

ok, nel caso aprirò un thread in quella sezione

[bozzato]

Dicevo di virustotal e virscan...lo segnalano come una backdoor quel file...cioè permette ad altri di entrare nel tuo pc...

-.-'

[Rossi88]

Quote:

Originariamente inviato da bozzato

Dicevo di virustotal e virscan...lo segnalano come una backdoor quel file...cioè permette ad altri di entrare nel tuo pc...

-.-'

su virustotal è segnalato come High Risk Cloaked Malware solo da Prevx

mentre su virscan il link è sbagliato, infatti se noti il file a cui fa riferimento quella pagina (oltre a cambiare con il passare del tempo) è diverso dal file 30561.sys

[Chill-Out]

Quote:

Originariamente inviato da bozzato

Dicevo di virustotal e virscan...lo segnalano come una backdoor quel file...cioè permette ad altri di entrare nel tuo pc...

-.-'

http://www.virustotal.com/it/analisi...58be1e0ae1e5ed

il link a Virscan è errato, fa riferimento ad un altro file

[Star trek]

situazione simile su http://www.hwupgrade.it/forum/showthread.php?p=27476174

[Chill-Out]

Quote:

Originariamente inviato da Star trek

situazione simile su http://www.hwupgrade.it/forum/showthread.php?p=27476174

In quel caso si tratta di Conficker

[Star trek]

Non è cmq il mio caso...Ho provato la versione con SP1 su CD e non mi sembra avere lo stesso problema....O è una configurazione che ha SP2 oppure è davvero un VR ma mi sembra strano poiché non si sono i presupposti per ritenere che il VR sia stato occultato nell'istallazione data la provenienza dei dati.Rossi però sembra aver visto anche lui delle porte alte aperte.

Quote:

Originariamente inviato da Rossi88

Comunque ho provato quel programma CurrPorts ed effettivamente i vari file svchost ed altri di sistema sono in ascolto su porte molto alte, 40000 e passa tuttavia ho controllato i log del router, (faccio i log sia wan to lan che viceversa) e nel mio caso

1) negli ultimi minuti non c'è alcuna connessione in entrata
2) le porte sugli indirizzi di destinazione sono le classiche e sicure 53, 80 e 137

Anche a me non vi è traffico ma le porte sono in ascolto su gli Ip locali o LAN tipo 192.168.xxx.xxx oppure 127.0.0.1.

Non vorrei che fosse la conseguenza di un aggiornamento post SP1 .Il controllo che ho fatto io è su Vista SP1 senza ulteriori aggiornamenti.

[Star trek]

Prevx da i numeri. Ho cancellato il file che lui dava per infetto.....e me lo rileva ancora in cartella.Subito pensavo si fosse auto replicato...poi vado a vedere...e non c'è in nessun modo....

Cmq per ora ho chiuso il range di porte alte che non conosco.A meno che non impari a cambiare porta....mi sa che buono buono...