Outpost 3.0 - Svchost (UDP connection)

[fandangood]

Mentre sto navigando con MS Explorer svchost.exe richiede connessioni costanti in uscita tramite il protocollo UDP verso 2 indirizzi IP fissi: 193.70.192.25 e 193.70.152.25.
che corrispondono a:
inetnum: 193.70.192.0 - 193.70.195.255
netname: WIND-INFRASTRUCTURE-NET-0
descr: Wind Infrastructure
country: IT
inetnum: 193.70.128.0 - 193.70.255.255
netname: IT-INFOSTRADA-193-70
descr: INFOSTRADA
country: IT
Bloccando tramite una regola selettiva la connessione in uscita per svchost.exe verso questi due IP non è poi possibile navigare su Internet (impossibile visualizzare la pagina).

Mi devo preoccupare secondo voi se lascio il permesso in uscita? Consigli?

Grazie.

[Ciaba]

...il discorso sul svchost è molto complesso...perché nn essendo un programma(nel senso canonico del temine), ma un veicolo di servizi diviene difficile(ma nn impossibile), agire con precisione su di lui riguardo alle connessioni in entrata e uscita. Svchost è utilizzato principalmente da datagrams in uscita, connessioni in entrata su porte specifiche e da MSUpdate. Quindi ti serve sapere bene il tipo di flusso dei dati richiesti e le porte che tenta di utilizzare...dipende se Outpost può fare queste distinzioni...e dipende anche da quanti svchost hai attivi nel TaskManager...meno ce ne sono e meno richieste ci saranno. Sulla mia macchina i svchost sono 3 e a nessuno è permesso l'accesso in rete...solo quando controllo manualmente se ci sono aggionamenti per Win do il via libera a tale processo sulle porte remote 53(datagrams), 80 e 443 in uscita.
Per sapere a cosa si riferiscono quei precisi svchost scaricati il programma ProcessExplorer...in ogni caso nn servono svchost per accedere alla rete, con nessun browser(a IE e FF servono solo la porta remota 80 in outboud connections a volte la 443 e la 21...il resto è da murare...se ovviamente nn hai esigenze particolari diverse).

[fandangood]

Come da te consigliato ho installato Process Explorer. Purtroppo non riesco ad interpretare e a capire se un processo dipendente da svchost è essenziale o al contrario posso fermarlo.
Queste sono le linee di comando che caricano i vari servizi per svchost

1) C:\WINDOWS\system32\svchost -k DcomLaunch
2) C:\WINDOWS\system32\svchost -k rpcss
3) C:\WINDOWS\System32\svchost.exe -k netsvcs
4) C:\WINDOWS\system32\svchost.exe -k NetworkService
5) C:\WINDOWS\system32\svchost.exe -k LocalService

In allegato ho inserito i rispettivi servizi che richiama ciascun comando.
Puoi dare un'occhiata se è tutto ok o noti qualcosa di anomalo?

Grazie ancora.

[fandangood]

Questi i due ultimi allegati (4 e 5)

[Ciaba]

...molti di quesi servizi li puoi eliminare(se nn usi le funzioni ad essi collegate), ti linko un paio di indirizzi sul setting dei servizi...Logicamente è solo un'indicazione perché ogni utente ha esigenze diverse sulla propia macchina in base all'utilizzo che fa del Pc...ma si può togliere diversa roba...una su tutte la segnalazione errori

Ma prima...
http://www.ilsoftware.it/articoli.asp?ID=2159
giusto per nn fare casini

ora i link...
http://www.ilsoftware.it/articoli.asp?ID=2264&pag=2
...ma soprattutto l'ottimo...
http://www.theeldergeek.com/services_guide.htm

p.s. stai attento che ProcessExplorer indica il nome del processo(.exe) e non il nome "nominale"...Purtroppo i traduttori italiani credendo di fare forse cosa gradita hanno avuto la "brillantissima" idea di tradurre la parte nominale dei servizi...e hanno fatto un bel casino!! Li avessero lasciati in inglese(tanto il 70% degli utenti nn andrà mai a spelluzzicare nei servizi), sarebbe stato meglio dato che le guide più avanzate(e fatte ad arte), per i services sono proprio in inglese.

[fandangood]

Ottimi riferimenti... grazie e Auguri di Buone Feste