Insistenti connessioni di svchost

[sh4rk_89]

Ciao a tutti,
ho un dubbio riguardo le continue connessioni di svchost (e non è il virus..).
Come firewall uso Comodo che mi segnala costantemente il tentativo di svchost di accedere (con delle connessioni UDP in uscita dalla porta 58874 su una porta a caso) a degli indirizzi IP sconosciuti per lo più stranieri (qualcuno italiano, di tele 2 per la precisione...lo so perché anch'io uso Tele 2).
Ho provato ad aprirli con firefox (e quindi a stabilire una connessione in uscita sulla porta 80) e 1 di essi (quello di tele 2 tanto per intenderci) ha risposto con un form di login (la pagina di accesso di un router)...questo lascia pensare che non sia un server, bensì il computer di una persona normale..
Aggiungo intoltre che uno di essi ha scambiato 17 MB di traffico col mio computer...mi devo preoccupare?
Al momento ho un problema con wireshark e non potrei controllare più a fondo la situazione..in attesa di risolverlo sarei grato a chiunque mi aiutasse a fare luce sulla situazione.

Saluti,
Marco

[xcdegasp]

magari stavi usando un fosftware p2p che per loro natura nella gestione delle fonti fanno uso di ping che appunto transitano attraverso il servizio svchost e chiamano la porta remota aperta del client da raggiungere

certo che abilitare la login al router da remoto non è che sia una gran cosa, contento lui contenti tutti...

[sh4rk_89]

La faccia del ping 17 MB...dev'essere un ping intensivo...
Vabbè, l'ipotesi del ping credo sia da escludere almeno per 2 motivi... la connessione viene identificata come "UDP OUT"..se fosse un PING mi direbbe "Echo request", no?
Del resto su eMule/uTorrent non ci sono connessioni da/verso quegli indirizzi...

Bhè, in effetti una persona che abilità la gestione remota del router sulla porta 80 deve avere delle esigenze moolto particolari..almeno aveva cambiato la password di default

[xcdegasp]

Quote:

Originariamente inviato da sh4rk_89

La faccia del ping 17 MB...dev'essere un ping intensivo...
Vabbè, l'ipotesi del ping credo sia da escludere almeno per 2 motivi... la connessione viene identificata come "UDP OUT"..se fosse un PING mi direbbe "Echo request", no?
Del resto su eMule/uTorrent non ci sono connessioni da/verso quegli indirizzi...

Bhè, in effetti una persona che abilità la gestione remota del router sulla porta 80 deve avere delle esigenze moolto particolari..almeno aveva cambiato la password di default

non credo esistano esigenze per aprire il pannello del router da remoto
credo più un deficit di cultura informatica

i ping dovrebbe identificarli come ICMP

non ci sono in emule/torrente quelle comunicazioni perchè appunto sono bloccate da ZA.
17mb è un comunissimo log generato da regole sbagliate che bloccano più del dovuto.

magari aggiungiaoci pure che hai aperto le connessioni parziali tramite patch e abbiamo il quadretto completo

[sh4rk_89]

Quote:

Originariamente inviato da xcdegasp

non credo esistano esigenze per aprire il pannello del router da remoto
credo più un deficit di cultura informatica

Bhè magari doveva farsi aiutare da qualcuno a configurare il router, ma non è questo il punto!!

Quote:

Originariamente inviato da xcdegasp

i ping dovrebbe identificarli come ICMP

Nah, ho controllato...non è né "Echo request" né ICMP...la soluzione è: NULLA...i ping non compaiono proprio...

Quote:

Originariamente inviato da xcdegasp

non ci sono in emule/torrente quelle comunicazioni perchè appunto sono bloccate da ZA.

Se una connessione viene bloccata non compare proprio nella finestra principale di comodo...semmai nei log con una X rossa vicino..(in ogni caso, come detto prima, uso Comodo, non Zone alarm).

Quote:

Originariamente inviato da xcdegasp

17mb è un comunissimo log generato da regole sbagliate che bloccano più del dovuto.

Non ti seguo...in ogni caso il problema non sta nelle mie regole, sta in Svchost...voglio capire cosa scambia!!

Quote:

Originariamente inviato da xcdegasp

magari aggiungiaoci pure che hai aperto le connessioni parziali tramite patch e abbiamo il quadretto completo

No, non l'ho installata...a dire la verità pensavo che non esistesse per Vista..

[gabryflash]

avevi skype aperto per caso???

[xcdegasp]

in passato però dovresti aver accosentito ad un programma/servizio di scambiare dati con svchost non ricordi nulla in merito?
in caso di no rimane una sola soluzione:
ESET SysInspector -> Download
doppio click su SysInspector per lanciare il tool - scorri in basso SysInspector - EULA e clicca su I Agree ed attendi pazientemente che SysInspector esegua l'analisi al termine si aprirà l'interfaccia del programma, a questo punto non devi fare altro che cliccare su File - Save Log (per praticità salvalo sul DeskTop) clicca su Yes - Nome file: lascia quello che propone in automatico - Salva come: nel menu a tendina seleziona la prima opzione ovvero Eset SysInspector log (.xml)

[sh4rk_89]

Quote:

Originariamente inviato da gabryflash

avevi skype aperto per caso???

Mai usato skype..

Quote:

in passato però dovresti aver accosentito ad un programma/servizio di scambiare dati con svchost non ricordi nulla in merito?
in caso di no rimane una sola soluzione:
ESET SysInspector -> Download
doppio click su SysInspector per lanciare il tool - scorri in basso SysInspector - EULA e clicca su I Agree ed attendi pazientemente che SysInspector esegua l'analisi al termine si aprirà l'interfaccia del programma, a questo punto non devi fare altro che cliccare su File - Save Log (per praticità salvalo sul DeskTop) clicca su Yes - Nome file: lascia quello che propone in automatico - Salva come: nel menu a tendina seleziona la prima opzione ovvero Eset SysInspector log (.xml)

Credo che tu stia facendo un po' di confusione...
Il firewall di Comodo (così come altri fw) non mi permette di consentire ad un programma di scambiare dati con svchost, al massimo mi consente di impostare le modalità con cui svchost può scambiare dati con internet. C'è un componente di Comodo (Defense+) che potrebbe permettermi di monitorare un comportamento di questo tipo (un programma che cerca di interfacciarsi ad un altro) tuttavia ha un comportamento predefinito per tutti i componenti di windows (svchost, winlogon ecc.) e quindi non richiede un "intervento umano" se si tratta dei suddetti programmi, altrimenti sai che palle dover consentire a tutti i programmi di windows di fare quel che vogliono? Già è fastidioso così com'è...
Ad ogni modo proverò il programma che mi hai consigliato, grazie.

[@Sirio@]

Quote:

Originariamente inviato da sh4rk_89

Ciao a tutti,
ho un dubbio riguardo le continue connessioni di svchost (e non è il virus..).
Come firewall uso Comodo che mi segnala costantemente il tentativo di svchost di accedere (con delle connessioni UDP in uscita dalla porta 58874 su una porta a caso) a degli indirizzi IP sconosciuti per lo più stranieri (qualcuno italiano, di tele 2 per la precisione...lo so perché anch'io uso Tele 2).
Ho provato ad aprirli con firefox (e quindi a stabilire una connessione in uscita sulla porta 80) e 1 di essi (quello di tele 2 tanto per intenderci) ha risposto con un form di login (la pagina di accesso di un router)...questo lascia pensare che non sia un server, bensì il computer di una persona normale..
Aggiungo intoltre che uno di essi ha scambiato 17 MB di traffico col mio computer...mi devo preoccupare?
Al momento ho un problema con wireshark e non potrei controllare più a fondo la situazione..in attesa di risolverlo sarei grato a chiunque mi aiutasse a fare luce sulla situazione.

Saluti,
Marco

Ciao Marco,
non so da cosa potrebbe dipendere la richiesta, però a priori negherei tutte le connessioni di svchost da, e verso IP sconosciuti... poi, 17 MB di traffico "che se saranno detti"

[xcdegasp]

Quote:

Originariamente inviato da sh4rk_89

Credo che tu stia facendo un po' di confusione...
Il firewall di Comodo (così come altri fw) non mi permette di consentire ad un programma di scambiare dati con svchost, al massimo mi consente di impostare le modalità con cui svchost può scambiare dati con internet. C'è un componente di Comodo (Defense+) che potrebbe permettermi di monitorare un comportamento di questo tipo (un programma che cerca di interfacciarsi ad un altro) tuttavia ha un comportamento predefinito per tutti i componenti di windows (svchost, winlogon ecc.) e quindi non richiede un "intervento umano" se si tratta dei suddetti programmi, altrimenti sai che palle dover consentire a tutti i programmi di windows di fare quel che vogliono? Già è fastidioso così com'è...
Ad ogni modo proverò il programma che mi hai consigliato, grazie.

svchost è il servizio della connessione internet e dei dns se li hai impostati in locale.. ma quello a cui mi riferivo è che se fosse un infezxione ad aver mutato il file svchost.exe (ostituendolo con copia contraffatta o iniettandoci codice malevolo) questo lo avresti notato da pop-up di comodo-firewall a cui avresti potuto rispondere yes.

eset sysinspector bella scansione fotografa il tuo pc, se provi a guardare i risultati potresti già farti un idea, se non sai cosa guardare e come guardare e lo vedi come un ammasso di cose inutili allora è il caso che lo pubblichi così possiamo dirti s c'è qualcosa di anomalo.
più di questo non possiamo fare nulla non possedendo la sfera di cristallo

[sh4rk_89]

Quote:

Originariamente inviato da @Sirio@

Ciao Marco,
non so da cosa potrebbe dipendere la richiesta, però a priori negherei tutte le connessioni di svchost da, e verso IP sconosciuti... poi, 17 MB di traffico "che se saranno detti"

come faccio a bloccarlo visto che è un componente fondamentale di windows?

[@Sirio@]

Quote:

Originariamente inviato da sh4rk_89

come faccio a bloccarlo visto che è un componente fondamentale di windows?

Ma io non ti ho detto di bloccarlo, ti ho suggerito di bloccare solo le connessioni con gli IP sconosciuti.

[sh4rk_89]

Quote:

Originariamente inviato da @Sirio@

Ma io non ti ho detto di bloccarlo, ti ho suggerito di bloccare solo le connessioni con gli IP sconosciuti.

Detto in altre parole, impedirgli l'accesso ad internet...

[gabryflash]

Quote:

Originariamente inviato da sh4rk_89

Mai usato skype..

bersaglio mancato ma avevo pensato che siccome spesso chi ha una banda adsl dui qualità ed usa skype funge da nodo di supporto a chi a meno banda ..facendo 2 (svocht è servizio di connessione internet) + 2 (continue connessioni internet) che magari potevi essere un nodfo inconsapevole ...

[riazzituoi]

.

[@Sirio@]

Quote:

Originariamente inviato da sh4rk_89

Detto in altre parole, impedirgli l'accesso ad internet...

Per essere sicuri non sarebbe una cattiva idea imo..

Purtroppo, come sappiamo svchost.exe ha bisogno di connettersi ad internet, per esempio quando si aggiorna il SO, però gli IP di Microsoft sono conosciuti e poi in questo caso sai che le connessioni che ti chiede, sono relative agli aggiornamenti, quindi li puoi consentire. (Tralasciando che l'applicazione chiede la connessione verso gli IP Microsoft anche quando winupdate è disattivato... ma questa è un'altra cosa.)
Il discorso è sicuramente complesso... detto in due parole, imo dovresti consentire le connessioni interne, local network (127.0.0.1 - 127.255.255.255) e la tua LAN, poi DHCP su porta 67 e 68, verso i DNS su porta 53 (primario e alternativo), se servono anche i server WINS su porta 137 come anche UPnP su porta 1900, ahh, anche su porta 123 verso Microsoft per la sicronizzazione dell'orologio... per il resto, in questo momento non mi vengono in mente altre connessioni di cui puoi avere bisogno, ergo, le altre richieste le puoi benissimo negare, almeno in un primo momento, finché non hai capito di cosa si tratta.
Tutto questo IMHO naturalmente, anche perché non sono un esperto, però è un pò di tempo che cerco di capire le misteriose connessioni di svchost, e per la mia esperienza ho notato che facendo così non ho problemi.

Spero di esserti stato d'aiuto.
Saluti.

[xcdegasp]

Quote:

(127.0.0.1 - 127.255.255.255)

127.0.0.1 identifica il proprio pc localmente ma i pc della lan hanno ben altri ip

[@Sirio@]

Quote:

Originariamente inviato da xcdegasp

127.0.0.1 identifica il proprio pc localmente ma i pc della lan hanno ben altri ip

Si degasp, questo lo so, infatti ho scritto: "e la tua LAN". Come per dire: "+ la tua LAN".

In effetti, non si capisce bene, per local network intendo la loopback zone e non la Local Area Network.

Ciao

[xcdegasp]

Quote:

Originariamente inviato da @Sirio@

Si degasp, questo lo so, infatti ho scritto: "e la tua LAN". Come per dire: "+ la tua LAN".

In effetti, non si capisce bene, per local network intendo la loopback zone e non la Local Area Network.

Ciao

intebdevo dire che è sbagliato il contenuto di quella parentesi tonda

[@Sirio@]

Quote:

Originariamente inviato da xcdegasp

intebdevo dire che è sbagliato il contenuto di quella parentesi tonda

Non credo. Perché dici che è sbagliato?