Domanda su svchost

Redvex · 16-03-2004, 11:06

Ho Sygate firewall installato e mi segna sempre l'svchost come Intrusion detection system......so bene ke è innocuo ma vorrei sapere ke combina

klimt78 · 16-03-2004, 12:43

non so di preciso ma credo abbia a che fare con i servizi di rete; e ancora: se va in palla c'è qualche virus su uno dei computer della rete, a me è successo col jeefo...

Re_Lizard · 16-03-2004, 16:49

E' tutt'altro che innocuo

Si tratta del worm w32.Welchia

Fatti un giro nella sezione sicurezza e leggi qualcosa in merito, cmq ti dico per certo che lo devi assolutamente bloccare con il Firewall

Redvex · 16-03-2004, 17:58

Impossibile ke sia un worm ho fatto la scansione con f-prot e adware e nessuna cosa rilevata...non è il welchia

Re_Lizard · 16-03-2004, 18:23

Quote:

Originariamente inviato da Redvex
Impossibile ke sia un worm ho fatto la scansione con f-prot e adware e nessuna cosa rilevata...non è il welchia

Ti assicuro che è quello....
Prova con qualche altro antivirus, ad esempio nod32 e vedrai che lo rileverai...
Ti ripeto, fai un giro nella sezione antivirus e troverai alcuni topic a riguardo..
Io personalmente con il Norton aggiornato non riuscivo nemmeno a rilevarlo, mentre con il nod32 l'ho trovato..
Ci sono anche dei tool appositi per la rimozione..

Redvex · 16-03-2004, 18:32

Ho scaricato il tool x la rimozione e non mi ha trovato niente non sono infetto ne sono sicuro

Re_Lizard · 16-03-2004, 23:48

Quote:

Originariamente inviato da Redvex
Ho scaricato il tool x la rimozione e non mi ha trovato niente non sono infetto ne sono sicuro

E se ti dico che nemmeno a me il tool lo rilevava??

Cmq, se sei sicuro non insisto....
Ciao e alla prossima

Redvex · 17-03-2004, 08:20

Dimme te il tool adatto xkè di antivirus ne sono pieno f-prot e norton 2004 a mettere anke il nod32 mi esplode il pc prima di completare le scansioni cmq consigliami tu il tool

B/\rella · 17-03-2004, 11:46

Quote:

Originariamente inviato da Re_Lizard
E' tutt'altro che innocuo

Si tratta del worm w32.Welchia

Fatti un giro nella sezione sicurezza e leggi qualcosa in merito, cmq ti dico per certo che lo devi assolutamente bloccare con il Firewall

Non è un worm nè un virus.

E' un normalissimo servizio di sistema. Leggete QUI (sito microsoft ) a cosa serve e cosa fa.

A te Re_Lizard il welchia lo ha infettato, ma di per sé è innocuo ed ha morivo di esistere nel S/O.

Esempio ne sia che se reinstalli su una macchina fuori dalla rete ed ogni tipo di contagio il tuo bel file esiste ed è presente come servizio di sistema che parte in automatico.

Saluti a tutti.

Re_Lizard · 17-03-2004, 11:58

Quote:

Originariamente inviato da B/\rella
Non è un worm nè un virus.

E' un normalissimo servizio di sistema. Leggete QUI (sito microsoft ) a cosa serve e cosa fa.

A te Re_Lizard il welchia lo ha infettato, ma di per sé è innocuo ed ha morivo di esistere nel S/O.

Esempio ne sia che se reinstalli su una macchina fuori dalla rete ed ogni tipo di contagio il tuo bel file esiste ed è presente come servizio di sistema che parte in automatico.

Saluti a tutti.

Allora, se ci fate caso....il file teoricamente infetto non è identico a quello di sistema

Sono invertite le 2 lettere dopo la "s" iniziale

Vi ripeto, fatevi un giro nella sezione antivirus e cercate...
Se non sbaglio adesso questo file attacca anche con un altro worm...

Poi può essere benissimo che in questo caso non lo sia...ma il fatto che il firewall lo rileva mi fa pensare proprio di si, infatti nei topic a cui ho partecipato per risolvere il problema si diceva assolutamente di avere un firewall e di bloccare questo processo...
Io infatti ce l'ho bloccato anche in questo momento

E con il nod32 a volte rilevo ancora questo worm

B/\rella · 17-03-2004, 13:43

Quote:

Originariamente inviato da Redvex
Ho Sygate firewall installato e mi segna sempre l'svchost come Intrusion detection system......so bene ke è innocuo ma vorrei sapere ke combina

Ok Re, ho afferrato il discorso ... Ci troviamo di fronte ad un file di sistema (svchost) innocuo ed ad un file infetto e nocivo che si chiama in modo simile.... intendi dire questo ???

Ti chiedo: alla domanda posta ad inizio discussione da Red, e che quoto, rispondiamo dicendo che il suo file è quello innocuo o quello infetto ??

A me, da come l'ha scritto, sembra quello pulito

... chiedo conferma a lui, che controlli e ci dica un po' ....

Se così fosse alla sua domanda abbiamo già risposto. Non bloccarlo se è SVCHOST ( in quanto proc di sistema e vedi link postato sopra ) se invece è SCVHOST ( giusto Re ?? è questo il nome ?? ) allora lui è infetto e deve provvedere.

Siete daccordo ?? Magari ho preso un abbaglio, fatemelo notare ...
Alla prox.

Saluti

P.S. Il firewall lo rileva poichè è un file che gestisce anche i servizi di entrata/uscita dalla rete ( vedi internet, downloads, ecc ).
Ripeto, se è scritto giusto non è infetto e nemmeno nocivo.
Speriamo che Red non abbia già fatto il formattone !!!

Re_Lizard · 17-03-2004, 14:01

Allora, premetto che la storia delle 2 lettere l'avevo letta su questo forum prima di scrivere il mio precedente post...
Tuttavia sono andato a controllare il recente rapporto dei virus del mio AV nod32 ed ecco il resoconto dell'ultima settimana solmente....
Occhio che il worm Welchia è anche conociuto come Nachi

Come avevo detto, questo file può essere benissimo infetto...quindi la cosa migliore è bloccarne l'ingresso tramite firewall

B/\rella · 17-03-2004, 14:23

Scusa Re...

RED sta parlando del processo ( e programma ) SVCHOST.EXE .
TU di che processo/eseguibile stai parlando quando dici che è infetto ??

Io ho il NOD 2.0 ( se hai lapossibilità aggiorna il tuo Nod32 che il 2.0 è una bomba !!! ) e a me il processo SVCHOST.EXE non è infetto.
Se esiste un file simile, tipo SCVHOST.EXE per intenderci, nel task manager allora è probabile sia un virus/worm. ( ma non è il caso di RED, stando a quello che ha scritto )

Inoltre se vedi QUI sul sito della NOD, a fine pagina dice:

".... Il worm cessa di funzionare se l’anno della data di sistema è uguale o superiore al 2004 "

Stando a questo, visto che dubito RED si diverta a tenere l'orologio ed il datario sballati

, ne consegue che IL SUO non possa essere un worm e che quindi non sia da bloccare con firewall e varianti.

Probabilmente stiamo dicendo la stessa cosa senza capirci.

P.S. Per non essere frainteso, quello che penso è questo:
Il file svchost.exe non è sempre infetto, ma solo se contagiato dal worm nachi.

Nel dettaglio, come da guida NOD:
"... Una volta eseguito, il worm compie le seguenti operazioni. In primo luogo copia se stesso nella cartella %System%\Wins usando il nome DLLHOST.EXE: la variabile %System% rappresenta il percorso della cartella di sistema di Windows configurata sul computer. Quindi copia il file

%System%\Dllcache\Tftpd.exe

come

%System%\Wins\svchost.exe "

Quindi nel tuo caso Re, ti sei preso il nachi.
Nel caso di RED non è infetto, perchè, se scansionato con antivirus non da segni di viralità.
Il fatto poi che comunichi con l'esterno non è indice di worm, poichè il processo comunica con l'esterno sempre, anche se pulito e appena installato il S/O, poichè come detto gestisce processi relativi alla navigazione, al browser, al download, ecc ...

Redvex · 17-03-2004, 14:41

No no data in regola, quello che kiedevo io è come mai il sygate firewall pro mi da:
[181.1] Inbound DCE BIND to potentially vulnerable RPC DCOM interface attempt detected

E come file responsabile l'svchost

B/\rella · 17-03-2004, 14:53

La butto lì ....
Problemi relativi all' RPC erano dovuti al Blaster.
Cosa succedeva .... per via di una falla di Win/Iexplore ti beccavi il blaster che ti spegneva il PC in 60 sec, con relativo countdown.

Poniamo che il tuo firewall te ne blocchi l'entrata ( l'svchost, come avrai capito, gestendo i processi relativi alla rete, ne è il mezzo .. ) ... a questo punto segnala l'applicazione incriminata.

Hai installato la patch antiBlaster ??

Oh, mi raccomando, non prendere alla lettera, la mie è una supposizione, visto che nell'errore c'è l'RPC di mezzo...

Redvex · 17-03-2004, 15:08

Veramente sono stato tra i primi a beccarmi il blaster e l'ho tolto manualmente, ancora prima ke norton & co se ne accorgessero

Non sono un pivello la mia era una domanda di informazione su cosa potesse essere

B/\rella · 17-03-2004, 15:10

Quote:

Originariamente inviato da Redvex
Veramente sono stato tra i primi a beccarmi il blaster e l'ho tolto manualmente, ancora prima ke norton & co se ne accorgessero

Non sono un pivello la mia era una domanda di informazione su cosa potesse essere

Lungi da me affermare tu sia un pivello.

Ho fatto un ipotesi per risponderti ed aiutarti al meglio.
Probabilemnte capisci qualcosa di più se ti spulci l'articolo Microsoft che ho linkato sopra.
Potresti trovare info in merito.
Ciao.

Re_Lizard · 17-03-2004, 17:28

Quote:

Originariamente inviato da B/\rella
Scusa Re...

RED sta parlando del processo ( e programma ) SVCHOST.EXE .
TU di che processo/eseguibile stai parlando quando dici che è infetto ??

Dello stesso che hai scritto tu

Non so se prima si è visto l'allegato, quindi lo ripropongo..perchè io ricevo ancora spesso molti attacchi, e ho il nod 2.0

16-03-2004, 11:06	#1
Redvex Senior Member Iscritto dal: Apr 2002 Città: Nosgoth Messaggi: 16899	Domanda su svchost Ho Sygate firewall installato e mi segna sempre l'svchost come Intrusion detection system......so bene ke è innocuo ma vorrei sapere ke combina __________________

16-03-2004, 17:58	#4
Redvex Senior Member Iscritto dal: Apr 2002 Città: Nosgoth Messaggi: 16899	Impossibile ke sia un worm ho fatto la scansione con f-prot e adware e nessuna cosa rilevata...non è il welchia __________________

16-03-2004, 18:32	#6
Redvex Senior Member Iscritto dal: Apr 2002 Città: Nosgoth Messaggi: 16899	Ho scaricato il tool x la rimozione e non mi ha trovato niente non sono infetto ne sono sicuro __________________

17-03-2004, 08:20	#8
Redvex Senior Member Iscritto dal: Apr 2002 Città: Nosgoth Messaggi: 16899	Dimme te il tool adatto xkè di antivirus ne sono pieno f-prot e norton 2004 a mettere anke il nod32 mi esplode il pc prima di completare le scansioni cmq consigliami tu il tool __________________

17-03-2004, 14:23	#13
B/\rella Senior Member $L'Avatar di B/\rella$ Iscritto dal: May 2003 Città: iTorino - Powered By iMac 24" C2D 2.8 Ghz 4Gb RAM - iPod Photo 4G 30GB - iPod Touch JB 3 16GB Messaggi: 1719	Scusa Re... RED sta parlando del processo ( e programma ) SVCHOST.EXE . TU di che processo/eseguibile stai parlando quando dici che è infetto ?? Io ho il NOD 2.0 ( se hai lapossibilità aggiorna il tuo Nod32 che il 2.0 è una bomba !!! ) e a me il processo SVCHOST.EXE non è infetto. Se esiste un file simile, tipo SCVHOST.EXE per intenderci, nel task manager allora è probabile sia un virus/worm. ( ma non è il caso di RED, stando a quello che ha scritto ) Inoltre se vedi QUI sul sito della NOD, a fine pagina dice: ".... Il worm cessa di funzionare se l’anno della data di sistema è uguale o superiore al 2004 " Stando a questo, visto che dubito RED si diverta a tenere l'orologio ed il datario sballati , ne consegue che IL SUO non possa essere un worm e che quindi non sia da bloccare con firewall e varianti. Probabilmente stiamo dicendo la stessa cosa senza capirci. P.S. Per non essere frainteso, quello che penso è questo: Il file svchost.exe non è sempre infetto, ma solo se contagiato dal worm nachi. Nel dettaglio, come da guida NOD: "... Una volta eseguito, il worm compie le seguenti operazioni. In primo luogo copia se stesso nella cartella %System%\Wins usando il nome DLLHOST.EXE: la variabile %System% rappresenta il percorso della cartella di sistema di Windows configurata sul computer. Quindi copia il file %System%\Dllcache\Tftpd.exe come %System%\Wins\svchost.exe " Quindi nel tuo caso Re, ti sei preso il nachi. Nel caso di RED non è infetto, perchè, se scansionato con antivirus non da segni di viralità. Il fatto poi che comunichi con l'esterno non è indice di worm, poichè il processo comunica con l'esterno sempre, anche se pulito e appena installato il S/O, poichè come detto gestisce processi relativi alla navigazione, al browser, al download, ecc ... __________________ .: 7/12/2005 I'm Finally Windows Free & Totally Mac Addicted !! # #il mio sito # #travel portfolio # iPod Photo 4G # iPod Touch 3.1.3 # iMac 24" - 2.8 Ghz C2D - 4Gb RAM :. Ultima modifica di B/\rella : 17-03-2004 alle 14:40.
$B/\rella è offline$

16-03-2004, 12:43	#2
klimt78 Senior Member Iscritto dal: Apr 2003 Città: Siena Messaggi: 2234	non so di preciso ma credo abbia a che fare con i servizi di rete; e ancora: se va in palla c'è qualche virus su uno dei computer della rete, a me è successo col jeefo...

16-03-2004, 16:49	#3
Re_Lizard Senior Member Iscritto dal: May 2002 Città: Pescara Messaggi: 2508	E' tutt'altro che innocuo Si tratta del worm w32.Welchia Fatti un giro nella sezione sicurezza e leggi qualcosa in merito, cmq ti dico per certo che lo devi assolutamente bloccare con il Firewall

17-03-2004, 14:01	#12
Re_Lizard Senior Member Iscritto dal: May 2002 Città: Pescara Messaggi: 2508	Allora, premetto che la storia delle 2 lettere l'avevo letta su questo forum prima di scrivere il mio precedente post... Tuttavia sono andato a controllare il recente rapporto dei virus del mio AV nod32 ed ecco il resoconto dell'ultima settimana solmente.... Occhio che il worm Welchia è anche conociuto come Nachi Come avevo detto, questo file può essere benissimo infetto...quindi la cosa migliore è bloccarne l'ingresso tramite firewall

17-03-2004, 14:41	#14
Redvex Senior Member Iscritto dal: Apr 2002 Città: Nosgoth Messaggi: 16899	No no data in regola, quello che kiedevo io è come mai il sygate firewall pro mi da: [181.1] Inbound DCE BIND to potentially vulnerable RPC DCOM interface attempt detected E come file responsabile l'svchost __________________

17-03-2004, 14:53	#15
B/\rella Senior Member $L'Avatar di B/\rella$ Iscritto dal: May 2003 Città: iTorino - Powered By iMac 24" C2D 2.8 Ghz 4Gb RAM - iPod Photo 4G 30GB - iPod Touch JB 3 16GB Messaggi: 1719	La butto lì .... Problemi relativi all' RPC erano dovuti al Blaster. Cosa succedeva .... per via di una falla di Win/Iexplore ti beccavi il blaster che ti spegneva il PC in 60 sec, con relativo countdown. Poniamo che il tuo firewall te ne blocchi l'entrata ( l'svchost, come avrai capito, gestendo i processi relativi alla rete, ne è il mezzo .. ) ... a questo punto segnala l'applicazione incriminata. Hai installato la patch antiBlaster ?? Oh, mi raccomando, non prendere alla lettera, la mie è una supposizione, visto che nell'errore c'è l'RPC di mezzo... __________________ .: 7/12/2005 I'm Finally Windows Free & Totally Mac Addicted !! # #il mio sito # #travel portfolio # iPod Photo 4G # iPod Touch 3.1.3 # iMac 24" - 2.8 Ghz C2D - 4Gb RAM :.
$B/\rella è offline$

17-03-2004, 15:08	#16
Redvex Senior Member Iscritto dal: Apr 2002 Città: Nosgoth Messaggi: 16899	Veramente sono stato tra i primi a beccarmi il blaster e l'ho tolto manualmente, ancora prima ke norton & co se ne accorgessero Non sono un pivello la mia era una domanda di informazione su cosa potesse essere __________________

Strumenti
Mostra una versione stampabile Invia questa pagina per email