|
|||||||
|
|
|
 |
|
|
Strumenti |
07-08-2004, 15:00
|
#1 |
|
Senior Member
Iscritto dal: Feb 2002
Città: BG
Messaggi: 525
|
svchost sospetto!
ciao
è possibile che ho in esecuzione ben 5 svchost.exe!  di 3750 kb SYSTEM 18028 kb SYSTEM 2468 kb SERV. LOC DI RETE 4460 kb SERV. LOCALE 3388 kb SYSTEM e quando sono connesso senza fare nulla avviene comunque trasferimento di dati! il firewall filtra tutto logicamente perche altrimenti non potrei avere interscambio di dati quidi c'è libero accesso a Generic Host Process for Win32 Services. Ho gia provveduto a disabilitare le farie funzioni di Win come aggiornamenti ora, stampanti, che potrebbero generare traffico. Facendo uno scan delle porte con port explorer scopro che alcuni di questi svchost sono collegati alla porta 53 ad uno stesso specifico indirizzo IP e hanno interscambio di dati con destinazione. italy. Come faccio a scoprire se "qualcosa" sta utilizzando svchost per accedere lìalla mia macchina?
__________________
Intel Quad Core 6600 - Asrock 4coreSATA2 - Ati Radeon 1950Pro AGP 512 Mb - 1024 Mb Ram PC400 - Western Digital 74 Gb 10000 rpm SATA - ALI LC Power 550W Silent Green Power - WinVSTA |
|
|
|
07-08-2004, 15:18
|
#2 |
|
Senior Member
Iscritto dal: Feb 2002
Città: BG
Messaggi: 525
|
Ho provato a terminare uno a uno i vari svchost, è ho riscontrato che 4 di questi si autoriavviano subito andando anche a ridurre senzibilmente le risorse di memoria utilizzate, mentre 1 di questi una volta terminato, quello di 3750 kb SYSTEM fa partire la finestrella simpatica dell'Autority System, che in 30 secondi comporta il riavvio del computer!
che ne pensate? è normale o cosa?
__________________
Intel Quad Core 6600 - Asrock 4coreSATA2 - Ati Radeon 1950Pro AGP 512 Mb - 1024 Mb Ram PC400 - Western Digital 74 Gb 10000 rpm SATA - ALI LC Power 550W Silent Green Power - WinVSTA |
|
|
|
|
07-08-2004, 15:31
|
#3 |
|
Senior Member
Iscritto dal: Feb 2002
Città: BG
Messaggi: 525
|
un'altra cosa...
Con il comanda Tasklist /SVC del propt dei comandi ho la lista dei seguenti servizi di svchost: Nome immagine PID Servizi ========================= ====== ============================================= SVCHOST.EXE 732 RpcSs SVCHOST.EXE 780 AudioSrv, Browser, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, FastUserSwitchingCompatibility, helpsvc, lanmanserver, lanmanworkstation, Messenger, Netman, Nla, RasMan, Schedule, seclogon, SENS, ShellHWDetection, TapiSrv, TermService, Themes, TrkWks, uploadmgr, W32Time, winmgmt, WmdmPmSp, wuauserv SVCHOST.EXE 852 Dnscache SVCHOST.EXE 876 Alerter, LmHosts, RemoteRegistry, SVCHOST.EXE 1348 stisvc Cè qualcosa di sospetto? cosè RpcSs e stisvc nell'ultimo?
__________________
Intel Quad Core 6600 - Asrock 4coreSATA2 - Ati Radeon 1950Pro AGP 512 Mb - 1024 Mb Ram PC400 - Western Digital 74 Gb 10000 rpm SATA - ALI LC Power 550W Silent Green Power - WinVSTA Ultima modifica di sbrizzolo : 07-08-2004 alle 15:33. |
|
|
|
|
07-08-2004, 15:32
|
#4 |
|
Senior Member
Iscritto dal: May 2001
Messaggi: 1740
|
potrebbe essere tutto normale...
devi solo sincerarti di cosa sia quella connessione prima di tutto usa il comando tasklist /svc per controllare il contenuto di quei svchost
__________________
www.tweakness.net - Trucchi per il PC DECALOGO ANTISPY - GUIDA A HIJACKTHIS - GUIDA AI SERVIZI DI WIN XP - CONSIGLI ANTIVIRUS PER BART'S PE - SP2 SLIPSTREAMING - FAQ WINDOWS XPSP2 - I SERVIZI DOPO SP2 - XP SP2 UNATTENDED - GUIDA A nLite |
|
|
|
|
07-08-2004, 15:43
|
#5 |
|
Senior Member
Iscritto dal: May 2001
Messaggi: 1740
|
ad occhio vedo tutti servizi legittimi
sei in lan?
__________________
www.tweakness.net - Trucchi per il PC DECALOGO ANTISPY - GUIDA A HIJACKTHIS - GUIDA AI SERVIZI DI WIN XP - CONSIGLI ANTIVIRUS PER BART'S PE - SP2 SLIPSTREAMING - FAQ WINDOWS XPSP2 - I SERVIZI DOPO SP2 - XP SP2 UNATTENDED - GUIDA A nLite |
|
|
|
|
07-08-2004, 15:44
|
#6 |
|
Senior Member
Iscritto dal: Feb 2002
Città: BG
Messaggi: 525
|
no sono in adsl
__________________
Intel Quad Core 6600 - Asrock 4coreSATA2 - Ati Radeon 1950Pro AGP 512 Mb - 1024 Mb Ram PC400 - Western Digital 74 Gb 10000 rpm SATA - ALI LC Power 550W Silent Green Power - WinVSTA |
|
|
|
|
07-08-2004, 15:46
|
#7 |
|
Senior Member
Iscritto dal: Feb 2002
Città: BG
Messaggi: 525
|
provo a verificare tutti i singoli servizi!
Volevo sapere da te se è Normale che terminando svchost mi è partito il discorso dell'aUTORITY sYSTEM CHE MI HA RIAVVIATO IL PC?
__________________
Intel Quad Core 6600 - Asrock 4coreSATA2 - Ati Radeon 1950Pro AGP 512 Mb - 1024 Mb Ram PC400 - Western Digital 74 Gb 10000 rpm SATA - ALI LC Power 550W Silent Green Power - WinVSTA |
|
|
|
|
07-08-2004, 15:53
|
#8 | |
|
Senior Member
Iscritto dal: Feb 2002
Città: BG
Messaggi: 525
|
Quote:
qualcuno può confermare ciò per favore?
__________________
Intel Quad Core 6600 - Asrock 4coreSATA2 - Ati Radeon 1950Pro AGP 512 Mb - 1024 Mb Ram PC400 - Western Digital 74 Gb 10000 rpm SATA - ALI LC Power 550W Silent Green Power - WinVSTA |
|
|
|
|
|
07-08-2004, 16:29
|
#9 | |
|
Senior Member
Iscritto dal: Jun 2003
Città: "Mantua me genuit" Trattative concluse: 1 fracco!!! Devianze: MacTard iMac 27" i5 2,8Ghz 4GB IPHONE 5 32GB Black Iscritto dal: Nov 2002
Messaggi: 4426
|
Quote:
|
|
|
|
|
|
07-08-2004, 17:12
|
#10 |
|
Senior Member
Iscritto dal: May 2001
Messaggi: 1740
|
sì è normale perchè i servizi ritenuti fondamentali sono settati per riavviare la macchina (ad errore e non funzionamento)
devi tentare di isolare quella net activity ... per il resto i servizi sono a posto...
__________________
www.tweakness.net - Trucchi per il PC DECALOGO ANTISPY - GUIDA A HIJACKTHIS - GUIDA AI SERVIZI DI WIN XP - CONSIGLI ANTIVIRUS PER BART'S PE - SP2 SLIPSTREAMING - FAQ WINDOWS XPSP2 - I SERVIZI DOPO SP2 - XP SP2 UNATTENDED - GUIDA A nLite |
|
|
|
|
07-08-2004, 19:05
|
#11 | |
|
Senior Member
Iscritto dal: Feb 2002
Città: BG
Messaggi: 525
|
Quote:
__________________
Intel Quad Core 6600 - Asrock 4coreSATA2 - Ati Radeon 1950Pro AGP 512 Mb - 1024 Mb Ram PC400 - Western Digital 74 Gb 10000 rpm SATA - ALI LC Power 550W Silent Green Power - WinVSTA |
|
|
|
|
|
07-08-2004, 20:01
|
#12 |
|
Senior Member
Iscritto dal: May 2001
Messaggi: 1740
|
prova a vedere se tramite il firewall riesci a trvare più informazioni su questi movimenti di rete...
__________________
www.tweakness.net - Trucchi per il PC DECALOGO ANTISPY - GUIDA A HIJACKTHIS - GUIDA AI SERVIZI DI WIN XP - CONSIGLI ANTIVIRUS PER BART'S PE - SP2 SLIPSTREAMING - FAQ WINDOWS XPSP2 - I SERVIZI DOPO SP2 - XP SP2 UNATTENDED - GUIDA A nLite |
|
|
|
|
08-08-2004, 01:22
|
#13 |
|
Senior Member
Iscritto dal: Feb 2002
Città: BG
Messaggi: 525
|
ok, ho individuato qual'è dei 5 il processo svchost.exe che crea movimonto di rete:
è quello che gestiste l'unico servizio " Dnscache" (quello con PID 852 nel post sopra) Ora provo a informarmi sulle funzioni di quel servizio, ma se nel frattempo qualcuno sa dirmi qualcosa, il perche questo processo ogni volta che mi collego a internet si logga con due indirizzi IP predefiniti, sempre gli stessi, senza che io neppure apra internet explorer (che cmq andrebbe ad utilizzare un altro processo), senza comandare nessun trasferimento di dati insomma! Un'altra cosa curiosa! se provo a fare un trace route su questi indirizzi, uno melo completa dicendomi che dista solo 2 hops, mentre l'altro indirizzo al settimo hops si interrompe e va in Time Out, non riuscendo quindi a fare il trace route, cosa davvero stana!!! quindi sembra un pò sospetto che dite?
__________________
Intel Quad Core 6600 - Asrock 4coreSATA2 - Ati Radeon 1950Pro AGP 512 Mb - 1024 Mb Ram PC400 - Western Digital 74 Gb 10000 rpm SATA - ALI LC Power 550W Silent Green Power - WinVSTA |
|
|
|
|
08-08-2004, 02:08
|
#14 |
|
Senior Member
Iscritto dal: Feb 2002
Città: BG
Messaggi: 525
|
....
__________________
Intel Quad Core 6600 - Asrock 4coreSATA2 - Ati Radeon 1950Pro AGP 512 Mb - 1024 Mb Ram PC400 - Western Digital 74 Gb 10000 rpm SATA - ALI LC Power 550W Silent Green Power - WinVSTA Ultima modifica di sbrizzolo : 08-08-2004 alle 02:14. |
|
|
|
|
08-08-2004, 02:08
|
#15 |
|
Senior Member
Iscritto dal: Feb 2002
Città: BG
Messaggi: 525
|
...
__________________
Intel Quad Core 6600 - Asrock 4coreSATA2 - Ati Radeon 1950Pro AGP 512 Mb - 1024 Mb Ram PC400 - Western Digital 74 Gb 10000 rpm SATA - ALI LC Power 550W Silent Green Power - WinVSTA Ultima modifica di sbrizzolo : 08-08-2004 alle 02:15. |
|
|
|
|
08-08-2004, 02:08
|
#16 |
|
Senior Member
Iscritto dal: Feb 2002
Città: BG
Messaggi: 525
|
.
__________________
Intel Quad Core 6600 - Asrock 4coreSATA2 - Ati Radeon 1950Pro AGP 512 Mb - 1024 Mb Ram PC400 - Western Digital 74 Gb 10000 rpm SATA - ALI LC Power 550W Silent Green Power - WinVSTA Ultima modifica di sbrizzolo : 08-08-2004 alle 02:15. |
|
|
|
|
08-08-2004, 02:08
|
#17 |
|
Senior Member
Iscritto dal: Feb 2002
Città: BG
Messaggi: 525
|
up
__________________
Intel Quad Core 6600 - Asrock 4coreSATA2 - Ati Radeon 1950Pro AGP 512 Mb - 1024 Mb Ram PC400 - Western Digital 74 Gb 10000 rpm SATA - ALI LC Power 550W Silent Green Power - WinVSTA Ultima modifica di sbrizzolo : 08-08-2004 alle 02:14. |
|
|
|
|
08-08-2004, 02:08
|
#18 |
|
Senior Member
Iscritto dal: Feb 2002
Città: BG
Messaggi: 525
|
forse ci sono, anzi diciamo che mi sono risposto da solo !
 vabbè magari queste info saranno utili per qualcun altro.. comunque... dnscache è un servizio di windows dal 2000 in su chiamato Domain Name System che gestisce le caching feature ! siccome a me non me ne può fregar de meno di avere un serve DNS sul mio pc(i famosi due indirizzi che mi venivano associati), posso tranquillamente disabilitarlo per una sola sessione con il comando in CMD: net stop dnscache infatti v facendo ciò scompaiono le famose net attivity che avevo prima! Sul sito della Microsoft dice anche che comunque sarebbe meglio tenere questo servizio così i DNS vengono gestiti in locale e non tramite "servers DNS di rete", velocizzando quindi le operazioni e diminuendo il traffico DNS in quanto gli indirizzi Dns verrebbero registrati in una cache residente in locale ! Lo disattivo e verificherò di persona se è meglio o peggio! Per disattivarlo permanentemente invece la procedura è un po più lunga, ma evita che ad ogni riavvio del pc il servizio venga riattivato! sc delete dnscache per riattivarlo in futuro se servirà sc create dnscache Se qualcuno può darmi qualche imput in più su dnscache...posti pure
__________________
Intel Quad Core 6600 - Asrock 4coreSATA2 - Ati Radeon 1950Pro AGP 512 Mb - 1024 Mb Ram PC400 - Western Digital 74 Gb 10000 rpm SATA - ALI LC Power 550W Silent Green Power - WinVSTA Ultima modifica di sbrizzolo : 08-08-2004 alle 02:13. |
|
|
|
|
08-08-2004, 03:40
|
#19 |
|
Senior Member
Iscritto dal: May 2001
Messaggi: 1740
|
quel servizio a quanto ne so comunque serve per cachare tutti i dns....
quindi dovrebbe servire... se lo disattivi... forse funzionerà da remoto... mmm... ma il file hosts hai modificato per caso?
__________________
www.tweakness.net - Trucchi per il PC DECALOGO ANTISPY - GUIDA A HIJACKTHIS - GUIDA AI SERVIZI DI WIN XP - CONSIGLI ANTIVIRUS PER BART'S PE - SP2 SLIPSTREAMING - FAQ WINDOWS XPSP2 - I SERVIZI DOPO SP2 - XP SP2 UNATTENDED - GUIDA A nLite |
|
|
|
|
08-08-2004, 03:42
|
#20 |
|
Senior Member
Iscritto dal: May 2001
Messaggi: 1740
|
scusa io non ti ho risposto perchè non mi arrivavano le notifiche
butto un occhio a questa discussione.. il problema senbra uguale http://forum.tweakness.net/index.php?showtopic=74
__________________
www.tweakness.net - Trucchi per il PC DECALOGO ANTISPY - GUIDA A HIJACKTHIS - GUIDA AI SERVIZI DI WIN XP - CONSIGLI ANTIVIRUS PER BART'S PE - SP2 SLIPSTREAMING - FAQ WINDOWS XPSP2 - I SERVIZI DOPO SP2 - XP SP2 UNATTENDED - GUIDA A nLite |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 12:58.
