Processi sospetti

**alwaysnew** · 23-03-2006, 16:01

ciao a tutti, da qualche giorno sul mio pc si avvia un processo sospetto, non per il nome ma per la connessione che tenta di aprire. Il processo in questione e svchost.exe che tenta di collegarsi ad sito non raggiungibile con un browser ma che puo essere pingato.
Facendo un'analisi del traffico con ethereal ho notato parecchi pacchheti del protocollo nbns non tutti inidrizzati al mio router.
Secondo me non è il sistema operativo che lancia questo processo quindi vorrei sapere come posso risalire al nome dell'applicazione che lo chiama.
Grazie

**thomas_anderson** · 23-03-2006, 18:33

Svchost.exe è un processo dei sistemi con tecnologia NT (2000/XP) responsabile della connessione Internet e di altre funzionalità del sistema operativo. La sua locazione è C:\Windows\System32. tuttavia ci sono dei programmi maligni che usano eseguibili con lo stesso nome, localizzati in altre aree. connettiti, apri il task manager dopo esserti connesso, e controlla i percorsi di tutti i processi svchost.exe. ti consiglio poi di eseguire questa procedura alla lettera:
http://forum.html.it/forum/showthrea...hreadid=811189

fammi sapere.

qual'è l'indirizzo del sito?

info sulle istanze di svchost:
http://windowsxp.mvps.org/svchost.htm

possibili altre cause:
http://www.fileresearchcenter.com/se...arch=Search...

**alwaysnew** · 23-03-2006, 19:30

Allora ho provato a fare cosi:

codice:

tasklist /svc > tasklist.txt

dopo aver controllato il pid del processo responsabile della connessione, si differenzia dagli altri svchost perchè è da solo in fondo alla lista dei processi, invece di scrivere il nome dell'applicazione che sta usando il processo viene scrtto n/d.
adesso provo a disabilitare gli eseguibili che si avviano con il pc cercando di trovare il resposnabile.

**thomas_anderson** · 23-03-2006, 19:58

Devi solo controllare in che directory si trova. ciao

**alwaysnew** · 23-03-2006, 20:00

Trovato il colpevole

, è il file c:\WINDOWS\System\smss.exe, anche facendo una scansione antvirus non me lo rileva come maligno però...

**Habanero** · 23-03-2006, 20:16

smss.exe normalmente dovrebbe stare in c:\windows\system32\

segui il consiglio di Thomas e leggi la discussione che ti ha indicato.

**thomas_anderson** · 23-03-2006, 20:16

immagino tu intenda c:\windows\system32....

**alwaysnew** · 23-03-2006, 20:45

No no... intendo proprio \system\ ed è per questo che ritego che il responsabile sia lui

**thomas_anderson** · 23-03-2006, 20:48

segui la procedura del link che ti ho postato.

**alwaysnew** · 24-03-2006, 00:55

Grazie dei consigli! Purtroppo ogni programma mi classifica il file come pulito...ma io so che pulito non è

Ho provato anche a far controllare il file a kapersky on-line e risulta ok

Tuttavia avevo in mente di formattare il pc quindi ne approfitto e colgo l'occasione per farlo!
Ciao

Discussione: Processi sospetti

Strumenti discussione

Ricerca discussione

Visualizza

Processi sospetti

Permessi di invio