svchost

[mintom]

Buon anno a tutti.

Avrei una cosa da chiedere, che da un po' di tempo mi sta ossessionando

Ogni volta che riavvio il pc il mio firewall (prima avevo norton ora sygate, e lo ha sempre fatto) mi dice che il generic host process (svchost) sta tentando di connettersi alla rete...come mai??? ma soprattutto, cos'e' svchost??? A me gia' un processo generico, e quindi che non si dichiara mi fa innervosire, quindi per principio non lo faccio andare a spasso per la rete :di56: .Ma non e' tutto. Una volta connesso ad internet il firewall mi blocca degli accessi al kernel 32...E' una cosa normale??

[mintom]

ps

ho controllato delle porte su http://grc.com/port_0.htm, le quali erano state bloccate dal mio firewall (la 135,3798,3,3036,3305,2540,4466,2658,3368......) e me le ha date tutte il stealth, che vuol dire???

[olly]

svchost - svchost.exe - le informazioni trattate
Lima Trattata: svchost o svchost.exe
Nome Trattato: Assista Il Processo Ospite
Descrizione: L'applicazione funziona come processo ospite per i servizi che si allontanano dalle biblioteche di dinamico-collegamento.
Azienda: Microsoft Corp.
Processo Del Sistema: Sì
Rischio Di Sicurezza (Virus/Trojan/Worm/Adware/Spyware): No
Errori Comuni: N/a


Le Informazioni Supplementari: Per le più informazioni su svchost (svchost.exe) e sull'altro Windows procede il professionista di WinTasks 4 di ordine!


Ecco, ho trovato alcune informazioni in rete, anche se soprattutto per quanto riguarda la descrizione, andrebbero tradotte.....

Io ho notato, lanciando il task manager, che nei processi ho segnato 3 volte il file svchost:

uno come servizio locale, uno come servizio di rete e uno segnato come system...

[olly]

per quanto riguarda il Kernel, so che è il nucleo centrale del sistema operativo. E' quella parte di codice che si occupa delle operazioni critiche, come la gestione della memoria,della cpu e del multitasking. Viene caricato in memoria immediatamente dopo il Bios.

[mintom]

grazie dalle risposte.

io ne ho quattro, uno come servizio locale, uno come servizio di rete e due come system... :master:

quindi secondo te non ci dovrebbero essere problemi se svchost.exe tenta di andare in rete...

[olly]

per quello che so no, però:

Descrizione: L'applicazione funziona come processo ospite per i servizi che si allontanano dalle biblioteche di dinamico-collegamento

questa parte nn mi è chiara......

Ps: il kernel invece va protetto.

[mintom]

se do lascio accedere alla rete mi appare subito un altro messaggio dal firewall: "svchost.exe e' stato contattato da una macchina remota [xx.xxx.xx.xxx] usando la porta locale 135(EPMAP).Vuoi lasciare che il programma acceda alla rete?"

Ora mi sembra stia esagerando...o no???

[olly]

http://forum.html.it/forum/showthrea...&pagenumber=1.

Prova a leggere questa discssione. Poi fai un'accurata scansione, per vedere come sono messe le tue porte...

Fammi sapere. Ciao.

[mintom]

lo avevo gia' letto quel 3d...
ti posto il risultato della scansione

Service Ports Status Additional Information
FTP DATA 20 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.
FTP 21 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.
SSH 22 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.
TELNET 23 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.
SMTP 25 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.
DNS 53 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.
DCC 59 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.
FINGER 79 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.
WEB 80 CLOSED This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.
POP3 110 CLOSED This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.
IDENT 113 CLOSED This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.
NetBIOS 139 CLOSED This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.
HTTPS 443 CLOSED This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.
Server Message Block 445 CLOSED This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.
SOCKS PROXY 1080 CLOSED This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.
SOURCE PORT 3811 CLOSED This is the port you are using to communicate to our Web Server. A firewall that uses Stateful Packet Inspection will show a 'BLOCKED' result for this port.
WEB PROXY 8080 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.

You are not fully protected:
We have detected that some of our probes connected with your computer.

[Habanero]

Svchost è un file di sistema che serve a lanciare più di un servizio. A tal propito basta che andiate in
Impostazioni->Pannello di controllo->strumenti di amministrazione->servizi
Facendo doppio click su un servizio si aprono le suo proprietà.
Alla voce "Percorso file eseguibile" si trova la riga di comando che viene invocata per lanciare il servizio. In molti viene invocato SVCHOST... con argomenti diversi.

La porta 135 filtrala e non darle accesso alla rete.

Una porta è stealth quando un eventuale computer remoto che cerca di connettersi su tale porta non riceve nessuna risposta (va in time out). Questa è la situazione ideale se si deve di bloccare tale porta.

Una porta è closed quando nessun server ascolta dietro tale porta ma il sistema resetta la connessione di un pc che tentasse di connettersi. In pratica al pc remoto arriva un pacchetto di reset (con una porta stelth non arriva proprio nulla). Questa situazione è meno sicura della precedente perchè si è soggetti a possibili vulnerabilità dello stack tcp/ip ma nella maggior parte dei casi puo' comunque andar bene.

leggiti anche questo:
http://forum.html.it/forum/showthrea...hreadid=521726