Condividi:        

generic host process

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

generic host process

Postdi Plettro » 01/02/03 01:20

Salve,
chiedo scusa per l'ignoranza che trapela dalla mia domanda...ma cosa è il "Generic host process for win32 services" di cui ZA mi chiede di configurare un accesso? Le mie ricerche non mi hanno portato a nulla!
Grazie!
Plettro
Utente Senior
 
Post: 259
Iscritto il: 19/01/03 20:21
Località: Guitar World

Sponsor
 

Postdi pjfry » 01/02/03 03:22

non ne sono sicuro ma credo sia mooolto importante... io ho installato ieri kerio e c'era già un filtro pronto che gli permetteva di uscire in tcp e udp :o
il processo è 'svchost' , che si occupa di servizi come .... boh?! però serve,se lo disabiliti non funziona + niente :D
controlla solo che non cerchi di usare porte strane,di solito (almeno,qui da me) è in ascolto su porte microsoft tipo 135 e 137
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi Plettro » 01/02/03 10:24

Non è per farti spazientire, apprezzo molto la tua disponibilità, il mio problema è che non so controllare queste porte poichè non ho in testa una idea chiara di cosa siano!!!!
Lo sò, apparirà incredibile, ma ad esempio mi piacerebbe capire (non so come) quali sono aperte, in ascolto, da chi o da cosa...interpretare il comando "netstat -na" e così via....
Ciao
Plettro
Utente Senior
 
Post: 259
Iscritto il: 19/01/03 20:21
Località: Guitar World

Postdi Andrea87 » 01/02/03 13:56

bhe, per comiciare a farti una idea generale di come interpretare i risultati di netstat -na potresti andare qui

http://www.aduc.it/~lserni/netstat.php

dove ti vengono analizzati automaticamente i risultati del comando ;)
Andrea87
Utente Senior
 
Post: 857
Iscritto il: 03/09/01 01:00
Località: Venezia

Postdi pjfry » 01/02/03 15:18

plettro ha scritto:Non è per farti spazientire

ma scherzi? la mia era una risposta un pò vaga,effettivamente ;)
voleva essere una specie di 'primo soccorso' in attesa di qualcuno + pratico di me :D
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi Nicola » 01/02/03 15:32

Generic Host Process for Win32 è un processo per gestire la connessione di Windows. Lasciatelo *sempre* passare. ;)

Ottimo il link di Andrea87 (gliel'ho dato io :D).

Se vuoi semplificare ancora scaricati NMAP per Windows (http://www.nmapwin.org) portscannati sull'IP della connessione Internet e dicci le porte aperte ;)

Ciao
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi Plettro » 02/02/03 10:34

Grazie a tutti e tre!
Mi rincuora sapere che c' è ancora qualcuno che sa che si parte da zero per imparare qualcosa e non ti umilia per questo!
Avrei comunque ed ovviamente dei dubbi sul vostro linguaggio tecnico:
Pjfry dice "...tcp e udp..." , beh del protocollo tcp sò qualcosa, ma udp che significa?
Nicola dice "...postscannati sull'ip della connessione internet..." ma io non riesco a seguirti a livello semantico, mi dispiace!
Di nuovo grazie, siete gentilissimi!
(Pjfry, la tua risposta non era vaga!)
Plettro
Utente Senior
 
Post: 259
Iscritto il: 19/01/03 20:21
Località: Guitar World

Postdi Nicola » 02/02/03 13:02

Allora visto che sei alla prime armi con il portscanning ti consiglio di usare GFI LANguard Net Scanner. Lo trovi con Google.

Prima di tutto, dopo averlo scaricato, te lo installi. Installalo, eseguilo e nel campo IP ci metti il tuo (se non sai come trovarlo guarda il sito http://checkip.dyndns.org).

Aspetta circa un minuto ed espandi la voce Ports cliccandoci due volte.

Fatto ciò ci dici le porte aperte. Ti diremo quali sono nocive e come chiuderle. ;)

Ciao
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi Plettro » 02/02/03 13:17

Lo faccio immediatamente!
Dammi un pò di tempo, non ho un gran modem. Sei un grande!
Plettro
Utente Senior
 
Post: 259
Iscritto il: 19/01/03 20:21
Località: Guitar World

Postdi pjfry » 02/02/03 13:20

UDP (user datagram protocol,mi pare) è un protocollo a livello trasporto (lo stesso del tcp) che però a differenza del tcp è connectionless, cioè in pratica appiccica un indirizzo (ip+porta) su un pacchetto e lo invia sperando che arrivi,senza tutti i metodi (apertura della connessione,acknowledgement...) usati dal tcp per garantire la consegna.
Viene usato per le query dns (la risoluzione dei nomi in indirizzi IP)... che sia una delle cose che fà svchost? :roll:
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi Plettro » 02/02/03 15:07

Ciao Pjfry, grazie del chiarimento!
Adesso ho finito di scaricare GFI languard, e provo ad utilizzarlo.
Plettro
Utente Senior
 
Post: 259
Iscritto il: 19/01/03 20:21
Località: Guitar World

Postdi Plettro » 02/02/03 15:20

Ooops!
Nicola, finita l'installazione il Norton mi avvisa circa uno script pericoloso con oggetto "Windows Scripting Host Object" e Attività "RegWrite"; il file è un vbs denominato "SetRegistryKeys", come mi comporto?
Il contenuto è il seguente:

On Error Resume Next
Dim WshShell
Dim strDate
Dim strDay, strMonth, strYear
' Get the current DD/MM/YY as strings.
strDay = Right("00" & Cstr(Day(Date())),2)
strMonth = Right("00" & Cstr(Month(Date())),2)
strYear = Cstr(Year(Date()))
' Compose strDate
strDate = strDay & "/" & strMonth & "/" & strYear
' Create shell object
Set WshShell = WScript.CreateObject("WScript.Shell")
' Create registry key
WshShell.RegWrite "HKLM\SOFTWARE\GFI Fax & Voice\LNSS\InstalledOn", strDate
Per quello che ci capisco è innocuo, forse serve per inserire nel registro la data di installazione (pare sia trial questa versione)
Plettro
Utente Senior
 
Post: 259
Iscritto il: 19/01/03 20:21
Località: Guitar World

Postdi Plettro » 02/02/03 15:42

Boh!
Ignora pure il post precedente! Ho negato lo script e il programma si è avviato! Spero di non aver violato qualcosa a livello di registrazione o nel funzionamento, ma mi sono fidato dell'antivirus, anche se so che è esagerato.
Cmq, le porte aperte sono:
25, 80, 110,1080, 8080.
Plettro
Utente Senior
 
Post: 259
Iscritto il: 19/01/03 20:21
Località: Guitar World

Postdi Nicola » 02/02/03 16:48

Per l'installazione, è il solito Norton AntiVirus sbruffone. SetRegistryKeys.vbs serve per inserire nel registro le chiavi per il funzionamento del programma.

Invece mi preoccupano le porte aperte e anche molto:

- 25 Server SMTP per l'invio posta, può essere abusato (dipende dalla cfg) per mandare e-mail dagli spammers ! Rimuovilo prima di subito
- 80 Server Web, attento se è IIS a patcharlo per benino e levalo se non ti serve.
- 110 Server POP3 posta in entrata. Non pericoloso. Però levalo se non serve.
- 1080 Server SOCKS, una manna per i lamerz e spammers. Possono andare su Internet a tuo nome.
- 8080 Proxy Server. Idem c.s solo che è limitato all'HTTP forse (dipende dalla cfg del ProxyServer).

Riassumendo: leva tutto prima di subito.

Scaricati SysInternals TCPView cliccando Qui.

Unzippa esegui tcpview.exe e dimmi le applicazioni legate a quella porta.

Quindi scrivi quanto dice il prog nel forum. ;)

Ciao
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi Plettro » 02/02/03 17:07

Dire che mi hai impaurito è dire pochissimo...
Non sò come "levare tutto" come dici, non penso chiudendo tutte le finestre del browser lasciando solo quella col forum, vero? :(( Non c'entra nulla eh?
La finestra di Tcpview è abbastanza enorme, sicuro che la posso inserire nel forum? Poi ogni tanto alcune righe di questa finestra di TcpView diventano "rosse" e i processi corrispondenti così evidenziati spariscono!
Grazie della pazienza Nicola!
Plettro
Utente Senior
 
Post: 259
Iscritto il: 19/01/03 20:21
Località: Guitar World

Postdi Nicola » 02/02/03 17:22

allora senza nessun programma aperto apri TCPView e premi Stamp o Print Screen (dipende dalla tastiera).

Quindi apri un programma per la grafica, basta Paint.

Premi Ctrl+V e salva il file come JPEG.

Poi mandamelo per e-mail (te la scrivo su un msg privato) che la guardo io e la pubblico sul forum.

Ciao
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi Plettro » 02/02/03 19:21

Ciao!
Secondo te è tutto a posto quindi?
Non ho capito come hai fatto a dire che sono tutti programmi che ho scelto io nè cosa volevi dire a proposito del firewall !!

P.S. Complimenti per l'indirizzo e-mail, una scelta originale!!
Plettro
Utente Senior
 
Post: 259
Iscritto il: 19/01/03 20:21
Località: Guitar World

Postdi Nicola » 02/02/03 19:26

Tutto a posto. La prima quando non hai nessun programma aperto è OK e di conseguenza anche la seconda perchè sai che programmi hai aperto.

Quelle porte strane (25,110,1080,8080) credo proprio che te le abbia aperte il firewall per controllarle e verificare attacchi. Quindi tutto nella norma ;)

Plettro ha scritto:P.S. Complimenti per l'indirizzo e-mail, una scelta originale!!

Sopratutto sono così stupido che mi dimentico di rimettere quello giusto quando mando e-mails giuste. Scusami ancora, non era ovviamente per te il mittente. ;)

Ciao
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi Nicola » 02/02/03 20:24

Allora visto che Plettro mi ha chiesto in privato come ho intepretato il messaggio lo dico qua', così lo possono saper tutti ;)


Prima di tutto iexplorer è il browser quindi tutto OK. (passa x il protocollo TCP
l'ip locale è il tuo e l'esterno di qualche sito)

svchost è generic host process win32 quindi OK lo stesso. (ip locali e ip esterni tutto ok)

Poi c'è l'antivirus, tutto ok e poi SymProxySvc che dovrebbe essere del firewall e che cmq proxa le tue richieste per analizzarle.

Qui non risultano la 1080,8080 e le altre... molto probabilmente le apre il firewall per loggare chi cerca di entrare ;)

Ciao
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi Plettro » 02/02/03 20:48

OOOOOOOHHHHH!
Qui ci siamo, sei grande!
E allora, che SymProxySvc sia un file del Norton Firewall 2002 te lo assicuro io, ma i numerini sono le porte?
Riporto 2 linee esempio di tcpview di cui stiamo discutendo, per gli altri:
svchost.exe:332 TCP nomePC:5000 nomePC:0 LISTENING
SymProxySvc:3768 TCP nomePC:2669 64.12.24.XXX:5190 ESTABLISHED

E' tutto trasparente nell'interpretazione di questi dati?

Io dalla prima riga capisco che c'è il processo svchost in ascolto via TCP

Dalla seconda capisco che è stabilita una qualche connessione(forse finta dal firewall) tra 2 porte, la mia 2669 e la 5190 di quel IP indicato...chi è????????!!!

E' cosi', o ho tirato uno sfondone?

P.S. Le porte 1080 e 8080 me le continua a dare aperte il GFI Languard non tcpview

Ciao, Nicola hai una pazienza da Superman!
Plettro
Utente Senior
 
Post: 259
Iscritto il: 19/01/03 20:21
Località: Guitar World

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "generic host process":


Chi c’è in linea

Visitano il forum: Nessuno e 34 ospiti