Olimpo Informatico

fdd

Ho recentemente installato Zone Alarm. Qualche dubbio lo ho relativamente al "Generic Host Process for Win32 Services", che ogni tanto chiede di poter agire come server. Lasciando l'impostazione per la quale Zone Alarm mi deve chiedere ogni volta se dare o negare il permesso, ho però sempre risposto no. Nessuna attività o programma ne ha sofferto.
Ho fatto le necessarie scansioni con Ad-Aware, Spybot e AVG (debitamente aggiornati) senza trovare nulla. Ho verificato che tali richieste venissero proprio dall'svchost.exe collocato in %SystemRoot%\system32.
Quindi ora mi trovo in un'impasse. Da un lato sarei portato a ritenere la richieste di provenienza illegittima (se la nego non succede nulla ai processi da me avviati e visibili), da un altro lato il contrario (dai controlli effettuati sembro a posto).
Sarei tentato di negare permanentemente al "Generic Host Process for Win32 Services" il permesso, ma ho letto opinioni contrastanti su internet. C'è chi dice che se ne possono ricavare più problemi che soluzioni, anche se non vedo come, visto che sono giorni che gli nego il permesso a mano. Forse più per il futuro, cioè qualche applicazione ne potrebbe fare uso e non funzionare senza, ma io magari impazzirei per capire perchè.
Urge (si fa per dire) un parere.
Grazie.

ioSOLOio

juzo kun

Pare che svchost.exe faccia da 'contenitore' per altri processi:

pincopallino · Dio maturo Registrato: 05/05/02 08:05 Messaggi: 3396 Residenza: Paperopoli

**Credo** - ma non ne sono proprio sicuro - che questo tizio debba "uscire" se hai una rete locale, anche soltanto due PC connessi via cavo incrociato. Se ben ricordo, ho dovuto autorizzarlo per permettere al portatile di sfruttare la connessione ADSL sul desktop.

fdd

fdd

Andando appena leggermente OT, ho notato come anche il Windows Media Player e i programmi del pacchetto Office tentino di accedere alla rete ad ogni apertura. Naturalmente qui ho negato in permanenza il consenso immediatamente, ma comunque mi sembra strano non aver mai letto da nessuna parte di questo comportamento anomalo. In quanto io ritengo anomalo che un applicativo che non ha bisogno della rete per funzionare vi voglia accedere ad ogni apertura. E soprattutto cosa dovrebbe riferire a zio Bill.
Ho fatto una veloce ricerca al riguardo senza trovare nulla, qualcuno ne sa qualcosa?

kingofworms · Moderatore Internet e Telefonia Registrato: 12/09/03 23:01 Messaggi: 1714

Non saprei dire che cosa faccia esattamente Media Player quando si connette ad Internet.
Però posso consigliare un'utilità interessante: SafeXP, che permette di tener sotto controllo alcuni parametri "sospetti" (come le misteriose connessioni di WMP) di Windows. Alcune voci di questo programma possono fornire un'idea su quel che fanno i programmi quando tentano di "uscire" (ad esempio, nella sezione Media Player la voce "Disable Auto Upgrade and Uset Tracking" mi sembra chiara).

Shannara

Media Player cerca sempre se ci sono aggiornamenti da scaricare e carica la guida multimediale, che di guida ha solo il nome, mentre per il resto si tratta del sito windowsmedia.

Inoltre va alla ricerca di codec per aprire i file in un formato (per lui) sconosciuto, ma generamente è una perdita di tempo e la ricerca fallisce col messaggio che richiede se si vuole provare a riprodurre comunque il file. Quando va bene si perde il flusso video.

Non so se ora faccia qualcos'altro perché non lo uso da tempo in favore di programmi più leggeri e decisamente "onnivori".

Per quanto rigurda Office, non ho mai indagato a fondo, anche qui perché provilegio altro (Ooo). Di richieste di aggiornamenti non ne ho mai viste e, inoltre, non ho installato nessun componente per la collaborazione via Internet né estensioni di server.... Sarei curioso di saperne di più!

-

fdd

chemicalbit · Dio maturo Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano

E che mi dite di quest'altro progrmama che ha tentato di accedere ad internet?

windows\system32\spoolsv.exe
"Spooler SubSystem App
Microsoft(R) Windows(R) Operating System"

(Avevo appena controllato con un antivirus e alcun antispyware.
Per cui il mio computer dovrebbe essere pulito.)

pincopallino · Dio maturo Registrato: 05/05/02 08:05 Messaggi: 3396 Residenza: Paperopoli

fdd

Non ci crederai, ma l'ho notato anch'io proprio oggi.
Se la richiesta proviene da un file con esattamente quel nome e localizzato in %SystemRoot%\system32 (come il tuo caso) allora non ci dovrebbero essere problemi.
Trattasi di un eseguibile di sistema relativo ai processi di stampa (Microsoft Printer Spooler Service). Perchè voglia accedere alla rete... come al solito in questi casi è un mistero. Io gliel'ho negato, poi se riscontro qualche problema ritorno sui miei passi.

fdd

holifay · Dio maturo Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano

varrebbe comunque la pena di controllare la "firma" del file (versione, descrizione, copyright). Non sarà questo il caso (visto che l'antivirus è aggiornato) ma ci sono virus che hanno un nome apparentemente legittimo. Spoolsv.exe ad esempio è il nome utilizzato anche da:
- Backdoor.Ciadoor.B
- VBS.Masscal.Worm
- Hacktool.Privshell

comunque spoolsv sembra cerchi di connettersi al DNS del proprio ISP, forse per cercare aggiornamenti. Su diversi forum, come ad esempio questo si parla della stessa questione. Mi pare di aver visto che in genere viene negato l'accesso ad Internet.

.