MegaLab.it

Ciao,

vi chiedo cortesemente un aiutino:

Come va settato il firewall di Comodo per il processo (File Path): C:\WINDOWS\system32\svchost.exe? e perché?

1000



Pp

svchost.exe deve collegarsi di suo a centomila posti, windowsupdate per cominciare.
A meno che non ti esca una richiesta, mai vista, che vuole collegarsi ad un sito cinese e il file che lo ha avviato si chiama xyzsonounvirus.exe va lasciato libero di comunicare.

crazy.cat ha scritto:svchost.exe deve collegarsi di suo a centomila posti, windowsupdate per cominciare.
A meno che non ti esca una richiesta, mai vista, che vuole collegarsi ad un sito cinese e il file che lo ha avviato si chiama xyzsonounvirus.exe va lasciato libero di comunicare.

Ciao Crazy.cat,

mille.

Io in realtà stavo pensando di settarlo in questo modo:

Impostare il blocco in entrata e lasciare libero di comunicare in uscita ( anche perché altrimenti non sarebbe possibile accedere ad internet, aggiornare il Sistema Operativo etc, come da te detto...)
Ad esempio mi sono accorto che il mio router ( Linksys) chiede di collegarsi al mio notebook e quindi al processo svchost.exe, ( come se il mio notebook fosse un server svchost.exe) per utilizzare certi sevizi ( che non so quali essi siano).
Per cui potrebbe andar bene bloccare il processo svchost.exe in entrata e lasciarlo libero di comunicare in uscita?


Grazie ancora

Buona giornata

Pp

Pulcepiccola ha scritto:Per cui potrebbe andar bene bloccare il processo svchost.exe in entrata e lasciarlo libero di comunicare in uscita?

Non saprei, prova, se vedi che qualcosa non funziona cancella subito la regola.

(ho qualche dubbio comunque, ma non ho mai provato un blocco del genere.)

svhost di solito non viene nemmeno notificato,a meno che non chieda accesso a connessioni dirette su porte improbabili.

Puoi postare uno screenshot della finestra di avviso?

Ciao, grazie crazy.cat, farbix89,

la cosa strana e che non capisco perché il processo svchost.exe debba acccettare connessioni in entrata dal mio router. ,
per questo motivo l'ho settato su blocca in entrata ed ovviamente libero in uscita.

posto il log di Comodo



Uploaded with ImageShack.us

Grazie ancora

Ciao

Pp

Solitamente gli allarmi di Comodo FW per svchost e system sono per richieste in Ingresso, mentre queste due devono solo uscire, a volte sono numerose e possono risultare fastidiose.
Impostate queste 2 regole io non ho più avuto nessuna finestra di allarme, il pc funziona perfettamente e il log si riempie di intrusioni bloccate, però non è detto che siano le uniche e le migliori; ho trovato altre regole in giro per il web , ma io con queste mi trovo benissimo.
Vedi tu.ciao

Bloccare completamente system e svchost può portare a seri problemi sul momento non percettibili (tipo: aggiornamenti non riusciti,problemi con connessioni tra PC in LAN...)

Se non ricordo male avevo già affrontato il problema in passato,ma non trovo più il topic

In generale è consigliabile lasciar passare svchost se quest'operazione non è associata all'avvio di nessun programma nuovo o se l'eventuale finestra di avviso non segnala alcun programma "anomalo" che intende utilizzarlo.

Le connessioni dirette tra router e PC sono importanti per moltissimi protocolli e programmi (vedi condivisione file e gruppo Home) quindi di norma ben accette.

Se un programma sconosciuto o malevolo tenta di utilizzare svchost.exe per connettersi in internet (e quindi avviare il file stesso) o tenta di infettarlo sarebbe automaticamente bloccato dal Defense+,in quanto la cartella Windows è considerata una cartella vitale per il sistema e quindi protetta di default.

Diverso è il discorso per il firewall: alcuni programmi creano connessioni dirette tra file di sistema per l'aggiornamento,quindi bisogna valutare caso per caso.

Nel dubbio,autorizza temporaneamente solo se l'IP di destinazione è noto (tipo router o altro PC della LAN)

Ciao Fiordaliso, Farbix89,

grazie mille.

In effetti oggi mentre stavo per trasferire alcuni file tra 2 pc connessi in rete ho dovuto attendere un bel po perché i due PC non si vedevano però poi tutto si è normalizzato. ( Può dipendere dal fatto che ho posto il blocco in entrata su svchost come dici tu).

Ad ogni modo se non ho capito male tu dici che non è anomala l'ipotesi che il router punti verso il mio notebook connesso alla lan, (e quindi al processo svchost) e che quindi potrei provare ad autorizzare temporaneamente svchost in entrata ( semprechè l'indirizzo di destinazione sia quello del mio notebook e quindi interno alla LAN)

Potrei autorizzare temporaneamente svchost in entrata e rendermi conto, con Process Explorer, dei servizi che svchost carica e poi decidere meglio? Potrebbe essere una idea?

Grazie ancora

Ciao

Pp

Pulcepiccola ha scritto:
In effetti oggi mentre stavo per trasferire alcuni file tra 2 pc connessi in rete ho dovuto attendere un bel po perché i due PC non si vedevano però poi tutto si è normalizzato. ( Può dipendere dal fatto che ho posto il blocco in entrata su svchost come dici tu).

è possibile.

Ad ogni modo se non ho capito male tu dici che non è anomala l'ipotesi che il router punti verso il mio notebook connesso alla lan, (e quindi al processo svchost) e che quindi potrei provare ad autorizzare temporaneamente svchost in entrata ( semprechè l'indirizzo di destinazione sia quello del mio notebook e quindi interno alla LAN)

Potrei autorizzare temporaneamente svchost in entrata e rendermi conto, con Process Explorer, dei servizi che svchost carica e poi decidere meglio? Potrebbe essere una idea?

Quando esce la finestra,basta non spuntare la voce che richiede la memorizzazione....in questo modo ogni eventuale connessione diretta chiederà il tuo intervento.

svchost carica un sacco di servizi...vedere qual è che sta utilizzando la connessione può essere difficoltoso,ma un tentantivo lo puoi fare

Grazie Farbix89,

A proposito ho trovato un riferimento al topic in cui si parla dell'argomento. topic69447-20.html

Purtroppo però non ci sono più le immagini e non so come si applicano le regole. Pare siano le stesse che ha usato Fiordaliso.

Ad ogni modo vi farò sapere più avanti come si evolvono le cose.

Farò dei tentativi...vediamo
E' scritto da qualche parte come si creano le regole?

Grazie ancora

Ciao

Pp

Scusa PP, non avevo capito che avevi più pc che comunicavano tra di loro, allora quello che ti ho proposto non va bene e credo nemmeno le atre che non si vedono nel topic che hai indicato perché viene detto in premessa " sempre se il pc non condivide con altri pc".
In tal caso ci sarebbero delle regole per pc che comunicano, sono piuttosto complesse ma non impossibili, e sono comunque regole scritte da utenti più o meno avanzati che le hanno sperimentate, non sono regole universali e che vanno bene sempre e in tutte le situazioni....cerca , prova, sperimenta, se qualcosa non va in due clic ( rimuovi-ok) , la regola è tolta.
Buon lavoro.

fiordaliso ha scritto:Scusa PP, non avevo capito che avevi più pc che comunicavano tra di loro, allora quello che ti ho proposto non va bene e credo nemmeno le atre che non si vedono nel topic che hai indicato perché viene detto in premessa " sempre se il pc non condivide con altri pc".
In tal caso ci sarebbero delle regole per pc che comunicano, sono piuttosto complesse ma non impossibili, e sono comunque regole scritte da utenti più o meno avanzati che le hanno sperimentate, non sono regole universali e che vanno bene sempre e in tutte le situazioni....cerca , prova, sperimenta, se qualcosa non va in due clic ( rimuovi-ok) , la regola è tolta.
Buon lavoro.

Grazie mille Fiordaliso,

per la precisazione.

Studierò





Pp

Pulcepiccola ha scritto: ho trovato un riferimento al topic in cui si parla dell'argomento. topic69447-20.html

Purtroppo però non ci sono più le immagini
Pp

Colpa di Iouppo (Tutto ad un tratto ha cancellato tutto l'ambaradan,e ha anche cambiato politiche ,tant'è che non lo uso e non lo userò mai più )

Sabbb ha scritto:

Pulcepiccola ha scritto: ho trovato un riferimento al topic in cui si parla dell'argomento. topic69447-20.html

Purtroppo però non ci sono più le immagini
Pp

Colpa di Iouppo (Tutto ad un tratto ha cancellato tutto l'ambaradan,e ha anche cambiato politiche ,tant'è che non lo uso e non lo userò mai più )

Ciao

Pp

Nel dubbio,autorizza temporaneamente solo se l'IP di destinazione è noto (tipo router o altro PC della LAN)

Tutto il resto delle attività di svhost è lecito (un malware che vuole utilizzare svhost farebbe scattare l'avviso D+,non firewall)

farbix89 ha scritto:

Nel dubbio,autorizza temporaneamente solo se l'IP di destinazione è noto (tipo router o altro PC della LAN)

Tutto il resto delle attività di svhost è lecito (un malware che vuole utilizzare svhost farebbe scattare l'avviso D+,non firewall)

1000 Farbix89,



Pp