Perché Google sta tentando di comunicare con svchost.exe

5

Prima di tutto - Solitamente indirzzo le mie domande a StackOverflow poiché sono correlate alla programmazione, e di solito accedo al mio account di lavoro - quindi questo sarà il mio primo post di questo account, così come il mio primo post su questo sito - quindi mi scuso se questa domanda appartiene altrove.

Ho installato Eset sul mio computer Windows 7 e solo recentemente ho deciso di rafforzare la sicurezza. Così ho impostato Eset per informarmi ogni volta che viene tentato il traffico in entrata e in uscita. Ho ricevuto questo messaggio:

**Inbound Traffic
A remote computer is attempting to communicate with an application running on this computer. Do you wish to allow this communication?
Application: Host Process for Windows Services (svchost.exe)
Publisher: Microsoft Windows
Remote Computer: nuq04s19-in-f5.1e100.net (74.125.239.37)
Local Port: 64820**

Quando sono passato alla mia macchina Debian, ho inserito l'IP in una query whois e ho scoperto che si tratta di un blocco IP di proprietà di google. Quindi, la mia domanda è questa: perché? Voglio dire, ho installato Chrome, e quindi ho anche collegato i processi di Google in esecuzione. Quindi, la prima domanda è: se Google volesse aggiornare, o altrimenti connettersi con alcuni dei miei programmi Google in esecuzione per qualsiasi motivo, perché non stanno semplicemente bussando a quelle porte invece di svchost.exe? Seconda domanda: se mai qualcosa, non dovrebbe essere quello che sta tentando di contattare Google invece del contrario?

    
posta CreationTribe 19.12.2013 - 16:19
fonte

3 risposte

4

Prova a identificare ciò che comunica con Google:

  1. Poiché hai la porta e la destinazione locali, esegui netstat -ao o netstat -nao per ottenere il PID.
  2. Ora che il PID è in esecuzione Sysinternals Process Explorer con autorizzazione elevata / amministratore.
  3. Trova lo svchost con il PID corrispondente.
  4. Passa il cursore del mouse sul processo. Il tooltip ti informerà dei diversi servizi in esecuzione sotto tale svchost.

Ora che hai identificato lo svchost corretto, si tratta di capire quale servizio all'interno del processo dovrebbe contattare Google. Spesso sono abbastanza unici in cui questo può essere facilmente determinato a colpo d'occhio.

    
risposta data 20.12.2013 - 17:07
fonte
3

È un peccato che il messaggio non ti mostri il PID dello svchost che sta cercando di colpire. (Sooooo molte istanze di svchost.exe in esecuzione tutto il tempo.)

Quali sono le eventuali applicazioni Google installate sulla macchina? Probabilmente ce n'è uno che ha un componente di servizio e il traffico in entrata che stai vedendo potrebbe potenzialmente far parte di un servizio push associato a questo.

Se non sei ancora sicuro, dovresti riuscire a trovare il PID con TCPView e quindi rintracciare ulteriormente il servizio con ProcessExplorer

    
risposta data 19.12.2013 - 20:03
fonte
1

SvcHost è il processo che avvolge i processi di "servizio" in background che vengono eseguiti sulla macchina. Ciò include eventuali servizi di terze parti che potrebbero essere responsabili (ad esempio) della condivisione di file.

Ti capita di avere Google Drive sulla confezione? Se questo è il caso, non c'è nulla di sospetto a riguardo.

    
risposta data 20.12.2013 - 17:36
fonte

Leggi altre domande sui tag