un orsetto si vuole connettere

[Adri101]

Ciao a tutti,

da un po' di tempo mi accade che si apra spontaneamente la finestra dell'accesso remoto.
Io le impedisco di connettersi ma vorrei capire qual'è il programma che ci prova.
Immagino tra l'altro che i tentativi di connessione vadano a buon fine quando sono già collegato già in rete.
Ho win xp home, ho provato naturalmente a vedere col task manager quali siano i programmi in funzione ma non c'è nulla di anormale.
Ho anche installato "spybot search and destroy" ma dopo la scansione del sistema il problema è rimasto.
Ho anche "Zone Alarm" in regolare servizio.
L'unico indizio che noto è che quando la connessione tenta di partire, l'icona dell'accesso remoto che si apre sulla barra degli strumenti rappresenta un orsetto.
Qualcuno sa dirmi di cosa si tratta?

[Kintaro10]

fai la scansione con spybot (e magari anke adaware) in modalità provvisoria, dopo aver preventivamente disattivato l'opzione per il ripristino di sistema.
Se ancora non si risolve, posta il log di hijackthis.

Ciao

[71104]

bah, i veri programmatori prima controllano tutto quello che c'è in avvio automatico, poi usano Spy++ per capire qual'è l'eseguibile, se è un eseguibile insospettabile, controllano tutti i moduli che ha caricato, se non ha caricato moduli strani lo terminano e lo riavviano, se il problema ancora persiste controllano la sua IAT, e se ancora non c'è niente da fare formattano!!!

N.B.: avendo l'indizio dell'orsetto si può fare ancora di meglio: si controllano tutte le risorse dei moduli sospetti con ResHacker in cerca dell'orsetto dispettoso!

[tidav]

Hai provato a controllare con un programmino tipo autoruns quali sono i componenti che partono in automatico all'avvio del computer ?

Comunque con il firewall basta che imposti su blocca sempre la connessione per quella particolare applicazione che tenta l'accesso e sei a posto...anche se va capito se è una cosa normale o se è un trojan etc

[trevi63]

Puo' anche essere che abbia un qualche programma "pulito" che cerca di aggiornarsi cosicche' chiede la connessione.
Uno di questi e' Microsoft Antispyware.

saluti

[Adri101]

Per 71104:
Io non sono un programmatore nè falso nè vero
L'avvio automatico l'ho controllato ma nell'elenco si sono pochi programmi non sospetti.
I moduli non so cosa siano.
La IAT cos'è? Una nuova tassa?
Formattare mi sembra esagerato e ResHacker immagino sia un programma per addetti ai lavori ma se mi dici dove trovarlo ci provo.

Per tidav:
Il firewall non mi chiede nulla quando parte quella connessione.
Forse come suggerisce trevi63 è un programma "pulito" a provarci.

Ho trovato un "SCVHOST.EXE" con l'orsetto nell'elenco dei programmi individuati dal firewall: sarà lui?

La caccia continua

[danidest]

http://www.liutilities.com/products/...brary/scvhost/

WinTasks Process Library



scvhost - scvhost.exe - Process Information
Process File: scvhost or scvhost.exe
Process Name: W32/Agobot-S virus

Description:
scvhost.exe is a process which is registered as the W32/Agobot-S virus. This Trojan allows attackers to access your computer, stealing passwords and personal data. It is a registered security risk and should be removed immediately. Please see additional details regarding this process
For More Detailed Process Information Get WinTasks 5 Pro


Author: na
Part Of: W32/Agobot-S virus

System Process: No
Background Process: Yes
Uses Network: Yes
Hardware Related: No
Common Errors: N/A

Security Risk (0-5): 4
Virus: Yes ( Remove )
Spyware: No ( Remove )
Trojan: Yes ( Remove )


Ciao.

[71104]

maddai, che scemenza, svchost un virus... se usi Windows è più sicuro svchost di firefox (tanto per rifarmi ad un altro thread... )

per Adri101:
- un computer che in avvio automatico ha poca roba esisterà quando gli asini voleranno sei sicuro di aver controllato bene tutte le chiavi ed entrambe le cartelle del menu avvio?
- ahaha buona quella della IAT cmq si tratta della Import Address Table, ovvero una parte dei files contenenti programmi di qualsiasi tipo dove vengono specificati tutti i moduli richiesti dal programma per la sua corretta esecuzione (detto in termini molto semplici)
- un modulo è una qualsiasi immagine PE, ovvero un EXE, una DLL, un driver, un OCX, uno screensaver... in pratica qualsiasi file contenente codice che si suppone possa essere eseguito
- ResHacker è un programma che ti permette di vedere tutte le risorse contenute in un file PE (cioè in un modulo ); le risorse sono semplicemente dei dati utilizzati dal programma scritto in quel file, e in genere si tratta di icone, cursori, finestre di dialogo, suoni, stringhe alfanumeriche, pagine HTML, dati binari, e altro; se tu hai visto un'icona a forma di orsetto una cosa è (praticamente) certa: esiste sul tuo computer un file PE contenente quell'icona tra le sue risorse; quello che proponevo io mezzo scerzosamente (ma per un programmatore potrebbe essere una soluzione + che ragionevole) era di usare ResHacker dopo aver selezionato un certo numero di moduli possibilmente sospetti con uno degli altri metodi che ho descritto; tra quei moduli si poteva cercare quello contenente l'icona orsetto (e chiaramente era il colpevole).

[Hell-VoyAgeR]

Quote:

Originariamente inviato da 71104
maddai, che scemenza, svchost un virus... se usi Windows è più sicuro svchost di firefox (tanto per rifarmi ad un altro thread... )

guarda che ha scritto SCVhost e non SVChost.... ed e' realmente un trojan (il primo non il secondo)

[71104]

Quote:

Originariamente inviato da Hell-VoyAgeR
guarda che ha scritto SCVhost e non SVChost.... ed e' realmente un trojan (il primo non il secondo)

to', è vero! O.o
si tratta di un programma il cui nome trae in inganno l'utonto... ma tu guarda le cazzate che si vanno ad inventare sti programmatori scemi... asd