ADSL/libero che si autosconnette.

[zot]

Fin'ora col modem di libero tutto filava liscio, ma poi..patatrac, ora il modem si disconnette da solo dopo 15/20 min, nella finestra connessione remota non e' piu' presente se voglio ricollegarmi, un messaggio di "SECVCHOST" appare e l'unica soluzione e' riavviare. Ad un passo dalla formattazione, posso in qualche maniera evitarla? forse solo reinstallando il modem? (ho 98se).

[LUPO21]

prova a fare i controlli di routine con antivirus e hijackthis! cmq da quanto hai detto ti si sconnette dopo 20 minuti;a me sembra normale,sopratutto se lo lasci per 20 minuti inattivo cioè non giri per internet per 20 minuti;più strano invece mi smbra quel messaggio ! cmq fai un pò di controlli e poi facci sapere!

[klizya]

leggi questo:
http://www.greatis.com/appdata/d/s/secvchost.exe.htm

[zot]

Sembra risolto.. nei files temporanei di Internet c'erano due "dialer" che evidentemente tentavano di tanto in tanto di collegarsi...facendo cadere il collegamento ADSL. Uno l'ha cancellato Norton l'altro manualmente io. Sucessivamente ho installato adware, stopdialer, ZoneAlarm..sono un po' invasivi ma forse limitano un po' sti problemi.

[frankt]

Ciao a tutti sono nuovo del forum, vi posterò il mio intervento sul forum di virgilio, e che riguarda l'argomento in questione! che a dire il vero mi ha fatto uscire pazzo col modem...dato che fino a qualche giorno fa sto maledetto trojan non veniva individuato!
ho scritto così:

circa 10 giorni fa ho installato Xp Pro sp.1 sul mio pc,l'ho
aggiornato ed ho cominciato a navigare.
Mentre navigavo la connessione veniva di colpo interrotta senza
motivo e senza ragione, in qualsiasi momento della giornata.

Ogni qual volta mi cadeva la connessione io facevo una piccola e
banale verifica per vedere quali processi fossero attivi nel mio
computer al momento della caduta della connessione: dunque
premevo assieme CTRL+ALT+CANC e scoprivo dal task manager che si
trattava di un file SECVCHOST.EXE che era responsabile della
caduta.

Ho così cominciato a cercare su internet,ma nessun sito,tranne
uno,mi segnalava il file in questione come virus.

Soltanto da 2 giorni (e non capisco perchè dato che NORTON
conosce il problema da agosto 2005) dicevo soltanto da 2 giorni
il mio norton 2005 individua il tentativo di attacco del trojan
al mio sistema. Io impedendo l'accesso al pc impedisco
FINALMENTE di far cadere la mia connessione, ma purtroppo ho
notato che subito dopo il respinto attacco non riesco più a
visitare le pagine web; in sostanza la connessione è attiva,ma
non naviga, devo dunque disconnettermi e riconnettermi.

La soluzione al problema sta nell'ottenere dalla maledetta
microsoft l'aggiornamento ad XP pro.sp.1 che risolva il
problema di vulnerabilità di questo trojan; nel frattempo
potremo solamente impedirgli l'accesso con gli antivirus.
Mi fai sapere che antivirus usi? voglio capire se qualche
società ha individuato la vulnerabilità che il virus sfrutta in
winXp.
Continua a navigare tranquillamente perchè il pc resta pulito se
l'antivirus è aggiornato e sopratutto se ti comunica di aver
bloccato l'attacco virale.
Ciao francesco

[frankt]

mi accade praticamente ogni volta che mi connetto, dopo circa 10, 15 minuti o mezz'ora...
è accaduto anche poco fa e contrariamente a quanto affermato nel precedente post ho potuto navigare liberamente!
adesso sto controllando con l'antivirus il pc per verificare se c'è il dialer o altro file simile che mi richiama il SECVCHOST.exe sul web..

se avete info per favore postatele sul forum,
ciao a tutti

[Dylan666]

Risposta generica:
http://www.pc-facile.com/combattere_spyware_t111274/

http://www.pc-facile.com/guida_hijackthis_t148946/

[frankt]

infatti rispondevo ad un post già inserito in precedenza (se poi era sbagliato anche quello come sezione non lo so..),ovviamente mi scuso solo e soltanto per la mia risposta "fuori sezione" dato che è l'unica " incriminata"!!
grazie per i link postati, ma il problema non si risolve con haijackthis,
poichè non c'è alcuna chiave di registro, ne libreria, ne file eseguibile, ne altro che attiva la routine di payload del trojan, il sottoscritto secvchost.exe attiva se medesimo una volta che ha accesso al pc infetto (privo di antivirus) senza copiare se stesso sulla macchina ma semplicemente "attivandosi" e cioè facendo cadere la connessione.
Penso che informazioni utili a tutti siano fondamentali...a prescindere da dove vengano postate.

[Dylan666]

Boh, io questo virus dalle qualità strordinarie non lo vedo:

http://www.greatis.com/appdata/d/s/secv ... emoval.htm

Potrei vedere un log d Hijackhis?

[frankt]

il link postato lo avevo visto tempo fa,è la pubblicità del prodotto Regrun!
La Greatis è stata caparbia ad individuare il "body" del virus, cosa che Norton e Antivir hanno fatto solo 2 giorni fa.Ma per il resto sul sito non offrono nessun tool di rimozione come sembra dal link.
La straordinarietà di questo virus (fastidioso più che pericoloso)è scritta nelle pagine che precedono quest'ultimo post.Quando si legge,occorre farlo con attenzione, è tutto diventa sempre più chiaro.
Saluti a tutti,
ciao.

[frankt]

norton ha pensato di associarlo come variante ad un generico trojan-horse (individuato nell'agosto 2005)

http://securityresponse.symantec.com/av ... horse.html

[Dylan666]

Quello che mi interessava farti notare nel link che ho messo e che è testimoniato anche dal tuo collegamento alla pagina della Symantec è che il tuo virus non ha nulla di eccezionale. È una coppia di file che si va a avviare con le solite chiavi...

Un log di HijackThis e mettiamo tutto a posto. Poi è chiaro che un aggiornamento al SP2 o un firewall aiuterebbe parecchio a non farti ri-infettare...

Se poi è un dialer è inutile continuare a combatterlo con l'antivirus, esistono programmi più specifici. Rimango comunque in attesa del log.

[tale5469]

x zot se ti appare svchost dopo un po che connetti potresti avere scaricato un trojan senza saperlo ti consiglio di verificare con eventuali antivirus o programmi di rimozione ,,, io sfrutto il sistema dei trojan x terminare windows quando mi va in crash termino i 4 svchost nella task dei manager ,,, sempre meno doloroso che il reset

[frankt]

Svchost non è nocivo! non so se nel post precedente a questo si sostiene ciò ma è stra-risaputo che il file in questione è di sistema:
eseguendo il comando riportato al link seguente si può verificare ciò:

http://community.visual-basic.it/lucian ... 1/520.aspx


Per DilanDog:

questo il mio log; ti sottolineo subito la versione poco vecchiotta di I.E. ed una chiave (la 017) che solitamente mi riappare anche dopo averla cancellata ma che non necessariamente posso attribuire al tentativo di accesso di secvchost.exe!Cercherò di risalire alla sua origine ma posso sin da ora escludere con certezza matematica che ci siano VIRUS-WORM o altro (controllo con norton antivirus 2005) oppure Spyware (controllo con AdAware Professional) Malware-Spyware (Spybot 1.14)e controllo con Outpost Tauscan Antitrojan,tutti rigorosamente aggiornati.Meglio di così non si può.

Poi uso da 2 anni abbondanti Outpost Firewall (uso manuale non di avvio) e sinceramente tranne il tentativo di connessione di secvhost.exe non mi ha mai rilevato grandi modifiche: segnerò la porta la prossima volta così da capire la vulnerabilità sfruttata.


Logfile of HijackThis v1.99.1
Scan saved at 0.23.21, on 18/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\sndmen.exe
C:\WINDOWS\msncomm.exe
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\msncomm.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\Programmi\NetLimiter\NetLimiter.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Franc\Desktop\Programmi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SoundMan] C:\WINDOWS\sndmen.exe -i
O4 - HKLM\..\Run: [ImMsn] C:\WINDOWS\msncomm.exe /i
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{643F2843-1588-474A-8414-2EF549846AB9}: NameServer = 62.211.69.150 212.48.4.15
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

fammi sapere se sono stato distratto al punto da non vedere il disastro sotto il mio naso !!!

[Dylan666]

Ovviamente faccio notare che manca il SP2 e l'ultima versione di Internet Explorer...

Ma msncomm.exe è sicuro? Perché cercandolo su Google il primo link che mi dà non è incoraggiante... stesso dicasi per sndmen.exe che forse vorrebbe sfruttare una vaga assonanza con il ben più noto e innocuo soundman.exe ...

[frankt]

o la Greatis software ha un genio tra i suoi informatici...oppure non si spiega come abbia fatto a prevedere secvchost.exe tra i trojan....

questo forse mi ha fatto pensare...e cogliere al volo il fatto che sndmen e msncomm sono segnalati dalla greatis come dannosi...

e così dandoti anche ascolto li ho "fixati" stamane..non prima d'aver tolto e rimesso il controllo del volume dalla barra di applicazioni..per capire così se era lui..
dunque ora i suddetti non ci sono....e sinceramente non è stato "tentato" nessun tipo di accesso da secvchost.exe...non ancora per il momento!

------> ma che fine avranno fatto i 2 file che teoricamente dovevano essere in windows\system e che invece lì non si trovano? suggerimenti?

comunque ribadisco..ho 1 falla nel sistema operativo (nonostante sia aggiornato a sett.2005)...e non posso caricare la sp2 perchè il pc è piccolo (duron 800 con 256 ram)
ciao frankt

[Dylan666]

oma che fine avranno fatto i 2 file che teoricamente dovevano essere in windows\system e che invece lì non si trovano? suggerimenti?

[...]

e non posso caricare la sp2 perchè il pc è piccolo (duron 800 con 256 ram)
ciao frankt

Sbagli dove guardi, devi andare in C:\WINDOWS\ e non C:\WINDOWS\Sistem.

Ma che c'entra il SP2 con le risorse di sistema? I requisiti minimi di sistema restano gli stessi e ti sto scrivendo da un PC che li ha uguali ai tuoi e usa XP con SP2.

[zena]

ciao a tutti... ho letto i vostri messaggi e anch'io ho lo stesso problema con SECVCHOST.EXE che mi disconnette dopo venti minuti che navigo... non ho mica ancora ben capito molto di cosa sia e vorrei saper come fare a levarlo perchè è molto fastidioso.
Ho scaricato RegRun ma non è che ci capisca un gran che... se riuscite a darmi una mano ve ne sarò molto grato... grazie mille

[zena]

e poi mi dice:




Data 10/17/2005 Ora 17:39
SECVCHOST ha provocato un errore di pagina non valida nel
modulo KERNEL32.DLL in 016f:bff6bb07.
Registri:
EAX=00000000 CS=016f EIP=bff6bb07 EFLGS=00000246
EBX=00000001 SS=0177 ESP=0074fd74 EBP=0074fd84
ECX=00000000 DS=0177 ESI=008705c0 FS=1f5f
EDX=bffbb490 ES=0177 EDI=00000000 GS=0000
Byte all'indirizzo CS:EIP:
ff 76 04 e8 8a 87 ff ff 5e c2 04 00 56 8b 74 24
Immagine dello stack:
7803b518 78001d9a 008705c0 7803b6cc 0074fdc0 780027a6 00000002 004093ac 7803b6cc 00000001 00000001 00000000 00000000 00000000 0074fa24 0074ff68
**********************************************************************
Data 10/18/2005 Ora 19:42
SECVCHOST ha provocato un errore di pagina non valida nel
modulo KERNEL32.DLL in 016f:bff6bb07.
Registri:
EAX=00000000 CS=016f EIP=bff6bb07 EFLGS=00000246
EBX=00000001 SS=0177 ESP=0074fd74 EBP=0074fd84
ECX=00000000 DS=0177 ESI=008705c0 FS=59a7
EDX=bffbb490 ES=0177 EDI=00000000 GS=0000
Byte all'indirizzo CS:EIP:
ff 76 04 e8 8a 87 ff ff 5e c2 04 00 56 8b 74 24
Immagine dello stack:
7803b518 78001d9a 008705c0 7803b6cc 0074fdc0 780027a6 00000002 004093ac 7803b6cc 00000001 00000001 00000000 00000000 00000000 0074fa24 0074ff68
**********************************************************************
Data 10/18/2005 Ora 20:19
SECVCHOST ha provocato un errore di pagina non valida nel
modulo KERNEL32.DLL in 016f:bff6bb07.
Registri:
EAX=00000000 CS=016f EIP=bff6bb07 EFLGS=00000246
EBX=00000001 SS=0177 ESP=0074fd74 EBP=0074fd84
ECX=00000000 DS=0177 ESI=008705c0 FS=6f07
EDX=bffbb490 ES=0177 EDI=00000000 GS=0000
Byte all'indirizzo CS:EIP:
ff 76 04 e8 8a 87 ff ff 5e c2 04 00 56 8b 74 24
Immagine dello stack:
7803b518 78001d9a 008705c0 7803b6cc 0074fdc0 780027a6 00000002 004093ac 7803b6cc 00000001 00000001 00000000 00000000 00000000 0074fa24 0074ff68


non so cosa voglia dire.
aiutatemi a liberarmene grazie mille

[Dylan666]

Ma hai letto e fatto quanto scritto fino a ora o no?