connessioni indesiderate via smtp

[StarryNight88]

Ciao a tutti!
Ho il seguente problema: avendo riscontrato valori per i byte inviati e ricevuti durante la connessione a internet consistentemente più alti del solito, mi sono procurata un programma (tcpview) che permette di controllare tutte le connessioni attive. Ho notato che 10 minuti circa dopo l'inizio della connessione a internet, vengono aperte molte connessioni col protocollo smtp (ma non mi risulta di avere alcun client di posta attivo); se tento di chiuderle, vengono riaperte sulla porta successiva. tramite quel programma sono anche in grado di vedere i server che vengono contattati, ma cercando su internet informazioni al riguardo non ho trovato nulla...
Alcuni server contattati sono i seguenti:
idcmail-mx1no.cg.shawcable.net
mx3.zoneedit.com
s8b2.psmtp.com
server21.appriver.com
server22.appriver.com
altri vengono indicati solo tramite l'ip.
Avendo una connessione 3g, tutto questo traffico è davvero un problema.
Qualcuno può aiutarmi a capire?
Ringrazio in anticipo...

StarryNight

[amvinfe]

benvenuta,

prova ad usare RUBotted e vedi se riesci ad avere indicazioni più precise
http://www.trendsecure.com/portal/en...tools/rubotted

[StarryNight88]

grazie amvinfe,
ho scaricato e installato il programma che mi hai indicato; mi ha subito detto di non aver rilevato bots, ho aspettato che si aprissero le solite connessioni smtp, ma anche quando è successo, continuava a non trovare nulla.
altri server contattati:
mail.mx4.compuserve.com
mail.mx5.compuserve.com
spf8.us4.outblaze.com

ah dimenticavo: quando ho notato questo problema, ho immediatamente fatto una scansione con spybot e nod32, anche in modalità provvisoria: non hanno trovato niente.

StarryNight

[Habanero]

TCPview dovrebbe indicarti quale processo apre la connessione..

[StarryNight88]

Sì...però è svchost.exe

Il path è sempre C:\WINDOWS\system32\svchost.exe
Invece i comandi (nel campo command line), controllando a campione (perchè le connessioni si aprono e chiudono così velocemente e sono talmente tante che non riesco a controllarle tutte) sono due:
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\WINDOWS\system32\svchost.exe -k DcomLaunch
ovviamente se provo a terminare uno di questi processi, il computer si riavvia, perchè è terminato un processo necessario al sistema.

StarryNight

[amvinfe]

Proviamo con questo tool
http://sosvirus.changelog.fr/MSNFix.zip

disconnettiti da internet e disattiva l'antivirus.

Dezippa sul desktop l'archivio, apri la cartella MSNFix esegui il file MSNFix.bat seleziona la lingua ("I") > "Invio" > digita "R" > "Invio" ed attendi che la scansione sia terminata.

Se viene trovata l'infezione premi un qualsiasi tasto e dai l'"Invio".
Riavvia il pc.

Portati nella cartella MSNFix dovresti trovare il rapporto, postalo.

[StarryNight88]

ho eseguito msnfix seguendo le tue istruzioni, ed ha trovato 3 infezioni, ha riavviato, ma il log proprio non lo trovo... o meglio, dopo aver riavviato si è subito aperto un documento ma era vuoto..
ho provato allora a connettermi di nuovo a internet e dopo un po' si sono ripresentate le famose connessioni.. poi però ho chiuso (terminato) msn e sono sparite. L'ho riaperto e delle connessioni nessuna traccia, ormai da ben tre quarti d'ora... meglio così.. però ci capisco sempre meno....

[Deifobe]

Cerca il file di testo nella cartella MSNFix, come ti ha scritto Am (se non la trovi usa la funzione "cerca" di windows)

Alla fine della scansione, oltre al file di testo, viene generato anche un file zip: devi eliminarlo e svuotare il cestino..

[amvinfe]

mi erano capitati altri casi come il tuo dove svchost.exe veniva richiamato.

La tua macchina in sostanza è stata usata per inviare spam.

[amvinfe]

esegui naturalmente un'ulteriore scansione con l'antivirus aggiornato od anche, se preferisci, una scansione online.