Firewall Comodo e processo scvhost.exe

[yeyegirl]

Avevo installato il firewall di Comodo e, all'avvio - ancora prima di collegarmi con alice ADSL, segnalava il processo scvhost.exe come possibile rischio perché tentava di collegarsi al web.

Sia che io negassi sia che lo permettessi, dopo internet risultava attivo ma mozilla non si apre!

Da alcune ricerche ho capito che è un processo che sfrutta alcune vulnerabilità rimandando ad un IP molto lungo...
Sapete dirmi qualcosa?

Da Task manager risultano 4 processi così attivi.

Da notare che tale eseguibile esiste solo nella cartella c:\WINDOWS\System32 che, se non sbaglio, è dove dovrebbe essere.


ciao da silvia

[delpii]

Silvia il processo SVCHOST è di sistema ed ha lo scopo di fare da host a servizi che utilizzano delle DLL. Non ti devi quindi preoccupare della sua presenza. Anzi....

Tu hai scritto scvhost.exe ma spero sia stato un errore di digitazione in quanto se è presente questo processo potrebbe essere un Virus. Se è così prova a seguire questa procedura:


Da Esplora Risorse cerchiamo ed eliminiamo il file:

C:\WINDOWS\SYSTEM\scvhost.exe

IMPORTANTE: Non cancelliamo C:\WINDOWS\SYSTEM32\SVCHOST.EXE,poichè è un file proprio di Windows.

Svuotiamo il cestino.

Editiamo il registro

Nota: alcuni dei percorsi nel registro che menzioneremo, possono non essere presenti, ciò dipende dalla versione di Windows installata.

Start>Esegui>scriviamo REGEDIT e premiamo OK.

Aiutandoci cliccando sui + fino ad ottenere:

HKEY_CURRENT_USER
\Software
\Microsoft
\OLE

selezioniamo la cartella "OLE" e nel pannello di dx, cotto la colonna "Nome", cerchiamo e cancelliamo la chiave:

Microsoft Critical System Services = "scvhost.exe"

Aiutandoci ancora cliccando sui + fino ad ottenere:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

selezioniamo la cartella "Run" e nel pannello di dx, cotto la colonna "Nome", cerchiamo e cancelliamo la chiave:

Microsoft Critical System Services = "scvhost.exe"

Aiutandoci sempre cliccando sui + fino ad ottenere:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

selezioniamo la cartella "RunServices" e nel pannello di dx, cotto la colonna "Nome", cerchiamo e cancelliamo la chiave:

Microsoft Critical System Services = "scvhost.exe"

Chiudiamo e Salviamo le modifiche


Eliminare i files anche dal cestino!

Riavviare il computer.

Fare una scansione, sempre dalla modalità provvisoria, con l'antivirus aggiornato. Riavviare in modalità normale. N.B. Prima della procedura di rimozione ricordarsi che su sistemi operativi WinME e WinXP si consiglia di disabilitare il Ripristino di configurazione del sistema (System Restore). Procedure per il Ripristino di configurazione del sistema: Su Sistemi Operativi WinME: Click su Start, da Impostazioni click su Pannello di Controllo, doppio click su Sistema e cliccate sulla scheda Prestazioni. Click su File System quindi sulla scheda Risoluzione dei problemi e selezionate Disattiva ripristino configurazione di sistema, date OK quindi cliccate su Chiudi, vi verrà chiesto di riavviare il computer. Su Sistemi Operativi WinXP: Click su Start, click con il tasto dx del mouse su Risorse del Computer poi su Proprietà. Click sulla scheda Ripristino configurazione di sistema mettere la spunta su Disattiva Ripristino configurazione di sistema o su Disattiva Ripristino configurazione di sistema su tutte le unità, click su Applica click su Sì e poi su OK, riavviare. N.B. Terminata la rimozione del virus, riattivare il Ripristino di configurazione del sistema.

[tognazzi]

piano delpii
la procedura che hai suggerito va benissimo ma può confondere le idee.
prima di tutto bisogna verificare che non sia qualcosa di molto più banale.
come giustamente hai osservato molto probabilmente si tratta solo del processo svchost.
il fatto che possa essere presente più volte nel task manager (e nel log di hjt) è normale.
l'ho imparato da poco da amvinfe
con ogni probabilità si tratta semplicemente di un banale errore nella definizione delle regole di comodo personal firewall.

@yyg

apri

comodo personal firewall->application monitor

e assicurati che firefox abbia la spunta su "allow" ("permetti") sia in ingresso (TCP/UDP In) che in uscita (TCP/UDP Out)

EDIT

se vuoi per maggiore sicurezza posta log di hijackthis e controlliamo se ci sono processi taroccati in modo da somigliare a svchost

[yeyegirl]

Sì, avevo leggiucchiato che il processo pericoloso somiglia di nome a quello buono...
E' per questo che chiedo aiuto a voi!
Ecco il log, se è tutto ok reinstallo Comodo e vedo come funziona:

Logfile of HijackThis v1.99.1
Scan saved at 19.30.15, on 02/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\AOL\Active Virus Shield\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\keyhook.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb1 0.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\Hewlett-Packard\HP Software

Update\HPWuSchd2.exe
C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe
C:\Programmi\AOL\Active Virus Shield\avp.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.ex e
C:\WINDOWS\system32\sistray.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.BIN
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and

Settings\Proprietario\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start

Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet

Explorer\Main,Default_Page_URL =

http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet

Explorer\Main,Default_Search_URL =

http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search

Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start

Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet

Explorer\Search,SearchAssistant =
R1 -

HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet

Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet

Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-

4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0

\ActiveX\AcroIEHelper.dll
O2 - BHO: XBTP06568 - {311F9DE8-6126-4EEE-B15F-

65CBB3B4F9F6} - C:\Programmi\AOL Security Toolbar\tbu18

\AOL_security_toolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-

206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-

D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: AOL Security Toolbar - {3BB63FD4-3C00-44D7-

94A9-5DE211900DEF} - C:\Programmi\AOL Security

Toolbar\tbu18\AOL_security_toolbar.dll
O4 - HKLM\..\Run: [SiS Windows KeyHook]

C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HP Component Manager]

"C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility]

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb1 0.exe
O4 - HKLM\..\Run: [WinampAgent]

C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [HP Software Update]

C:\Programmi\Hewlett-Packard\HP Software

Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32

\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched]

C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe
O4 - HKLM\..\Run: [aol] "C:\Programmi\AOL\Active Virus

Shield\avp.exe"
O4 - HKCU\..\Run: [MSMSGS]

"C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32

\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat

7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot

- Search & Destroy\TeaTimer.exe
O4 - Startup: OpenOffice.org 2.1.lnk =

C:\Programmi\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk =

C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma

Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk =

C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk =

C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk =

C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.ex e
O4 - Global Startup: Utility Tray.lnk =

C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel

- res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-

00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0

-4FCB-11CF-AAA5-00401C608501} -

C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-

00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows

Genuine Advantage Validation Tool) -

http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{1234BF56-07D7-

4AED-9A89-5F57CCB080A6}: NameServer = 85.37.17.42

85.38.28.87
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-

8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-

8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-

1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32

\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32

\WgaLogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware

Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware

7.5\guard.exe
O23 - Service: Active Virus Shield (AVP) - Unknown owner -

C:\Programmi\AOL\Active Virus Shield\avp.exe" -r (file

missing)

[tognazzi]

il tuo log è pulito.
in particolare svchost.exe è legittimo: non è un viruz che cerca di mimetizzarsi (come il classico "svhost", senza la c di como) e si trova in C:\WINDOWS\system32\, che è proprio dove deve essere.
non è necessario reinstallare comodo pf devi solo modificare le regole delle applicazioni.
in particolare la regola che il firewall applica a mozilla firefox.

[yeyegirl]

dunque, ecco com'è andata:

-ho reinstallato Comodo e non sono usciti gli avvisi relativi ai processi come l'altra volta. Farò un controllo ma dovrebbe essere il processo buono

-mi scollego dall'ADSL, mi ricollego e firefox non va, nel senso che non visualizza le pagine come se non ci fosse la linea.

why?!? Eppure questo mi piace, lo trovo + chiaro di Zone alarm...

E poi il pc ogni tanto ronza come se ci fosse un floppy ma il floppy, manco a dirlo, non c'è...

che si fa?
silvia

[tognazzi]

innanzitutto un controllo.

connettiti a internet con comodo pf attivato e ottieni il solito messaggio di errore.

clicca col pulsante destro del mouse sull'icona a forma di scudo azzurro di comodo pf nella icon tray (vicino all'orologio)

seleziona "exit" e conferma la scelta per disattivare il firewall.

prova di nuovo a connetterti a internet ci riesci?

[Habanero]

Per la cronaca se neghi l'accesso ad internet a svchost.exe non riuscirai mai a navigare. Una delle istanze di svchost gestisce il client DNS per la risoluzione dei nomi in ip.

Sinceramente non conosco Comodo pf... ma le impostazioni giuste per svchost sarebbero:

1) accesso a internet sempre permesso
2) accesso da internet (come server) sempre negato.

[tognazzi]

un modo semplice per risolvere dovrebbe essere il seguente:

comodo personal firewall->tasks->scan for known applications

il firewall apre un wizard che ricerca le applicazioni conosciute e giudicate certamente sicure.
tra queste anche mozilla firefox. al termine della procedura ti verrà richiesto di riavviare il pc.
il firewall procederà a definire automaticamente una nuova regola per ff che non dovrebbe creare problemi.

[yeyegirl]

Ok, grazie dei consigli! Stasera riprovo con i vs consigli alla mano, speriamo che vada tutto bene.



La cosa curiosa è che quando firefox non apre le pagine, se riavvio il pc funziona tutto!

:rollo: boh, chi lo sa! Imposterò i permessi di svchost.exe come mi è stato detto. Nel frattempo garzie mille!