connessione remota

[frances82]

Ogni volta ke accendo il pc mi appare la finestra di connessione remota richiesta da un certo "e2give.com" ke non so cosa sia. Ho fatto la scansione con l'antivirus, ho passato ad-aware, ho fatto la pulizia dei dischi, ho cancellato i cookies e li ho bloccati del tutto, ho controllato ke non ci fossero dialer ma non è servito a niente, ho anke fatto la ricerca di quel nome ma non ha trovato niente e quel coso continua ad apparire. Come faccio a trovarlo e cancellarlo sto coso???
grazie
ciao a tutti

[Al è qui]

E' uno spyware, prova con spybot aggiornato.

[m@ximo]

Probabilmente hai anche un programma che in esecuzione automatica all'avvio di windows tenta di aprire la connessione.

Max

[gioran]

Ragazzi aiuto ho un problema analogo.........
all'avvio del pc con win xp pro , mi appare una richiesta di connessione (un po' diversa da quella solita), che mi dice che un programma o un utente chiede la connessione a siti un po' strani (roba di simil hacker). Io rifiuto, ma la domanda si ripresenta.
Ho beccato nel task manager l'agente che fa partire la chiamata ed è "rasautou.exe".
Ho frugato nel registro ed ho trovato alcune cose strane nella chiave "Ras Autodial" in HKEY_CURRENT_USER.
E' pieno di cartelle con indirizzi IP di siti, alcuni normali (tipo tiscali), altri no e guarda caso proprio quelli che cercano di farmi connettere.
Ho contrullato la cartella Run dell'esecuzione automatica, ma non c'è nulla di strano......ho usato norton, spybot ed adaware aggiornati ad oggi e non hanno rilevato niente.......ho installato Zone alarm e la situazione non è cambiata.........
CHE FACCIO
Sono tentato di cancellare quelle voci dal registro, anche perchè ho controllato in un'altro PC con win xp home e tutto quello non c'è.......che dite???

Grazie mille, aiutatemi anche perchè credo che ad ogni collegamento che avviene normalmente (dimenticavo con ADSL Alice), ho la sensazione che il mio computer trasmetta dati, come mi conferma anche "netstat" e quei siti, sono veramente poco rassicuranti

Grazie

[gioran]

HELP ME PLEASE

[Delmak_O]

rasautou.exe è un programma di Windows xp, digita dal prompt del Dos rasautou -s e vedi un elenco di link verso cui si connette il tuo sistema, lo stesso che ritrovi in HKCU\Software\Microsoft\RAS Autodial\Addresses, svuota pure la cache di rasautou individuando i programmi malevoli di cui hai parlato nella chiave del registro...
per cercare un dialer, prova con il comando msconfig da start\esegui, sezione 'avvio' controlla se c'è il programma che cerchi, deseleziona e guarda il percorso anche della chiave del registro per eliminare il programma
nel registro controlla le voci HCKU\Software\Microsoft\Windows\CurrentVersion\Run
HLKM\Software\Microsoft\Windows\CurrentVersion\Run
un accorgimento:
dopo aver selezionato da Pannello Controllo\Opzioni Cartella\Visualizzazione\Visualizza cartelle e file nascosti,
vai in c:\Documents and Settings\All Users\Dati Applicazioni\Microsoft\Network\Connections\Pbk, trovi questo file Rasphone.pbk, quando sei sicuro che sia pulito, clicca col tasto dx del tuo mouse, proprietà, spunta 'sola lettura', così blocchi qualsiasi tentativo di modifica del tuo numero di connessione o comunque ulteriori connessioni poste a tua insaputa...

[gioran]

Grazie mille sei stato dettagliatissimo.........domani provo e faccio sapere.........
Dialer non ne ho comunque trovato ne' con gli appositi programmi ne' nelle cartelle "run" del registro.....ecco perchè non capisco chi "mandi la chiamata" al processo rasautou.........io comunque cancello tutte le cartelle poste in HKCU\Software\Microsoft\RAS Autodial\Addresses e poi vediamo.

grazie e

[gioran]

Ho fatto come hai detto tu Delmak, in effetti in rasautou -s c'erano tutte quelle connessioni.........le ho cencellate dal registro, ma purtroppo il problema si ripresenta
In HCKU\Software\Microsoft\Windows\CurrentV
ersion\Run non c'è niente di anomalo, confermato anche da msconfig, a parte una chiamata a desktop.exe, file contenuto in \Windows\system32
Entrando nelle proprietà del file non c'è il nome del produttore o la versione e questo mi fa pensare.........
In win XP Home non c'è questo file, che faccio???
Se faccio netstat da prompt c'è da piangere.....
Ricordo che sono su Win XP Pro e la linea è Adsl.....
grazie, ma non avevo mai vistro tanta invasività

p.s.
per curiosità, l'avviso dice che le richieste di dati provengono da
IRC.KNIX.25U.COM
KEPLER.AFRAID.ORG
....altri.....

[Delmak_O]

guarda la discussione sul file Eros, potrebbe aiutarti, scarica HijackThis dall'elenco dei links utili riportati in cima al forum, fai una scansione dopo aver chiuso ogni altra applicazione e posta il log, qualcuno più esperto di me potrebbe darti una mano

intanto:
occorre individuare - come ti ha già detto M@ximo - il processo che ti fa partire tutte quelle richieste, controlla anche la chiave HKLM - con lo stesso percorso di 'run' - e la sottochiave RunServices in HKCU, inoltre: HKLM\System\CurrentControlSet\Services, cercando qualche servizio anomalo (ricorda il valore 'start' ha come dati: 2automatico, 4 disabilitato), magari che faccia riferimento nel nome a tutti quei link (guarda i valori)
guarda anche %System%/drivers/etc/hosts dopo aver impostato la visualizzazione dei file nascosti, apri il file hosts con il Blocco Note FACENDO ATTENZIONE A NON SPUNTARE L'OPZIONE 'apri sempre con quel programma', dovresti trovare solo la riga 127.0.0.1 localhost, altrimenti cancella...un trucco a cui ricorrono certi programmi antispyware: digita tutti i nomi dei vari links che hai individuato, riga per riga, scrivendo davanti a ciscuno con almeno uno spazio 127.0.0.1, così troverai il netstat magari più pulito - ogni richiesta a quei nomi verrà rigirata al tuo sistema rendendo impossibile la connessione -, salva ma poi ricordati delle modifiche fatte (usa un segno di cancelletto per scrivere commenti memo), tutto questo può servire a imbavagliare il malware ma il vero problema è eliminarlo fisicamente dal PC...

[gioran]

Grazie ancora.......proverò così