Ciao a tutti, mi presento sono pollaminus, sono nuovo del forum 
vi chiedo gentilmente questo se sapete cosa sia: mentre navigavo mi è apparsa la schermata “vchost.exe sta tentando di ricevere una connessione da internet, vuoi bloccare?” ho scelto sì.
ho allegato un’immagine con i dettagli, qualcuno sa che roba sia? grazie a tutti!
ciao 
[attachment deleted by admin]
ciao e benvenuto tra noi!!!
L’IP che vuole connettersi al tuo PC proviene dagli USA, da Cambridge ed ha come ISP la AKAMAI TECHNOLOGIES.
Aspettiamo la conferma di qualcuno più esperto ma a parer mio da utente medio credo sia pericolosa e quindi hai fatto bene a bloccarla e blocca ancora se si dovesse ripresentare.
Connessioni in ingresso su svchost.exe sono sempre pericolose a meno che le connessioni non provengono da server Microsoft oppure dalla rete LAN, ma non è questo il caso.
Blocca e effettua una scansione completa del PC sia con l’AV di Comodo che con Malwarebytes alla ricerca di ospiti poco graditi!!! …
Ciao, grazie! ero andato a controllare anch’io da dove venisse quell’ip, anche se comunque potrebbe essere un proxy.
grazie ancora mirk! adesso proverò a scannerizzare, se qualcuno ne sa qualcosa in più si faccia avanti
ciao!
aggiornamento: 5 intrusioni
10 programmi
ma è “normale” una situazione del genere?
grazie
[attachment deleted by admin]
hai seguito la guida di sirio (riferita alla versione 4 di Comodo ma va cmq bene per la 5)??
ecco il link http://sites.google.com/site/comodointernetsecurityguida/2--configurazione/firewall
Applica i settaggi per svchost.exe in base a se vuoi condividere o non condividere in lan, trovi tutto in fondo alla pagina…
P.S: le connessioni tra gli eventi bloccati sono in entrata mentre quella nelle connessioni attive è in uscita verso lo stesso range di IP (la famiglia intera è 96.16.0.0 - 96.17.255.255) …
io non credo che si tratti di un proxy:
This IP address resolves to a96-17-157-59.deploy.akamaitechnologies.com
se si trattasse di un proxy non ci sarebbe scritto questo “a96-17-157-59.deploy.akamaitechnologies.com”
se non erro! ;D
Hai per caso notato se ricevi queste connessioni quando hai uTorrent aperto?
Ciao Pollanimus,
relativamente as Akamai ho trovato questo:
Stavi per caso utilizzando uno dei loro servizi?
Concordo in pieno!
Saluti
fuco
Grazie per le risposte! io uso facebook regolarmente, per il resto ho visto che non sono l’unico in internet a cui succede, comunque sono pericolose in che termini?
grazie mille!
p.s. non ho ancora letto la guida ma lo farò appena posso
Ciao pollaminus,
in generale le connessioni possono essere in uscita o in entrata.
Si ha una connessione in uscita quando il tuo pc si connette a dei server in internet.
Ad esempio quando navighi in internet o il sistema operativo si aggiorna o, ancora, qualsiasi programma si aggiorna vi sono connessioni in uscita.
Tali connessioni, in generale, sono “tranquille”.
Una questione ben diversa è una connessione in entrata. Si ha una connessione in entrata quando da un server in internet/altro pc in una rete LAN qualcosa o qualcuno tenta di connettersi al tuo pc.
Un esempio:
Il tuo pc (computer A) è connesso in una rete aziendale con altri pc (computer B) e, con questi ultimi, ha delle cartelle condivise. In questa situazione, se l’utente che lavora sul computer B prova a visualizzare il contenuto della cartella condivisa sul tuo pc (computer A), per il firewall presente sul tuo pc si avrà una connessione in entrata, con le seguenti specifiche:
IP di origine: indirizzo del computer B
IP di destinazione: indirizzo del tuo PC
In questo esempio la connessione in entrata può esssere considerata “tranquilla” in quanto si conosce chi ha effettuato la connessione e perchè.
Altro esempio:
Il tuo pc è connesso in internet e il firewall ti segnala una connessione in entrata dall’IP “x”.
A questo punto la domanda da porsi è:
“So chi si sta connettendo al mio pc e perchè lo sta facendo?”
Mentre nell’esempio precedente la risposta era affermativa, in questo esempio è sicuramente negativa.
Dato che la risposta alla domanda è negativa, la connessione si considera pericolosa in quanto non si sanno le intenzioni di chi ha stabilito la connessione (potenzialmente potrebbe essere un hacker).
Uscendo dall’esempio e tornando alla tua situazione, quelle connessioni sono in entrata e sono “pericolose” in quanto pur sapendo chi le stabilisce (Akamai), non si conosce il motivo delle stesse.
Spero di essere stato d’aiuto
Saluti
fuco
scusate se mi intrometto, sono nuovo del forum e mi sono iscritto appositamente dopo aver letto questo post.
proprio l’altra sera, navigando in Internet, mi è capitato che si aprisse l’interfaccia di avviso di Comodo e che l’avviso fosse proprio lo stesso che si è presentato a pollaminus.
ovviamente ho deciso di bloccare il tentativo di connessione da parte di un altro pc tramite svchost.exe, ma incuriosito sono andato a controllare quale fosse l’ip di provenienza.
ho scoperto che è lo stesso del mio router, di marca D-Link, e che Comodo stesso mi blocca una moltitudine di tentativi di connessione da parte di Windows Operating System che provengono dallo stesso ip, che hanno come porta di origine dalla 1028 fino ad arrivare alla 1039, e come porta di destinazione la 2869.
Ora 2 sono le cose, o questa è una procedura “normale” oppure c’è da preoccuparsi.
cosa dovrei fare?
Grazie anticipatamente
Ripeto la domanda che feci anche a pollaminus (purtroppo si è persa nei meandri :-): per caso tali avvisi li avete con uTorrent aperto o comunque un programma p2p?
Comunque, come ha detto giustamente fuco, le connessioni in entrata sono sempre da trattare con le pinze, a meno che non vengano dalla proprio rete privata, ammesso e non concesso che vi fidiate dei computer collegati ad essa.
Giascar non ce l’ho nemmeno installato un programma p2p.
il pc arriva da una formattazione, e nella mia rete privata c’è solo ed esclusivamente il mio pc, nessun altro.
qualche giorno fa Comodo mi mostrò parecchie notifiche nel quale mi avvisava che molti programmi stavano tentando di installare una Global Hook, e anche li ho bloccato tutto.
ho aggiornato Comodo alla nuova versione e cambiato l’antivirus passando da AVG 9 free ad Avira e non mi ha dato più nessun tipo di problema.
potrebbe essere una causa?!
questo tentativo di connessione è stato un caso oppure crediate sia opera di un virus e/o altro?
grazie per la risposta
Ciao Nood,
benvenuto nel forum
Che sistema operativo hai installato?
La tua rete è protetta o no?
Se quando hai bloccato l’installazione del Global Hook hai selezionato anche “Ricorda la mia risposta” e se quando dici “ho aggiornato Comodo” intendi che lo hai aggiornato tramite l’update automatico senza disinstallarlo e reinstallarlo, direi che il messaggio non lo ricevi più semplicemente perchè Comodo sta già bloccandolo…non penso c’entri il cambio dell’antivirus.
Per ora è difficile stabilirlo…sicuramente sono “sospette”.
Saluti
fuco
Potresti magari postare una screen del registro di log?
Comunque se mi dici che le connessioni provengono dal tuo router non sono pericolose, una rete LAN, anche se piccola, ha bisogno di effettuare alcune connessioni in ingresso tra i vari “nodi”.
Senza che stia qui a fartela lunga (rischierei solo di farti confusione) ti consiglio di leggere la guida fatta da sirio per la versione 4 di Comodo (va bene anche per la 5), dando un occhio in particolare alla configurazione della LAN domestica. :-TU
Apro una parentesi: a volte i Global Hook vengono installati anche da software legittimi. Ad esempio a me dava come tentativo di Global Hook un programma della Acer. Ovviamente io ho un pc Acer quindi…
Rissumendo, prima di bloccarli è sempre meglio verificare cosa sono questi programmi e che ruolo hanno nel proprio sistema: non sempre sono da bloccare.
:-TU … ciao a tutti ragazzi, concordo pienamente con Giascar
anche io nei post iniziali avevo detto:
nella tua situazione Nood il caso è proprio quello evidenziato sopra, cioè quella connessione in ingresso su svchost.exe proviene dal tuo router e non da un IP esterno… come ha specificato Giascar connessioni tra router e PC servono e quindi sono innocue…
Giascar ha ragione anche sul fatto dei Global Hook… questa strana parola non è qualcosa di pericoloso nella maggior parte dei casi, molti programmi hanno bisogno di installare un global hook per poter funzionare bene, esso serve a monitorare i vari messaggi associati ad un determinato programma, ad esempio un hook indispensabile è quello che gestisce gli input da tastiera, da mouse e altri dispositivi di puntamento…
Anche io ti consiglio di leggere la guida all’uso di Comodo fatta da sirio in modo da acquisire qualche nozione in + sul funzionamento di questa suite e per settare nel migliore dei modi i suoi vari componenti…
se hai già regole create sarebbe meglio ripristinarle ai valori iniziali…
Il link alla guida per la versione 4 è questo (uguale anke per la 5): http://sites.google.com/site/comodointernetsecurityguida
per quanto riguarda i Global Hook li avevo bloccati nella versione precedente di Comodo, solo che non l’ho aggiornato con l’update automatico ma l’ho disinstallato e reinstallato, dato che l’aggiornamento automatico mi dava parecchi problemi.
le mie preoccupazioni riguardo le Global Hook derivano dal fatto che in una giornata sono usciti avvisi per moltissimi programmi installati da me sul pc, che però nei 3/4 mesi precedenti non c’erano mai stati.
ho installato un XP con SP3, e la rete è protetta (WPA2)
l’ip che dico sia del mio router (D-Link) è quello che uso per settare la mia rete su internet, quindi credo di non averne detta una grossa! 
tra l’altro appena mi connetto mi lancia una connessione all’ip 156.154.70.22 che dicano sia generato da Comodo, è vero?
Comodo è settato con Livello Firewall → Policy Personalizzata Defense+ -->Sicuro
ok, darò un occhio alla guida!
grazie a tutti per l’attenzione e le risposte!!!
Si si è vero… è l’indirizzo IP dei Server DNS di Comodo, al momento dell’installazione hai selezionato l’opzione “Voglio utilizzare i Comodo Secure DNS”, hai fatto bene perchè sono abbastanza veloci e ti bloccano siti di malware e phishing…
Ecco le impostazioni:
DNS primario: 156.154.70.22
DNS secondario: 156.154.71.22
Per chi ha installato CIS in una lingua differente a quella inglese (quindi immagino la maggior parte di noi! ;D) gli esperti suggeriscono di attivare questi indirizzi:
DNS primario: 156.154.70.25
DNS secondario: 156.154.71.25
Le regole da creare per i Server DNS vengono spiegate nelle guide di Sirio quindi ti consiglio nuovamente di leggerla al più presto per ottenere il max della protezione da Comodo!
Saluti
Ciao, scusatemi per l’enorme ritardo nelle risposte ma mi sono staccato al pc (ho anche formattato tra l’altro), grazie comunque a tutti, ah e per la cronaca non avevo Utorrent o roba del genere nei processi attivi!
ciao
Purtroppo anch’io sono poco più di un principiante, ma questo è il mio problema.
Ho un portatile dove, oltre al sistema operativo, è istallato solo eMule. Naturalmente anche Comodo Antivirus e, come antivirus, Avira Antivir Premium e Spybot S&D. Ho anche Antimalwarebite ma con il resident disattivato per evitare eventuali conflitti con Avira.
Ciclicamente mi arrivano degli avvisi (io li vedo nei log, perchè il computer lo lascio sempre acceso e collegato ad internet come già detto) dove il Firewall mi avverte di tentativi di connessione indicandomi come applicazione svchost.exe. Non fornendo quindi il consenso, il Firewall non consente niente.
Ebbene, proprio adesso uno di questi messaggi è apparso mentre ero davanti al computer, a cui ho risposto di negare la connessione. Il messaggio era questo:
Applicazione: svchost.exe
Remota: 80.59.116.9 - UDP
Porta: nbname (137)
La mia negazione, con anche la spunta del ricorda, ha prodotto la relativa regola (copio testualmente):
C:\WINDOWS\system32\svchost.exe
Blocca e Registra IP in Entrata da MAC Qualsiasi a MAC Qualsiasi dove il Protocollo è Qualsiasi
Va bene tutto ciò?
Ciao Velathri,
Questo è normale…se non si risponde al pop-up entro un determinato tempo (120 secondi di default) Comodo blocca.
Se un utente risponde ad un messaggio del firewall dicendo blocca e ricorda, è normale che Comodo abbia registrato tale regola…tale regola dice di bloccare qualsiasi connessione in entrata per svchost.exe.
Inoltre…essendo la porta 137 una porta privilegiata di sistema hai fatto benissimo a bloccare.
Dato che per il corretto funzionamento del sistema operativo svchost.exe non deve ricevere alcuna connessione da internet, ma si deve connettere in internet, ti chiederei di postare l’attuale regola di svchost…così da poterla controllare e dire, in caso, se sia da affinare…
Saluti
fuco