www.MegaLab.it

da **DaddyEnd** » mar nov 27, 2007 9:21 pm

Ciao a tutti, innanzitutto tengo a farvi presente che sono iscritto qui da ieri, quindi un novellino!!
Da circa un cinque sei mesi, il mio Norton 2007 blocca ripetutamente questi tentativi di attacchi:
- MSRPC SrvSvc NetApi Buffer Overflow (2)
- MS ASN1 Integer Overflow TCP
- MS RPC LSASS DS Oversized Request (TCP)
- MSRPC Malicious LSASS DS Request BO (1)

A questo punto cerco con Google e noto che altri hanno lo stesso problema ma non trovo nessuna spiegazione esauriente.
Qualcuno sa spiegarmi cosa sono, quale intrusione tentano e quale rischio si corre??
Se poi si riuscisse a trovare un rimedio chiudendo se possibile qualche porta o.... non so qualsiasi cosa, sarei molto contento anche di aiutare chi e' nei miei panni..!!
Grazie!!! [^]

[/b]

da **ste_95** » mar nov 27, 2007 9:37 pm

Sei vittima di alcuni attacchi, da quali IP provengono, presumo cambino ogni volta...

i primi due cercano di sovraccaricarti la rete rendendola inutilizzabile..

da **DaddyEnd** » mar nov 27, 2007 9:40 pm

ste_95 ha scritto:Sei vittima di alcuni attacchi, da quali IP provengono, presumo cambino ogni volta...

i primi due cercano di sovraccaricarti la rete rendendola inutilizzabile..

Ciao Ste, hai idea di cosa sia sta roobba..!!??

da **ste_95** » mar nov 27, 2007 9:42 pm

che tipo di rete hai?
sistema operativo?
l'ip di provenienza cambia a ogni attacco?

da **DaddyEnd** » mar nov 27, 2007 9:48 pm

ste_95 ha scritto:che tipo di rete hai?
sistema operativo?
l'ip di provenienza cambia a ogni attacco?

Ho Windows xp
ADSL 2 MEGA ALICE
si' l'IP cambia sempre, ma la cosa brutta e' che l'attacco e' alto, la microsoft ha rilasciato una patch ma non funziona su nessunodi noi (che abbiamo qusto problema, e sono talmente tanti che mi chiedo se sia grave anche per tanti altri che non sanno!!
Visto che altri, ho letto, con altri antivirus non si eranomai accorti di questi attacchi ma una volta installato il Norton ecco che...!

da **ste_95** » mar nov 27, 2007 9:49 pm

intanto vediamo se hai qualcosa nel computer... [^]

Scarica HiJackThis
Salvalo in una cartella (non aprirlo direttamente, sennò non farà i backup!)
Apri l'eseguibile
Clicca quindi su "Do a System Scan and Save a Logfile"
Attendi che finisca la scansione
Quindi copia il contenuto del blocco note qui sul forum.

da **DaddyEnd** » mar nov 27, 2007 10:05 pm

ste_95 ha scritto:intanto vediamo se hai qualcosa nel computer...

Scarica HiJackThis
Salvalo in una cartella (non aprirlo direttamente, sennò non farà i backup!)
Apri l'eseguibile
Clicca quindi su "Do a System Scan and Save a Logfile"
Attendi che finisca la scansione
Quindi copia il contenuto del blocco note qui sul forum.

EcLogfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.57.06, on 27/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\drivers\crauto.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\drivers\IMountSRV.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\HP\QuickPlay\QPService.exe
C:\Programmi\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programmi\IPM\Adsl\DataWay\dslstat.exe
C:\WINDOWS\system32\dslagent.exe
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\QuickTime\QTTask.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programmi\Microsoft ActiveSync\wcescomm.exe
C:\Programmi\RocketDock\RocketDock.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Documents and Settings\Denis Cantelli\Documenti\Cartella Programmi aggiunti da DENIS\File per il Programma MADOTATE_2.02.02. aggiunto da DENIS\Madotate.exe
C:\Programmi\CursorXP\CursorXP.exe
C:\Documents and Settings\Denis Cantelli\Documenti\Cartella Programmi aggiunti da DENIS\File AERO 3D aggiunto da DENIS\Scompattamento File ShockAero 3D\ShockAero3D.exe
C:\Programmi\Windows Desktop Search\WindowsSearch.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\ZMatrix\matrix.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice.it/oggi/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {331A2546-21AC-40ED-B326-2E09C10C6DC9} - (no file)
O2 - BHO: (no name) - {3EAC9F6E-9C0A-485B-85BD-9D6A76318CAB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Programmi\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [PD0620 STISvc] RunDLL32.exe P0620Pin.dll,RunDLL32EP 513
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Programmi\IPM\Adsl\DataWay\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programmi\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinPatrol] C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [Encrypted Disk Auto Mount] rundll32.exe edshell.dll,MountAll
O4 - HKLM\..\Run: [Glass2k] C:\DOCUME~1\DENISC~1\IMPOST~1\Temp\40371.exe
O4 - HKLM\..\Run: [Java(TM) Platform SE 6 U3] C:\PROGRAMMI\JAVA\JRE1.6.0_03\BIN\JUSCHED.EXE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1040
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\Programmi\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [mtatecfg] C:\Documents and Settings\Denis Cantelli\Documenti\Cartella Programmi aggiunti da DENIS\File per il Programma MADOTATE_2.02.02. aggiunto da DENIS\mtatecfg.exe
O4 - HKCU\..\Run: [CursorXP] C:\Programmi\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [ShockAero3D] C:\Documents and Settings\Denis Cantelli\Documenti\Cartella Programmi aggiunti da DENIS\File AERO 3D aggiunto da DENIS\Scompattamento File ShockAero 3D\ShockAero3D.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: ZMatrix.lnk = C:\Programmi\ZMatrix\matrix.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Programmi\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferito portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Alice - {DB878A94-F187-410E-AA27-5F66ECEA3C06} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 9400233093
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://register3.valueactive.com/323/w ... lashAX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D74379F3-8C79-443D-B122-857707E455AE}: NameServer = 85.37.17.52 85.38.28.92
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: crauto - Unknown owner - C:\WINDOWS\system32\drivers\crauto.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IMountSRV - Unknown owner - C:\WINDOWS\system32\drivers\IMountSRV.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PMounter - Unknown owner - C:\WINDOWS\system32\PMounter.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe

--
End of file - 15176 bytesco il risultato:

da **ste_95** » mar nov 27, 2007 10:07 pm

ok, i virus ci sono...andiamo un po' più a fondo...

scarica gmer

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

da **DaddyEnd** » mar nov 27, 2007 10:20 pm

FORSE NON HO CAPITO BENE, COMUNQUE AL PRIMO PASSAGGIO HO SALVATO IL FIL MA NON SO COME CARICARLO SU fREEfILE hOSTING COS'E'??

da **ste_95** » mer nov 28, 2007 7:14 am

freefilehosting è questo sito:

www.freefilehosting.net

dopo che hai salvato il file sul computer, lo inserisci sul sito e premi il pulsante upload vicino, al termine in basso ti darà un link, copialo qui.

fallo per tutti e due i log

da **crazy.cat** » mer nov 28, 2007 9:17 am

I file sospetti sono due, puoi utilizzare il sito www.virustotal.com per verificare se sono dei virus.

O4 - HKLM\..\Run: [Glass2k] C:\DOCUME~1\DENISC~1\IMPOST~1\Temp\40371.exe

Hai idea di cosa sia questo programma?
O23 - Service: IMountSRV - Unknown owner - C:\WINDOWS\system32\drivers\IMountSRV.exe

Usi un programma della paragon per gestire i dischi e criptare dati?

da **DaddyEnd** » mer nov 28, 2007 2:38 pm

Allora, innanzitutto il link di scansione di Gmer sezione Autostart e':[url="http://www.freefilehosting.net/files/NDIxNTU="]GMER4.txt[/url]
invece il link di scansione Gmer sezione Rootkit e':[url="http://www.freefilehosting.net/files/NDIxODI="]Scansione Gmer Rootkit.txt[/url]
comunque, rispetto ai due file sospetti:
il primo Glass2k e' un programma per rendere le finestre trasparenti come aero di vista
il secondo hai indovinato, ho installato Paragon.
Comunque ti assicuro che non e' un problema di Virus, e vedrai che potrai constatarlo tu stesso, perche' sono disposto a fare tutte le prove del caso, infatti mentre sto scrivendo rootkit sta lavorando e tra poco arrivera' il link.
I link effettuati con scansione su www.virustotal.com sono:
..CRAUTO.EXE :http://www.virustotal.com/it/resultado.html?827fe5536b3aa7ad910333ad44d6d348
..IMOUNTSRV.EXE :http://www.virustotal.com/it/resultado.html?b503f3a1dec3282d80bf0f0cdcb0b0d2

da **ste_95** » mer nov 28, 2007 2:46 pm

dovresti fare anche quella rootkit...

poi fai scansionare questi file su www.virustotal.com e postane i risultati:

C:\WINDOWS\system32\drivers\IMountSRV.exe
C:\WINDOWS\system32\drivers\crauto.exe

da **DaddyEnd** » mer nov 28, 2007 3:41 pm

Ciao STE-95, innanzitutto volevo ringraziarti per l'interessamento, poi nel caso non ti sia accorto, tutti i risultati che volevi li ho postati nella mia risposta precedente per non fare un papiro infinito sul problema.
A presto.

da **ste_95** » mer nov 28, 2007 3:48 pm

scusa, mi ero perso il tuo post...

comunque, puoi per cortesia mettere lo scan rootkit di gmer qui:

www.mytempdir.com

da **DaddyEnd** » mer nov 28, 2007 4:00 pm

Allora STE, l'ID e':2069974
se ti serve altro fammelo sapere!!
Dimenticavo una cosa importante secondo me, cioe' se risultera' come dico io, e cioe' che i virus non centrano, da quando e' comparso questo problema, ho cominciato ad accusare problemi con java, cioe' funziona tutto bene ora, ma ho dovuto mantenere il file originale e disinstallare il java 6.0 cioe' l'ultimo perche' mi indicava un errore del genere:-IMPOSSIBILE CARICARE L'APPLET TROPPE MACCHINE IN ESECUZIONE SULLO STESSO PROCESSO!!

da **ste_95** » mer nov 28, 2007 4:09 pm

prova a disinstallarlo allora...

comunque dovresti copiare tutto il link a mytempdir...

da **DaddyEnd** » mer nov 28, 2007 4:21 pm

ste_95 ha scritto:prova a disinstallarlo allora...

comunque dovresti copiare tutto il link a mytempdir...

ECCO IL LINK:
http://www.mytempdir.com/2069974
spero abbia capito bene, se ti serve qualche cosa d'altro.. [nonono]

da **ste_95** » mer nov 28, 2007 4:30 pm

sono tutti puliti...

seleziona a sinistra questa voce in hijackthis e premi fix chekced:

O4 - HKLM\..\Run: [Glass2k] C:\DOCUME~1\DENISC~1\IMPOST~1\Temp\40371.exe

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Files to delete:
C:\DOCUME~1\DENISC~1\IMPOST~1\Temp\40371.exe

Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

da **DaddyEnd** » mer nov 28, 2007 5:19 pm

Scusa l'attesa ma sono dovuto uscire un'attimo, ecco comunque il risultato di AVENGER:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mejvmqno

*******************

Script file located at: \??\C:\Documents and Settings\pesmelyt.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\DOCUME~1\DENISC~1\IMPOST~1\Temp\40371.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Scusa ma questo file e' stato cancellato???
E se si' siamo sicuri che non ho danneggiato qualcosa???

www.MegaLab.it

MS RPC LSASS DS Oversized Request (TCP) N.B. NUOVI ATTACCHI

MS RPC LSASS DS Oversized Request (TCP) N.B. NUOVI ATTACCHI

Chi c’è in linea