Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

internet si blocca

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

internet si blocca

Messaggioda antonio » lun gen 24, 2005 10:42 am

ragazzi mi succede una cosa strana.(adsl tin.it)
riesco a navigare per circa un minuto.poi si blocca.anche se uso mozilla si apre una finestra di i explorer con questo indirizzo:216.93.186.135/t.html cosa e??
Avatar utente
antonio
Silver Member
Silver Member
 
Messaggi: 1612
Iscritto il: ven apr 04, 2003 7:17 pm
Località: roma e cosenza

Messaggioda Mr.TFM » lun gen 24, 2005 10:45 am

Mi sa che è un hijack.....
Prova a usare hijackthis e posta qui il log.
Sposterò la discussione in "sicurezza"
MegaLab è una potentissima droga virtuale.
"Nella setta del Codice Macintosh si può entrare, ma non se ne può uscire." V. ZUCCONI
Avatar utente
Mr.TFM
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 23387
Iscritto il: gio mar 18, 2004 11:46 am
Località: Livorno Ferraris (Vercelli)

Messaggioda Ices_Eyes » lun gen 24, 2005 10:45 am

E' un trojan (non è una parolaccia... [:-D] )... Fai una passtina con AD-Aware, Spybot e se non risolvi, anche con hijackthis e posta qui il log...

Ciao [^]
Avatar utente
Ices_Eyes
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5543
Iscritto il: ven ott 24, 2003 10:37 am
Località: Prov. di Venezia


Messaggioda antonio » lun gen 24, 2005 11:05 am

Logfile of HijackThis v1.98.2
Scan saved at 10.51.53, on 24/01/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Realplaysvc.exe
C:\WINDOWS\system32\winmedplay.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Telecom Italia Media\Fast 800-840 Tin.it\dslmon.exe
C:\DOCUME~1\casa\IMPOST~1\Temp\Directory temporanea 1 per HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Sms System32] SmsSystem32.exe
O4 - HKLM\..\Run: [NAV Auto Protect] navprotect.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] sys.exe
O4 - HKLM\..\Run: [VTPreset] VTPreset.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\ukntz.exe
O4 - HKLM\..\Run: [Microsofts media] Realplaysvc.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsofts MediaScope] winmedplay.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [Sms System32] SmsSystem32.exe
O4 - HKLM\..\RunServices: [NAV Auto Protect] navprotect.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] sys.exe
O4 - HKLM\..\RunServices: [Microsofts media] Realplaysvc.exe
O4 - HKLM\..\RunServices: [Microsofts MediaScope] winmedplay.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Sms System32] SmsSystem32.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] sys.exe
O4 - HKCU\..\Run: [NAV Auto Protect] navprotect.exe
O4 - Global Startup: DSLMON.lnk = C:\Programmi\Telecom Italia Media\Fast 800-840 Tin.it\dslmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTIn ... ge-c11.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 5108406770

antivir non ha trovato nulla

avast questa mattina ha trovato win32-gaobot:1298[wrm],ma il problema continua

spybot trova dso exploit
DSO Exploit: Data source object exploit (Modifica al registro, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Modifica al registro, nothing done)
HKEY_USERS\S-1-5-21-117609710-152049171-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Modifica al registro, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Modifica al registro, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Modifica al registro, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3


--- Spybot - Search && Destroy version: 1.3 ---
2004-11-29 Includes\Cookies.sbi
2005-01-04 Includes\Dialer.sbi
2005-01-04 Includes\Hijackers.sbi
2004-12-29 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2005-01-04 Includes\Malware.sbi
2004-11-29 Includes\Revision.sbi
2004-11-29 Includes\Security.sbi
2005-01-05 Includes\Spybots.sbi
2004-11-29 Includes\Tracks.uti
2005-01-04 Includes\Trojans.sbi
Avatar utente
antonio
Silver Member
Silver Member
 
Messaggi: 1612
Iscritto il: ven apr 04, 2003 7:17 pm
Località: roma e cosenza

Messaggioda antonio » lun gen 24, 2005 11:08 am

altra particolarità:com ie non mi fa scaricare perché dice che il tipo di account non lo permette(ma sono l'amministratore)con mozilla invece riesco a scaricare...
Avatar utente
antonio
Silver Member
Silver Member
 
Messaggi: 1612
Iscritto il: ven apr 04, 2003 7:17 pm
Località: roma e cosenza

Messaggioda Ices_Eyes » lun gen 24, 2005 11:10 am

Scusa, ma quaanti antivirus/firewall hai...? [?]
Comunque...A parte i DSO di SpyBot, tutte le altre voci cancellale...
Di hijack, sicuramente credo questo:
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\ukntz.exe
ma aspetiamo san crazy... [angel]

[;)]
Avatar utente
Ices_Eyes
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5543
Iscritto il: ven ott 24, 2003 10:37 am
Località: Prov. di Venezia

Messaggioda crazy.cat » lun gen 24, 2005 11:27 am

Disattiva il ripristino della configurazione e riavvia il pc.
Dopo ti prepari il cd o i floppy di boot seguendo queste istruzioni
http://www.MegaLab.it/2166
Hai solo questi virus o probabili fili sconosciuti

O4 - HKLM\..\Run: [Sms System32] SmsSystem32.exe
O4 - HKLM\..\Run: [NAV Auto Protect] navprotect.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] sys.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\ukntz.exe
O4 - HKLM\..\Run: [Microsofts media] Realplaysvc.exe
O4 - HKLM\..\Run: [Microsofts MediaScope] winmedplay.exe
O4 - HKLM\..\RunServices: [Sms System32] SmsSystem32.exe
O4 - HKLM\..\RunServices: [NAV Auto Protect] navprotect.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] sys.exe
O4 - HKLM\..\RunServices: [Microsofts media] Realplaysvc.exe
O4 - HKLM\..\RunServices: [Microsofts MediaScope] winmedplay.exe
O4 - HKCU\..\Run: [Sms System32] SmsSystem32.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] sys.exe
O4 - HKCU\..\Run: [NAV Auto Protect] navprotect.exe

Facci sapere
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda antonio » lun gen 24, 2005 2:42 pm

per adesso sembra andare tutto ok,dopo che ho cancellato quelle voci.
la scansione non riesco a farla.ho prelevato il file dat.ma quando provo ad aprorlo mi dice impossibile trovare alcuno dei prodotti richiesti......
Avatar utente
antonio
Silver Member
Silver Member
 
Messaggi: 1612
Iscritto il: ven apr 04, 2003 7:17 pm
Località: roma e cosenza

Messaggioda crazy.cat » lun gen 24, 2005 2:53 pm

Hanno cambiato sistema per gli aggiornamenti, una volta c'era anche il file zip che adesso è stato tolto.
Lancia il comando in questa forma da start -- esegui
sdat4421.exe /e

La scansione ti conviene farla avevi molte cose strane.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda antonio » lun gen 24, 2005 4:25 pm

mi dice impossibile trovare il file.sdat
eppure ho copiato e incollato il comando come lo avevi scritto tu.
dove sbaglio??
Avatar utente
antonio
Silver Member
Silver Member
 
Messaggi: 1612
Iscritto il: ven apr 04, 2003 7:17 pm
Località: roma e cosenza

Messaggioda Mr.TFM » lun gen 24, 2005 4:31 pm

Ma questo non è un servizio di Norton?
O4 - HKLM\..\RunServices: [NAV Auto Protect] navprotect.exe
MegaLab è una potentissima droga virtuale.
"Nella setta del Codice Macintosh si può entrare, ma non se ne può uscire." V. ZUCCONI
Avatar utente
Mr.TFM
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 23387
Iscritto il: gio mar 18, 2004 11:46 am
Località: Livorno Ferraris (Vercelli)

Messaggioda antonio » lun gen 24, 2005 4:43 pm

l'ho pensato anche io......ma non ho alcun prodotto della symantec......
dovrò preoccuparmi?? [cry]
Avatar utente
antonio
Silver Member
Silver Member
 
Messaggi: 1612
Iscritto il: ven apr 04, 2003 7:17 pm
Località: roma e cosenza

Messaggioda Mr.TFM » lun gen 24, 2005 5:02 pm

Allora ha ragione Crazy.... è quantomeno sospetto!

Anche Sygate non ha quei file exe.....

Mi sa che c'è un bel casino!
Passa scangui dalla modalità provvisoria!

per il file sdat.exe, trascinalo su scangui.exe, dovrebbe estrartelo anche così!
MegaLab è una potentissima droga virtuale.
"Nella setta del Codice Macintosh si può entrare, ma non se ne può uscire." V. ZUCCONI
Avatar utente
Mr.TFM
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 23387
Iscritto il: gio mar 18, 2004 11:46 am
Località: Livorno Ferraris (Vercelli)

Messaggioda crazy.cat » lun gen 24, 2005 5:27 pm

Il file sdat.exe lo metti in una cartella a parte e da start esegui sfogli le cartelle sino a dove lo hai messo, alla riga di comando che ti viene fuori aggiungi /e e dopo lo esegui.
Ci sono troppi file strani, per quello preferivo partisse con cd o floppy di boot.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda antonio » mar gen 25, 2005 11:16 am

non sono riuscito,ma credo per mia ignoranza,ad usare in nessun modo lo scangui.
comunque ho scaricato l'ennesimo software antivirus lanciato in modalità provissoria,questa volta AVG versione 7.0 professional in prova per 30 gg.
mi ha trovato i seguenti trojan horse irc/backdoor.sdbot.101.bf; sdbot.102.al(2 di quest'ultimo).
il nome dei file erano winmedplay.exe winpfd.exe,come infatti mi avete detto.l'altro non lo ricordo!
p.s.
un particolare che mi succede spesso.quando lancio antivir in mod provvisoria al riavvio non parte più,neppure se provo a caricarlo manualmente cliccando su antivir guard.in pratica mi scompare la possibilità di attivare l'autoprotezione e devo reinstallarlo di nuovo.

mi consigliate qualche altro controllo?
Avatar utente
antonio
Silver Member
Silver Member
 
Messaggi: 1612
Iscritto il: ven apr 04, 2003 7:17 pm
Località: roma e cosenza

Messaggioda antonio » mar gen 25, 2005 4:39 pm

è incredibile.........
il pc va bene,la connessione pure.per curiosità però ho fatto una scansione con stinger in mod provv. ed ho trovato W32/sasser worm e W32.sdbot.worm gen.g virus
ma quanti ne ho??
mi consigliate qualche altra utilty che può essere utile??
Avatar utente
antonio
Silver Member
Silver Member
 
Messaggi: 1612
Iscritto il: ven apr 04, 2003 7:17 pm
Località: roma e cosenza

Messaggioda crazy.cat » mar gen 25, 2005 4:52 pm

Hai un firewall installato?
Non mi dire quello di Xp che non serve quasi a niente.
Disabilita il ripristino della configurazione del pc, in modo da non portarti dietro i virus all'infinito.
E installa sempre le patch da windowsupdate.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda antonio » mar gen 25, 2005 5:05 pm

o sei un genio oppure hai la palla di vetro!!
si qui c'è il firewall di win,perché sygate non mi funziona,a meno che non erano quei virus che non me lo facevano funzionare.
se ho ancora problemi nell'installarlo posso metterci zone alarm,tu che dici??
Avatar utente
antonio
Silver Member
Silver Member
 
Messaggi: 1612
Iscritto il: ven apr 04, 2003 7:17 pm
Località: roma e cosenza

Messaggioda crazy.cat » mar gen 25, 2005 5:08 pm

Basta leggere i log e si riesce a sapere molte cose del pc.
Riprova con Sygate che secondo me, è meglio e meno invadente di zone alarm, se proprio sygate non funziona passa a zone alarm.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda antonio » mar gen 25, 2005 6:34 pm

niente,ho provato ancora ma mi segnala un errore e mi chiede di inviarlo a microsoft.
provo con zone alarm.
per ora mi consigli di lasciare avg 7.0 professional,almeno fino allo scadere dei trenta gg??
Avatar utente
antonio
Silver Member
Silver Member
 
Messaggi: 1612
Iscritto il: ven apr 04, 2003 7:17 pm
Località: roma e cosenza

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising