Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

l'http si blocca improvvisamente dopo rimozione Bagle.

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

l'http si blocca improvvisamente dopo rimozione Bagle.

Messaggioda cinquino » sab apr 19, 2008 9:27 pm

Ho fatto una ricerca in merito al problema che vi sto per esporre. Ho visto che ci sono state altre richieste simili, in passato, ma senza risposta. Spero di essere piu' fortunato... [;)]

Dopo essere incappato in bagle ed averlo rimosso secondo i vari protocolli evidenziati nel forum, ho riacquistato quasi totalmente l'uso del PC, se non per un aspetto davvero curioso: dopo qualche minuto di funzionamento, dopo l'accensione, la navigazione internet si blocca, mentre mail, ftp, ping etc, funzionano.
Ho come l'impressione che l'http o la porta 80 vengano bloccate, gli scan non trovano nulla, qualcuno ha un'idea da suggerirmi prima che formatti il tutto?

ciao e grazie.
Avatar utente
cinquino
Neo Iscritto
Neo Iscritto
 
Messaggi: 3
Iscritto il: ven apr 18, 2008 12:33 am

Messaggioda crazy.cat » dom apr 20, 2008 7:49 am

Il bagle è appena mutato ed ha inserito nuove "funzioni".

Prova ad usare questo programma per cercare di capire chi usa e blocca la porta 80 in quel momento.
http://www.nirsoft.net/utils/cports.html
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda cinquino » dom apr 20, 2008 2:32 pm

...domenticavo di dire che anche in modalita' provvisoria si manifesta il problema. Ora do un'occhiata alle porte....

edit: l'https funzia, quindi il problema sembra essere proprio sulla porta 80. Per ora non sono riuscito a ricavare nulla di certo dall'analisi delle porte, sembra che dopo un poco i processi che hanno come porta remota l'80 vengano indirizzati su 127.0.0.1, in locale.
Avatar utente
cinquino
Neo Iscritto
Neo Iscritto
 
Messaggi: 3
Iscritto il: ven apr 18, 2008 12:33 am

Messaggioda crazy.cat » dom apr 20, 2008 4:03 pm

Vediamo un log della scansione di hijackthis e di gmer nella sezione rootkit.

Per allegare i log segui queste regole.
http://www.MegaLab.it/forum/viewtopic.php?t=42331
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda cinquino » dom apr 20, 2008 5:31 pm

crazy.cat ha scritto:Vediamo un log della scansione di hijackthis e di gmer nella sezione rootkit.


Zacchete!! [rotolo]

Il comportamento mi faceva sospettare qualche azione "tipo firewall", ma lo ZoneAlarm che avevo al momento dell'infezione era disabilitato ( dopo che bagle se lo era lavorato ben bene...), o almeno, cosi' credevo.

Preparando il log di gmer ho visto il VSDATANT.SYS, che da una rapida ricerca risulta installato da zonealarm, che era stato corrotto da bagle...ho attivato al volo avenger e l'ho cancellato (ho prima provato ad andare su gestione periferiche, attivare l'opzione per mostrare quelle nascoste e disabilitare da li' vsdatant.sys, ma niente..).

Ora vi sto scrivendo dal pc ormai ex-infetto (almeno spero), la connessione sta durando, spero che queste poche note possano essere d'aiuto.

enrico.


ps. cosa posso utilizzare per pulire il registro, che avra' varie linee orfane, dopo tutte queste cancellazioni "d'autorita'".. [fischio]
Avatar utente
cinquino
Neo Iscritto
Neo Iscritto
 
Messaggi: 3
Iscritto il: ven apr 18, 2008 12:33 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising