Disconnessione Continua Da Internet

[padalecki]

Ciao ,

* Fai uno scan con PREVX1

*

Ciao provo subito ma ho solo una piccola difficoltà... è possibile fare una scansione online con prevx1? Se si non riesco a trovarla O semplicemente devo scaricarlo e installerò una trial?

[firewall76]

Ciao provo subito ma ho solo una piccola difficoltà... è possibile fare una scansione online con prevx1? Se si non riesco a trovarla O semplicemente devo scaricarlo e installerò una trial?

installerai una trial (B)

[padalecki]

Allora, ho fatto la scansione con prevx1 e pare non abbia trovato nulla.

Questi invece sono i log di Gmer

Ho notato che i log sono stati tagliati... forse sono superiori allo spazio disponibile quindi li ho allegati come file txt

Gmer3.txt

Modificato March 5, 2007 da padalecki

[padalecki]

... ed ecco l'altro log... ho caricato il file txt su sendspace visto che è troppo grande per allegarlo normalmente come l'altro... Spero di aver fatto bene

http://www.sendspace.com/file/muywqs

Ho fatto anche il test della connessione è risulta ad appena a 212 kb...

Modificato March 5, 2007 da padalecki

[Kuma]

Hai fatto come ti diceva Steve???

A me pare che nel log di Gmer sia tutto a posto...

prova ad eliminare la cache di Java

Pannello di controllo\Java --> elimina file

[padalecki]

Hai fatto come ti diceva Steve???

A me pare che nel log di Gmer sia tutto a posto...

prova ad eliminare la cache di Java

Pannello di controllo\Java --> elimina file

Ciao,

si certo... ho fatto quello che mi ha consigliato Steve....

In quanto a svuotare la cache Java... piccolo problema... nel mio pannello di controllo non appare nessuna voce Java o simili e le opzioni sono tutte visibili... Non è che si trova all'interno di qualcos'altro?

[$angelique!?]

In pannello di controllo attivando la visualizzazione classica dovresti trovare un'icona di Java.

[padalecki]

In pannello di controllo attivando la visualizzazione classica dovresti trovare un'icona di Java.

Non c'è

[Steve75]

Non c'è

Molto probabilmente non la trovi perchè non hai la java machine della SUN , ma utilizzi ancora quella microsoft ... quindi disinstallala in questo modo ;

Start / Esegui

digita RunDll32 advpack.dll,LaunchINFSection java.inf,UnInstall

Clicca su OK e riavvia il sistema.

Controlla che non ci sia piu;

C:\WINDOWS\JAVA

e adesso installa questa

Le labbra rosse sono sempre li?

Uno scan dalla modalità normale con l'ultima versoione di Virit aggiornata lo hai fatto? e il log?

Prova anche uno scan con Ewido e posta il suo log

http://www.ewido.net/en/download/

[padalecki]

Allora,

ho rimosso java di windows ed installato l'altro....

Ho rifatto la scansione con Virit perchè ieri non avevo salvato il log... e questa volta un virus l'ha trovato... ecco il logo

VirIT eXplorer Lite Log

[sCANSIONE DELLA MEMORIA]

OK

[sCANSIONE DELLA MEMORIA]

OK

--------------------------------------------------------

05/03/2007 - 19:59:10

[sCANSIONE DEL REGISTRO]

OK

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

Chiavi Registro infette: 0.

Files Infetti: 0.

Files Sospetti: 0.

Files Analizzati: 33605.

Files Totali: 33605.

Chiavi Registro rimosse: 0.

Virus Rimossi: 0.

--------------------------------------------------------

05/03/2007 - 20:07:28

[sCANSIONE DEL REGISTRO]

OK

[C:\WINDOWS]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

Chiavi Registro infette: 0.

Files Infetti: 0.

Files Sospetti: 0.

Files Analizzati: 2923.

Files Totali: 2923.

Chiavi Registro rimosse: 0.

Virus Rimossi: 0.

--------------------------------------------------------

05/03/2007 - 20:08:58

[sCANSIONE DEL REGISTRO]

OK

[C:\WINDOWS\Temp]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

Chiavi Registro infette: 0.

Files Infetti: 0.

Files Sospetti: 0.

Files Analizzati: 1.

Files Totali: 1.

Chiavi Registro rimosse: 0.

Virus Rimossi: 0.

[sCANSIONE DELLA MEMORIA]

OK

--------------------------------------------------------

05/03/2007 - 20:16:12

[sCANSIONE DEL REGISTRO]

OK

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

[sCANSIONE DELLA MEMORIA]

OK

--------------------------------------------------------

05/03/2007 - 20:30:26

[sCANSIONE DELLA MEMORIA]

OK

--------------------------------------------------------

05/03/2007 - 21:43:37

[sCANSIONE DELLA MEMORIA]

OK

--------------------------------------------------------

05/03/2007 - 22:13:31

[sCANSIONE DEL REGISTRO]

OK

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

Chiavi Registro infette: 0.

Files Infetti: 0.

Files Sospetti: 0.

Files Analizzati: 118.

Files Totali: 118.

Chiavi Registro rimosse: 0.

Virus Rimossi: 0.

[sCANSIONE DELLA MEMORIA]

OK

--------------------------------------------------------

05/03/2007 - 22:33:16

[sCANSIONE DEL REGISTRO]

OK

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

Chiavi Registro infette: 0.

Files Infetti: 0.

Files Sospetti: 0.

Files Analizzati: 75579.

Files Totali: 75579.

Chiavi Registro rimosse: 0.

Virus Rimossi: 0.

[sCANSIONE DELLA MEMORIA]

OK

--------------------------------------------------------

06/03/2007 - 17:12:09

[sCANSIONE DEL REGISTRO]

OK

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

Chiavi Registro infette: 0.

Files Infetti: 0.

Files Sospetti: 0.

Files Analizzati: 1.

Files Totali: 1.

Chiavi Registro rimosse: 0.

Virus Rimossi: 0.

[sCANSIONE DELLA MEMORIA]

OK

--------------------------------------------------------

06/03/2007 - 19:10:36

[sCANSIONE DEL REGISTRO]

OK

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

Chiavi Registro infette: 0.

Files Infetti: 0.

Files Sospetti: 0.

Files Analizzati: 1.

Files Totali: 1.

Chiavi Registro rimosse: 0.

Virus Rimossi: 0.

[sCANSIONE DELLA MEMORIA]

OK

--------------------------------------------------------

06/03/2007 - 19:14:24

[sCANSIONE DEL REGISTRO]

OK

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

C:\System Volume Information\_restore{B53611A8-B669-4B92-9B7F-3DCAFEE8FF71}\RP1\A0000237.exe Infetto da Trojan.Win32.Dialer.IH

* * * RIMOSSO * * *

Chiavi Registro infette: 0.

Files Infetti: 1.

Files Sospetti: 0.

Files Analizzati: 95784.

Files Totali: 95784.

Chiavi Registro rimosse: 0.

Virus Rimossi: 1.

Dopo fatto la scansione ho riavviato e mi sono riconnesso perchè ho un pò di lavoro da fare per domani... non ho fatto in tempo ad aprire nulla che virit mi ha segnalato un'altro virus in windows/temp e l'ha rimosso

quindi presumo che si tratti ancora di sta bocca che si è replicata di nuovo

Ora sono decisamente alla frutta... perchè nonostante tutto il vostro aiuto ci sto veramente impazzendo e sto seriamente pensando di formattere...

Purtroppo non ho ancora fatto l'altra scansione con l'antivirus che mi hai segnalato perchè il pc in questo momento mi serve ... ma la farò + tardi...

ancora grazie per tutta questa disposizione

[padalecki]

Sto cominciando a pensare che sia tutto inutile... Si replica in continuazione

O4 - HKLM\..\Run: [ftzfaa.exe] C:\WINDOWS\TEMP\ftzfaa.exe

La cosa strana è che hijackthis mi rileva questo file e nella cartella windows/temp non c'è assolutamente nulla...

Questo è il rapporto che mi hai chiesto

---------------------------------------------------------

AVG Anti-Spyware - Rapporto scansione

---------------------------------------------------------

+ Creato alle: 23.23.53 06/03/2007

+ Risultato scansione:

C:\Documents and Settings\Frozen\Cookies\frozen@2o7[1].txt -> TrackingCookie.2o7 : Nessuna operazione eseguita.

C:\Documents and Settings\Frozen\Cookies\frozen@adbrite[1].txt -> TrackingCookie.Adbrite : Nessuna operazione eseguita.

C:\Documents and Settings\Frozen\Cookies\frozen@atdmt[2].txt -> TrackingCookie.Atdmt : Nessuna operazione eseguita.

C:\Documents and Settings\Frozen\Cookies\frozen@fastclick[2].txt -> TrackingCookie.Fastclick : Nessuna operazione eseguita.

C:\Documents and Settings\Frozen\Cookies\frozen@media.fastclick[1].txt -> TrackingCookie.Fastclick : Nessuna operazione eseguita.

C:\Documents and Settings\Frozen\Cookies\frozen@server.iad.liveperson[2].txt -> TrackingCookie.Liveperson : Nessuna operazione eseguita.

::Fine rapporto

Modificato March 6, 2007 da padalecki

[Kuma]

Ciao...

quei coockies traccianti non credo siano il vero problema...

Puoi eliminarli usando ATF cleaner

http://www.atribune.org/ccount/click.php?id=1

Avvia ATF Cleaner

(se usi Firefox o Opera, selezionali dal menu in alto)

metti la spunta su "Select All" per ogni browser

e clicca su "Empty Select"

per eliminare quello nel System Restore:

Disabilita il Ripristino di configurazione su tutte le unità;

(nota che questo ELIMINERà TUTTI i punti di ripristino, ed eventuali virus in esso contenuti..)

Quindi riabilitalo almeno sull'unità dove hai installato il sistema operativo (solitamente il disco C:\) e crea un nuovo punto di ripristino pulito...

Io penso che il codice di quel virus, sia stato iniettato in un eseguibile (o una Dll) legittima e si ricrea ogni volta che esegui tale file... però ho letto che viene creato da altro malware (qui le info)

Hai per caso fatto notato se gli avvisi dell'antivirus appaiono appena apri uno specifico programma ???

Ho trovato inoltre questi ALIAS per quel file... e mi pare si tratti del Rootkit RUSTOCK.B

Prova a vedere se con questa procedura si risolve:

http://www.wininizio.it/forum/index.php?s=...st&p=314450

[padalecki]

Ciao,

grazie per questi altri consigli. Ma come forse avrai notato sono tutte cose che abbiamo già fatto e domenica sembrava che fossimo o meglio che foste riusciti ad eliminarlo... ma è di nuovo qui. Non so se sia nascosto in un file o in una libreria o in che altro... perchè di ste cose purtroppo non ci capisco nulla... ed anche se non sembra costantemente presente (nel senso che le disconnessioni ora sono rare ) ma la velocità è ugualmente bassa. Ogni volta che riavvio il pc provo il test di alice per la velocità ed alcune volte mi segnala l'upload moooooooooooolto al di sotto della media ed altre è tutto ok. Quando è tutto ok il Pc ed ovviamente la connessione lavorano benissimo finchè poi non si disconnette.... anche dopo 10 ore continue è capitato. Riavvio, riprovo il test della connessione ed è di nuovo di molto al di sotto della media ed un nuovo file con ste labbra è apparso nella cartella windows\temp... Ovvio che è tutto collegato... l'ho capito perfino io che di ste cose ci capisco molto poco... ma il problema è come eliminarlo definitivamente. Credo che mi abbiate fatto provare di tutto (io al massimo avrei fatto una scansione con il nod )... e questo mi sta facendo impazzire perchè vorrei tanto evitare di formattare... Il solo pensiero di reinstallare tutto quello di cui ho bisogno mi fa star male.

Comunque... tornando a quello che mi hai consigliato... proverò di nuovo Rootkit RUSTOCK.B e vediamo che succede... anche se fin'ora l'unico che mi ha rivelato sto virus è stato virit ed ovviamente hijackthis che mi segnala il file in rosso.

Nessun avviso mi è apparso fin'ora eccetto da quando ho installato virit che quando il file si ricrea in windows\temp mi avvisa e lo rimuove...

Ho anche pensato che forse questo virus domenica lo abbiamo realmente eliminato ma che l'ho ribeccato di nuovo su qualche sito che ho visitato... ma visto che i siti su cui vado di solito non mi hanno mai dato problemi lo escluderei. L'unico che mi ha fatto venire dei dubbi è un nuovo sito che stavo visitando perchè mi servivano dei disegni da far colorare ai bambini a scuola... forse ricordo male ma mi sembra che le disconnessioni abbiano avuto inizio più o meno da quando ho cominciato a cercare questi disegni.

Comunque... non sapendo cosa altro fare se non formattare... Ogni ulteriore suggerimento è ben gradito.

E scusatemi per tutto il tempo che vi sto facendo perdere.

[Steve75]

Ciao ,

prova a fare uno scan con AVG Antirootkit

http://beta.grisoft.cz/beta/betarep.files/...it_1.0.0.13.exe

e anche con Prevx1 al limite

[padalecki]

Ciao ,

prova a fare uno scan con AVG Antirootkit

http://beta.grisoft.cz/beta/betarep.files/...it_1.0.0.13.exe

e anche con Prevx1 al limite

Già fatte... ma senza risultati... Comunque in questo momento sta andando... da stamattina non si è ancora presentato... e hijackthis non mi riporta nulla di anomalo. Starò a vedere per il resto della giornata

[$angelique!?]

Ciao padalecki,

abbiamo analizzato il log di Systemscan (che ti ho chiesto in mp )con l'aiuto di Luke57.

Non risulta nulla di strano nel tuo pc.

A questo punto non so più dove cercare...

Vedremo se ci saranno ulteriori sviluppi.

[padalecki]

Ciao padalecki,

abbiamo analizzato il log di Systemscan (che ti ho chiesto in mp )con l'aiuto di Luke57.

Non risulta nulla di strano nel tuo pc.

A questo punto non so più dove cercare...

Vedremo se ci saranno ulteriori sviluppi.

Ciao

grazie mille per tutto il tempo che mi avete dedicato.... e come ho detto anche prima, da questa mattina è tutto ok.. nè disconnessioni e la velocità è buona. Speriamo che sia la volta buona.

Vi farò sapere se si ripresenta di nuovo.

Solo una piccola domanda. Ho lasciato Virit ma non trovo le opzioni di questo antivirus... quindi vorrei sapere come fare per disattivare l'avvio automatico perchè ogni volta che riavvio il PC mi parte e mi fa la scansione.

Grazie ancora

[$angelique!?]

Ciao padalecki,

al momento non ho Virit installato sul pc, dovrebbe esserci un voce in opzioni>tool...

Puoi anche disabilitarlo in questo modo:

Start>esegui>msconfig>avvio> togli la spunta al programma>ok.

[padalecki]

Ci risiamo! Stavolta è stato il nod ad avvisarmi (che fino ad oggi sembrava dormisse su questo dialer)...

Il Nod mi dice che il file è stato creato da winlogon.exe nella cartella system32 ... l'ha messo direttamente in quarantena... la connessione non è caduta ma è lentissima. :sigh:

Ulteriori suggerimenti???

[Kuma]

Ciao

prova a vedere se la versione di prova (30gg) di questo ti rimuove qualche cosa:

http://research.sunbelt-software.com/threa...threatid=117425

Il tool che ti avevo segnalato lo hai usato come indicato????

Mi sembra strano che non lo rimuova

http://www.greatis.com/security/Rustock(lz...ee_removal_tool

iSTRUZIONI

1. Apri reanimator.exe.
   
2. Clicca su "Remove Rustock Rootkit".
   
3. Sarai avvistato che stai per usare "RootkitNO" .
   
4. Avvialo!
   
5. Sarai avvisato di riavviareil r computer.
   
6. Dopo il riavvio, il file Rustock sarà rimosso usando Partizan.
   

Al termine del processo di rimozione, puoi rimuoverePartizan dall'avvio di Windows .

Click su "UnInstall Partizan" .

Puoi anche eliminare la cartella "RootkitNo" dal disco dove hai installato Windows.

[padalecki]

Ciao,

si certo che ho usato il tool... due volte... ma se è in quel file che mi ha segnalato il nod probabilmente non lo vede... non saprei.

Ora vado a lavoro ma quando torno provo anche la scansione con l'antivirus che mi hai suggerito...

Grazie

[padalecki]

Ciao,

ho fatto la scansione ed ha trovato qualcosa ma mi sembra strana la posizione... ti allego il rapporto

Scan History Details

Start Date: 08/03/2007 17.41.35

End Date: 08/03/2007 18.03.30

Total Time: 21 Min 55 Sec

Detected security risks

Cookie: ATDMT.com Cookie (General) more information...

Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs.

Status: Deleted

Cookies detected

c:\documents and settings\frozen\cookies\frozen@atdmt[2].txt

Cookie: Bravenet.com Cookie (General) more information...

Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs.

Status: Deleted

Cookies detected

c:\documents and settings\frozen\cookies\frozen@bravenet[1].txt

Cookie: CGI-Bin Cookie (General) more information...

Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs.

Status: Deleted

Cookies detected

c:\documents and settings\frozen\cookies\frozen@cgi-bin[1].txt

Cookie: DoubleClick Cookie (General) more information...

Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs.

Status: Deleted

Cookies detected

c:\documents and settings\frozen\cookies\frozen@doubleclick[1].txt

Cookie: FastClick.com Cookie (General) more information...

Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs.

Status: Deleted

Cookies detected

c:\documents and settings\frozen\cookies\frozen@fastclick[2].txt

c:\documents and settings\frozen\cookies\frozen@media.fastclick[2].txt

Messenger Plus! Adware Bundler more information...

Details: Messenger Plus! is a add-on for MSN Messenger. Messenger Plus! installs an OPTIONAL adware called C2Media which is also known as LOP.com.

Status: Ignored

Files detected

C:\Programmi\MessengerPlus! 3\Detoured.dll

C:\Programmi\MessengerPlus! 3\Lame_enc.dll

C:\Programmi\MessengerPlus! 3\Libsndfile.dll

C:\Programmi\MessengerPlus! 3\MsgPlus.exe

C:\Programmi\MessengerPlus! 3\MsgPlusH.dll

C:\Programmi\MessengerPlus! 3\MsgPlusLoader.dll

C:\Programmi\MessengerPlus! 3\Resources\MsgPlusRes.dll

Registry entries detected

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

Cookie: ad.yieldmanager Cookie (General) more information...

Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs.

Status: Deleted

Cookies detected

c:\documents and settings\frozen\cookies\frozen@ad.yieldmanager[2].txt

Trojan.Win32.Patch.B Trojan more information...

Status: Deleted

Files detected

C:\Documents and Settings\Frozen\Documenti\File ricevuti\CuteFTP.Pro.v8.0.08.09.2006.1.WinALL-CHiCNCREAM\CuteFTP.Pro.v8.0.08.09.2006.1.WinALL-CHiCNCREAM\cuteftp.professional.v8.0.08.09.2006.1-patch.exe

[Kuma]

Ciao....

mmmmmmmmm <_< direi che non ha trovato nulla di veramente preoccupante....

Oltretutto se non sbaglio Angelique e Luke ti avevano già analizzato il log di Systemscan e solitamente (da quello che ne so) questo strumento rileva tutto quello che può essere una minaccia...

Cavolo non so più che pesci pigliare

[$angelique!?]

Ciao....

mmmmmmmmm <_< direi che non ha trovato nulla di veramente preoccupante....

Oltretutto se non sbaglio Angelique e Luke ti avevano già analizzato il log di Systemscan e solitamente (da quello che ne so) questo strumento rileva tutto quello che può essere una minaccia...

Cavolo non so più che pesci pigliare

Confermo per quanto riguarda l'analisi del log di Systemscan che non abbiano notato nulla di anomalo sul pc.

I vari passaggi che ti abbiamo indicato solitamente rimuovono sia virus che rootkit.

Lascio qui il log di Systemscan in allegato, nel caso gli altri tecnici vogliano analizzarlo.

Come ultimo tentativo prova ad eseguire questi programmi:

UnDLL

ADS Revealer

Posta il risultato.

report_padalecki_.rar

[Steve75]

Ciao ,

avevi usato anche RustBfix come consigliato all'inizio da Kuma ?