Internet Si Disconnette

[Steve75]

ecco il link del tool

http://service1.symantec.com/support/inter...050407160511924

per i file ntuser.dat e ntuser, sono gli hive del file di registro dedicati ad ogni utente, quindi da non toccare assolutamente....

[fragola]

Steve!mi si blocca qua norton...sul file e1.dll.............e gurda qua cosa dice!

LINK RIMOSSO DA STEVE75 (é vietato dal regolamento linkare altri forum)

spero che norton ci stia su ma me lo cancelli!

[Steve75]

quel file appartiene al worm Warezov.... proviamo a fare cosi ;

* scarica e decomprimi avenger sul desktop

- con un doppio click avvia il file avenger.exe

- Seleziona "Input Script Manually"

- Clicca sulla lente di ingrandimento

- Nella finestra che si aprirà "View/edit script"

- copia / incolla quanto segue

Registry values to replace with dummy:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

files to delete:

C:\WINDOWS\tpup.exe

C:\Windows\system32\e1.dll

registry values to delete:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | tpup.exe

- Clicca sul tasto Done

- Poi sull'icona del semaforo

- Rispondi Yes

Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)

Posta il log che verrà creato in C:\Avenger

Controlla anche di non avere ;

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

AppInit_DLLs = {una libreria di sistema a caso} e1.dll

[fragola]

Ciao Steve!

ecco il log!il file che mi hai detto non c'è...c'è solo AppInit_DLLs.

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\sxbmyfaf

*******************

Script file located at: \??\C:\medqkjwe.txt

Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\tpup.exe not found!

Deletion of file C:\WINDOWS\tpup.exe failed!

Could not process line:

C:\WINDOWS\tpup.exe

Status: 0xc0000034

File C:\Windows\system32\e1.dll not found!

Deletion of file C:\Windows\system32\e1.dll failed!

Could not process line:

C:\Windows\system32\e1.dll

Status: 0xc0000034

Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Could not delete registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|tpup.exe

Deletion of registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|tpup.exe failed!

Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.

ma il norton perchè non lo vede?non mi protegge contro i worm?sulla confezione dice di si!

Modificato June 17, 2007 da fragola

[Steve75]

mah.... quei file sembrano non esserci....

per sicurezza controlla manualmente la loro presenza nel sistema....

controlla anche la presenza di questo valore nel registro;

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ->> tpup.exe

[fragola]

Sreve quel file non c'è....ma ho trovato il famoso lsasss!!!

ti scrivo (ma non si fa copia incolla???che nioia!) le cose che ho!

adsltaskbar dati rundll32.exe stmctrl.dll

CARPService carpserv.exe

ccApp

lexmark_x79_55 dati c windows system32 lsasss.exe (l'ho eliminato!)

nerocheck dati c windows system32\\nerocheck .exe

oscheck dati c programmi nortonantivirus oscheck.exe

symantec pif alerteng

Modificato June 17, 2007 da fragola

[Steve75]

hai fatto bene ad eliminarlo...

comunque se nei prossimi giorni si ripresentano ancora le stesse infezioni , io ti consiglierei di salvare i dati e di fare un bel format ..... (sarebbe la soluzione piu efficace)

se invece tutto funge allora puoi ritenerti salva

[Luke57]

Sreve quel file non c'è....ma ho trovato il famoso lsasss!!!

ti scrivo (ma non si fa copia incolla???che nioia!) le cose che ho!

adsltaskbar dati rundll32.exe stmctrl.dll

CARPService carpserv.exe

ccApp

lexmark_x79_55 dati c windows system32 lsasss.exe (l'ho eliminato!)

nerocheck dati c windows system32\\nerocheck .exe

oscheck dati c programmi nortonantivirus oscheck.exe

symantec pif alerteng

Ciao, comunque isasss.exe è un'infezione da zonebac che inserisce i file infetti al posto di quelli sani.

Se non l'hai scarica FindAwf

http://noahdfear.geekstogo.com/FindAWF.exe

lo usi e il report che rilascia, se non sai interpretarlo, lo posti nel forum.

[Steve75]

Ciao, comunque isasss.exe è un'infezione da zonebac che inserisce i file infetti al posto di quelli sani.

Se non l'hai scarica FindAwf

http://noahdfear.geekstogo.com/FindAWF.exe

lo usi e il report che rilascia, se non sai interpretarlo, lo posti nel forum.

noooo veramente !!!

Ti inviterei a leggere tutto il topic prima di intervenire....

quell'operazione l'ha fatta piu di una volta e sà benissimo come si fà.... (non è questo il punto)

[Luke57]

Ciao, già è vero, sei troppo forte! Un saluto definitivo a tutti.

[Steve75]

Ciao, già è vero, sei troppo forte! Un saluto definitivo a tutti.

non è questione di essere forte, è questione di buon senso.... se avresti letto tutto il topic, ti saresti reso conto che le operazioni da te consigliate le ha fatte già decine di volte senza successo, quindi il problema non stà nell'ndividuare i file con FindAWF , ma altrove .....

[fragola]

a

Modificato June 18, 2007 da fragola

[fragola]

a

Modificato June 18, 2007 da fragola

[fragola]

Ciao Steve!ciao Luke!grazie per il consiglio...ma come appunto ha detto steve ormai di find awf sono pratica! :sigh:

aspetto i prox giorni...e vedo cosa succede!però il norton non mi trova sti virus (tipo il malware che mi hai fatto togliere ieri!)...al max faccio una scansione con kaspersky e vedo come va...poi porto a formattare!

ho notato che il norton ha un registro attività molto dettagliato!e alla voce connessioni mi conette a server.it.imrworldwide.com....cos'è???oppure m.fr.2mdn.net.

è meglio che apro un nuovo topic per non intasare questo?

poi ogni tanto mi dice cghe mi blocca i tentativi di intrusione dei worm!ma sono tanti!tipo msrpc srvsvc netapibuffer overflow2...oppure ms asn1 integer overflow tcp...oppure msrpc malicious lsass ds request bo 1..............per ora questi!appena apro i siti.

in sistema mi escono cose sulla connessione ma non capisco nulla!tipo utente non connesso....indirizzo ip scomparso e non più protetto......protezione dalla connessione a una rete appena rilevata sulla scheda wan (ppp\slip) interface... volte invece alla rete lan atm adsl miniport....di fianco ci sono gli indirizzi ip che però ip2 location mi da privati.....è un dialer????

ciaoooo!

Modificato June 18, 2007 da fragola

[Steve75]

dai un occhiata qui, e installa le patch per il tuo sistema se non ce l'hai....

http://www.symantec.com/avcenter/attack_sigs/s21701.html

http://securityresponse.symantec.com/avcen...igs/s20409.html

[fragola]

Grazie Steve! ieri ho iniziato a scaricare gli aggiornamenti per windows che da molto non mi venivano visualizati....e ho visto che ho ancora da scaricare quelli segnalati da symantec!quindi tutto ok!

ho fatto anche una scansione con kaspersky e mi ha trovato tutto pulito!

mi sembra strana quella cosa che ti ho scritto sopra (in sistema mi escono cose sulla connessione ma non capisco nulla!tipo utente non connesso....indirizzo ip scomparso e non più protetto......protezione dalla connessione a una rete appena rilevata sulla scheda wan (ppp\slip) interface... volte invece alla rete lan atm adsl miniport....di fianco ci sono gli indirizzi ip che però ip2 location mi da privati.....è un dialer????) se però non ti sembra strano non mi preoccupo! :up1:

ciao e grazie mille per la pazienza!

[Steve75]

bé se era da parecchio che non aggiornavi il sistema , il problema delle infezioni al 99% è a causa di questo.....

per quanto riguarda le connessioni, riesci a postare uno scrren cosi ci vediamo piu chiaro?

[fragola]

uno screen???cioè quello che mi esce?perchè c'è anche il mio ip, il nome del mio pc e cose così....si può rendere pubblico?

Modificato June 18, 2007 da fragola

[Steve75]

no quello lo cancelli....

[fragola]

allora cosa devo fare?cos'è lo screen?

[Steve75]

allora cosa devo fare?cos'è lo screen?

in pratica devi immortalizzare quello che vedi sullo schermo....e postarlo

c'è una guida sul forum , ma non la trovo, appena la trovo te la passo... o se vede la discussione il grande Kuma lo farà lui

[Kuma]

COME POSTARE UN'IMMAGINE:

Se vuoi puoi mettere qui la schermata del programma con le minacce individuate...

Per catturare la schermata, puoi usare SHOTGENIUS

( http://shotgenius.wininizio.it/index_ita.html )

Poi una volta che hai l'immagine, fai l'upload su questo server: http://imageshack.us/

(clicca su "Sfoglia", seleziona l'immagine e poi clicca su "Host It")

Una volta caricata l'immagine, copia tutta la riga del codice dove appare

"Thumbnail for forums (1)"

ed incollala sul tuo post...

l'immagina apparirà dopo l'invio

_______________

Per questioni di Privacy, se nell'immagine appare il tuo IP, la email, il nome del Pc o altro che non vuoi che appaia...

Prima di postare l'immagine sul server, aprila con un programma di grafica (anche il Paint di Windows va bene per alcune immagini) e cancella i dati che non vuoi siano visualizzati

(basta che li rendi icomprensibili facendo sopra un pasticcio bastano solo le prime tre cifre)

[fragola]

Ciao Kuma!allora...posto alcune cose però se c'è qualcosa che devo cancellare per la privacy cancellalo pure tu dal messaggio!

qua compaiono siti strani...tipo freepagerank ecc...oppure image shack che non avevo usato.

[Steve75]

ciao,

se gli IP che hai cancellato sono tuoi , sembrerebbe tutto normale....

per l'immagine dove vengono menzionati gli attacchi che avevi anche riportato, installa le patch dei link e dovresti essere apposto...

comunque aspetta anche il parere di Kuma

[fragola]

Ciao Steve!io penso di avere l'ip che cambia...ho alice, l'adsl...bhoooooooooo......

in ogni caso sono due o tre gli ip che si ripetono....non sono mia del tutto diversi.....