|
| Precedente :: Successivo |
| Autore |
Messaggio |
Geronte
Eroe
Registrato: 25/05/07 13:43
Messaggi: 63
|
 Inviato: 04 Giu 2009 01:06 Oggetto: Strane connessioni Internet... |
 |
|
Salve !
Spero che possiate aiutarmi, sto diventando matto...
Dunque, da qualche giorno un SW che uso da mesi (ProShow Gold) si è messo in testa di connettersi a Internet, o almeno Zone Alarm mi segnala la cosa.
Uso XP SP3 aggiornato, ho Symantec Antivirus, Zone Alarm; ho fatto scansioni con HiJackThis, Gmer, SpyBot, Avira (rescue CD) e chi più ne ha più ne metta... niente, sembra tutto pulito, eppure...
Gli indirizzi IP a cui cerca di connettersi "sembrano" normali (es. 66.236.78.139:53) oppure cerca di inviare dati al router (sempre sulla porta 53, l'IP è 192.168.0.1:53), oppure cerca di connettersi a 0.0.0.0:80.
Insomma, sto diventando matto !
Grazie in anticipo se qualcuno riesce a chiarire il mistero...
Saluti da Geronte |
|
| Top |
|
 |
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 04 Giu 2009 08:22 Oggetto: |
|
|
Ciao Geronte, 
Fai queste operazioni preliminari:
|
|
| Top |
|
|
Geronte
Eroe
Registrato: 25/05/07 13:43
Messaggi: 63
|
| Inviato: 04 Giu 2009 11:23 Oggetto: |
|
|
Ciao, bdoriano, grazie per l'aiuto.
Adesso sono al lavoro, e prima di stasera non posso seguire i tuoi consigli.
Comunque, ti posso dare qualche dettaglio in più.
Proshow cerca di connettersi a Internet, a vari indirizzi IP che però sembrano "puliti", ma anche cerca di fare strane cose: tenta di connettersi all'IP 0.0.0.0:80, oppure cerca di inviare dati al router. Se vuoi posso postare anche il log di ZoneAlarm.
Io ho fatto, nel dettaglio, le seguenti cose (anche se non ricordo bene l'ordine...):
scansione del PC con Symantec Antivirus CE: negativa
scansione con HiJackThis: tutto come al solito, tutto legittimo; Proshow carica delle DLL che sembrano legititme, molte di Microsoft e altre del SW stesso
scansione con Rootkit Revealer: negativa (o meglio, ha trovato le solite 2 voci del registro con caratteri "null" che trova da sempre)
scansione con Gmer: tutto "nero", quindi sembrerebbe legittimo...
scansione con SpyBot: negativa, qualche tracking cookie (ma io uso Firefox...)
scansione con Stinger: negativa
scansione con Norman AntiMalware: negativa (a parte attivarmi il servizio browser, che ho subito disattivato...)
invio del file exe a Virustotal: negativo
infine, scansione con Avira Rescue Disk, anche questa negativa.
Mi sembra di aver fatto un bel po' di tentativi a vuoto...
Vabbe', stasera proviamo con gli strumenti che mi hai consigliato tu; spero proprio di non dover riformattare...
A presto, Geronte |
|
| Top |
|
|
Geronte
Eroe
Registrato: 25/05/07 13:43
Messaggi: 63
|
| Inviato: 05 Giu 2009 15:19 Oggetto: |
|
|
Dunque, eccoci a noi:
fatta pulizia con Ccleaner
rimossi gli ADS
Installato MBAM, ecco il log :
mbam-log-2009-06-05 (14-41-27).txt
e poi mi sono fermato...
Se ti serve, ho anche il log di ZoneAlarm, che trovi qui:
ZALog2009.06.03.txt
Grazie per il momento, sto comunque cominciando a pensare che quel SW cerchi di connettersi "a casa" per verificare registrazione o cose varie...
A presto, saluti geriatrici da Geronte |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 05 Giu 2009 21:11 Oggetto: |
|
|
MBAM ha rilevato qualcosina, hai provveduto a eliminare le voci segnalate? 
Per quanto riguarda il log di ZoneAlarm, è evidente, da parte di ProShow, il tentativo di recuperare un indirizzo tramite l'interrogazione dei DNS.
Quindi, è probabile che cerchi di collegarsi al sito del produttore per verificare la presenza di eventuali aggiornamenti.
La cosa curiosa, però, è che tenta di recuperare l'indirizzo interrogando siti non preposti allo scopo (per esempio: Vatican.va)
Sarebbe interessante vedere anche gli altri log... 
Domandina: ProShow è originale?  |
|
| Top |
|
|
Geronte
Eroe
Registrato: 25/05/07 13:43
Messaggi: 63
|
| Inviato: 08 Giu 2009 10:23 Oggetto: |
|
|
| bdoriano ha scritto: | MBAM ha rilevato qualcosina, hai provveduto a eliminare le voci segnalate?
Per quanto riguarda il log di ZoneAlarm, è evidente, da parte di ProShow, il tentativo di recuperare un indirizzo tramite l'interrogazione dei DNS.
Quindi, è probabile che cerchi di collegarsi al sito del produttore per verificare la presenza di eventuali aggiornamenti.
La cosa curiosa, però, è che tenta di recuperare l'indirizzo interrogando siti non preposti allo scopo (per esempio: Vatican.va)
Sarebbe interessante vedere anche gli altri log...
Domandina: ProShow è originale? |
Dunque, ti rispondo in ordine:
ho eliminato solo i 2 files di MBAM, in quanto le 2 voci di registro sono state impostate così proprio da me: preferisco fare gli aggiornamenti di XP quando lo decido io, e di quello che decido io, e c'è un problema tra XP e la versione di Symantec AV che ho io (è un problema noto, ed è segnalato anche dalla stessa Syamntec; purtroppo non c'è fix, quindi ho dovuto disabilitare il controllo AV).
Ho dato un'occhiata anche ad altri log di ZA; anche Nero (legittimo, avuto con il masterizzatore !!! e anche vecchio, è la ver 6), Motorola Phone Tools, Nikon Picture fanno più o meno le stesse cose, anche se non ho controllato tutti gli indirizzi IP.
Infine, la mia versione di Proshow è vecchia e leggittima; ho disabilitato la ricerca automatica degli aggiornamenti, in quanto adesso dovrei pagarli, essendo passato più di 1 anno.
Grazie per l'aiuto, comunque ci ho "guadagnato" qualcosina, ho scoperto MBAM che non conoscevo; ma perchè SpyBot, AdAware, Symantec e Avira non avevano trovato i due piccoli intrusi ?
A presto, saluti arteriosclerotici da Geronte
PS se c'è bisogno di un geriatra... |
|
| Top |
|
|
lorenaino
Eroe in grazia degli dei
Registrato: 14/02/09 11:44
Messaggi: 147
Residenza: Sasso Marconi
|
| Inviato: 08 Giu 2009 11:51 Oggetto: |
|
|
| ciao,scusate l'intrusione,quale versione hai di norton antivirus? |
|
| Top |
|
|
Geronte
Eroe
Registrato: 25/05/07 13:43
Messaggi: 63
|
| Inviato: 08 Giu 2009 12:10 Oggetto: |
|
|
| lorenaino ha scritto: | | ciao,scusate l'intrusione,quale versione hai di norton antivirus? |
Symantec AV 9.0.0.338 |
|
| Top |
|
|
lorenaino
Eroe in grazia degli dei
Registrato: 14/02/09 11:44
Messaggi: 147
Residenza: Sasso Marconi
|
| Inviato: 08 Giu 2009 12:58 Oggetto: |
|
|
| Geronte ha scritto: | | lorenaino ha scritto: | | ciao,scusate l'intrusione,quale versione hai di norton antivirus? |
Symantec AV 9.0.0.338 |
Quindi se non sbaglio hai la versione corporate.
ciao
 |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 08 Giu 2009 13:11 Oggetto: |
 |
|
| Geronte ha scritto: | | Grazie per l'aiuto, comunque ci ho "guadagnato" qualcosina, ho scoperto MBAM che non conoscevo; ma perchè SpyBot, AdAware, Symantec e Avira non avevano trovato i due piccoli intrusi? |
Tieni conto che ogni antispyware e/o antivirus ha tempi diversi di aggiornamenti e "livelli" diversi di funzionamento.
Io eliminerei Lavasoft Ad-aware che è diventato molto pesante e poco produttivo. |
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
