Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
* Attacchi o fantasmi?
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
maxstirner
Comune mortale *
Comune mortale *


Registrato: 18/10/05 14:55
Messaggi: 212
MessaggioInviato: 07 Gen 2006 18:06    Oggetto: * Attacchi o fantasmi? Rispondi citando
Ciao a tutti! Questo è il mio primo intervento Embarassed e spero di non richiedere spiegazioni troppo ovvie e super trattate dal forum o addirittura di non dire idiozie.
Questo è il mio problema: Quando entro in un certo blog, chiamiamolo "A", blog in cui non sono molto gradito, trascorsi una decina di minuti al massimo, il computer mi fa il reboot e se dopo il riavvio, insisto a rimanere nel blog, l'esperienza si ripete; addirittura se entro in un blog antagonista a questo, chiamiamolo "B" e vi resto in incognito posso restarvi impunemente delle ore, ma se posto, spesso mi succede lo stesso fenomeno. Aggiungo inoltre che, da informazioni ricevute da altri blogger, molti di essi hanno fatto la mia stessa esperienza e moltissimi si sono trovati costretti a formattare perchè invasi da virus; alcuni avevano perso l'amministrazione del computer e mi giurano che non frequentano siti sospetti, ma quasi tutta la loro attività di internet è il blog "B".
Se attivo il proxi, non succede nulla di anomalo in entrambi i blog.
Il mio pensiero è che nel blog "A" , oltre a leggere l'IP dell'utente, utilizzano i mezzi a loro disposizione per spegnere o anche peggio, chi decidono loro ed a volte lo inseguono anche nel blog "B", disponendo dei mezzi per leggergli l'IP e spegnerlo e/o infettarlo anche se non sono il webmaster.
Sto forse correndo il rischio di parlare di fantasmi? forse sì, ma i fatti sono reali.
Grazie per le vostre risposte qualunque esse siano.
Top
Profilo Invia messaggio privato
maxstirner
Comune mortale *
Comune mortale *


Registrato: 18/10/05 14:55
Messaggi: 212
MessaggioInviato: 14 Gen 2006 01:33    Oggetto: Rispondi citando
Dopo una settimana, neppure una risposta! Debbo dedurre che, o l'argomento è banalissimo, in quanto tali fenomeni accadono a quasi tutti periodicamente o i miei sospetti sono talmente lontani dalla realtà, da non meritare neppure che mi venga detto che, in effetti, si tratta di un problema tecnico; forse è meglio così.
Grazie ugualmente.

Max Stirner
Top
Profilo Invia messaggio privato
kingofworms
Moderatore Internet e Telefonia
Moderatore Internet e Telefonia


Registrato: 13/09/03 00:01
Messaggi: 1719
MessaggioInviato: 14 Gen 2006 02:06    Oggetto: Rispondi citando
Oppure, nessuno ha la più pallida idea di quale sia la causa di tutto ciò. Ne vuoi uno, di questi? Eccomi! Wink
Top
Profilo Invia messaggio privato
Gateo
Dio maturo
Dio maturo


Registrato: 17/11/03 19:16
Messaggi: 12379
MessaggioInviato: 14 Gen 2006 12:20    Oggetto: Rispondi citando
Io invece non l'avevo proprio visto, causa problemi con internet mi son perso parecchi nelle scorse settimane.
Puo' essere che il blog di cui parli sia stato infettato in qualche modo o sia stato fatto apposta a fini dannosi, capita continuamente.
Hai provato ad accedervi con vari browser per vedere che succede?
Top
Profilo Invia messaggio privato
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
MessaggioInviato: 14 Gen 2006 16:05    Oggetto: Rispondi citando
Anche io non avevo visto il tuo post. scusa e benvenuto Smile

Tre-quattro domande tanto per capire meglio:

1) hai un firewall? L'admin che vede il tuo IP potrebbe decidere volontariamente di attaccare il tup PC mentre sei collegato (cosa improbabile, oltre che illegale). Se non hai un firewall attivato gli faciliti il compito

2) Hai scansionato il PC contro ospiti indesiderati? Te lo chiedo perchè potresti avere delle backdoor installate a tua insaputa. Non solo la scansione antivirus, ma anche una contro i trojan. Incomincia a installare e provare (dopo update online) EWIDO

3) Ti succede con un solo browser (es IE) o anche altri come FF o Opera. Se non lo hai ancora verificato ti conviene verificarlo.

4) Se ti succede con IE hai provato ad impostare le protezioni per l'area Internet al livello massimo? (Strumenti\Opzioni\Sicurezza...)
Top
Profilo Invia messaggio privato
niklair
Dio maturo
Dio maturo


Registrato: 31/10/03 11:38
Messaggi: 2289
Residenza: Piu' a nord della dea della grafica
MessaggioInviato: 15 Gen 2006 00:15    Oggetto: Rispondi citando
.... immagino tu abbia l'antivirus e un firewall (che non sia quello di XP) .... inoltre come ha dettp holy prova ad usare FF o Opera .... ma sai che mi viene voglia di provare a visitarlo 'sto blog? ....
Top
Profilo Invia messaggio privato
maxstirner
Comune mortale *
Comune mortale *


Registrato: 18/10/05 14:55
Messaggi: 212
MessaggioInviato: 15 Gen 2006 02:08    Oggetto: Rispondi citando
kingofworms ha scritto:
Oppure, nessuno ha la più pallida idea di quale sia la causa di tutto ciò. Ne vuoi uno, di questi? Eccomi! Wink


Ciao. grazie ugualmente. Cercherò di darvi ulteriori informazioni nella speranza di darvi maggiori strumenti di valutazione
Top
Profilo Invia messaggio privato
maxstirner
Comune mortale *
Comune mortale *


Registrato: 18/10/05 14:55
Messaggi: 212
MessaggioInviato: 15 Gen 2006 02:11    Oggetto: Rispondi citando
Gateo ha scritto:
Io invece non l'avevo proprio visto, causa problemi con internet mi son perso parecchi nelle scorse settimane.
Puo' essere che il blog di cui parli sia stato infettato in qualche modo o sia stato fatto apposta a fini dannosi, capita continuamente.
Hai provato ad accedervi con vari browser per vedere che succede?


Grazie anche a te gateo; cercherò di concentrare le ulteriori informazioni su Holifay
Top
Profilo Invia messaggio privato
maxstirner
Comune mortale *
Comune mortale *


Registrato: 18/10/05 14:55
Messaggi: 212
MessaggioInviato: 15 Gen 2006 02:12    Oggetto: Rispondi citando
niklair ha scritto:
.... immagino tu abbia l'antivirus e un firewall (che non sia quello di XP) .... inoltre come ha dettp holy prova ad usare FF o Opera .... ma sai che mi viene voglia di provare a visitarlo 'sto blog? ....


Ciao e grazie anche a te; come dissi concentrerò le risposte su Holifay
Top
Profilo Invia messaggio privato
maxstirner
Comune mortale *
Comune mortale *


Registrato: 18/10/05 14:55
Messaggi: 212
MessaggioInviato: 15 Gen 2006 03:03    Oggetto: Rispondi citando
holifay ha scritto:
Anche io non avevo visto il tuo post. scusa e benvenuto Smile

Tre-quattro domande tanto per capire meglio:

1) hai un firewall? L'admin che vede il tuo IP potrebbe decidere volontariamente di attaccare il tup PC mentre sei collegato (cosa improbabile, oltre che illegale). Se non hai un firewall attivato gli faciliti il compito

2) Hai scansionato il PC contro ospiti indesiderati? Te lo chiedo perchè potresti avere delle backdoor installate a tua insaputa. Non solo la scansione antivirus, ma anche una contro i trojan. Incomincia a installare e provare (dopo update online) EWIDO

3) Ti succede con un solo browser (es IE) o anche altri come FF o Opera. Se non lo hai ancora verificato ti conviene verificarlo.

4) Se ti succede con IE hai provato ad impostare le protezioni per l'area Internet al livello massimo? (Strumenti\Opzioni\Sicurezza...)


Ciao Holifay e grazie per la tua attenzione.
Io ho ZA suite integrato. Ho un P4 1,7 velocità XP pro. Uso Firefo 1.5, ma succede anche con IE; prove già fatte. Non ho provato Opera ma...
Ho fatto più volte la scansione in modalità provvisoria con l'antivirus e l'antispy di ZA, con AD-Awere, Spybot Search & destroy, a2-squared, in stand alone AVG e AVAST, TDS-3 ed ho fatto la scansione per il Sasser con Symantec e Windows; nulla sono pulito o così risulta.
Ora i blog che io frequento sono fortemente politicizzati e mesi fa, quando nessun problema si era ancora presentato, individui ostili lanciarono minacce sibilline e parlarono di grandi esperti informatici e di fatti che si sarebbero verificati di lì a poco. Dopo qualche tempo, tra i blogger che tra loro avevano stabilito contatti, cominciarono a scambiarsi informazioni di computer che non erano più in possesso dell'amministratore, cursore che andava dove voleva, computer spenti la sera, trovati accesi il mattino e.... virus in quantità industriali fino al totale blocco del computer. Ad alcuni, credo, se non sono troppo presuntuoso, grazie ad una discreta protezione ed a meticolose scansioni, l'unico problema che si presenta è la sensazione di una vera caccia all'uomo. Io se entro nel NIENTE SPAM!, nel blog A (avversario) ed in due blog amici B e C, quindi siti dove sono facilmente identificabile, dopo poco che sono entrato o che ho postato, il computer mi fa il reboot, anche se inserisco il bloclocked e se non stacco fisicamente il modem per almeno 20 minuti, l'esperienza facilmente si ripete entro poco. Il bloclocked dovrebbe chiudere tutte le porte... sono sconcertato.
Ma ora vi racconto una cosa che sa d'incredibile e se mi direte che non è possibile e non mi crederete vi giustifico perché pure io non ci credevo ed ho dovuto fare l'esperienza più volte perché pensavo sempre di avere sbagliato qualcosa ed essermi tradito; ma non è così, quello che vi racconto è verità.
Istallai un proxi: Steganos. Lo settai a bassa velocità per non rallentare troppo la navigazione e per qualche giorno non ebbi problemi, poi un giorno, all'interno del blog A, scattò il reboot; pensai di essermi sbagliato e di aver attivato il proxi dopo la connessione ad internet. Attesi mezz'ora, poi attivai il proxi, sempre a bassa velocità e mi connessi ad internt, dopo circa un'ora scattò di nuovo il reboot. Il giorno successivo attivai il proxi ad alta velocità velocità, un IP ogni 3 secondi circa, attesi alcuni minuti poi mi connessi. Per qualche ora la navigazione funzionò, ma dopo circa 5 ore in cui avevo le pagine aperte del NIENTE SPAM! del Blog A e B, il reboot scattò di nuovo; ora non so veramente cosa pensare, perché se si tratta di un bug è un bug mooolto strano.
Non mi sovvengono altre informazioni da darvi, se non quella che il problema si presenta pure se utilizzo un altro computer P3 con WIN98SE.
La stranezza è che se viaggio in qualsiasi altro sito, o meglio non mi mostro nel NIENTE SPAM! e in quello A,B,C, non ho alcun problema
Grazie.
Top
Profilo Invia messaggio privato
GrayWolf
Dio maturo
Dio maturo


Registrato: 03/07/05 17:24
Messaggi: 2325
Residenza: ... come frontiera i confini del mondo...
MessaggioInviato: 15 Gen 2006 14:18    Oggetto: Rispondi citando
maxstirner ha scritto:

Non mi sovvengono altre informazioni da darvi, se non quella che il problema si presenta pure se utilizzo un altro computer P3 con WIN98SE.
La stranezza è che se viaggio in qualsiasi altro sito, o meglio non mi mostro nel NIENTE SPAM! e in quello A,B,C, non ho alcun problema
Grazie.


Questo è parecchio strano, sembra un comportamento da backorifice
(che però dovrebbe essere bloccato dalle protezioni) basato su:
Citazione:
... se si hanno i diritti di accesso (in modo più o meno lecito) ai databases dei provider. In tal caso è possibile controllare con massima precisione i tabulati in cui sono schematizzate le corrispondenze IP-NUMERO TELEFONICO, e quindi è possibile risalire ad indirizzo, nome e cognome dell'intestatario di quel particolare numero telefonico.

da qui
perchè se non ho capito male, entrambi i pc usano la stessa linea telefonica (probabilmente in alternativa).

Non so quanto questo rasenti la paranoia però da quello che hai descritto,
... siti politici..., ....minacce...., .....pc che perdono il controllo.....,
pur non essendo un "complottista", il dubbio mi viene.
Top
Profilo Invia messaggio privato
maxstirner
Comune mortale *
Comune mortale *


Registrato: 18/10/05 14:55
Messaggi: 212
MessaggioInviato: 15 Gen 2006 16:47    Oggetto: Rispondi citando
GrayWolf ha scritto:

Questo è parecchio strano, sembra un comportamento da backorifice
(che però dovrebbe essere bloccato dalle protezioni) basato su:

.....

Non so quanto questo rasenti la paranoia però da quello che hai descritto,
... siti politici..., ....minacce...., .....pc che perdono il controllo.....,
pur non essendo un "complottista", il dubbio mi viene.


Hai compreso perfettamente 2 cose:
1) I due computer lavorano alternativamente sulla stessa linea
2) Il mio timore di essere paranoico o di sembrarlo, se non trovo spiegazioni adeguate; io continuo a sperare che si tratti di un bug e speravo molto di sentirmi dire che anche altri hanno o hanno avuto questo problema. Speriamo...
Ti ringrazio.
Ciao
Top
Profilo Invia messaggio privato
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
MessaggioInviato: 15 Gen 2006 21:18    Oggetto: Rispondi citando
allora, tutto è molto strano, anxhe per il fatto dei due computer. Ma anche molto interessante. Se vuoi possiamo provare a capirci Smile

Per quanto riguarda te:
Insisto con la scansione con Ewido. Hai la possibilità di usarlo per 30 giorni. Aggiornalo dopo il download. E' molto potente.

Poi prova a fare una scansione con Hijacthis (www.hijackthis.de) e a postarne il log.

Poi la potresti fare con Silentrunners. Scaricati lo script in vbs e avvialo. Alla domanda rispondi no. Dopo qualche minuto di apparente stasi ti verrà rilascaito un file di log. Lo posti qui che lo analizziamo. Silentrunners arriva lì dove Hijackthis si ferma

Poi fai anche una scansione con Rootkitrev. nel dubbio che tu abbia installato un rootkit (di solto i normali tool non li vedono). Anche lui ti rilascia un log che andremo ad analizzare.

Non si assicurano risultati, ma almeno ci proviamo Wink

Per quanto riguarda noi: se vuoi postare il link al blog sospetto....
Top
Profilo Invia messaggio privato
maxstirner
Comune mortale *
Comune mortale *


Registrato: 18/10/05 14:55
Messaggi: 212
MessaggioInviato: 16 Gen 2006 04:06    Oggetto: Rispondi citando
holifay ha scritto:
allora, tutto è molto strano, anxhe per il fatto dei due computer. Ma anche molto interessante. Se vuoi possiamo provare a capirci Smile

Per quanto riguarda te:
Insisto con la scansione con Ewido. Hai la possibilità di usarlo per 30 giorni. Aggiornalo dopo il download. E' molto potente.

Poi prova a fare una scansione con Hijacthis (www.hijackthis.de) e a postarne il log.

Poi la potresti fare con Silentrunners. Scaricati lo script in vbs e avvialo. Alla domanda rispondi no. Dopo qualche minuto di apparente stasi ti verrà rilascaito un file di log. Lo posti qui che lo analizziamo. Silentrunners arriva lì dove Hijackthis si ferma

Poi fai anche una scansione con Rootkitrev. nel dubbio che tu abbia installato un rootkit (di solto i normali tool non li vedono). Anche lui ti rilascia un log che andremo ad analizzare.

Non si assicurano risultati, ma almeno ci proviamo Wink

Per quanto riguarda noi: se vuoi postare il link al blog sospetto....



Ciao holifay
ho eseguito le scansioni che mi consigliasti ed ora ti pubblico i risultati ed i file .log

LA SCANSIONE con Ewido IN MODALITA' PROVVISORIA HA PRODOTTO LA MESSA IN QUARANTENA DI 59 cookie di rischio medio (quarantena).

La scansione in modalità provvisoria con HijackThis ha prodotto il seguente file.log

Logfile of HijackThis v1.99.1
Scan saved at 1.05.41, on 16/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\SICUREZZA\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SICURE~1\spybotsd\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Netcraft Toolbar - {D554D8FC-B36D-4BB4-93DB-4A3394D505E3} - C:\Programmi\SICUREZZA\NetcraftIE\nctb.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\SICURE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\SICUREZZA\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\SICUREZZA\Digisoft AntiDialer\AntiDialer\Digisoft AntiDialer\AntiDialer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Alice - {AC0BF2F2-CB77-470C-8266-0330CDB0B591} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132313654144
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1132484300533
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\PROGRA~1\SICURE~1\avgamsvr.exe (file missing)
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\PROGRA~1\SICURE~1\avgupsvc.exe (file missing)
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

LA SCANSIONE IN MODALITA' PROVVISORIA DI Silentrunners ha prodotto il seguente file .log

"Silent Runners.vbs", revision 43, http://forum.zeusnews.com/link/6185
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programmi\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"AdslTaskBar" = "rundll32.exe stmctrl.dll,TaskBar" [MS]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"SunJavaUpdateSched" = "C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe" ["Sun Microsystems, Inc."]
"AVG7_CC" = "C:\PROGRA~1\SICURE~1\avgcc.exe /STARTUP" [file not found]
"Zone Labs Client" = "C:\Programmi\SICUREZZA\Zone Labs\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SICURE~1\spybotsd\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Estensione panoramica video del Pannello di controllo"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Estensione di icona di HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\Microsoft Office\Office10\msohev.dll" [MS]
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\SICUREZZA\avgse.dll" [file not found]
"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\SICUREZZA\avgse.dll" [file not found]
"{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\SICUREZZA\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{00000000-0000-0000-0000-000000000054}" = "shredderse"
-> {CLSID}\InProcServer32\(Default) = "c:\programmi\steganos internet anonym 5\shredderse.dll" [null data]
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SICURE~1\A2FREE~1\A2CONT~1.DLL" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\SICUREZZA\avgse.dll" [file not found]
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\ewido anti-malware\context.dll" ["ewido networks"]
shredderse\(Default) = "{00000000-0000-0000-0000-000000000054}"
-> {CLSID}\InProcServer32\(Default) = "c:\programmi\steganos internet anonym 5\shredderse.dll" [null data]
TDS-3\(Default) = "{E8ADA3E1-CE9B-44A0-A165-997304EF4E18}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\tds3shl.dll" [empty string]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\SICUREZZA\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\ewido anti-malware\context.dll" ["ewido networks"]
shredderse\(Default) = "{00000000-0000-0000-0000-000000000054}"
-> {CLSID}\InProcServer32\(Default) = "c:\programmi\steganos internet anonym 5\shredderse.dll" [null data]
TDS-3\(Default) = "{E8ADA3E1-CE9B-44A0-A165-997304EF4E18}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\tds3shl.dll" [empty string]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
a2ContMenu\(Default) = "{AB77609F-2178-4E6F-9C4B-44AC179D937A}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SICURE~1\A2FREE~1\A2CONT~1.DLL" [null data]
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\SICUREZZA\avgse.dll" [file not found]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\SICUREZZA\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\Salati\Impostazioni locali\Dati applicazioni\Microsoft\Wallpaper1.bmp"


Startup items in "Salati" & "All Users" startup folders:
--------------------------------------------------------

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica
"Avvio veloce di Adobe Reader" -> shortcut to: "C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Digisoft AntiDialer" -> shortcut to: "C:\Programmi\SICUREZZA\Digisoft AntiDialer\AntiDialer\Digisoft AntiDialer\AntiDialer.exe" ["Digisoft"]
"Microsoft Office" -> shortcut to: "C:\Programmi\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\Programmi\Steganos Internet Anonym 5\sselsp.dll [null data], 01 - 03, 30
C:\WINDOWS\system32\imslsp.dll ["Zone Labs, LLC"], 04 - 09, 29
C:\WINDOWS\system32\ZoneLabs\vetredir.dll ["Computer Associates International, Inc."], 10 - 12, 28
%SystemRoot%\system32\mswsock.dll [MS], 13 - 15, 18 - 27
%SystemRoot%\system32\rsvpsp.dll [MS], 16 - 17


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{D554D8FC-B36D-4BB4-93DB-4A3394D505E3}" = "&Netcraft Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\SICUREZZA\NetcraftIE\nctb.dll" ["Netcraft"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{D554D8FC-B36D-4BB4-93DB-4A3394D505E3}" = "Netcraft Toolbar"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\SICUREZZA\NetcraftIE\nctb.dll" ["Netcraft"]

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{AC0BF2F2-CB77-470C-8266-0330CDB0B591}\
"ButtonText" = "Alice"
"Exec" = "http://gw.aliceadsl.it/alice" [file not found]

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Console"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0005-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll" ["Sun Microsystems, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programmi\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://gw.aliceadsl.it/home

Missing lines (compared with English-language version):
[Strings]: 1 line

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
HIJACK WARNING! "PhishingSite" = "res://nctb.dll/phishingsite.htm" [file not found]


HOSTS file
----------

C:\WINDOWS\System32\drivers\etc\HOSTS

maps: 2 domain names to IP addresses,
1 of the IP addresses is *not* localhost!


All Non-Disabled Services (Display Name, Service Name, Path {Service DLL}):
---------------------------------------------------------------------------

AVG7 Alert Manager Server, Avg7Alrt, "C:\PROGRA~1\SICURE~1\avgamsvr.exe" [file not found]
AVG7 Update Service, Avg7UpdSvc, "C:\PROGRA~1\SICURE~1\avgupsvc.exe" [file not found]
CA ISafe, CAISafe, "C:\WINDOWS\system32\ZoneLabs\isafe.exe" ["Computer Associates International, Inc."]
ewido security suite control, ewido security suite control, "C:\Programmi\ewido anti-malware\ewidoctrl.exe" ["ewido networks"]
ewido security suite guard, ewido security suite guard, "C:\Programmi\ewido anti-malware\ewidoguard.exe" ["ewido networks"]
Machine Debug Manager, MDM, ""C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
Scheda WMI Performance, WmiApSrv, "C:\WINDOWS\system32\wbem\wmiapsrv.exe" [MS]
Servizio amministrativo di Gestione disco logico, dmadmin, "C:\WINDOWS\System32\dmadmin.exe /com" ["Microsoft Corp., Veritas Software"]
Servizio Numero di serie per dispositivi multimediali portatili, WmdmPmSN, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\mspmsnsv.dll" [MS]}
Servizio Provisioning di rete, xmlprov, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\xmlprov.dll" [MS]}
SSL HTTP, HTTPFilter, "C:\WINDOWS\System32\svchost.exe -k HTTPFilter" {"C:\WINDOWS\System32\w3ssl.dll" [MS]}
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
PDFCreator\Driver = "pdfcmnnt.dll" [null data]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 64 seconds, including 18 seconds for message boxes)


LA SCANSIONE IN MODALITA' NORMALE DI Rootkitrev HA PRODOTTO IL SEGUENTE FILE


HKLM\SOFTWARE\Zone Labs\ZoneAlarm\IncomingCount 16/01/2006 1.54 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Zone Labs\ZoneAlarm\BlockCount 16/01/2006 1.54 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Zone Labs\ZoneAlarm\HackCount 16/01/2006 1.54 4 bytes Data mismatch between Windows API and raw hive data.

Ciao e grazie qualsiasi sia il risultato
Top
Profilo Invia messaggio privato
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
MessaggioInviato: 16 Gen 2006 17:55    Oggetto: Rispondi citando
se non mi è sfuggito qualcosa, il risultato è che il tuo PC è OK (PS: il log di HijackThis va fatto da modalità normale). C'è solo da sistemare qualche disinstallazione mal riuscita, come quella di AVG e di TDS-3, che comunque non spiegano il tuo problema.
Riguardo a queste con un pulitore del registro come CCcleaner dovresti risolvere.

Prova per scrupolo a scaricare e utilizzare (dopo aggiornamento) anche la suite RegRun della Greatis (platinum edition). Utilizza anche l'opzione Unhackme.

Da quello che ho visto però dubito che il problema che hai sia legato a qualche infezione.
Top
Profilo Invia messaggio privato
GrayWolf
Dio maturo
Dio maturo


Registrato: 03/07/05 17:24
Messaggi: 2325
Residenza: ... come frontiera i confini del mondo...
MessaggioInviato: 16 Gen 2006 19:24    Oggetto: Rispondi citando
L'unico dubbio ma moooolto labile potrebbe essere su questo:

Citazione:
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]


Da quello che ho visto hai installato Office Xp quindi può essere legittimo.
In più, SilentRunner lo da come [MS], ragione di più per ritenerlo sicuro.

Su alcuni siti per la sicurezza, lo indicano come probabile portatore di trojan che apre una backdoor.

Secondo Symantec tale file potrebbe essere infettato da PWSteal.Raidys
C'è da considerare che con le protezioni e le scansioni effettuate dovrebbe essere stato intercettato ma
Citazione:
The Trojan also uses rootkit capabilities to hide its process in memory.
Top
Profilo Invia messaggio privato
GrayWolf
Dio maturo
Dio maturo


Registrato: 03/07/05 17:24
Messaggi: 2325
Residenza: ... come frontiera i confini del mondo...
MessaggioInviato: 16 Gen 2006 23:42    Oggetto: Rispondi citando
Altra cosa un po' preoccupante è:
Citazione:
HOSTS file
----------

C:\WINDOWS\System32\drivers\etc\HOSTS

maps: 2 domain names to IP addresses,
1 of the IP addresses is *not* localhost!


Non tanto per quello che dice Silentruners quanto per il fatto che il file Hosts è accessibile,
in questo modo qualunque malintenzionato in quel file ci può scrivere la redirezione al suo sito e poi......
normalmente basta applicare l'attributo di sola lettura al file dopo averne controllato il contenuto
Top
Profilo Invia messaggio privato
maxstirner
Comune mortale *
Comune mortale *


Registrato: 18/10/05 14:55
Messaggi: 212
MessaggioInviato: 17 Gen 2006 01:22    Oggetto: Rispondi citando
GrayWolf ha scritto:
Altra cosa un po' preoccupante è:
Citazione:
HOSTS file
----------

C:\WINDOWS\System32\drivers\etc\HOSTS

maps: 2 domain names to IP addresses,
1 of the IP addresses is *not* localhost!


Non tanto per quello che dice Silentruners quanto per il fatto che il file Hosts è accessibile,
in questo modo qualunque malintenzionato in quel file ci può scrivere la redirezione al suo sito e poi......
normalmente basta applicare l'attributo di sola lettura al file dopo averne controllato il contenuto


Ciao
Cosa mi consigli? Tieni presente che, di ciò che tu affermi io ho compreso l'essenza del pericolo, ma non sono in grado, di immaginare eventuali soluzioni tecniche, io posso solo eseguire pedissequamente le coordinate ricevute.
grazie.
Top
Profilo Invia messaggio privato
GrayWolf
Dio maturo
Dio maturo


Registrato: 03/07/05 17:24
Messaggi: 2325
Residenza: ... come frontiera i confini del mondo...
MessaggioInviato: 17 Gen 2006 02:18    Oggetto: Rispondi citando
Allora:
per quanto riguarda il file hosts

questa è un'immagine di come dovrebbe essere il suo contenuto
Citazione:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Questo è un esempio di file HOSTS usato da Microsoft TCP/IP per Windows.
#
# Questo file contiene la mappatura degli indirizzi IP ai nomi host.
# Ogni voce dovrebbe occupare una singola riga. L'indirizzo IP dovrebbe
# trovarsi nella prima colonna seguito dal nome host corrispondente.
# L'indirizzo e il nome host dovrebbero essere separati da almeno uno spazio
# o punto di tabulazione.
#
# È inoltre possibile inserire commenti (come questi) nelle singole righe
# o dopo il nome del computer caratterizzato da un simbolo '#'.
#
# Per esempio:
#
# 102.54.94.97 rhino.acme.com # server origine
# 38.25.63.10 x.acme.com # client host x

127.0.0.1 localhost


verifica l'indirizzo ip che trovi diverso da localhost
quello è un indirizzo preso in considerazione dal browser o da qualche malaware
però potrebbe essere legittimo, questo lo puoi sapere solo tu.
se poi vai su google di informazioni ne trovi a sufficienza.

---------------------------------------------------------------------------------------
per proteggere il file hosts:
    apri una sessione dos
    digita :
    C: e premi invio
    cd C:\WINDOWS\System32\drivers\etc e premi invio
    attrib +r +a hosts e premi invio
    exit e premi invio

legenda: in blu è quello che devi digitare al prompt dos
---------------------------------------------------------------------------------------
Per quanto riguarda CTFMON
Citazione:
Ctfmon.exe monitors the active windows and provides text input service support for speech recognition, handwriting recognition, keyboard, translation, and other alternative user input technologies.


qui c'è la spiegazione di Microsoft e come disinstallarlo

poi se guardi in fondo alla pagina della Symantec c'è un altro tipo di disinstallazione,
lascia perdere che ti dicono di usare il loro prodotto per la disinfezione,
di antivirus ne hai a sufficienza e nessuno ha rilevato qualcosa,
forse perchè non c'è ma è meglio togliersi tutti i dubbi.
Se intervieni sul registro, mi raccomando, fatti un backup PRIMA di operare qualsiasi cambiamento.
Top
Profilo Invia messaggio privato
maxstirner
Comune mortale *
Comune mortale *


Registrato: 18/10/05 14:55
Messaggi: 212
MessaggioInviato: 17 Gen 2006 03:07    Oggetto: Ti ringrazio moltissimo Rispondi
Vi ringrazio tutti moltissimo; spero di trovare qualche problema perché mi seccherebbe che si trattasse di "paranoie mie" o "paranoie reali"
Ciao e grazie ancora

MaxStirner
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi