| Autore |
 Discussione  |
|
Kéntauros
Senior Member
163 Messaggi |
 Inserito il - 18/06/2007 : 17:08:24
|
Salve amici, ho un problema grande quanto una nave. Da un pò di tempo il collegamento alla rete internet si blocca chiedendomi nome utente e psw. Io li fornisco, ma non mi da possibilità di accesso. Ho contattato il servizio assistenza della rete interna dove lavoro, ma mi continuano a dire che il problema non sussiste. Ora vorrei vedere se il problema è nel pc e precisamente nelle autorizzazioni del registro. Mi sapete indicare la strada?
Grazie.
|
|
|
burrito
Advanced Member
Città: Genova
797 Messaggi |
Inserito il - 18/06/2007 : 19:49:41
|
Scarica hijackthis (sezione download del forum) e posta un log secondo le regole: htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255  |
 |
|
|
Kéntauros
Senior Member
163 Messaggi |
Inserito il - 18/06/2007 : 22:14:08
|
Allora, che vada per il forza Juve, ma il problema non è sul mio pc, bensì quello dove lavoro; perciò fare un log con hijackthis mi è difficile (...)
Ora sarei grato se qualcuno di voi possa risolvermi il problema. Io ho provato sul registro e vedere le varie chiavi o dword da modificare, ma vorrei andare sul sicuro, non vorrei causare un blocco al sistema che è aziendale. |
|
|
|
pedrus
Moderatore
Città: Taranto - Pavia
952 Messaggi |
Inserito il - 18/06/2007 : 22:47:51
|
| Il problema c'è sempre stato? Prima funzionava? La cosa non dipende dalle politiche aziendali? Io continuerei a rivolgermi all'amministratore della rete prima di mettere mani dove non si dovrebbe. |
|
|
|
Kéntauros
Senior Member
163 Messaggi |
Inserito il - 19/06/2007 : 00:00:41
|
Certo che funzionava. Ho interpellato l'assistenza aziendale che mi ha detto per ben 5 volte la stessa cosa: è un problema sul pc, noi da remoto non possiamo e non riusciamo a risolverlo perchè l'accesso non è consentito; bisogna fare richiesta d'intervento con i dovuti costi di assistenza. Le consigliamo di rivedere le sue credenziali per il servizio, sicuramente qualche utente, diciamo distratto, le ha modificate erroneamente.
Ora, dato che il pc è utilizzato da altri utenti, io ho provato a vedere le mie credenziali, ma sono ok. Qualcuno mi ha consigliato di vedere l'autorizzazione da registro di sistema, ma non so dove metterci il naso a colpo sicuro. Tutto quà. |
|
|
|
burrito
Advanced Member
Città: Genova
797 Messaggi |
Inserito il - 19/06/2007 : 14:05:40
|
| Kentauros, è una cosa velocissima, non devi installare niente, basta eseguire il programma e uppare il blocco note su un sito... non credo che sia una cosa da non poter fare... |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 19/06/2007 : 14:09:55
|
| sn d'accordo con burrito |
|
|
|
pedrus
Moderatore
Città: Taranto - Pavia
952 Messaggi |
Inserito il - 19/06/2007 : 14:47:22
|
| Beh, dovrebbe copiarsi il file di log su un dischetto o chiavetta (sempre che le politiche di sicurezza aziendali lo permettano) e servirsi di un pc con connessione per uppare il file visto che a quanto pare sul pc che da problemi la connessione non funziona. |
|
|
|
Kéntauros
Senior Member
163 Messaggi |
Inserito il - 22/06/2007 : 22:24:03
|
| Premetto che al più presto proverò ad eseguire HijackThis, sempre che il sistema me lo permetta. Allora, io il problema lo voglio risolvere e perciò vi darò altri dati che oggi sono riuscito a capire chiedendo anche ad altri utenti dove lavoro. Prima al servizio Internet si entrava senza alcun problema, bastava spuntare sulle proprietà l'opzione "Non utilizzare mai connesioni remote". Ora non più. Difatti se entro nella Intranet aziendale tutto ok, appena seleziono un link esterno (ad es. [www].google.it) mi compare la famosa finestra di login chiedendomi dominio/user e password. D'importante c'è da dire che la rete si collega anche con un server proxy, ma ripeto bastava deselezionarlo e selezionare la voce "Non utilizzare mai connesioni remote" (ora non più). Conosco l'indirizzo del server ma vorrei avere da voi un consiglio ed una guida su come operare con tali informazioni. |
|
|
|
Kéntauros
Senior Member
163 Messaggi |
Inserito il - 13/07/2007 : 16:29:03
|
Salve amici, sono riuscito a fare il file log. Naturalmente ho sovrascritto il nome dell'azienda e di due admin della rete in modo da preservare la privacy e la mia "incolimità sul lavoro" (non si sa mai che qualcuno legga il forum e riconosca l'utente, anche se attraverso ip e altro riconoscerà tutto, tranne me). Comunque ho avuto contatti con alcuni tecnici della rete interna dicendomi che il problema è legato al firewall che nega l'accesso. Solo tramite autorizzazione posso accedervi. Ora voi, amici, riuscite a risolverlo senza che io chieda favori a tal scopo? Purtroppo le policy aziendali diventano sempre più rigide senza accorgersi che i servizi in rete sono un bene comune al servizio dell'utente che lavora.
Di seguito c'è il file log.
log.txt |
Modificato da - Yves in data 13/07/2007 20:15:10 |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 13/07/2007 : 17:41:16
|
disattiva ripristino configurazione di sistema
start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok
apri hijack e spunta:
O4 - HKLM\..\Run: [windows auto update] msblast.exe
le voci O15 (da verificare)
le voci O17 (da verificare)
clicca poi su fix checked
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli
files to delete:
C:\WINDOWS\system32\msblast.exe
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
scansiona innanzitutto con rootkitbuster e panda antirootkit
1) (htt*://[www].trendmicro[.com]/ftp/products/rootkitbuster/RootkitBusterv1.6-1055.zip)
Se rootkitbuster ti trova problemi li selezioni e clicchi su remove selected items
2) htt*://research.pandasoftware[.com]/blogs/images/AntiRootkit.zip
Devi assolutamente toglierti il norton perchè ti ha fatto entrare un virus molto diffuso nel 2003/04: il BLASTER  e metti active virus shield che è gratis ed il migliore (ha lo stesso database del kasperky) cm rilevamento malware e protezione!!! scaricalo da qui (htt*://[www].activevirusshield[.com]/antivirus/freeav/index.adp?). Lo aggiorni e scansioni
Cerca di convincere il capo di togliere il norton dai pc dell'impresa
Poi scansiona il pc, dopo averli aggiornati, con questi software:
spybot (htt*://[www].safer-networking.org/it/mirrors/index.html)
superantispyware (htt*://[www].superantispyware[.com]/downloadfile.html?productid=SUPERANTISPYWAREFREE)
avg antispyware (htt*://[www].ewido.net/en/download/)
virit (htt*://[www].tgsoft.it/files/vnlt6200.exe)
Infine fai una bella pulizia del pc con ccleaner (htt*://[www].ccleaner[.com]/download/)
Lanciare il programma, clic su “opzioni-->avanzate togliere la spunta a "cancella file in Windows temp solo se più vecchi di 48 ore, eseguire l’operazione “analizza-->avvia” due volte.
Eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato
Una volta scansionato cn tutti quei software antimalware li puoi togliere dal pc ma almeno tieniti spybot e ovviamente active virus shield
Vai sul sito windows update per cercare aggiornamenti (htt*://update.microsoft[.com]/windowsupdate/v6/default.aspx?ln=en-us)
Alla fine riposta un nuovo log di hijack
|
Modificato da - Leleago in data 14/07/2007 06:37:17 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 13/07/2007 : 20:06:59
|
scusa Leleago ma la situazione non può essere risolta come da te indicato perchè trattasi di termilale appartenente ad una Lan e per proteggersi da W32.Blaster.Worm deve essere installata questa patch anche a livello server:
htt*://[www].microsoft[.com]/downloads/details.aspx?displaylang=it&FamilyID=2354406c-c5b6-44ac-9532-3de40f69c074
guida all'installazione patch e rimozione automatica worm:
htt*://home.datacomm.ch/winzozz/blaster.htm
per quanto riguarda il pc locale rimozione manuale con HJT:
disattiva ripristino configurazione di sistema
start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok
fixare la voce:
O4 - HKLM\..\Run: [windows auto update] msblast.exe
trovare (funzione cerca) ed eliminare l'eseguibile: msblast.exe(puoi eventualmente utilizzare avenger, come indicato da Leleago, se sei in difficoltà)
riattivare il ripristino.
le voci al 015 devono essere verificate dall'utente, non siamo in grado di valutare l'attendibilità dei riferimenti.
(parere personale : voci valide)
stesso discorso per le 017 (voci di dominio)
consiglio: sistema il tuo pc prima di fare altro installando anche la patch se ti è possibile. |
Modificato da - michal in data 13/07/2007 20:11:08 |
|
|
|
killbill
Senior Member
Nota:
106 Messaggi |
Inserito il - 14/07/2007 : 01:32:11
|
Citazione:
Messaggio inserito da Kéntauros
Salve amici, sono riuscito a fare il file log. Naturalmente ho sovrascritto il nome dell'azienda e di due admin della rete in modo da preservare la privacy e la mia "incolimità sul lavoro" (non si sa mai che qualcuno legga il forum e riconosca l'utente, anche se attraverso ip e altro riconoscerà tutto, tranne me). Comunque ho avuto contatti con alcuni tecnici della rete interna dicendomi che il problema è legato al firewall che nega l'accesso. Solo tramite autorizzazione posso accedervi. Ora voi, amici, riuscite a risolverlo senza che io chieda favori a tal scopo? Purtroppo le policy aziendali diventano sempre più rigide senza accorgersi che i servizi in rete sono un bene comune al servizio dell'utente che lavora.
Di seguito c'è il file log.
Ok, quindi è come pensavo fin dal tuo primo post, l'azienda ha ristretto l'utilizzo di internet agli utenti impiegatizi, lasciandogli solo l'utilizzo dell'intranet.
Quadri e dirigenti, oltre alle loro segretarie bellagnasca, hanno l'uso di internet.
Gli altri sono tutti bloccati.
A tal titolo sono state impostate e rilasciate userid e password per avere il via libera dal firewall.
Punto 1: la rete che avete vede il mac adress o no? (htt ://it.wikipedia.org/wiki/Address_Resolution_Protocol)
Punto 2: se i vostri admin di net sono bravi non c'è soluzione, hanno disabilitato il comando CONNECT e VIA in firewall e proxy, così non c'è santo che tenga.
Ma visto che avete un virus perchè non è fixata la rete pare che non siano proprio dei mostri di bravura, così conviene tentare indipendentemente dalla risposta alle domanda posta.
La soluzione possibile è un htt* Tunneling (htt ://it.wikipedia.org/wiki/htt _tunneling)
Di software free che fanno l'htt* Tunneling c'è questo: htt ://[www].totalrc.net/main_ref.jsp?menu=11
Se non è di tuo gradimento cercane un'altro su internet con google, utilizzando le 3 paroline magiche: htt* tunneling software.
Per la configurazione del programma ti serve l'IP del firewall che ti blocca + la sua porta aperta su internet, dal tuo log di HJT ho visto che il proxy ha IP 10.1.1.129 ed usa la porta 8080, a questo punto ti serve IP e porta del firewall, la porta dovrebbe essere la 80.
Di solito le configurazioni aziendali hanno tali parametri sulle porte.
Comunque fai uno scan della tua configurazione di rete quando sei connesso al firewall cercando d'uscire dall'intranet aziendale e digitando netstat -an (con tanto di spazio così com'è scritto) al prompt dei comandi, e ti vedi i dati che ti servono.
Ovviamente prima di tutto levati quel virus e patcha il pc.
Ciao. |
Modificato da - killbill in data 14/07/2007 10:46:02 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 14/07/2007 : 13:31:02
|
spiegazione tecnica esaudiente e precisa ma.......poco legale, non credi?
Non ritengo corretto divulgare l'illeglità, c'è nè gia troppa in giro.
Se effettivamente l'azienda ha preso certe decisioni sicuramente ha i suoi buoni motivi. |
|
|
|
killbill
Senior Member
Nota:
106 Messaggi |
Inserito il - 14/07/2007 : 14:00:08
|
Citazione:
Messaggio inserito da michal
spiegazione tecnica esaudiente e precisa ma.......poco legale, non credi?
Non ritengo corretto divulgare l'illeglità, c'è nè gia troppa in giro.
Se effettivamente l'azienda ha preso certe decisioni sicuramente ha i suoi buoni motivi.
Penalmente mai.
Civilmente in un solo caso specifico, cioè senza assunzione di Obbligazioni specifiche (CCLLN) non c'è nulla d'illegale nel fare un htt* tunneling.
Può esserlo solo CONTRATTUALMENTE (sezione Obbligazioni del Codice Civile), solo e solo se nel contratto integrativo aziendale sono specificate sanzioni ex art 7 legge 300/70 (Statuto dei Lavoratori, sanzioni disciplinari) in merito all'utilizzo privato (e non per motivi di lavoro) di internet.
Tutto il resto è noia, come canta Califano. |
Modificato da - killbill in data 14/07/2007 14:11:32 |
|
|
|
pedrus
Moderatore
Città: Taranto - Pavia
952 Messaggi |
Inserito il - 14/07/2007 : 14:47:20
|
|
L'azienda in questione ha deciso di impostare una determinata politica di sicurezza, e non si sta qui a discutere si sia valida o meno, fatto sta che l'azienda ha preso determinate decisioni legittimamente. Il forum di cui siete/siamo utenti non favorisce in alcun modo tecniche atte a violare le politiche di sicurezza aziendali e questo gli utenti abituali del forum lo sanno. Di conseguenza, che abbia rilevanza penale o no, amministrativa o no, o solo semplicemnte rilevanza discliplinare nell'ambito dell'azienda, killbill, raccogli l'invito di michal o questa discussione sarà chiusa. |
|
|
|
Discussione |
|
Sblocco internet da regedit.
Forum Bloccato
Discussione Bloccata
