| Autore |
 Discussione  |
|
nene
Average Member
83 Messaggi |
 Inserito il - 02/04/2009 : 20:02:15
|
Ciao a tutti,
premetto che ho creato una connessione al server dell'azienda per poter svolgere del lavoro anche da casa. Non ho mai avuto problemi fino a qualche giorno fa: durante la navigazione in rete, a volte, mi si apre la finestra per la connessione di cui sopra.
la connessione non ha nulla di preimpostato per cui debba automaticamente predisporsi al collegamento, il mio sospetto è che ci sia un malware o simile che cerchi di aprire porte in uscita nel mio firewall. Il mio s.o. è XP Home SP3 con Antivir free e Armor Free per firewall. Allego il link al log file di HiJackThis, se qualcuno più esperto di me potesse dirmi se è tutto a posto...grazie di cuore.
Dimenticavo: le scansioni fatte con Ad-Aware e a-squared Free non hanno rilevato nulla.
hijackthis_1238698688587_643.log
|
Modificato da - nene in Data 02/04/2009 20:07:29
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 03/04/2009 : 04:31:00
|
Ci sono alcune voci che puntano a file inesistenti (programmi rimossi, penso), le puoi fixare tranquillamente:
O2 - BHO: (no name) - {5C060FE2-B3CA-47DD-B68E-BD1A6E297226} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {989A12EE-D816-4D43-AF75-1F1B1367A0E9} - (no file)
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - D:\Programmi\Comodo\Firewall\cmdagent.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: Servizio iPod (iPod Service) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)
Questo mi puzza a marcio, ma sembra già risolto (infezione precedente già sanata)
O20 - Winlogon Notify: xxyxxyyv - xxyxxyyv.dll (file missing)
poi un ultimo che richiama a BitComet, a me non piace molto:
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - C:\WINDOWS\system32\shdocvw.dll
Barra di ******* (disinstallare e pulire):
R3 - URLSearchHook: *******! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\*******!\Companion\Installs\cpn0\yt.dll
O2 - BHO: &*******! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRA~1\*******!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: *******! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\*******!\Companion\Installs\cpn0\yt.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programmi\*******!\Common\yinsthelper.dll
poi altre robette che servono ad una cippa, ma caricano il sistema e mangiano memoria:
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" (precaricamento di Adobe Reader in background)
Un altro processo (che sembra riconducibile a Corel) e che sinceramente non ho capito quanto di buono abbia è questo:
[i]O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
C'è altra roba, ma non so quali siano utili a te e quali no, aspetta un parere per il "WinLogon" e "BitComet" prima di agire, magari è necessario un controllo più profondo nel sistema.
Ciao.
|
 |
|
|
nene
Average Member
83 Messaggi |
Inserito il - 03/04/2009 : 14:18:47
|
Ciao Yves, innazitutto grazie.
Ho fixato quanto mi hai indicato (tranne "WinLogon", "BitComet" e la voce [i]O23 - Service: ProtexisLicensing.. per le quali aspetterei altri pareri), ma come puoi vedere dal file log le voci O23 - Service: ... (file missing) sono ancora presenti. Ho provato più di una volta, anche riavviando, ma nulla da fare.
hijackthis_1238764861700_716.log |
Modificato da - nene in data 03/04/2009 14:22:01 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 03/04/2009 : 22:14:35
|
Buona sera, per fugare ogni dubbio subito, le 023 si rimuovono con hijackthis ma con il comando delete an NT service detto questo, esegui queste 2 scansioni e vediamo di controllare tutto:
scarica Malwarebytes
1.1) lo installi
2.1) lo aggiorni
3.1) fai una scansione scegliendo la modalità completa
4.1) NON eliminare le eventuali minacce che rileva
5.1) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum
poi
scarica LopSD.exe
1.2) doppio click su Lop S&D.exe
2.2) scegli il linguaggio
3.2) seleziona l'opzione 1 (ricerca/search)
4.2) attendi la fine della scansione
5.2) Posta il report che troverai in c:\Lop SD con il nome lopR.txt |
|
|
|
nene
Average Member
83 Messaggi |
Inserito il - 03/04/2009 : 22:20:37
|
ok farò domani: ora devo andare.
Nel frattempo grazie ancora |
|
|
|
nene
Average Member
83 Messaggi |
Inserito il - 04/04/2009 : 14:58:40
|
ok, ecco i link dei log file:
Malwarebytes
mbam-log-2009-04-04 (14-38-42).txt
Lop SD
lopR_1238853441688_894.txt
preoccupante il risultato di Malwarebytes...
Aggiungo: non ho potuto aggiornare Malwarebytes (impedimenti, pare, a livello di firewall), inoltre non vedo comandi delete an NT service su hijackthis |
Modificato da - nene in data 04/04/2009 15:02:53 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 05/04/2009 : 11:04:13
|
Buon giorno, ha trovato solo 2 files, riesegui malwarebytese dopo averlo aggiornato, se non riesci a dare l'autorizzazione al firewall scarica l'aggiornamento manuale da qui htt*://[www].malwarebytes.org/mbam.php a metà pagina sotto la dicitura "latest database" , rimuovi tutto quello che trova di infetto.
Per il servizio ProtexisLicensing è considerato legittimo, è un servizio di controllo sulla licenza di qualche software che hai installato, quindi non andrei a cercarmi delle rogne nel rimuoverlo, il fatto che non sia assegnato a nessun user non indica che sia pericoloso. |
|
|
|
nene
Average Member
83 Messaggi |
Inserito il - 05/04/2009 : 12:34:36
|
| di nuovo non ho potuto aggiornare Malwarebytes. Forse dipende dal fatto che nel mio router ho disablitato le funzioni Telnet e Ping? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 05/04/2009 : 13:06:15
|
| Buon giorno, usa la procedura manuale che ti ho postato, con quella non dovresti avere problemi. |
|
|
|
nene
Average Member
83 Messaggi |
Inserito il - 05/04/2009 : 14:47:14
|
ciao atuuti, ho fatto come hai detto ma non ne vuole sapere di collegarsi..ho pure riabilitato le funzioni Telnet e Ping sul router, ma nisba!  boh ? 
Comunque faccio una scansione ora, dopo averlo disinstallata e reinstallato. |
|
|
|
nene
Average Member
83 Messaggi |
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 05/04/2009 : 20:59:03
|
| Buona sera, a parte qualche vecchio servizio da rimuovere non vedo nulla di anomalo. |
|
|
|
nene
Average Member
83 Messaggi |
Inserito il - 06/04/2009 : 07:53:56
|
| Grazie mille Death, se volessi illuminarmi anche su quei vecchi servizi farei pulizia definitiva. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 07/04/2009 : 17:58:17
|
Buona sera, non mi ero dimenticato di te, ma sono stato un attimo preso, segui la procedura:
lanci hijackthis
nella finestra che si apre clicchi su " open the misc tool section "
nella finestra che si apre clicchi su " delete an NT service "
nella finestra che si apre copi il nome esatto del servizio incluso tra le parentesi
dai ok, ti chiederà di riavviare il pc.
i tuoi servizi da eliminare sono questi:
Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - D:\Programmi\Comodo\Firewall\cmdagent.exe (file missing)
Service: Google Updater Service (gusvc) - Unknown owner - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
Service: Servizio iPod (iPod Service) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)
Le istruzioni postate devi eseguirle per ogni servizio. |
|
|
|
nene
Average Member
83 Messaggi |
Inserito il - 08/04/2009 : 23:30:56
|
Buona sera a tutti, ho fatto come hai scritto, ma il risultato (per ogni servizio) è il seguente: "The service 'cmdAgent' is enabled and/or running. Disable it first, using hijackthis iself (from the scan results) or the Service.msc window."
Inoltre sul log file mi sono comparse anche queste due voci "no name"
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 09/04/2009 : 07:58:02
|
|
Buon giorno, da start >>> esegui digita Service.msc ti si aprirà il tabellino dei servizi, li cerchi, poi uno alla volta li selezioni, tasto desro del mouse, nella finestra che si apre troverai le varie opzioni, blocchi il servizio e poi lo disabiliti, fatto questo chiudi la finestra e riesegui hijackthis. Le 2 voci che si sono aggiunte sono regolari quindi lasciale pure. |
|
|
|
Discussione |
|
connessione di rete anomala
Forum Bloccato
