Mi ritrovo in una situazione a dir poco paradossale..


ho un xp pro che non naviga non riceve posta ma riesce a connettersi con Skype...

ho usato un test ping con un risultato negativo e così come per un test telnet

è chiaro quindi che le mie porte siano misteriosamente chiuse, dato che non ho firewall (disinstallato) il firewall di xp pro e disattivato ho eliminato tutti i programmi anti spyware ho provato anche disattivando avast.

Come posso fare per riuscire ad aprirle...
spero in un aiuto.
:muro:

Con cosa ti colleghi ad internet (router/ modem / marca modello)? Provato già a spulciare la configurazione dell'eventuale firewall del router?

scusate ma sto cercando di andare più a fondo:

ho fatto un port scan:

risultato:

porta 25 open
80 open
135 open
1025 open

il modem è fastrate 100 usb telecom alice..

lo usa anche da un altro pc senza problemi, il pc incriminato invece ha preso un trojano che "credo" di avere debbellato non avendo riscontri tra antispyware e avast...

sono quasi li per lì per formattare ma sarebbe un casino ...

help me please...

scusate ma sto cercando di andare più a fondo:

ho fatto un port scan:

risultato:

porta 25 open
80 open
135 open
1025 open

il modem è fastrate 100 usb telecom alice..

lo usa anche da un altro pc senza problemi, il pc incriminato invece ha preso un trojano che "credo" di avere debbellato non avendo riscontri tra antispyware e avast...

sono quasi li per lì per formattare ma sarebbe un casino ...

help me please...
Allora la causa del fenomeno la conosci. Il fastrate senza firewall software fa passare tutto. O Formatti o cerchi di correggere i casini che ti ha fatto il trojan. Che adesso non ci sia dalle scansioni non vuol dire che non è rimasto qualcosa del suo operato. Comincia a vedere sui vari siti di av tutto quello che questo trojan modifica (chiavi di registro, file di sistema e così via). Eventualmente posta una scansione di hijackthis.

Il virus "era" questo...

Win32:Akbot-B [Trj]
C:\WINDOWS\system32\drivers\etc\hosts.20051022-131333.backup

ed TERRIBBBILE...
:mbe:

PURTROPPO NON HO TROVATO INFO sufficenti per la sua rimozione...

Il virus "era" questo...

Win32:Akbot-B [Trj]
C:\WINDOWS\system32\drivers\etc\hosts.20051022-131333.backup

ed TERRIBBBILE...
:mbe:

PURTROPPO NON HO TROVATO INFO sufficenti per la sua rimozione...
Comincia a guardare qui:
http://www.avira.com/it/threats/section/fulldetails/id_vir/3200/worm_akbot.22568.b.html
Per correggere il file hosts aiutati con hijackthis, come già ti avevo indicato nel post precedente. Ci puoi riuscire.
EDIT: http://www.hijackthis.de/it

grazie pegasolabs,
ma non vedo le istruzioni per rimuoverlo...

oppure posso cancellare direttamente la voce del file di registro e la dll relativa ovvero : • %SYSDIR%\ltssvc.dll ?

p.s. : non ho partecipato alla discussione su come eliminare gli host...
puoi segnalarmi il link ?

Grazie ancora.

Comincia a guardare qui:
http://www.avira.com/it/threats/section/fulldetails/id_vir/3200/worm_akbot.22568.b.html
Per correggere il file hosts aiutati con hijackthis, come già ti avevo indicato nel post precedente. Ci puoi riuscire.
EDIT: http://www.hijackthis.de/it
Il link di avira è il più dettagliato tra quelli che ho trovato ma dovrebbe essere sufficiente.

grazie pegasolabs,
ma non vedo le istruzioni per rimuoverlo...

oppure posso cancellare direttamente la voce del file di registro e la dll relativa ovvero : • %SYSDIR%\ltssvc.dll ?

p.s. : non ho partecipato alla discussione su come eliminare gli host...
puoi segnalarmi il link ?

Grazie ancora.
Si le voci nel registro eliminale (creati momentaneamente un backup delle singole voci con "esporta" per sicurezza). Dopo puoi eliminare i file corrispondenti.
Per il file hosts: se l'altro pc ha lo stesso sistema operativo, alla fine della pulizia col programma che ti ho indicato, e del quale ti invito a leggere attentamente le istruzioni e l'help, i file hosts dei due pc saranno uguali. (I file hosts li puoi aprire con un editor di testo oltre che con hijackthis).
Ovviamente il consiglio è fornito "as is" ovvero attento a non farti danni da solo.

pegaso... perdonami ma forse parliamo di due 3d differenti..

non mi sembra che mi hai consigliato dei tool in precedenza, almeno in questa settimana...

in ogni caso nell'altro pc la chiave di registro indicata non è attiva...

e nemmeno il file unistall.bat esiste.

in compenso nella directory SYS ho trovato un altro virus VBS:Redlof

a questo punto mi arrendo...

Eventualmente posta una scansione di hijackthis.
Primo

Comincia a guardare qui:
aiutati con hijackthis, come già ti avevo indicato nel post precedente. Ci puoi riuscire.
EDIT: http://www.hijackthis.de/it
secondo.
Comunque basta anche notepad ;)
Inoltre sull'altro PC dovevi trovare il file hosts (è un file di win)...non il virus ovviamente.
Un consiglio: la prox volta aggiorna windows.

EDIT: In ogni caso, se hai ancora difficoltà, in una sezione più adatta, tipo "antivirus e sicurezza" o in qualche sezione di "Software" troverai molto più aiuto, visto che abbiamo escluso un problema di networking.

..Forse sto per fare una supposizione scema...
ma i server DNS sono settati giusti?

prova a fare un ping 72.14.221.104 (google.it)

...perchè skype anche senza dns si collega, usa l'ip, non resolve(IP)

boh?

metti i dns statici, magari uno di telecom, e l'altro esterno..

altriment è il virus

ciao ciao
dany

pegaso...
tu puoi immaginare quanto possa essere nervoso...
il mio xp è una versione light.....
pertanto sai cosa significa.

questa è l'ultima log di hij

Logfile of HijackThis v1.99.1
Scan saved at 17.16.36, on 04/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\File comuni\BCL Technologies\easyPDF 4\bepprldr.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programmi\hij\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: BCL easyPDF SDK Loader (bepprldr) - Unknown owner - C:\Programmi\File comuni\BCL Technologies\easyPDF 4\bepprldr.exe
O23 - Service: Gestione estesa dischi fissi (dskex) - Unknown owner - C:\WINDOWS\Downlo~1\fctz8r\lepjyuh.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Programmi\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)




per quanto riguarda il ping su google non va..........
io non conosco i dns di telecom della mia zona pertanto no so quali inserire
solitamente non essendoci una rete pesca tutto in modo automatico.

p.s. per pegasolabs
guarda che ho anche inserito un 3d in "sono infetto che faccio"

ragazzi non ci crederete, ma inserendo i maledetti dns di alice...
funziona...


che assurdità.. prima lavorava in modo automatico ora ha bisogno dei dns...

il bello che ho chiamato l'assistenza di telecom...

speriamo sia stabile.
grazie 1000.