allego una finestra di x-netstat, secondo voi c'è qualcosa di strano?

http://img220.imageshack.us/img220/5150/20070921203300qv4.png

mi riferisco in particolare a quegli mshome.net e ai localhost

posta un log di hijackthis.

Quale è il tuo problmea?

Logfile of HijackThis v1.99.1
Scan saved at 23.07.28, on 21/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SkyTel.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\Symantec AntiVirus\DefWatch.exe
C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe
C:\Programmi\mobile PhoneTools\WatchDog.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Free Download Manager\FUM\fumoei.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Symantec AntiVirus\Rtvscan.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\PROGRA~1\WIDCOMM\SOFTWA~1\BTSTAC~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\EXPL0RER.exe
C:\Programmi\Xfire\xfire.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\FireFox\firefox.exe
D:\Programmi\Sicurezza\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=EXPL0RER.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programmi\Free Download Manager\iefdm2.dll
O2 - BHO: IE Developer Toolbar BHO - {CC7E636D-39AA-49b6-B511-65413DA137A1} - C:\Programmi\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programmi\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinPatrol] C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [WatchDog] C:\Programmi\mobile PhoneTools\WatchDog.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Free Uploader Oe Integration] C:\Programmi\Free Download Manager\FUM\fumoei.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Programmi\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con Free Download Manager - file://C:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica selezionati con Free Download Manager - file://C:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://C:\Programmi\Free Download Manager\dlall.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - C:\Programmi\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Programmi\Free Download Manager\FUM\fumiebtn.dll
O10 - Unknown file in Winsock LSP: c:\programmi\bonjour\mdnsnsp.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0859B75F-71B0-47A9-8F22-17DE0F3D558F}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Uvnc_service - Unknown owner - C:\Programmi\UltraVNC Addons\uvnc_service.exe" -service (file missing)
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programmi\Windows Live\installer\WLSetupSvc.exe

non ho nessun problema però sono connessioni che mi insospettiscono

allora devi far scannerizzare su VIRUSTOTAL questi processi, se dice che è infetto fixalo:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

O23 - Service: Uvnc_service - Unknown owner - C:\Programmi\UltraVNC Addons\uvnc_service.exe" -service (file missing)

fissa questo spyware:

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE


1 consiglio= installa Internet Explorer 7
2 consiglio= disinstalla NORTON ANTIVIRUS che fa passare troppi virus e poi installa ANTIVIR che puoi scaricare dalla mia firma e puoi accedere alla guida per configurarlo al meglio.
Per scaricare NOrton vai qui http://service1.symantec.com/support/inter/nisintl.nsf/it_docid/20011220114102928

Fai una scansione con A-SQUARED (mia firma) in modalità DEEP SCAN, alla fine riposta il log nuovo

non ho nessun problema però sono connessioni che mi insospettiscono
Questi riferimenti li puoi fixare, perché superfui:

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" –atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WatchDog] C:\Programmi\mobile PhoneTools\WatchDog.exe

Come ti ha anticipato Gle, aggiorna Internet Explorer (anche se, presumo, tu ne faccia poco uso, visto che hai installato Firefox).

Per quanto riguarda la ragione per la quale hai postato, non vedo alcuna connessione sospetta: in particolare, la porta 2869, viene utilizzata dai diversi servizi di Microsoft, da Framework e, se non sbaglio, anche da programmi P2P come Emule.
allora devi far scannerizzare su VIRUSTOTAL questi processi, se dice che è infetto fixalo
Gle, in questo caso: F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe è legittimo.
Per quanto riguarda: O23 - Service: Uvnc_service - Unknown owner - C:\Programmi\UltraVNC Addons\uvnc_service.exe" -service (file missing) è un riferimento a VNC, un software che consente la gestione, da remoto, di un altro P.C. collegato ad internet o compreso in una rete.
Quindi, se il programma in questione è stato disinstallato, quel riferimento, si può, tranquillamente fixare.

Gle, in questo caso: F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe è legittimo.
Per quanto riguarda: O23 - Service: Uvnc_service - Unknown owner - C:\Programmi\UltraVNC Addons\uvnc_service.exe" -service (file missing) è un riferimento a VNC, un software che consente la gestione, da remoto, di un altro P.C. collegato ad internet o compreso in una rete.
Quindi, se il programma in questione è stato disinstallato, quel riferimento, si può, tranquillamente fixare.

:ave: mi inchino alla tua conoscenza...adesso so una cosa in più,cosi spero che la prossima volta suggerirò meglio :D

...adesso so una cosa in più,cosi spero che la prossima volta suggerirò meglio :D
Tu hai una bella qualità Gle: di imparare in fretta ;)

Tu hai una bella qualità Gle: di imparare in fretta ;)

beh meno male :D grazie!

Hem...scusate..:stordita: ma a me la chiave in questione ...non troppo la digerisco...però non è detto...può darsi che sbagli (probabile) ma comunque per sicurezza facciamo un ulteriore controllo....
naviga in regedit(start->esegui->digita regedit) in questo percorso HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon doppio click sulla chiave in neretto e nella parte destra trova la chiaveUserinit cliccaci sopra due volte e riporta quanto scritto in "dati valori",senza toccare nulla,solo un controllo visivo.Non copiare ed incollare..scrivi tutto a mano.Grazie.

Hem...scusate..:stordita: ma a me la chiave in questione ...non troppo la digerisco...
:D Eh, lo so socio :cool: in ogni caso, hai ragione, un controllo non costa nulla.

Grazie ragazzi per le risposte.
Cominciamo col dire che non ho norton ma symantec corporate, che è tutt'altra cosa come efficienza :D

Allora guardando bene l'unico processo da fixare mi pare solamente ALCMTR.EXE , uno spyware (innoquo, almeno così ho letto) della Realtek. Per il resto, dato che uso UltraVnc, quel processo farà riferimento al "service" che avevo installato e poi rimosso, quindi normale anche quello

lancetta, la stringa è esattamente questa
C:\WINDOWS\system32\userinit.exe
e anche qui mi sembra tutto pulito

Per quanto riguarda invece le connessioni che mi insospettivano, ho scoperto che quegli mshome.net e byms1g etc.. cessano appena chiudo windows live messenger (8.5 beta) , l'unica cosa che ancora non capisco sono quei "localhost"

OK per l'userinit, (con la virgola finale) per me sei a posto.

...cosa dire invece di quell'hostpool.IP?:D

...cosa dire invece di quell'hostpool.IP?:D
Dominio per casella di posta elettronica

Dominio per casella di posta elettronica

non avevo visto la porta :doh:

non avevo visto la porta :doh:


Vabbè..dai....:cincin: che con tutti i log,i tool,le scansioni,gli script,ecc....che guardiamo,a volte dopo un pò si cominciano a vedere farfalline colorate:D :D

Vabbè..dai....:cincin: che con tutti i log,i tool,le scansioni,gli script,ecc....che guardiamo,a volte dopo un pò si cominciano a vedere farfalline colorate:D :D

ci puoi contare...oltretutto vengo da 2 giorni di corso a 100 kilometri da casa,in più ho fatto straordinario stamane....vedo icone d'alert gialle e labbra rosse girarmi attorno continuamente :D

ci puoi contare...oltretutto vengo da 2 giorni di corso a 100 kilometri da casa,in più ho fatto straordinario stamane....vedo icone d'alert gialle e labbra rosse girarmi attorno continuamente :D

Come ti capisco....settimana tosta pure per me..:rolleyes: solo che io a differenza tua....vedo l'avatar di Beyond dappertutto...:rolleyes: è un incubo....:mbe: :D

Come solo che io a differenza tua....vedo l'avatar di Beyond dappertutto...:
Non sei il solo, Socio :( stamattina, mi è apparsa, come la Madonna, dentro la tazza del caffè :cry: