Buongiorno a tutti. Spero che qualcuno possa aiutarmi.
Per molti giorni sono stato besaglio di una serie infinita di attacchi SYN Flood e Smurf. L'unica difesa che ho adottato è stata quella di monitorare continuamente il mio desktop con antivirus e antispyware e, in effetti, trovavo sempre qualche "corpo estraneo".
A un certo punto ho smesso di essereil bersaglio, ma ho scoperto dal mio router di essere io l'intruso !
Dal mio indirizzo ip partono sempre degli attacchi ai siti più vari, sempre SYN Flood. Più traffico genero, più partono attacchi e, se mi connetto al sito Microsoft, parte un syn flood anche verso di loro !!!
Ecco un esempio del security log che genero, roba di stamattina:
02/07/2008 08:38:18 sending ACK to 192.168.2.4
02/07/2008 08:31:07 sending ACK to 192.168.2.3
02/07/2008 08:31:07 sending OFFER to 192.168.2.3
02/07/2008 08:25:32 SMTP> Succeed in sending alert mail.
02/07/2008 08:25:31 **SYN Flood to Host** 192.168.2.2, 2684->> 151.1.244.2, 80 (from ATM1 Outbound)
02/07/2008 08:08:07 SMTP> Succeed in sending alert mail.
02/07/2008 08:08:06 **SYN Flood to Host** 192.168.2.2, 2426->> 151.1.244.2, 80 (from ATM1 Outbound)
02/07/2008 07:54:51 SMTP> Succeed in sending alert mail.
02/07/2008 07:54:50 **SYN Flood to Host** 192.168.2.2, 1782->> 207.46.211.119, 80 (from ATM1 Outbound)
02/07/2008 07:43:07 NTP Date/Time updated.
08/01/2003 00:06:22 If(ATM1) PPP connection ok !
08/01/2003 00:06:21 ATM1 get IP:87.17.227.9
08/01/2003 00:06:21 Username and Password: OK
08/01/2003 00:06:18 ATM1 start PPP
08/01/2003 00:06:18 Dial On Demand(ATM1)
08/01/2003 00:02:47 sending ACK to 192.168.2.2
08/01/2003 00:00:16 ADSL Media Up !

Come sapranno bene i più esperti, questo vuol dire che mi trovo la connessione a terra, in particolare sul desktop. Notate che abbiamo 3 portatili che sviluppano molto meno traffico e comunque risentono molto meno dell'abbassamento di banda disponibile, navigano normalmente.
Il desktop ha il mulo sempre connesso e il router è un Philips SNA6500.
Il mio ISP è Alice/Telecom Italia che ho interpellato ma, come sempre, mi ha risposto arrangiati.
Avete qualche idea su come procedere ?
I software di difesa sono zonealarm, avast, spybot, adaware e avg antispyware.
Potete aiutarmi ?
Grazie per l'attenzione.

Se ho capito bene credo che la soluzione più rapida sia la formattazione del client.
Soluzione più complessa ma meno invasiva è la pulizia del client (posta su "aiuto sono infetto").

Prima di capire come intervenire in altri modi va identificato il problema, bisogna capire se è il browser ad essere infetto oppure altre componenti del sistema. Sei sicuro che l'infezione sia su un'unica macchina? Se la spegni e lasci lavorare le altre cosa succede?

Ho spostato il thread nell'area del "pronto soccorso" :D

Per capire però che situazione esiste nel pc si potrebbe seguire la Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737), ma vista la problematica della connessione direi di partire con la versione trial di Prevx2.0 .
E' un cips quindi dovrebbe poter monitorare gli eventi interni al sistema sia tramite scansioni di file e servizi sia tramite modelli comportamentali.
lo scarichi da: http://info.prevx.com/downloadprevx2.asp
(scegli la versione corretta di prevx2.0)

inoltre sostituisci ZA con il più efficace OnlineArmor che integra un hips ed è facilissimo da usare :)

già così mi attenderei di ottenere info, poi vediamo di procedere con nuova analisi :)

Ho spostato il thread nell'area del "pronto soccorso" :D

Per capire però che situazione esiste nel pc si potrebbe seguire la Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737), ma vista la problematica della connessione direi di partire con la versione trial di Prevx2.0 .
E' un cips quindi dovrebbe poter monitorare gli eventi interni al sistema sia tramite scansioni di file e servizi sia tramite modelli comportamentali.
lo scarichi da: http://info.prevx.com/downloadprevx2.asp
(scegli la versione corretta di prevx2.0)

inoltre sostituisci ZA con il più efficace OnlineArmor che integra un hips ed è facilissimo da usare :)

già così mi attenderei di ottenere info, poi vediamo di procedere con nuova analisi :)

Allora....prevx ha rilevato powerregscheduler come maligno. Rimosso, riavviato, non c'è più (hijackthis non lo rileva fra i processi attivi) ma il problema rimane....nelle ore di punta DIVENTO IO L'ATTACCANTE Syn Flood, sette-otto volte ogni ora, e attacco il sito che sto visitando in quel momento.
Ora sto monitorando Iexplorer con prevx, e qui penso proprio che avrò bisogno di una mano.
Gli altri computer navigano senza problemi.
Proverò ora una pulizia con CCleaner.
Vi terrò aggiornati, ma se aveste altri suggerimenti, non esitate a postare !
Grazie.

intanto sforna i log richiesti da quella guida così abbiamo dei dati su cui concentrarci :)
è strana la cosa...
se installi OnlineArmor queste deve per forza di cose mostrare qualche interazione di processo, cosa che ZA non potrà mai fare non avendo un hisp al suo interno.

Quali log vorresti vedere ?
Perchè dici che la cosa è strana ?
CCleaner, come al solito, ha eliminato un pò di sporcizia nel registro, ma il problema persiste.
Proverò a veder questo onearmor.

Allora...quando il router mi avvisa che sto attaccando con il metodo syn flood un altro sito, bè...online armor mi mostra il processo ashWebSv.exe che apre un casino di porte per farmi accedere ad un sito.
E' normale ?
Se lo fosse (e fino ad un mese fa, non succedeva che explorermi si piantasse così...) come posso risolvere ?
Aspetto sempre qualche notiziola da voi.
Grazie.

x capire se sei infetto oppure no, devi seguire la guida indicata da deg:
http://www.hwupgrade.it/forum/showthread.php?t=1599737

e postare tutti i log richiesti nel rispetto delle regole di sezione

in questo modo abbiamo uno screen completo del tuo pc

x capire se sei infetto oppure no, devi seguire la guida .......
La guida, in questo caso, servirà davvero poco.

Buongiorno a tutti. Spero che qualcuno possa aiutarmi.
Per molti giorni sono stato besaglio di una serie infinita di attacchi SYN Flood e Smurf. L'unica difesa che ho adottato è stata quella di monitorare continuamente il mio desktop con antivirus e antispyware e, in effetti, trovavo sempre qualche "corpo estraneo".
A un certo punto ho smesso di essere il bersaglio, ma ho scoperto dal mio router di essere io l'intruso

Vediamo di cosa si tratta (bastava una semplice ricerca sul web):

Syn-Flood: Il più banale, e storicamente il primo, si chiama Syn-Flood o Syn-Flooding, letteralmente "inondazione di pacchetti di tipo Syn". Tutte le volte che un utente fa click su di un link di una pagina web richiede l'apertura di una connessione (di tipo TCP) verso quel sito; questo avviene seguendo una serie di passi, il primo dei quali consiste nell'invio di un pacchetto TCP che richiede l'apertura di una connessione.
Le regole di funzionamento del protocollo TCP esigono che il sistema risponda allocando alcune risorse (in pratica memoria) per la connessione. Se si programma opportunamente un semplice PC, è possibile richiedere l'apertura di diverse migliaia di connessioni al secondo, che "inondando" il server, ne consumano rapidamente tutta la memoria, bloccandolo o mandandolo in crash.
Il problema di questo tipo di attacco è che il computer attaccante deve poter mandare il flusso di pacchetti attraverso la connessione ad Internet fino al server attaccato.
L'utente malintenzionato deve poter fornire delle "credenziali" di accesso valide per usufruire della vulnerabilità insorta nel sistema operativo e portare a termine, efficacemente, l'attacco al sito bersaglio.
I pacchetti dannosi predisposti con un Indirizzo IP, falsificato rispetto all'originale, procureranno al computer "vulnerabile" una situazione, temporanea, di Denial of Service' poiché le connessioni che sono normalmente disponibili, sia per i buoni che per i cattivi, sono lente, questo diventa impossibile.
L'attacco Syn-Flood usa strumenti che rientrano nella categoria Tribe Flood Network (TFN) ed agisce creando delle connessioni che si rivelano aperte a metà.
Il protocollo classico usato nei DoS è il Ping, inviandone a milioni si riuscirà a bloccare l'operatività di qualunque sito Internet, ma trattandosi di un modello di attacco "uno a uno", ad un pacchetto in uscita corrisponderà la ricezione di un solo pacchetto al sistema attaccato.
Occorrerà quindi che i cracker possano disporre di un gran numero di PC client, "controllati", ma non è così facile "inoculare" il codice maligno in un numero tanto elevato di macchine grazie all'azione specifica di antivirus, patch di sicurezza e tecnici informatici.

Smurf: una modalità di attacco più sofisticata, detta Smurf attack, utilizza un flusso di pacchetti modesto, in grado di passare attraverso una normale connessione via modem, ed una rete esterna, che sia stata mal configurata, che agisce da moltiplicatore di pacchetti, i quali si dirigono infine verso il bersaglio finale lungo linee di comunicazione ad alta velocità.
Tecnicamente, viene mandato uno o più pacchetti di broadcast verso una rete esterna composta da un numero maggiore possibile di host e con l'indirizzo mittente che punta al bersaglio (broadcast storm).
Ad esempio può venir usata una richiesta echo ICMP (Internet Control Message Protocol) precedentemente falsificata da chi attua materialmente l'attacco informatico.
Si noti che questo tipo di attacco è possibile solo in presenza di reti che abbiano grossolani errori di configurazione dei sistemi (detti router) che le collegano tra loro e con Internet.

Fonte: http://it.wikipedia.org/wiki/Denial_of_service

Fin qui, la descrizione tecnica.

C’è una cosa che sarebbe interessante conoscere: per caso chatti su canali IRC?.
Te lo chiedo perché Syn flood e Smurf, assieme a Ping Pattern, WinNuke, ICMP Flood, Ssping, ed altri ancora, sono tra i più classici degli attacchi che vengono portati e si ricevono all’interno dei canali IRC.

Avete qualche idea su come procedere ?
I software di difesa sono zonealarm, avast, spybot, adaware e avg antispyware.
Potete aiutarmi ?
A parte l’ultima osservazione, comincerei con il riverificare le impostazioni del router.
Poi, prendedre in considerazione di rivedere la configurazione di sicurezza, sembrerebbe una soluzione più che opportuna.

i log sono utili e tutti per fare una screenning del pc in questione, solo bruno ce lo ha sotyto gli occhi quindi dobbiamo procedere scartando ipotesi.
infatti grazie a OnlineArmor ora abbiamo un ulteriore dato e finalmente un file incriminato!

credo proprio che la guida non sia inutile... :)

Allora...quando il router mi avvisa che sto attaccando con il metodo syn flood un altro sito, bè...online armor mi mostra il processo ashWebSv.exe che apre un casino di porte per farmi accedere ad un sito.
…….. infatti grazie a OnlineArmor ora abbiamo un ulteriore dato e finalmente un file incriminato!
Se il file incriminato è ashWebSv.exe, direi che andiamo alla grande: è un processo di Avast ;)

e allora diventa essenziale capire cosa c'è in quel pc con delle belle scansioni.. tutte quelle della guida ma con questa piccola accortezza che ti chiedo:

per prevx CSI io tendenderei a chiederti di scansionare prima con questo:
http://in.solit.us/archives/download/126992
è la versione precedente che sforna un log molto chiaro, salva il log in modo da non sovrascriverlo e poi scansionare con la versione prevxCSI scaricabile dalla guida e posta anche quel log :)

e cmq se avast analizza il traffico è evidente che sia una cosa che si sviluppa internamente al pc :)

e cmq se avast analizza il traffico è evidente che sia una cosa che si sviluppa internamente al pc :)
Eh si: il genere di analisi del traffico :confused: al quale fai riferimento, se non ricordo male, potrebbe chiamarsi aggiornamenti delle firme dell'antivirus ;)
C'è un'altra, non remota possibilità, a dire il vero: che si tratti di Avast Security Suite (antivirus + firewall) e che, quindi, il traffico venga monitorato dal firewall integrato nella Suite.
Risultato? firewall del router + firewall della eventuale Suite + un terzo firewall (ora Amor, prima Zone Alarm): direi un tantino esagerato.
Sempre convinto che si tratti di una infezione e non di un problema che nasce dalla configurazione di sicurezza? :)
In ogni caso, procedete pure con tutte le scansioni che ritenete opportune: installare qualche software in più non fa mai male :sob:

Senti mi indichi il percorso di questo file ashWebSv.exe. thx.

Eccoci qua, e voglio ringraziarvi per l'attenzione. Ho fatto una sola scansione online con nanoscan e non ha trovato nulla. Solo a-squared ha trovato dei cookie traccianti, credo...comincio a pensare che non si tratti di un'infezione, almeno non ora; credo che vada configurato meglio il router in coppia con zone alarm.

Ho quattro log, ma sono troppo lunghi per metterli come allegati.
Lascio tutto nei quattro messaggi successivi.

Riverside chiedeva della versione di avast, ed è quella gratuita solo antivirus; poi non chatto su canali irc ma uso solo il windows messenger, anche se ho installato icq e miranda.
Chill-out vuol conoscere il percorso dell'exe di avast ed è c-programmi-alwil software-avast 4-ashWebSv.exe .

Comincio a pensare che dovrò cambiare antivirus, se ce n'è uno che funziona diversamente da avast: se ilproblema è (come sembra) il tipo di controllo che avast esercita sulle pagine in caricamento.....beh allora posso buttarlo perchè mai mi ha rilevato nulla !!!
Comunque, vediamo cosa mi dite.



Forse un problema ads ? Lascio a voi la sentenza !

Ho fatto una sola scansione online con nanoscan e non ha trovato nulla ....... Solo a-squared ha trovato dei cookie traccianti, credo...comincio a pensare che non si tratti di un'infezione, almeno non ora; credo che vada configurato meglio il router in coppia con zone alarm.
Intanto devi rieditare i post dove hai copiato ed incollato i log.
I log vanno allegati con una precisa modalità (tra l’altro, descritta in Guida):

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

● se il relativo txt generato è max 20 kb, allegato alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
● se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP (http://www.fileup.itadib.com/index.php), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download
...... non chatto su canali irc ....
E questo esclude una delle due possibilità che avevo prospettato.
Chill-out vuol conoscere il percorso dell'exe di avast ed è c-programmi-alwil software-avast 4-ashWebSv.exe .
Conferma ciò che facevo notare prima: ashWebSv.exe, è un processo legittimo di Avast (indipendentemente che sia free o Suite).
Comincio a pensare che dovrò cambiare antivirus, se ce n'è uno che funziona diversamente da avast: se ilproblema è (come sembra) il tipo di controllo che avast esercita sulle pagine in caricamento.....beh allora posso buttarlo perchè mai mi ha rilevato nulla
E' inutile ripetermi: il tuo è un problema che deriva da una parte dalla configurazione del router e, dall’altra, dal tipo di configurazione di sicurezza.
Ti avevo già suggerito di prendere in considerazione di rivedere, per intero, la configurazione di sicurezza, sostituendo, principalmente, l'antivirus (cosa che Avast non è).

@ bruno1968:
dovresti aver letto le Regole di Sezione come appunto richiesto dalla Guida che hai seguito.
potrei anche essere meno tollerante in futuro :)

e comunque continui a fare orecchie da mercante sul fatto che gli oggetti rilevato debbano finire in quarantena.
apparivano molte tracce di qualcosa che è stato rimosso in modo molto parziale non mi sono soffermato nella questione perchè risultava poco fruibile.

hosta i log sul sito consigliato e linka i log, te l'ho già detto precedentemente!

aggiungo che sono concorde a sostituire al più presto quell'antivirus che usi con uno migliore.

Scusatemi, provvedo subito.

Eccoci qui...

HThis http://www.fileup.itadib.com/download.php?id=y6GBIOfnkzhPMnjXUhY9

Gmer http://www.fileup.itadib.com/download.php?id=mt8eVmgyi1ojFeUq0c9Q

In arrivo il resto.

Prevxcsi http://www.fileup.itadib.com/download.php?id=ZihM2OkCnFXsSl50lbqc

a2scan http://www.fileup.itadib.com/download.php?id=TbN0TmL9QaOltrNah2rh

bruno1968 ti chiedo una cortesia mi potresti controllare il file in questione ovvero c-programmi-alwil software-avast 4-ashWebSv.exe su www.virustotal.com ed indicare il link dove visualizzare i risultati, grazie.

Ciao socio :D
hum...se è un processo svchost che avast tiene sotto controllo siamo punto e a capo.... vediamo se è "sdoppiato" ashWebSv o se sono svchost in connessione...
Bruno dopo la scansione con virustotal fai girare questo toolCombofix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
doppio click. Si aprirà una finestra blu ...attendi....dovrebbe apparirti un avviso che declina l'autore da ogni responsabilità.
seleziona 1 e premi ENTER per lanciare lo scan.
finito lo scan visualizzerà il log con i dettagli.
N.B. Durante l'operazione di scansione è importante non usare il PC,disconnessi dalla rete e attendere pazientemente la fine delle operazioni.
posta il log;)

Più tardi però perchè ora devo uscire.
E grazie.

Ciao

hum...se è un processo svchost che avast tiene sotto controllo siamo punto e a capo.... vediamo se è "sdoppiato" ashWebSv o se sono svchost in connessione...

ho un dubbio generato dalle connessioni in uscita che mi vorrei togliere, tanto per scartare un'ulteriore ipotesi.

@ bruno1968:
hai messo gli oggetti in quarantena? mi puoi rifare un nuovo log di a-squared?

Key: HKEY_LOCAL_MACHINE\software\sds software rilevati: Trace.Registry.KittenFreeSex

inoltre rifai la scansione anche con Prevx CSI v1.2 (http://in.solit.us/archives/download/126992) che produce un log differente :)


poi fixa:

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Live TV Toolbar - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - C:\Programmi\Live_TV\tbLive.dll
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Basic) - http://www.meadroid.com/scriptx/ScriptX.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase370.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1143653432828
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS\system32\WFXSVC.EXE

fixa = rifare la scansione con HijackThis e a fine scansione il tasto "Scan" si trasforma in "Fix IT", selezionare quindi le voci da "fixare" e premere il tasto FixIT

che ci fa WinFax PRO installato? usi anche un modem 56k ?

mi associo a riverside con la domanda: che ci fa ancora ZoneAlarm installato?


inoltre attendiamo i risultati di virustotal su quel file :)


aggiungo:
collegati al sito http://secunia.com/software_inspector/ e scansiona online il tuo pc, ti notificherà la presenza di programmi da aggiornare inquanto obsoleti e critici per falle di sicurezza che rappresentano.
aggiorna quello che ti trova!

Ciao



ho un dubbio generato dalle connessioni in uscita che mi vorrei togliere, tanto per scartare un'ulteriore ipotesi.

he! he! esatto socio...;)

Key: HKEY_LOCAL_MACHINE\software\sds software
rilevati: Trace.Registry.KittenFreeSex
Un dialer: ma non basta a spiegare il problema della generazione di pacchetti in uscita (che, tra l'altro, da quello che posso intuire, vengono respinti).

Un dialer: ma non basta a spiegare il problema della generazione di pacchetti in uscita (che, tra l'altro, da quello che posso intuire, vengono respinti).

no infatti ma era quella traccia a cui mi riferivo prima per richiedere la messa in quarantena di tutti gli oggetti.

:asd: anche le micine un pò zoccole ci mancavano...:rotfl::D

:asd: anche le micine un pò zoccole ci mancavano...:rotfl::D
Beh, se le associ agli MC21, poi, hanno effetti graffianti :sbonk:
Allora abbiamo stabilito alcune cose:
1) che è infetto (avevo torto): per ora siamo ad un dialer ed a un rootkit;
2) che comunque l'infezione non può essere la responsabile dell'invio di pacchetti in uscita (sono troppi i software installati che richiedono di uscire);
3) che la configurazione di sicurezza fa acqua da tutte le parti.
Suggerisco di procedere in questo modo:
a) sistemare, prima, la configurazione di sicurezza; (antivirus/firewall/antispyware)
b) verificare se, dopo aver modificato la configurazione, il problema dell'invio di pacchetti persiste;
c) ripulire il P.C. dalle diverse porcherie che si ritrova e vedere cosa succede.

@ Bruno, solo un paio di info, giusto per capire (ci saremmo fatti una idea .... sai mai ... ):
● su quella macchina gira una PS2 o un gameplayer? (se si, non è che, per caso, li hai moddati?).
● possiamo escludere, a priori, il fatto che non hai fatto ricorso a qualche crackz o altre amenità, per sistemare programmi non licenziati?

qui il risultato di virustotal su sull'exe di avast.

http://www.virustotal.com/it/analisis/91a68f298ec11197ecc23f74c8dd9daf

Non girano PS2 qui, e non so cosa sia un gameplayer. Se è un qualcosa che ha a che fare con gamespy...?
Ho un modem 56k che uso per lavoro solo per spedire con winfax, ovvio.
Procedo a rimuovere zonealarm prima di fare ulteriori scansioni.
Su crackz e altre amenità (ma lo avrete già capito) ne faccio un uso abituale per sistemare programmi non licenziati.

Non girano PS2 qui, e non so cosa sia un gameplayer. Se è un qualcosa che ha a che fare con gamespy...?
Ho un modem 56k che uso per lavoro solo per spedire con winfax, ovvio.
Procedo a rimuovere zonealarm prima di fare ulteriori scansioni.
Su crackz e altre amenità (ma lo avrete già capito) ne faccio un uso abituale per sistemare programmi non licenziati.

intendeva dire se hai installato un gioco e poi lo hai crackato.. tipo halflife :D

per inviare fax puoi anche usare i servizi web gratuiti come http://www.faxator.com/ e per riceverli c'è il servizio gratuito di tiscali.. sono validi anche per in sede legale :)

da situazione ignota che sembrava un pc puro e casto abbiamo identificato tutt'altra realtà, ma non era più facile essere più chiari fin da subito?

xcdegsap....

da quello che vedo in giro fra amici e conoscenti, la mia situazione sembra la norma.:)

è quello che ha detto anche Salvatore Riina in qualche occasione :rolleyes:
cio non toglie che la realtà di cui parli differisce considerevolmente da una realtà obbiettiva... :)

E' vero.
xcdegasp, hai ragione.
Ma non facciamo qui filosofia spicciola ! Se mi aiutate a risolvere il problema, caffè pagato a chi passa a Roma !

log a-squared, tutto in quarantena sia prima che adesso http://www.fileup.itadib.com/download.php?id=U4jwu6b6IfW2cK05iEAN

log prevxcsi http://www.fileup.itadib.com/download.php?id=haUay1MoyazaY91LeBMi

log combofix http://www.fileup.itadib.com/download.php?id=7fxOV194GQ2eMeLXBkBn

Vi aspetto.
:D

Ho dimenticato di dirvi che ho anche fixato con HThis come xcdegasp mi ha indicato, escluso il riferimento a winfax che uso tuttora.
Voglio tenere il modem pur essendo consapevole dei rischi che comporta.
Ne ho bisogno perchè svolgo una seconda attività in campo sindacale e il fax mi è utilissimo. Aggiungere un fax dedicato alla linea telefonica non mi sembra appropriato....se sapeste quanto ho penato per far funzionare a dovere l'impianto adsl...telefoni che squillavano, la linea che cadeva :muro:

chiaro come il sole che uso anche il mulo...:rolleyes:

ti chiedo l'ultima gentilezza, di rifare la scansione con prevx csi v1.2 (http://in.solit.us/archives/download/126992) perchè nella 1.5 (quella che hai scaricato) il log ha tutt'altra formattazione e organizzazione.
grazie

Apri il Blocco Note copia e incolla queste riga:

File::

C:\DOCUME~1\PRINCI~1\IMPOST~1\Temp\cusbohcn.sys

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

va bene, 1.2

di seguito: http://www.fileup.itadib.com/download.php?id=bv5mQTJygEEuE1RsPYeL
ha rilevato un file swreg.exe sotto windows-system32 che NON ho toccato.

Ma, se dovessi dirvi la verità, mi sembra che explorer vada meglio, e il router non segnala più il syn flood in uscita.

qui: http://www.fileup.itadib.com/download.php?id=XwtNye2oipM6Pc9jFiVG

Non hai fatto quello che ti ho indicato al post #41

Non hai fatto quello che ti ho indicato al post #41

veramente lo ho eseguito alla lettera...cosa manca ? Oppure è una tua svista ?

veramente lo ho eseguito alla lettera...cosa manca ? Oppure è una tua svista ?

nessuna svista, ti dico questo perchè dal log di Combo che hai allegatato manca la voce ALTRE ELIMINAZIONI o ELIMINAZIONE FALLITA

Veramente non trovo quelle diciture nemmeno nel log precedente che ho postato.

E' ovvio che non c'è la dicitura te la dà solo ne momento che inserisci lo script che ti ho indicato
http://www.hwupgrade.it/forum/showpost.php?p=20987797&postcount=41
trattasi di cancellazione manuale

Non so cosa dirti.....giuro che non ci ho messo le mani. Dici di rifare la scansione ?

Non so cosa dirti.....giuro che non ci ho messo le mani. Dici di rifare la scansione ?

Nemmeno io e rifare la scansione non ha senso, ma se tu mi dicessi che cosa hai fatto.

riporto i file individuati da prevx solo per rendere fruibile la discussione:

C:\WINDOWS\system32\fdsv.exe
Loaded from: FILE
PX5: A1258BC200FDB42420A2013DB96DD40004A98489
MD5: f464045f5ad11dd2708e620a8404da7b
Determination: SUSPICIOUS


C:\WINDOWS\system32\swreg.exe
Loaded from: FILE
PX5: F583C28B008EFEE4785C023A5217460062E7F95F
MD5: 01d95a1f8cf13d07cc564aabb36bcc0b
Determination: BAD
Malware Group: Generic.Malware

@ bruno1968:

aggiungo:
collegati al sito http://secunia.com/software_inspector/ e scansiona online il tuo pc, ti notificherà la presenza di programmi da aggiornare inquanto obsoleti e critici per falle di sicurezza che rappresentano.
aggiorna quello che ti trova!

manca questo pezzetto :)

Ho scaricato e installato il PSI di Secunia, molto carino !
Ho risolto tutti i problemi end-of-life, ora ho trafficato con gli insecure, vediamo col secondo scan.

a me quello da eseguire in locale si piantava per questo consigliavo la funzionalità "scansiona online"

Solo problemi con Java: mi rileva due versioni della 1.6.x e una versione precedente che (visto sul sito) mi sembra difficile rimuovere. Per il resto mi dà 113 programmi patched. System score 97%.
Altro ?

la precedente la rimuovi da pannello di controllo -> installa applicazioni
solo 97% ?

Ok, cerchiamo di ricapitolare, altrimenti non se ne esce.
Il fatto che la situazione generale del P.C. fosse quella che si è poi evidenziata, allo stato conta poco (ognuno è libero di fare ciò che gli pare, anche se non mi è piaciuta la generalizzazione sul tipo cosi fan tutti prospettata da Bruno ..... però, una parte di ragione la ha).
Ora, Bruno, partiamo dalla configurazione di sicurezza e sistemiamo, prima di ogni altra cosa quella e, poi, procediamo con il resto.
Quindi, per farla breve:

1) sostitutisci Avast con un antivirus serio

ANTIVIR PERSONAL EDITION FREE: clicca qui per il download (http://www.free-av.com/down/windows/antivir_workstation_win7u_en_h.exe)
● una volta installato, scarica gli aggiornamenti e poi, esegui una scansione completa del sistema.
qui trovi la Guida di configurazione per Antivir (http://www.hwupgrade.it/forum/showthread.php?t=1514684) pubblicata da Juninho (leggi, attentamente, i primi tre post), ed altre cose importanti ed interessanti in relazione ad Antivir.
Se necessiti di informazioni o spiegazioni, posta, in quella discussione.

2) sostituisci Zone Alarm (lo devi disinstallare in modalità provvisoria) con

COMODO FIREWALL (è semplice da usare ed è gratuito):
Comodo Firewall - leggi la scheda tecnica / informazioni (http://www.ilsoftware.it/articoli.asp?ID=4032)
Comodo Firewall - clicca qui per il download (http://download.comodo.com/cfp/download/setups/CFP_Setup_3.0.13.268_XP_Vista_x32.exe)

3) disinstalla SpyBot ed altri eventuali antispyware ed installa

SUPER ANTI SPYWARE (richiede l’installazione)
clicca qui per il download (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)
una volta installato, accedi al pannello Control Center, apri la sezione Scanning Control e spunta questi voci:
● Scan for tracking cookies
● Resolve link/Shortcuts during scan
● Scan Alternate Data Streams
● Use Kernel Direct File Access
● Use Kernel Direct Registry Access
● Display scan option in Explorer context
● conferma le impostazione cliccando su Close

● clicca sulla voce Scan you Computer
nella finestra successiva:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibilità di salvare il relativo log
allega il log che verrà rilasciato

● prima disinstalla tutto
● una volta eseguita la parte della disinstallazione:

Disabilita il Ripristino configurazione di sistema procedendo in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Il Ripristino configurazione di sistema deve rimanere disabilitato fino a quando non sarà risolto il problema esposto

Svuota il contenuto della cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows
● aprila ed, al suo interno, cerca la cartella Prefetch
● aprila ed elimina tutte le voci conservate al suo interno
mi raccomando, non eliminare la cartella

svuota la cache di JAVASUN:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al Pannello di controllo
● clicca sulla scheda Generale
● vai all'ultima sezione File temporanei Internet
● clicca sul pulsante Impostazioni
● clicca sul pulsante Elimina file e poi conferma con OK

pulisci gli eventuali ADS quindi:
● lancia Hijackthis_v2
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● togli la spunta alla voce Quick scan (Windows base folder only)
● lascia la spunta alla voce Ignore safe system info streams
● togli la spunta alla voce Calculate MD5 Checksum of streams
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

Scarica DUSTBUSTER (richiede l’installazione)
clicca qui per il download (http://www.majorgeeks.com/download.php?det=1182)
● esegui il download da uno dei mirror disponibili sul sito
● una volta installato, lancialo
● Dust Buster provvederà, automaticamente, ad individuare e rimuovere tutti i file inutili ancora presenti sull’hard disk

● installa il nuovo Antivirus
● installa il nuovo Firewall
● installa il nuovo antispyware
● aggiorna l'antivirus ed esegui una scansione completa del sistema
● esegui una scansione completa con il nuovo antispyware

Scarica TRENDMICRO ROOTKIT BOOSTER (non richiede l’installazione)
clicca qui per il download (http://www.trendmicro.com/ftp/products/rootkitbuster/rootkitbusterv1.6.1060.zip)

Devi creare una apposta Cartella sul Desktop ed al suo interno scompatta il file
● lancia il tool e clicca su Scan
● al termine della scansione ti verrà richiesto di salvare il log
● se venissero rilevati rootkit provvedi alla loro eliminazione
● verrà generato un log in una cartella denominata TRMBLog all'interno della cartella che hai precedentemente creato
allega il log salvato ed allega un nuovo log di HThis

Per ora mi sembra che basti ed avanzi ...... dopodiché, procederemo con la parte relativa alla disinfezione del P.C.

ci sono cose che non mi quadrano:confused: scarica QUESTO TOOL (http://noahdfear.geekstogo.com/FindAWF.exe) lo avvii si aprirà un finestra dos che chiederà di digitare un tasto qualunque,(anche invio)al termine, FindAWF ti proporrà un log aprendo una pagina del block notes,posta qui il risultato.
vediamo se combo ha preso na svista:rolleyes:

ci sono cose che non mi quadrano .....
Nà, socio :D direi che sono parecchie le cose che non quadrano :lamer:
Facciamogli mettere, prima, in sicurezza il P.C. e dopo che avrà eseguito tutte le scansioni del caso, vediamo cosa rimane ancora sul campo da stroncare :doh:
Continuare ad aggiungere tool su tool, in questo momento, non credo sia l'idea migliore.

C:\DOCUME~1\PRINCI~1\IMPOST~1\Temp\cusbohcn.sys

in ogni caso questo o in un modo e nell'altro è da eliminare

Nà, socio :D direi che sono parecchie le cose che non quadrano :lamer:
Facciamogli mettere, prima, in sicurezza il P.C. e dopo che avrà eseguito tutte le scansioni del caso, vediamo cosa rimane ancora sul campo da stroncare :doh:
Continuare ad aggiungere tool su tool, in questo momento, non credo sia l'idea migliore.
Daccordo con te socio..però se c'è l'obfusc. è inutile fare procedure perchè sarebbero rese vane dai file illegittimi sostituitisi a quelli legittimi (anche se non mi sembra questo il caso...è solo per ulteriore sicurezza) ;) :)
C:\DOCUME~1\PRINCI~1\IMPOST~1\Temp\cusbohcn.sys

in ogni caso questo o in un modo e nell'altro è da eliminare

quotissimo..socio:D speriamo che non rompa e si faccia zompare senza problemi .....essendo un driver:rolleyes:

@ river:
può fare a meno del comodo perchè ha installato OnlineArmor e disinstallato il precedente.
per il resto vediamo che succede :)

Grazie a tutti per la vostra attenzione....siete proprio un bel team di esperti...si vede che ho scelto bene dove cercare aiuto :D
SITUAZIONE ATTUALE
1: installato avira antivirus e fatta scansione, ha trovato dei vecchi file relativi a crack di giochi,
2: installato Comodo firewall proprio ora, adesso vedo un attimo la configurazione
Ho rilevato un peggioramento nella qualità della line internet, ma questo è un problema che ho con telecom perchè (scoperto oggi) il servizio tecnico mi riconosce un 7 mb ma spesso il mio router mi segnala un 4 mb.
Faccio qualche rapido controllo sulla navigazione per vedere se parte ancora questo syn flood.
A presto.

Ho prvato quattro siti a caso fra cui repubblic.it e tutti regolarmente li "floddo".
Ora procedo con l'antispyware e completo la procedura descritta di riverside. Posto quello che serve e poi ci sentiamo.
Notate che i tre portatili (che sono puliti al 90% :D ) non mi danno questi problemi.

l'antispyware mi ha fatto una cosa strana...dopo circa un'ora e mezza di scansione mi ha fatto riavviare il pc...ed è chiaro che di log non se ne parla. Ora ne ho lanciato una seconda, sta lavorando da più di due ore, ha trovato (per ora) 35 oggetti....vediamo un pò. Vi aggiornerò.

Finalmente ci siamo....ma non è stato un processo indolore.Il mio gruppo di continuità ha cessato di vivere :cry: e quindi è saltata la corrente, il pc si è riavviato ecc.ecc.
Comunque qui il log di antivir http://www.fileup.itadib.com/download.php?id=Q0uGBed29aDULXU8MFeg
qui il log di antispy http://www.fileup.itadib.com/download.php?id=TPnSMPcRyREd68iyiWy8

attendo fiducioso.

Qui il log di rootkit: http://www.fileup.itadib.com/download.php?id=v4nmaokpseNIXl9ubdBq
e qui il nuovo di hijackthis http://www.fileup.itadib.com/download.php?id=G5B5qNS6WRJpE85ZrvPR

a voi.

Ok Bruno, iniziamo a vedere un piccolo miglioramento:

The scan has been done completely.
15964 Scanning directories
606782 Files were scanned
11 viruses and/or unwanted programs were found
1 Files were classified as suspicious:
0 files were deleted
0 files were repaired
10 files were moved to quarantine
0 files were renamed
3 Files cannot be scanned
606771 Files not concerned
4921 Archives were scanned
5 Warnings
288 Notes

Trace Rules Database Version: 1270
Scan type : Complete Scan
Total Scan Time : 03:07:55
Memory items scanned : 472
Memory threats detected : 0
Registry items scanned : 8546
Registry threats detected : 0
File items scanned : 233247
File threats detected : 35

Rilancia Hthis e fixa queste voci:


O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [type32] "C:\Programmi\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - Global Startup: RAID Manager.lnk = ?


Ora fai girare questi:

● KASPERSKY VIRUS REMOVAL TOOL: clicca qui per il download (http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/)
Compatibilita: Windows XP
scarica la versione del tool più aggiornata rispetto alla data ed ora di pubblicazione

● verrà creata una apposta cartella sul Desktop
● all’interno della cartella è presente la classica icona (una K) di Kapsersky
● clicca sull’icona per lanciare il tool
● imposta le aree che intendi scansionare (Startup Objects e Disk boot sector sono impostate di default)
● al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati
salva ed allega il log che verrà rilasciato

Nota 1: ● Il tool è incompatibile se si hanno già prodotti Kaspersky installati
Nota 2: ● non possiede una funzione di aggiornamento automatico delle firme

PROCEDURA DI DISINSTALLAZIONE DI KASPERSKY VIRUS REMOVAL TOOL:

● clicca sull’icona per lanciare il tool
● nella finestra principale, in basso, clicca sulla voce Complete Virus Protection
● verrà visualizzato un messaggio: clicca su Ok
● chiudi la pagina web che verrà aperta
● nel messaggio successivo, clicca su SI per avviare la disinstallazione
● al termine, verrà richiesto di riavviare il P.C.
Si suggerisce di eseguire la disinstallazione, una volta risolto il probema

Scarica ELIBAGLA TOOL (Non richiede l’installazione)
clicca qui per il download (http://www.zonavirus.com/datos/descargas/95/elibagla.asp)

Per scaricare il tool scorri, fino in fondo, la pagina Web che si aprirà
● clicca su Descargar ELIBAGLA
● posizionalo sul Desktop, lancialo ed esegui una scansione
allega il log che verrà rilasciato

Scarica SYSCLEAN TRENDMICRO (Non richiede l’installazione)
clicca qui per il download (http://www.trendmicro.com/ftp/products/tsc/sysclean.com)

● crea una apposita cartella sul Desktop e, al suo interno, inserisci Sysclean

Scarica le definizioni aggiornate VIRUS PATTERN FILES
clicca qui per il download ( http://www.trendmicro.com/download/pattern.asp)

● scompatta, all’interno della cartella creata, il file zippato contenente le definizioni
● disabilita in Ripristino configurazione di sistema
● riavvia il P.C., in modalità provvisoria
● lancia l'eseguibile Sysclean.com
● spunta la casella:Automatically Clean
● avvia la scansione
allega il log che verrà rilasciato

Mi raccomando, sempre il Ripristino configurazione di sistema disabilitato.

Ti dico subito che la questione non si concluderà qui: il dubbio che tu sia infetto, anche, da Obfuscated permane, quindi dovremo, verificare anche quello.
Anche se la configurazione di sicurezza ora è a posto, resto, inoltre, del parere, che sia necessario rivedere, anche, la configurazione del router (ma è l'aspetto che vedremo alla fine).
Di sicuro c'è una cosa: ti sei infognato davvero per bene; di situazioni difficili ne abbiamo viste e risolte diverse, ma la tua, per una serie di ragioni (che conosci bene) è davvero, rara: hai preso di tutto ed anche di più.

Qui il log di rootkit: http://www.fileup.itadib.com/download.php?id=v4nmaokpseNIXl9ubdBq
e qui il nuovo di hijackthis http://www.fileup.itadib.com/download.php?id=G5B5qNS6WRJpE85ZrvPR

a voi.

perchè compare ancora AcrobatReader7.0 ? non dovevi averlo aggiornato?

fixa anche:
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

Riverside

tieni presente che uso sia una tastiera che un mouse senza fili, quindi vorrei evitare di togliere la chiave di registro relativa a O4 - HKLM\..\Run: [type32] "C:\Programmi\Microsoft IntelliType Pro\type32.exe" Per te è la stessa cosa ?

xcdegasp

ho provato a suo tempo ad aggiornare alla 8.0 e non mi è stato possibile. Forse con una nuova installazione, ma in questo momento proprio no. Magari quando questa faccenda sarà finita.

il problema è che soffre di gravi falle troppo gravi per rimandare, se mi impunto su questo aspetto è perchè credo sia importante.
risolviamo con estrema velocità e semplicità, disinstalla acrobat reader e installa il più legegro ed efficace http://www.foxitsoftware.com/pdf/reader_2/down_reader.htm
fidati :)

va bene per foxit, tra l'altro lo avevo già visto. Però le chiavi relative a mouse/tastiere senza fili vorrei tenerle nel registro. Dite che è lo stesso ?

va bene per foxit, tra l'altro lo avevo già visto. Però le chiavi relative a mouse/tastiere senza fili vorrei tenerle nel registro. Dite che è lo stesso ?
Si lasciale: prosegui con il resto.
Per quanto riguarda Adobe, disinstalla, subito la vecchia versione e, quando avremo risolto la cosa, scarichi, la nuova.
Dopo la disinstallazione, dai un giro con CCleraner.

Qui il log di Kaspersky.Ha trovato un solo file che posso eliminare senza problemi, datemi solo l'ok http://www.fileup.itadib.com/download.php?id=tOlkuZkE6ov2WbKnnmk5

Qui il log di Elioglab...? programma spagnolo:eek: http://www.fileup.itadib.com/download.php?id=Pa0jZfqWCDgmioSEmfPh

ma non ha trovato niente.
Procedo con la terza analisi.

E' sorto un altro problema: sto tentando di verificare lo status del ripristino configurazione di sistema ma, quando vado a fare il clic destro su Risorse del computer e seleziono proprietà, non succede più niente !
A questo punto (e mi rivolgo sopratutto a Riverside) non mi viene in mente come procedere.
Avete un suggerimento ?

Alla fine ci son riuscito: molte "reazioni"del pc erano notevolmente rallentate. Ho dovuto riavviare diverse volte.
Scansione Trend Micro in corso....

Scarica ELIBAGLA TOOL: clicca qui per il download (http://www.zonavirus.com/datos/descargas/95/elibagla.asp)

Per scaricare il tool scorri, fino in fondo, la pagina Web che si aprirà
● clicca su Descargar ELIBAGLA
● posizionalo sul Desktop, lancialo ed esegui una scansione
allega il log che verrà rilasciato


Scarica COMBO FIX
clicca qui per il download (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)

Posizionalo sul Desktop
● disconnettiti da Internet
● disabilita, temporaneamente, l’antivirus, ed eventuali altri software con protezione in tempo reale come, per esempio, Ad Watch di AdAware, Super AntiSpyware, PrevX 2.0
● lancia ComboFix e segui le istruzioni che verranno rilasciate
● completata la prima fase della scansione il sistema verrà riavviato automaticamente
● dopo il riavvio, verranno creati due log in Risorse del Computer - Disco Locale C:
● combofix.txt
● comboFix-quarantined-files.txt
allega, entrambi i log che verranno rilasciati

Note: Durante la scansione:
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● il firewall potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consentire)
allega il log che verrà rilasciato

Scarica SYSCLEAN TRENDMICRO: clicca qui per il download (http://www.trendmicro.com/ftp/products/tsc/sysclean.com)

● crea una apposita cartella sul Desktop e, al suo interno, inserisci Sysclean

Scarica le definizioni aggiornate VIRUS PATTERN FILES
clicca qui per il download ( http://www.trendmicro.com/download/pattern.asp)

● scompatta, all’interno della cartella creata, il file zippato contenente le definizioni
● disabilita in Ripristino configurazione di sistema
● riavvia il P.C., in modalità provvisoria
● lancia l'eseguibile Sysclean.com
● spunta la casella:Automatically Clean
● avvia la scansione
allega il log che verrà rilasciato

Qui il log di Trend Micro: http://www.fileup.itadib.com/download.php?id=oBrM4XcLbDe4GPtXealR

incomincia a installare un browser alternativo da InternetExplorer, esempio Opera o Firefox con l'aggiunta dei due componenti "Noscript" e "AdBlock plus".

rifai un log di prevx csi v1.2 e un hijackthis, se puoi :)

controlla se possiedi un account dal nome "Principale" e se si con quali autorizzazioni (utente limitato o amministratore) e se lo hai creato tu.

Per quanto mi riguarda, sulla base dei log allegati, abbiamo risolto tutta la parte relativa all'infezione; si torna al punto inziale ovvero, quello che avevo evidenziato, fin da subito: è necessario riconfigurare, secondo me, il router.
E' vero che, i programmi che richiedono di uscire, sono diversi, ma nessuno tra quelli giustifica un invio di pacchetti nella quantità che hai evidenziato.
Escluso, anche, che il P.C. (era una possibilità) possa essere infetto da obfuscated.
Ed in browser in uso, in definitiva, conta poco.

Qui gli ultimi tre log che riverside mi ha chiesto:
* combofix http://www.fileup.itadib.com/download.php?id=Tqw0jjCjxcZuRDRirX6E
* eliobagl http://www.fileup.itadib.com/download.php?id=Ny5w00uXvZKIT6X4O6DX
* trendmicro http://www.fileup.itadib.com/download.php?id=jyFNd4PwwuZbsEooAP0u

Il routerè un Philips SNA6500. Volendo posso fornirvi manuale e un file di configurazione che dovrei avere da qualche parte.

Qui il link al manuale del router: http://www.p4c.philips.com/files/s/sna6500_00/sna6500_00_dfu_ita.pdf
Qui il log di configurazione del router che è in formato .bin http://www.fileup.itadib.com/download.php?id=4efbYZPn4iskQRLdxJmm

Può essere utile questo materiale ?

non credo possa essere utile, ad ogni modo vi lascio fare visto che non ho ottenuto risposte :p

ps: posso anche spostare in network se siete convinti che la causa sia il router così da ottenere altri pareri e sicuramente di più ampia veduta

Qui il log di Hijackthis http://www.fileup.itadib.com/download.php?id=X80tqUppOSHuvDi667Pt

Qui il log di prevxcsi http://www.fileup.itadib.com/download.php?id=NY9vi11NDQr37ormJIz7

Da profano, non sono per niente convinto che sia finita la storia dei virus. Tant'è che prevxcsi trova ancora swreg.exe come tale.
Aspetto suggerimenti da voi.

Da profano, non sono per niente convinto che sia finita la storia dei virus. Tant'è che prevxcsi trova ancora swreg.exe come tale. Aspetto suggerimenti da voi.
Per me resta un falso positivo rilevato da PrevX: http://www.virustotal.com/it/analisis/cc8af6c8e9906f9301465037f6ee9f07
e continuo a pensare che, ora, il P.C. sia pulito.
Ho notato che hai impostato come pagina iniziale il sito di Repubblica.
Se non ricordo male (potrei sbagliarmi) quel sito, come diversi altri, era compromesso da Iframe.
Prova a cambiare la pagina iniziale ed a svuotare, nuovamente, la cartella Prefetch e la cartella temp di Java ed fai ancora un giro con Dustbuster.

Bene per Repubblica.it, eseguo e rispondo.

Bene per Repubblica.it, eseguo e rispondo.
Bruno guarda che non ne sono certo: il fatto è che non ricordo se si trattasse di Repubblica oppure di un altro noto sito di informazione online.

Fatto. Adesso ?

Dieci minuti di navigazione appaena passabile (problemi telecom) e poi nuovo syn flood da parte mia.

River non fa niente....è sempre un tentativo :)

Dieci minuti di navigazione appaena passabile (problemi telecom) e poi nuovo syn flood da parte mia.
Guarda, a questo punto ho .... quasi ...... esaurito ..... le idee.
Volevo chiederti una cosa Bruno (cosi non mi rileggo l'intera discussione) oltre a quella macchina hai altri P.C. in rete?.

Sì, ci sono il desktop collegato al router e tre portatili in wireless.

xcdegasp l'account "Principale" è stato qui per diversi anni. Di recente ho cambiato nome al pc chiamandolo "Bruno".

xcdegasp
ho una teoria: il problema grosso è nato da quando la Telecom mi ha abbassato la banda. Credo che il router segnali un SYN Flood perchè la banda è poca e si satura subito (molto poca...secondo speedtest.it sono a 0,1 M quindi...). In realtà manco ci dovrebbe essere questo tipo di attacco ma la situazione della mia banda crea questo cocktail esplosivo.
La ricerca dovrebbe allora spostarsi sulla configurazione del router.
Così, se siete tutti concordi sul fatto che il virus non c'è, allora potremmo spostare la discussione in altra sezione del forum.

Vi aspetto.

C:\DOCUME~1\PRINCI~1\IMPOST~1\Temp\cusbohcn.sys

ma questo è stato falciato?

Sì, ci sono il desktop collegato al router e tre portatili in wireless.
Ok Bruno, come immaginavo: ora devi decidere se assecondare, per l'ennesima volta, una idea.
Secondo me, potrebbe essere un problema che potrebbe nascere a livello di cartelle e/o programmi condivisi.
Per verificarlo hai una sola strada: ripetere l'intera procedura di controllo, su tutte le macchine poste in rete, ma questa volta, eseguendola con la Lan fisicamente disconnessa (quindi stacchi tutto, e riesegui la procedura, partendo dalla macchina principale e poi proseguendo con le altre).
Lo so che è un suggerimento che rasenta la follia della pazienza da parte tua .... quindi, tocca a te decidere se ne vale la pena.

xcdegasp
ho una teoria: il problema grosso è nato da quando la Telecom mi ha abbassato la banda. Credo che il router segnali un SYN Flood perchè la banda è poca e si satura subito (molto poca...secondo speedtest.it sono a 0,1 M quindi...). In realtà manco ci dovrebbe essere questo tipo di attacco ma la situazione della mia banda crea questo cocktail esplosivo.
La ricerca dovrebbe allora spostarsi sulla configurazione del router.
Così, se siete tutti concordi sul fatto che il virus non c'è, allora potremmo spostare la discussione in altra sezione del forum.

Vi aspetto.
ho avuto la linea via 56k, ho avuto l'isdn, ho avuto la prima adsl che era 128/256 ... avrebbero avuto tutti quanti quel problema se fosse la banda.

non solo mi trovo concorde nella domanda posta da Chill-Out ma avevo appunto richiesto due log... :p

ad ogni modo se volete un parere migliore basta spostarlo temporaneamente in network così da avere risposte da più utenti in merito alla domanda router e banda :)
del resto domandare non costa nulla e si esclude o si conferma un ipotesi.

River,
potrei sì ripetere la procedura di controllo su tutti i portatili ma non ne ho proprio voglia. Oltretutto, di traffico ne sviluppano veramente poco perchè:
* il primo è mio e lo uso praticamente com database per la mia attività; si connette in questi giorni causa appunto i ben noti problemi;
* il secondo è di mia moglie, ha una settimana e,a parte l'accensione, mai usato;
* il terzo è di mia figlia, e si collega anche lei pochino. Temo, River, da quello che scrivi, di essermi spiegato male: non c'è una vera e propria rete di computer con programmi, cartelle e stampanti condivise....ognuno naviga per cavoli suoi e usa i suoi propri programmi.
Sono invece interessato a vedere se questo cusbohn.sys si riesce a far sparire visto che, da quel che ho capito, è l'ultimo oggetto estraneo rimsto.
Cosa mi dite ?

Per la cronaca, il syn flood resta, al di là degli annosi problemi di banda telecom.

hai provato con questa?
http://www.pctools.com/guides/registry/detail/1236/

hum...facciamo una prova per capire quale sia l'applicazione che continua ad inviare pacchetti
nel momento del traffico apri un prompt (start->esegui,digita cmd
alla finestra dos che si aprirà digita netstat -b dovrebbe darti gli IP locali,le porte aperte e le applicazioni che le usano (sulla destra) sperando che non ti dia un generico svchost.....fammi sapere
poi penseremo anzi no facciamolo subito zompiamo sto driver:

Scarica Avenger da qua AVENGER (http://swandog46.geekstogo.com/avenger.zip)
Scompattalo, avvialo, seleziona "Input script manually" e clicca sulla lente d'ingrandimento. Nella nuova finestra, incolla questo script:
Files to delete:
C:\DOCUME~1\PRINCI~1\IMPOST~1\Temp\cusbohcn.sys
clicca sul pulsante "Done",clicca sull'icona di semaforo verde rispondi "yes" ,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo posti qui

hum...facciamo una prova per capire quale sia l'applicazione che continua ad inviare pacchetti
nel momento del traffico apri un prompt (start->esegui,digita cmd
alla finestra dos che si aprirà digita netstat -b dovrebbe darti gli IP locali,le porte aperte e le applicazioni che le usano (sulla destra) sperando che non ti dia un generico svchost.....fammi sapere
poi penseremo anzi no facciamolo subito zompiamo sto driver:

Scarica Avenger da qua AVENGER (http://swandog46.geekstogo.com/avenger.zip)
Scompattalo, avvialo, seleziona "Input script manually" e clicca sulla lente d'ingrandimento. Nella nuova finestra, incolla questo script:

clicca sul pulsante "Done",clicca sull'icona di semaforo verde rispondi "yes" ,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo posti qui

lancetta,
fatto netstat, avevo attivo emule e (ovviamente) explorer con una infinità di porte aperte, 80-90 circa tutte in time_wait, poi c'è un'altra diecina di connessioni senza indirizzo.
Ora mi faccio il giro con avenger poi ti dico.

lancetta,
fatto netstat, avevo attivo emule e (ovviamente) explorer con una infinità di porte aperte, 80-90 circa tutte in time_wait, poi c'è un'altra diecina di connessioni senza indirizzo.
Ora mi faccio il giro con avenger poi ti dico.

ma naturalmente devi avere tutte le applicazioni chiuse è normale così con emule od altro attivo.....poi ti faccio na domanda un pò stupida...hai spento, atteso un pò e riacceso il router?

Perdonami, non ci ho pensato al mulo...
Allora, test con repubblica.it: 21 connessioni, iexplore è l'unico programma attivo, carica la parte superiore della pagina e le connessioni si mettono in attesa (prima vedo syn_sent poi last_ack e infine time_wait).

Ora avenger.

ma naturalmente devi avere tutte le applicazioni chiuse è normale così con emule od altro attivo.....poi ti faccio na domanda un pò stupida...hai spento, atteso un pò e riacceso il router?
Lancetta, socio, io non voglio insistere .... a parte il pacco di infezioni che sono state riscontrate (e rimosse), cercando di ragionare per logica, più che un problema derivante da cartelle e programmi condivisi, cosa ci può essere?.
Siamo tutti concordi nel sostenere la tesi che, qualunque fosse o potesse essere l'infezione, quella non giustifica, in alcun modo, un invio così corposo di pacchetti verso l'esterno.
Tu stesso, per primo, hai fatto notare, (ed io concordo con te) che i programmi che richiedono di uscire sono un buon numero ..... personalmente, francamente, non viene in mente altro rispetto all'ultima questione che ho posto.
La questione della configurazione del router è, al contrario, un aspetto che vado sostenendo fin dal mio primo reply (andando oltre l'eventuale infezione che è stata riscontrata dopo).
Ma, a rigor di logica, anche una non corretta cofigurazione del router (e questo lo sai) non giustificherebbe, da sola, il problema esposto.
Il fatto che, al contrario, ci siano più P.C. in rete, potrebbe, in qualche maniera, avvalorare la mia tesi che, comunque, non deve essere presa per oro colato.
Resto del parere che, il problema esposto da Bruno (che mi piacereebbe vedere risolto, giusto per imparare qualcosa di nuovo) non dipenda, nella maniera più assoluta, da una infezione.

ma un'applicazione tipo questa potrebbe giovare?
http://www.nat32.com/

ma effettivamente sto facendo delle prove generiche e non da infezione...anzi adesso chiedo...
bruno..per caso hai applicato la patch nel passato che aumenta le connessione simultanee (di solito chi utilizza emule la applica anche se a mio avviso non serve a nulla i vantaggi sono irrisori)?????
e di solito lasci il router sempre acceso?

ma effettivamente sto facendo delle prove generiche e non da infezione...anzi adesso chiedo...
bruno..per caso hai applicato la patch nel passato che aumenta le connessione simultanee (di solito chi utilizza emule la applica anche se a mio avviso non serve a nulla i vantaggi sono irrisori)?????
e di solito lasci il router sempre acceso?

No, non ho mai applicato patch di questo tipo, e il router resta acceso circa cinque ore al giorno.
Però, River, non riesco a capire la questione delle cartelle condivise...me la spieghi ?

Qui il log di avenger http://www.fileup.itadib.com/download.php?id=LMTPIt9KAbQJKVs05HNi
ma mi sembra che abbia battuto a vuoto.

Ed ho provato mille volte a spegnere e riaccendere il router :confused:

hai provato con questa?
http://www.pctools.com/guides/registry/detail/1236/

Ci sto provando ora ma tieni presente che non sono il bersaglio bensì l'attaccante...chissà se queste chiavi di registro funzionano anche in uscita ?

Ci sto provando ora ma tieni presente che non sono il bersaglio bensì l'attaccante...chissà se queste chiavi di registro funzionano anche in uscita ?

sono per il winXP senza limitazioni ossia per sp1 e winxp senza servicepack però potresti fare un paragone con le tue...

potresti provare a controllare le porte aperte anche con Windows Worms Doors Cleaner visto che non ho i tuoi risultati del netstat vado a tentativi ed esclusione di idee basandomi su quello che affermi.

a questo punto penso che possiamo escludere strane applicazioni in uscita....
visto che è il browser che esce in rete.....

sono per il winXP senza limitazioni ossia per sp1 e winxp senza servicepack però potresti fare un paragone con le tue...

potresti provare a controllare le porte aperte anche con Windows Worms Doors Cleaner visto che non ho i tuoi risultati del netstat vado a tentativi ed esclusione di idee basandomi su quello che affermi.

Purtroppo quelle chiavi di registro non hanno effetto (ho il service pack 2 installato...).
Proverò anche questo doors cleaner e vi farò sapere.
Grazie comunque per la vostra buona volontà.

Usato doors cleaner ma il risultato non cambia...fra l'altro ho provato ora a caricare sportpress.com e netstat -b mi ha fatto vedere 45 connessioni ! Pagina aperta ma senza immagini.
Non so proprio cosa pensare e temo che anche una nuova installazione di xp non risolverebbe il problema.
Mah.

vorresti dire che Windows Worms Doors Cleaner non ti trova dei servizi avviati che siano da stoppare?
guarda sinceramente stento a crederlo, realmente!
cmq puoi anche pubblicarlo il netstat non vedo nulla di così critico nel farlo, lo stesso lo pubblicai più volte il mio a titolo d'esempio per sventurati perchè tanto se proprio proprio hai paura del tuo ip ti basta, dopo aver prodotto il netstat, di spegnere e riaccendere il router.

vorresti dire che Windows Worms Doors Cleaner non ti trova dei servizi avviati che siano da stoppare?
guarda sinceramente stento a crederlo, realmente!
cmq puoi anche pubblicarlo il netstat non vedo nulla di così critico nel farlo, lo stesso lo pubblicai più volte il mio a titolo d'esempio per sventurati perchè tanto se proprio proprio hai paura del tuo ip ti basta, dopo aver prodotto il netstat, di spegnere e riaccendere il router.

Quoto...anzi possiamo fare in un altro modo adesso spiego come copiare ed incollare dalla finestra dos...;)

in alto a sinistra della finestra proprio sull'iconcina del C: tasto dx selezioni modifica e poi seleziona tutto poi di nuovo sulla C:->modifica seleziona copia dopodichè copierai in un file txt del blocco note....puoi anche modificare il tuo IP eliminando numeri lasciando invariato il resto...lo salvi e lo alleghi qui:D ;)

Socio, continuo a seguire la discussione: credo sia una delle più interessanti tra quelle aperte negli ultimi 3/4 mesi.

Socio, continuo a seguire la discussione: credo sia una delle più interessanti tra quelle aperte negli ultimi 3/4 mesi.

siam tutti curiosi...anche se ormai escludo l'infezione.....
piaciuto il tip per copiare da dos?:D

siam tutti curiosi...anche se ormai escludo l'infezione.....
Siamo in due: per il tips, ottima segnalazione :cool:

bello il tips ma è più veloce "netstat opzioni > c:\file.txt" :p

Allora, dovete perdonarmi ma mi sono espresso male. Ha trovato, il doors cleaner, delle porte da chiudere e lo ho fatto, a parte il netbios dove, invece di un circolo verde ho un triangolo giallo....ma non cambia il risultato, la connessione va sempre male.
Qui invece vi posto il log di un netstat http://www.fileup.itadib.com/download.php?id=AJlrToUeeVMakCCHVPBz
e vediamo cosa ne esce fuori.

da cmd (schermata dos) dai questo comando e batti invio:
netstat -ab > c:\file_netstat.txt

poi vai in c:\ prendi il file "file_netstat.txt" e lo uppi sul sito fileup e qui inserisci il nuovo link.
:)


nb: ovviamente con emule completamente chiuso

bello il tips ma è più veloce "netstat opzioni > c:\file.txt" :p

solo che: su vista non funge mentre in xp devi essere admin....;)

non devi essere admin per dirottare lo standard output per quanto ne so io...
se è la posizione a dare fastidio, cosa possibile, è facilemnte raggirabile con:
netast -ab > ./file_netstat.txt

con ./ si indica il percorso corrente ossia il percorso che appare nel cmd.

non devi essere admin per dirottare lo standard output per quanto ne so io...
se è la posizione a dare fastidio, cosa possibile, è facilemnte raggirabile con:
netast -ab > ./file_netstat.txt

con ./ si indica il percorso corrente ossia il percorso che appare nel cmd.

appena provato sempre su xp: non hai i permessi ecc...non sò che dirti:confused:
svista invece.....:rolleyes: lasciamo perdere và (devo ancora comprenderlo fino in fondo evidentemente)

edit: provato ora su XP da admin:e funge!...mah?:mbe:
vabbè...fine OT;)

Qui il nuovo file netstat http://www.fileup.itadib.com/download.php?id=hHjSVI1E9e9Txo1t9jbb

appena provato sempre su xp: non hai i permessi ecc...non sò che dirti:confused:
svista invece.....:rolleyes: lasciamo perdere và (devo ancora comprenderlo fino in fondo evidentemente)

edit: provato ora su XP da admin:e funge!...mah?:mbe:
vabbè...fine OT;)

togli l'opzione "b" e vedrai che account limitato o no funzionerà ;)
è la b che necessita di account admin e mie ro dimenticato di questa cosuccia...

potrei darti una mano visto che ho notato che la situazione è seria ma purtroppo il lavoro...... :muro:

io ti consiglio di installare un buon firewall, anche freeware, l'importante che faccia il suo dovere!!!
Io ad esempio da quando ho il firewall installato sul mio pc (4 mesi dal ripristino totale del mio pc) non è entrato più un virus!!! e ne vado fiero!!!

Qui il nuovo file netstat http://www.fileup.itadib.com/download.php?id=hHjSVI1E9e9Txo1t9jbb

hai tanti servizi aperti che non ti servono e dubito che la porta 135 non te l'abbia fatta chiudere il WWDC...
ad ogni modo io per disabilitare i servizi inutili mi baso su una delle tante guida che si trovano nel web, io prendo come riferimento queste due:
servizi di windows -> http://www.tweakness.net/articoli/a5.php
servizi di win XP dopo sp2 -> http://www.tweakness.net/articoli/a17.php

poi fai un riavvio del pc e rifai il netst come hai fatto prima :)

Qui il nuovo log http://www.fileup.itadib.com/download.php?id=Zkt4vLoOBlHOrNgHqDUI

Per chiudere la porta 135, Bruno, prova in questo modo; portati alla chiave di registro:
● HKEY_LOCAL_MACHINE
● Software
● Microsoft
● OLE
● dovresti trovare un valore EnableDCOM
● la sua impostazione predefinita è Y
● modifica quel valore in N
● Riavvia e ripeti il controllo per verificare che, effettivamente, sia chiusa.

Il valore è già settato su N.

Il valore è già settato su N.
:mbe: bene ..... anzi ..... di male in peggio ...... e si torna ad un punto morto o quasi ...... però ho sempre un piccolo dubbio che avevo, in qualche maniera, già sollevato:

@ Deg, qui l'esperto di Emule sei tu: è normale che il Client rilasci tutte quelle istanze in uscita? oppure è un problema di configurazione? non c'è maniera, in Emule, di nascondere l'I.P.?.
Altra cosa: in un mio post precedente, avevo chiesto a Bruno se usava Mirc ..... lui, giustamente, mi ha detto di no ma, se non sbaglio, all'interno del client di Emule, è implementato, anche MIrc: qualcuno può confermarmi la cosa?.
Se cosi fosse, potremmo aver girato attorno al problema per giorni: SysFlood e Smurf come ho già avuto modo di dire possono essere causati da attacchi portati da MIrc.
Dal log pubblicato da Bruno, vedo che una delle porte utilizzate da Emule è la 3672; generalmente, la porta utilizzata per fare uscire MIrc e connettersi ai server è la 6667 o, comunque, vanno dalla 6660 alla 6669.
Quindi, qualcosa non mi quadra, visto che presumo che, Emule in fase di connessione e download ed il MIrc implementato, girino di pari passo.
E visto che non uso e non ho mai usato Emule ma conosco bene MIrc, svelare l'arcano :)

Ci sto provando ora ma tieni presente che non sono il bersaglio bensì l'attaccante...chissà se queste chiavi di registro funzionano anche in uscita ?

Comunque, ho lavorato di nuovo quelle chiavi di registro indicate da igor e ho trovato questo articolo http://www-nuvola-libera.blogspot.com/2007/09/per-prevenire-gli-attacchi-di-tipo-dos.html

e pare che le cose vadano un pochino meglio sui siti esteri, sempre male i siti nazionali.

credo di si: emule contiene mirc

........ e pare che le cose vadano un pochino meglio sui siti esteri, sempre male i siti nazionali.
Bruno, in attesa che Deg mi chiarisca in qualche maniera il quesito che ho posto, tu hai provato a verificare se quella marea di ping in uscita, si verifica anche con Emule chiuso?

:mbe: bene ..... anzi ..... di male in peggio ...... e si torna ad un punto morto o quasi ...... però ho sempre un piccolo dubbio che avevo, in qualche maniera, già sollevato:

@ Deg, qui l'esperto di Emule sei tu: è normale che il Client rilasci tutte quelle istanze in uscita? oppure è un problema di configurazione? non c'è maniera, in Emule, di nascondere l'I.P.?.
Altra cosa: in un mio post precedente, avevo chiesto a Bruno se usava Mirc ..... lui, giustamente, mi ha detto di no ma, se non sbaglio, all'interno del client di Emule, è implementato, anche MIrc: qualcuno può confermarmi la cosa?.
Se cosi fosse, potremmo aver girato attorno al problema per giorni: SysFlood e Smurf come ho già avuto modo di dire possono essere causati da attacchi portati da MIrc.
Dal log pubblicato da Bruno, vedo che una delle porte utilizzate da Emule è la 3672; generalmente, la porta utilizzata per fare uscire MIrc e connettersi ai server è la 6667 o, comunque, vanno dalla 6660 alla 6669.
Quindi, qualcosa non mi quadra, visto che presumo che, Emule in fase di connessione e download ed il MIrc implementato, girino di pari passo.
E visto che non uso e non ho mai usato Emule ma conosco bene MIrc, svelare l'arcano :)

River, qualcosa deve esserci perchè spesso mi arrivano dei messaggi, tutti uguali del tipo "download the best emule ever" da diversi utenti. Non ho mai fatto caso alla cosa, ma ora che mi fai presente questa ipotesi....forse ci siamo.
Tieni presente però che vado soggetto a questi problemi anche col mulo spento.

Tieni presente però che vado soggetto a questi problemi anche col mulo spento.
Mi hai risposto giusto mentre te lo stavo chiedendo.
Come ho già detto, la mia è una ipotesi che avevo già posto in discussione diversi reply addietro ...... non usando Emule, non conosco come funziona ma, soprattutto, devo capire se il MIrc integrato si connette ad un qualsiasi server IRC (attenti a quando parlo di qualsiasi).
Se cosi fosse, viste le risultanze del log che hai pubblicato e visto che oramai l'infezione è stata debellata, il problema potrebbe nascere, anche da li.
Il fatto che poi il problema si replichi anche con Emule non in funzione, torna a farmi pensare ad una non corretta configurazione del Router.
Queste, sono le mie due ipotesi, altre, credo, nel corso della discussione, non sono emerse e, su queste, bisogna, almeno per ora, lavorare.

Come non detto .... mi hai risposto giusto mentre te lo stavo chiedendo.
Come ho già detto, la mia è una ipotesi che avevo già posto in discussione diversi reply addietro ...... non usando Emule, non conosco come funziona ma, soprattutto, devo capire se il MIrc integrato si connette ad un qualsiasi server IRC (attenti a quando parlo di qualsiasi).
Se cosi fosse, viste le risultanze del log che hai pubblicato e visto che oramai l'infezione è stata debellata, il problema potrebbe nascere, effettivamente, da li.

Non ti so dire come e dove effettivamente il modulo mirc di emule si colleghi. Qui dovrebbe aiutarci qualcuno veramente pratico di emule, oppure dovrei fare una ricerca ma a questo punto se ne parla domani.
Lascio il campo a voi nottambuli :)

:mbe: bene ..... anzi ..... di male in peggio ...... e si torna ad un punto morto o quasi ...... però ho sempre un piccolo dubbio che avevo, in qualche maniera, già sollevato:

@ Deg, qui l'esperto di Emule sei tu: è normale che il Client rilasci tutte quelle istanze in uscita? oppure è un problema di configurazione? non c'è maniera, in Emule, di nascondere l'I.P.?.
Altra cosa: in un mio post precedente, avevo chiesto a Bruno se usava Mirc ..... lui, giustamente, mi ha detto di no ma, se non sbaglio, all'interno del client di Emule, è implementato, anche MIrc: qualcuno può confermarmi la cosa?.
Se cosi fosse, potremmo aver girato attorno al problema per giorni: SysFlood e Smurf come ho già avuto modo di dire possono essere causati da attacchi portati da MIrc.
Dal log pubblicato da Bruno, vedo che una delle porte utilizzate da Emule è la 3672; generalmente, la porta utilizzata per fare uscire MIrc e connettersi ai server è la 6667 o, comunque, vanno dalla 6660 alla 6669.
Quindi, qualcosa non mi quadra, visto che presumo che, Emule in fase di connessione e download ed il MIrc implementato, girino di pari passo.
E visto che non uso e non ho mai usato Emule ma conosco bene MIrc, svelare l'arcano :)

nessun programma oscura in locale l'ip contattato semmai, ed esiste un cliennt p2p che sulla sua rete lo fa, non contatta direttamente il client voluto ma usa 2 o 3 client che facciano da ponte per nascondere il vero "mittente" e "destinatario".. ma in ogni caso l'ultimo ip e il primo ip sono visualizzati ed esistenti e realmente contattati.

il client ufficiale di emule e molte versioni "moddate", ossia sviluppate da altri team, possiedono un client molto scano di irc.
certo è che non è attivo di default, ha infatti bisogno dei click dell'utente per inizializzare la connessione e instaurare il collegamento a tale rete.

la porta 3672 e 3662 (devo ancora guardare l'ultimo log pubblicato da bruno) sono a naso le porte usate da emule che sono state modificate dall'utente.. di default emule usa la TCP 4662 e UDP 4672 e sono liberamente impostabili dall'untente da "opzioni -> connessione".

ma sul router sono state aperte le porte usate da emule??

River, qualcosa deve esserci perchè spesso mi arrivano dei messaggi, tutti uguali del tipo "download the best emule ever" da diversi utenti. Non ho mai fatto caso alla cosa, ma ora che mi fai presente questa ipotesi....forse ci siamo.
Tieni presente però che vado soggetto a questi problemi anche col mulo spento.

sono messaggi normalissimi che ricevi da emule e puoi creare un filtro per evitarli...
si consiglia calorosamente lo studio di questa guida:
http://xcdegasp.altervista.org/guida_niubbi.html

per i messaggi privati si consiglia di impostare su "solo da amici" e filtrare le parole più comuni...
stasse vi trascrivo la stringa adatta per bloccare il 99,8% di spam :)

piccole osservazioni:
1)cambiare zone alarm con un altro firewall?..forse la musica cambiarebbe..
2)utilizzare peer guardian visto l'uso di emule?
3)connettersi a server non spia?
4)eliminare lo spam di emule tramite filtri?

nessun programma oscura in locale l'ip contattato semmai, ed esiste un cliennt p2p che sulla sua rete lo fa, non contatta direttamente il client voluto ma usa 2 o 3 client che facciano da ponte per nascondere il vero "mittente" e "destinatario".. ma in ogni caso l'ultimo ip e il primo ip sono visualizzati ed esistenti e realmente contattati.

il client ufficiale di emule e molte versioni "moddate", ossia sviluppate da altri team, possiedono un client molto scano di irc.
certo è che non è attivo di default, ha infatti bisogno dei click dell'utente per inizializzare la connessione e instaurare il collegamento a tale rete.

la porta 3672 e 3662 (devo ancora guardare l'ultimo log pubblicato da bruno) sono a naso le porte usate da emule che sono state modificate dall'utente.. di default emule usa la TCP 4662 e UDP 4672 e sono liberamente impostabili dall'untente da "opzioni -> connessione".

ma sul router sono state aperte le porte usate da emule??

Sul router sono APERTE le porte 4662 e 4672 utilizzando la funzione Virtual server del mio router. Il motivo è che, a router installato e configurato, avevo id basso con emule. Seguendo la guida di emule ho superato questo problema.

scusa che gestore per l'adsl hai???

piccole osservazioni:
1)cambiare zone alarm con un altro firewall?..forse la musica cambiarebbe..
2)utilizzare peer guardian visto l'uso di emule?
3)connettersi a server non spia?
4)eliminare lo spam di emule tramite filtri?

Tutto fatto, ho letto http://www.emulesecurity.net/guide/guida-setup-ipfilter.html ed ho lavorato un pò, ora mi collego solo a server "sicuri".
Per il FWora uso Comodo. E anche peerguardian è dei nostri.

scusa che gestore per l'adsl hai???

Telecom italia, alice 4 mega, in attesa del 20mega.

e il router che usi è wi-fi???

e il router che usi è wi-fi???

Sì, è un Philips SNA6500.

Sul router sono APERTE le porte 4662 e 4672 utilizzando la funzione Virtual server del mio router. Il motivo è che, a router installato e configurato, avevo id basso con emule. Seguendo la guida di emule ho superato questo problema.

ma se poi usi porte differenti nel client emule è ovvio che dovrai cambiare anche quelle definite nel router ;)

ma se poi usi porte differenti nel client emule è ovvio che dovrai cambiare anche quelle definite nel router ;)

Mi stai dicendo che il client usa una porta e io ne ho aperta una diversa nel router ? Puoi spiegarti meglio ?

Mi stai dicendo che il client usa una porta e io ne ho aperta una diversa nel router ? Puoi spiegarti meglio ?

a quanto ho letto, non ho avuto tempo di guardare il log, riverside aveva compreso che emule agisse sulla porta 3672 da qui il sospetto che tu abbia definito emule in modo non preciso o differente dal router..
facciamo una cosa veloce e indolore, allega in un nuovo mes il file emule/config/preference.ini così lo controllo ti aggiungo il filtro antispam e ti elenco cosa hai settato così ci togliamo ogni dubbio :)

Ok, ecco le preferenze di emule http://www.fileup.itadib.com/download.php?id=26LttQR7vpeMFfdGRbg9

a quanto ho letto, non ho avuto tempo di guardare il log, riverside aveva compreso che emule agisse sulla porta 3672 da qui il sospetto che tu abbia definito emule in modo non preciso o differente dal router..
Personalmente non ho compreso nulla (o, forse tutto): effettivamente ho preso una cantonata io: la porta in uscita per Emule (basta controllare il log) è la 4672, ma ...... la domanda che ho posto è ben diversa: quale Server e quale porta in uscita utlizza il MIrc integrato in Emule?.
Il mio sospetto non è è legato ad una errata configurazione di Emule (e sono certo che si possa, anche nascondere l'I.P. in uscita) ma che, gli attacchi non ricevuti, ma portati verso l'esterno (giusto per chiarire la cosa, sono ping), a mio parere, possono dipendere dal MIrc integrato.
Se, poi, per svelare questa sorta di arcano e capire come funziona, effettivamente Emule, lo devo installare, me lo dite e lo faccio.
Ribadisco, so perfettamente, come funziona e quali sono le porte che utIlizza MIrc, non conosco (e sono contento di non saperlo) come funziona Emule ..... credo di aver posto un semplice quesito, mi piacerebbe (anche per imparare qualcosa di nuovo), rispetto a quanto ho chiesto, (visto il problema di Bruno) ottenere, se in grado, una risposta che non sia vaga.
E se ho posto questa domanda a te Deg, è semplicemente per il fatto che conosci, molto bene, come funziona Emule, mica per altro.

l chat su irc la usi o per lo meno l'hai usata, cosa che non hai mai detto..
le porte di emule settate sono effettivamente quelle standard, ti ho aggiunto ilfiltro antispam, ti ho acceso le notifiche sui mes in arrivo (non ne dov resti ricevere al limite verifica che sia attivato solo per "amici" così non potrai riceverne), ti ho aumentato l'upload a 25 (era settato a 11 quanto basta per aver la ratio attiva e non scaricare), ti ho messo il download senza limite, ti ho aggiunto due voci nel filtro sui commenti ai files, ti ho disattivato la creazione dei log sugli IP bannati e filtrati tanto non ti serve a na mazza saperlo, d'ora innanzi ti mostrerà tra parenti tonde il valore della dispersione banda ossia l'overhead (banda usata per contattare fonti e tenere le fila e pingare e fare tracert), ti ho aumentato il buffer sui file a 2097152 (diminuisce l'accesso su disco), ti ho diminuito la coda da 5000 (valore default) a 3700 così non ti stagna, ti ho abilitato l'uso ai controlli avanzati,nti ho abilitato la visualizzazione del valore della percentuale del completamento dei file...
in allegato la versione che ti ho creato.

http://www.fileup.itadib.com/download.php?id=aGS3y5PYnM9015UpBnZr

cmq si è evidenziata la tua non curanza nel seguire le cose dette, ti avevo chiesto di seguire una guida e non lo hai fatto.
sincermente, non voglio apparire scortese, ma ho già troppe cose da fare che rincorrenrti ;)

Personalmente non ho compreso nulla (o, forse tutto): effettivamente ho preso una cantonata io: la porta in uscita per Emule (basta controllare il log) è la 4672, ma ...... la domanda che ho posto è ben diversa: quale Server e quale porta in uscita utlizza il MIrc integrato in Emule?.
Il mio sospetto non è è legato ad una errata configurazione di Emule (e sono certo che si possa, anche nascondere l'I.P. in uscita) ma che, gli attacchi non ricevuti, ma portati verso l'esterno (giusto per chiarire la cosa, sono ping), a mio parere, possono dipendere dal MIrc integrato.
Se, poi, per svelare questa sorta di arcano e capire come funziona, effettivamente Emule, lo devo installare, me lo dite e lo faccio.
Ribadisco, so perfettamente, come funziona e quali sono le porte che utIlizza MIrc, non conosco (e sono contento di non saperlo) come funziona Emule ..... credo di aver posto un semplice quesito, mi piacerebbe (anche per imparare qualcosa di nuovo), rispetto a quanto ho chiesto, (visto il problema di Bruno) ottenere, se in grado, una risposta che non sia vaga.
E se ho posto questa domanda a te Deg, è semplicemente per il fatto che conosci, molto bene, come funziona Emule, mica per altro.

di default:
DefaultIRCServerNew=ircchat.emule-project.net

di default: DefaultIRCServerNew=ircchat.emule-project.net
Quindi, da quel che posso capire, il MIrc integrato, utilizza una porta in uscita che non è quella che utilizza Emule in fase di download ...... (si tratta di un normalissimo Server Irc, come Azzurra o Ircitaly, tanto per intenderci) ..... proviamo a fargli chiudere le porte che vanno dalla 6660 alla 6669 e vediamo cosa succede.

emule non usa solo 2 porte... ma ovviamente aprirà tot porte quante sono necessarie per ricerca fonti, ricerca parti necessarie dei files, mantenimento code, ecc..
ovviamente tutte fanno capo alla due porte remote definite di default che sono TCP4662 e UDP4672.
quindi attenzione a cosa gli dici di chiudere perchè se chiudete le porte locali aperte segate le connessioni che servono.

sto guardando l'ultimo netstat che ha eseguito bruno:
TCP Bruno:3260 Bruno:0 LISTENING 604

[StarWindService.exe]



TCP Bruno:3261 Bruno:0 LISTENING 604

[StarWindService.exe]



è aperto solo in locale a quanto pare.

e questo?
UDP Bruno:1032 *:* 3208

[psi.exe]

da quel che vedo il pc è scollegato dalla rete internet? perchè tutte le connessioni sono aperte nel vuoto quindi non nella situazione che si voleva.
il pc deve essere avviato normalmente, con conenssione internet avviata e senza programmi aperti.
subito dopo eseguito il log apri il browser verso hwupgrade, caricata la pagina del sito rifai un nuovo log (che chiamerai diversamente dal precedente) e ce li uppi entrambi indicando quale sia il primo e quale il secondo :)

sto guardando l'ultimo netstat che ha eseguito bruno:
TCP Bruno:3260 Bruno:0 LISTENING 604

[StarWindService.exe]



TCP Bruno:3261 Bruno:0 LISTENING 604

[StarWindService.exe]



è aperto solo in locale a quanto pare.

e questo?
UDP Bruno:1032 *:* 3208

[psi.exe]

da quel che vedo il pc è scollegato dalla rete internet? perchè tutte le connessioni sono aperte nel vuoto quindi non nella situazione che si voleva.
il pc deve essere avviato normalmente, con conenssione internet avviata e senza programmi aperti.
subito dopo eseguito il log apri il browser verso hwupgrade, caricata la pagina del sito rifai un nuovo log (che chiamerai diversamente dal precedente) e ce li uppi entrambi indicando quale sia il primo e quale il secondo :)

Ti prego di avere pazienza: pensavo di aver fatto tutto quello che tu e gli altri amici mi avete consigliato. Chiaramente qualcosa mi è sfuggito. :)
Ora, dimmi se il "senza programmi aperti" lo intendi che avvio il pc , chiudo tutto (FW, AV, ASW) e posto il primo log. Poi faccio partire i programmi di sicurezza, punto explorer su hwupgrade.it, e ti riposto il secondo log.

Ho capito bene ?

A scanso di equivoci, sappiate comunque che il router è configurato in modo da avere la connessione sempre attiva. E' strano che in quel log particolare non ci sia nulla.

Sì, è un Philips SNA6500.

allora hai lo stesso problema che avevi io, cioè il tuo router è firewallato!!!
Per disabilitarla devi cambiare le impostazioni del router!!!

allora hai lo stesso problema che avevi io, cioè il tuo router è firewallato!!!
Per disabilitarla devi cambiare le impostazioni del router!!!

Per disabilitare cosa ? Puoi essere più chiaro ?
Anch'io penso che si tratti di impostazioni del router, ma devo saperne di più.

il psi.exe non è nulla di buono cercando in rete...
sai cosa sia?

per il resto concordo conm boia11

il psi.exe non è nulla di buono cercando in rete...
sai cosa sia?

per il resto concordo conm boia11

psi.exe è il personal software inspector di secunia. Lo ho installato dopo che tu mi hai suggerito lo scan sul loro sito.

Per il router, invece...bè sì ha un FW attivo, ma a questo punto mi viene il sospetto che sarebbe meglio abbassarlo 'sto FW e fidarsi di Comodo.

Cosa ne dite ?

Ho fatto un esperimento. Ho disattivato il firewall del router. Ora il desktop naviga senza grossi problemi, più o meno come prima del "casino".

Chiaro che il dubbio che mi viene è: quanto è rischioso ?

Ho fatto un esperimento. Ho disattivato il firewall del router. Ora il desktop naviga senza grossi problemi, più o meno come prima del "casino".
Bruno, stai dicendo che con il firewall del router disattivato, niente più invio di pacchetti verso l'esterno?.
Altra cosa: l'esperimento (come lo chiami tu) lo hai provato sia con Emule disattivato che con Emule in attività?.

Bruno, stai dicendo che con il firewall del router disattivato, niente più invio di pacchetti verso l'esterno?.
Altra cosa: l'esperimento (come lo chiami tu) lo hai provato sia con Emule disattivato che con Emule in attività?.

Lo vediamo subito. Chiudo emule e provo a navigare un pò. Dammi cinque minuti.

Allora, con o senza emule navigo alla stessa maniera, senza intoppi particolari, se non il rallentamento dovuto alla scarsezza di banda. L'inconveniente tipico è che non tutte le immagini vengono caricate quando la pagina è molto carica.
Chissà se peerguardian 2 potrebbe in qualche modo sostituire il firewall del router ?

Allora, con o senza emule navigo alla stessa maniera, senza intoppi particolari, se non il rallentamento dovuto alla scarsezza di banda. L'inconveniente tipico è che non tutte le immagini vengono caricate quando la pagina è molto carica.
Chissà se peerguardian 2 potrebbe in qualche modo sostituire il firewall del router ?
Per quanto riguarda la banda disponibile, credo non si possa fare nulla.
Per quanto attiene alla questione router firewallato o meno, si torna al punto di partenza ed a quanto vado sostenendo fin dal mio primo reply: una non corretta configurazione del router.
A questo punto, credo che il suggerimento di Deg (alcuni reply addietro) di spostare la disscussione in Network deve essere presa in considerazione.
Siccome credo che, nessuno, in quella sezione, si prenderà la briga di leggere l'intera discussione per capire cosa è stato, fino ad ora fatto, credo sia meglio (sentendo il parere di Deg), che tu apra una nuova discussione in quella sezione, cercando di fare un riassunto di tutto ciò che è stato, fin qui fatto, e vedere cosa ti viene suggerito in relazione alla eventuale configurazione del firewall/router.

Sì, River, credo che tu abbia ragione. Attenderò qualche suggerimento dagli altri amici e poi aprirò una discussione lì.
Grazie a tutti quanti per la vostra disponibilità.

Sì, River, credo che tu abbia ragione. Attenderò qualche suggerimento dagli altri amici e poi aprirò una discussione lì.
Grazie a tutti quanti per la vostra disponibilità.
Grazie di che ...... comunque Bruno, come ti avevo già suggerito, una controllata anche agli altri P.C. che hai in rete, io la darei, giusto per evitare altre soprese.

Grazie di che ...... comunque Bruno, come ti avevo già suggerito, una controllata anche agli altri P.C. che hai in rete, io la darei, giusto per evitare altre soprese.

Uno o due li controllo domani, e il terzo sta per finire.
CHE CASINO !
Buonanotte :O

Per quanto riguarda la banda disponibile, credo non si possa fare nulla.
Per quanto attiene alla questione router firewallato o meno, si torna al punto di partenza ed a quanto vado sostenendo fin dal mio primo reply: una non corretta configurazione del router.
A questo punto, credo che il suggerimento di Deg (alcuni reply addietro) di spostare la disscussione in Network deve essere presa in considerazione.
Siccome credo che, nessuno, in quella sezione, si prenderà la briga di leggere l'intera discussione per capire cosa è stato, fino ad ora fatto, credo sia meglio (sentendo il parere di Deg), che tu apra una nuova discussione in quella sezione, cercando di fare un riassunto di tutto ciò che è stato, fin qui fatto, e vedere cosa ti viene suggerito in relazione alla eventuale configurazione del firewall/router.

esatto, apri lì il thread mettendo il link a questo, così chi vorrà approfondire potrà farlo senza diventare matto :)

per il psi.exe nons apevo coime si annidava in locale la versione da installare perchè appunto consigliavo quella via scansione web :p
cmq abbiamo appurato che non sei più infetto :D