Ecco due snapshot dell'elenco delle applicazioni che accedono ad Internet e relativa policy di sicurezza, abbastanza intuibile anche dalla grafica.

http://deggesim.interfree.it/forum/firewall1.JPG http://deggesim.interfree.it/forum/firewall2.JPG

Vorrei focalizzare l'attenzione sulla seconda JPEG, in particolare le righe evidenziate. Cosa sono questi processi? E perché mi rompono le palle ogni 2 miuti chiedendomi posso andare su Internet al sito pippo.pluto.paperino.net?

Chiaramente il sito l'ho messio io perché non mi ricordo l'indirizzo esatto del messaggio ;)

Qualcuno ha qualche idea al riguardo?

Ciao a tutti
Simone

fai un giro con google.... o vedi a che si riferiscono e vedi se sonop importanti o magari e un dialer

Virus w32.gaobot.gen.........forse sto virus ha preso il controllo di sto file, fai una bella scansione magari con avast, non con norton che dice che non c'è

Mmmmh, mi sa che mi sono beccato sto agobot nelle varianti .zz e .kj :cry:

Qual'è il miglior removal tool? Trend Micro? Symantec? Altro?

Prova Trendmicro cleaner e Stinger.........

Ciao

Meglio ancora trendmicro......sai come funziona vero???????
Facile no........solo che dovresti eseguirlo in modalita provvisoria previa disabilitazione de ripristino configurazione di sistema;) ;)

Allora, il ripristino l'ho tengo comunque disabilitato, proverò con TrendMicro, speriamo bene...

facci sapere come è andata in modalità prov ci mette un po dipende dai tuoi giga ma dovrebbe darti delle certezze............uso sempre il condizionale in queste situazioni;) ;) ;) ;) ;) ;)

In teoria ha ripulito, però c'è ancora, segnalato dal firewall sto cacchio de' processo svchost1.exe.... che però non vedo nella cartella windows\system32 :wtf:

Che palle... :(

il fatto che sia ripulito è un dato positivo...........che ancora lo segnali no, prova a guardare nella directory C:\WINDOWS\Temp\svchost1.exe e vedi cosa trovi, magari lo elimini con suredelete o in modalita provvisoria, bisogna avere pasiensa io l'altra sera ho beccato un dialer fatto tutto il possibile e poi era nei programmi, che firewall usi....lu ti dovrebbe dire il percorso da dove viene per forza, in outpost fa cosi e mi ha tirato fuori dai guai più di una volta facci sapere:confused: :confused: :muro:

Questo è il log dell'esecuzione del cleaner di TrendMicro



/--------------------------------------------------------------\
| Trend Micro Sysclean Package |
| Copyright 2002, Trend Micro, Inc. |
| http://www.trendmicro.com |
\--------------------------------------------------------------/


2004-07-05, 19:50:12, Auto-clean mode specified.
2004-07-05, 19:50:12, Running scanner "C:\Patch\TSC.BIN"...
2004-07-05, 19:50:32, Scanner "C:\Patch\TSC.BIN" has finished running.
2004-07-05, 19:50:32, TSC Log:

Damage Cleanup Engine (DCE) 3.6(Build 1120)
Windows XP(Build 2600: Service Pack 1)

Start time : lun lug 05 2004 19:50:13

Load Damage Cleanup Template (DCT) "C:\Patch\tsc.ptn" (version 367) [success]
WORM_AGOBOT.KJ[virus clean failed]
-->delete registry data("HKEY_LOCAL_MACHINE","Software\Microsoft\Windows\CurrentVersion\Run","wuautof.exe") success
-->delete process("C:\WINDOWS\System32\wuautof.exe","","") success
-->delete file("C:\WINDOWS\System32\wuautof.exe","","") fail
-->delete registry data("HKEY_LOCAL_MACHINE","Software\Microsoft\Windows\CurrentVersion\RunServices","wuautof.exe") success
-->delete file("C:\WINDOWS\System32\wuautof.exe","","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","symantec.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","sophos.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","mcafee.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","liveupdate.symantecliveupdate.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","viruslist.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","f-secure.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","kaspersky","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","avp.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","networkassociates.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","ca.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","my-etrust.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","nai.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","trendmicro.com","") success

Complete time : lun lug 05 2004 19:50:26
Execute pattern count(992), Virus found count(1), Virus clean count(0), Clean failed count(1)


Dopo averlo eseguito mi sono accorto del fatto di cui sopra.
A quel punto ho provato a ripulire le chiavi di registro incrimintate, poi ho fatto un reboot e, al riavvio, me le sono ritrovate di nuovo.
La cosa strana è che il processo viene segnalato sotto system32, ma il file non esiste neanche tra quelli nascosti :wtf:

Stasera altro giro... vedremo :(

Io non vedo niente...anzi dice che l'ha ripulito, consigliandoti altro forse direi fesserie....aspettiamo qualche luminare ormai sono anzioso anchio su sto problema!!!!!!!!!!:confused: :confused: :confused: :confused:

Guardandolo bene l'unico indizzio puo essere questo wuautof.exe failed........ma se al termine dice che non c'e niente.......
e poi ndo cacchio sta sto file se non si trova:muro: :muro: :muro: :muro:

mmmmh, mi è venuto un dubbio e forse la soluzione è proprio qui:

Il test l'ho eseguito con il pattern 928, mentre l'ultimo pattern è il 929 il cui file whatsnew.txt recita così:


-----------------------------------------------------------------------------
Trend Micro
New Virus Pattern Release
-----------------------------------------------------------------------------

Pattern: 929
Version: 00
Release Type: New Malware Threat
Notes: TROJ_REFEST.A


July 05, 2004 11:45:31 (GMT -08:00)

---------------------
New Viruses Detected:
---------------------

There are [07] new viruses detected by the pattern file.
All detail virus names please refer to the list below.


BKDR_PEEPVIEWR.K
TROJ_BANCOS.AM
TROJ_REFEST.A
TROJ_SPABOT.C
WORM_AGOBOT.UA
WORM_RBOT.BP
WORM_RBOT.BQ


-------------------
Virus Name Changed:
-------------------
Old Virus Name New Virus Name
-------------- --------------



-------------------------
Virus Signature Modified:
-------------------------

WORM_BAGLE.AD
WORM_LOVGATE.O
WORM_LOVGATE.P
WORM_LOVGATE.U



------------------------
Virus Signature Dropped:
------------------------






-----------------------------------------------------------------------------
Copyright 1989-2004 Trend Micro, Inc. All rights reserved.
-----------------------------------------------------------------------------


Stasera faccio rigirare il removal tool con questo ultimo virus pattern sperando che finalmente funzioni!

Ciao
Simone

spero si risolva sta vera e propria rottura de p.

Alla fine ho vinto iooo!!! :yeah:

Il virus non era l'agobot ma il WORM_RBOT.AJ

Praticamente, io cancellavo solo due delle tre chiavi di registro di questo malware, e quindi al successivo riavvio lo zozzone ripartiva! Ora credo di averlo debellato per sempre dal mio PC :)

Ciao, grazie a tutti soprattutto a Carcass per il supporto e l'interessamento :)

De nada BOYZ

NB: l'interessamento è prima una cortesia e poi un learning.....meglio cosi:D :D :D :D :D ;) ;)

Niente! :muro:
Ho cantato vittoria troppo presto, ieri accendendo il pc è ricomparso svhost1.exe tra i processi attivi...

La cosa strana è che dopo che ripulisco il registro, faccio il reboot e reintro nel mio profilo, sembra ok.

Se ripulisco, faccio il reboot ed entro su un altro profilo, eccolo che ricompare....

Tutti i profili hanno comunque diritti di amministrazione... :(

faccio magari un giro e ti faccio sapere al più presto

secondo quanto ho visto un po o lo rimuovi manualmente anche se gia tu dicevi che non si vede neanche con l'opzione file nascosti o provi un av on line

http://www.pandasoftware.com/activescan/com/activescan_principal.htm


non capisco come sia possibile queste sono le vie almeno credo e se provassi in modalita f8 a rimuoverlo manualmente:confused:

Già provata la modalità provvisoria... :sob:

Stasera proverò anche il link che mi hai dato tu.. :sperem:

non so se lo sai forse si forse no ma in ogni caso dai una occhiata a questo, magari dopo il panda


http://forum.hwupgrade.it/showthread.php?s=&threadid=659535

Ho provato Panda: la prima passata ha rilevato una delle tante varianti del Gaobot e lo ha rimosso... la cosa strana, come dicevo anche ieri, è che alla voce infected c'erano 0 files :confused:
Ora sto eseguendo la seconda passata, vedremo come va... :sperem:

prova prima cosi vediamo cosa viene fuori se no vai all'altro link messo dove dice come fare in questi casi anche se la via che stai facendo sembra indicata...........:sperem:

lo so che magari ti sto riempendo a link ma forse questo è davvero utile

http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.gen.html ;) ;) ;) ;) ;)

Carcass, sembra (ormai dopo la brutta figura dell'altra volta non mi sbilancio più :p ), dico sembra che ce l'abbiamo fatta :)

Devo dire che solo grazie al tuo aiuto non mi sono scoraggiato e preso a martellate il case :D

Il Panda è ottimo, tra l'altro è molto lento, segno IMHO di accuratezza: questi tool ti devono spulciare bene a fondo tutto l'harddisk sennò non sono efficienti ;)

Grazie ancora... :)
Ciao
Simone

PS: l'ultimo link credo di averlo già visitato quando avevo cercato su google il worm agobot ;)

Ti ringrazio.......:) ormai era un po come se fosse sul mio credimi.........non potevamo non buttarlo fuori ..........
Cmq sembra tutto bene quel che finsce bene dicevano in vecchio cartoon.......BYE :fuck: