ho formattato da poco, e volendomi lasciare alle spalle norton internet security, ho installato sygate personal firewall+nod32.

ora, mi sono collegato, e anche se nn faccio niente la connesione invia e riceve ma nn riesco a capire che cosa e con chi!?!

non mi pare di avere autorizzato applicazioni "sospette"

..possibile che sia windows che fa i "cavoli suoi"? ho disattivato pure gli aggiornamenti automatici... aiutatemi a trovare una risposta.. sono 20 minuti che invia e riceve... che sta facendo??

c:\windows\system32\winsysi.exe che cos'è? è quello misà che usava la connessione, ora che l'ho bloccato non ci fa +

Ciao M@arco, ci si incontra di nuovo :)

Temo che il problema che riscontri sia ancora collegato a quello di prima...

Forse converrebbe controllare il tuo sistema con hijackthis perchè temo che tu abbia parecchie cosette...

Se scarichi hijackthis (http://www.tweakness.net/showfiles.php?fid=5) e posti il log magari ci diamo un'occhiata insieme

ciao.
ecco il log.

speriamo che i due file che ho eliminato prima non abbiano compagnia.

grazie ancora

ecco il log.. l'ho ripostato xchè in quell'altro avevo dimenticato una cosuccia aperta...:D

ora l'ho rifatto;)

edit: ho analizzato il log con HijackThis, me ne trova uno abbastanza sospetto e uno sospetto:

sospetto:

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

mi consiglia di eliminarlo al volo.

abbastanza sospetto:
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F7F9234-AE97-4319-876F-D4516B6D7391}: NameServer = '80.17.208.203'

mi consiglia: Se il Dominio non appartiene al vostro provider Internet od alla vostra rete aziendale, questi elementi dovrebbero essere eliminati. Anche gli elementi 'SearchList' dovrebbero essere cancellati (Fix).
Conoscete l'indirizzo IP o il Dominio '80.17.208.203 151.99.125.1 '? Se no, eliminate questo oggetto.

li cancello entrambi?

Controlla un po' questo:

D:\Documenti\^INCOMING^\Sygate.Personal.Firewall.Pro.5.5.2525\Sygate.Personal.Firewall.Pro.v5.5.2525.Incl.Keygen-

ROR\keygen.exe

keygen.exe potrebbe far parte di 2 o 3 virus che si mimetizzano da crack per alcuni programmi a pagamento

http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.shower.l.html

http://securityresponse.symantec.com/avcenter/venc/data/w32.egar.int.html

http://vil.nai.com/vil/content/Print101070.htm

P.S. naturalmente devi eliminare tutti i file temporanei, i temporanei di internet e disattivare il system restore

Ciao

wgator scusa ma ho ripostato il log dopo che lo avevo scaricato xchè c'era appunto quel coso che mi ero scordato di chiudere...

potresi controllare il secondo log che ti ho postato?

grazie ciao

Ciao,

:D :sofico:

hehe, no, è tutto a posto...

"collegamenti" lascialo stare è un bug di quel motore di verifica, lui si aspetta di trovare "link" anzichè collegamenti perchè non sa molto l'italiano....

L'indirizzo IP 80.17.208.203, è Interbusiness, se ti colleghi con un provider del gruppo Telecom Italia è regolare.

Quel "coso" di prima, se non è in avvio automatico è ehm... regolare
;)

ok grazie di tutto. a questo punto mi piacerebbe sapere come sono finiti nel pc quei 2 eseguibili.. forse insieme a qualcosa che ho scaricato... mi sembra la soluzione più verosimile, visto che ho firewall + antivirus (che non conosce i 2 file come dannosi o sospetti -ho fatto anche scansioni on-line) + antispyware vari (e ho formattato ieri) e poi di solito son prudente:D

ciao

Ciao,

come appassionato di "virus e affini" ho imparato che se un eseguibile non si riesce a trovare nè con Google nè con Altavista al 99% è un virus o un trojan.

Naturalmente se non si trova con i motori di ricerca più potenti significa che probabilmente non è sul database dei virus dei produttori, quindi non viene rilevato. Ci sono parecchi trojan che cambiano nome continuamente (random) per non farsi beccare.

Poi, tramite p2p non è difficile beccarsi qualcosa :(

winsysi.exe è una backdoor IRC ;)

Ho ricevuto ora l'e-mail di [email protected] il tempo di dare meglio un occhio all'eseguibile :)

backdoor SDBot :)

Crea 'WindowsRegKeys update"="winsysi.exe'

sotto

"HKLM\Software\Microsoft\Windows\CurrentVersion\Run"
e
"HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices"

Si connette ad un server IRC in attesa di comandi

Originariamente inviato da eraser
backdoor SDBot :)

Crea 'WindowsRegKeys update"="winsysi.exe'

sotto

"HKLM\Software\Microsoft\Windows\CurrentVersion\Run"
e
"HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices"

Si connette ad un server IRC in attesa di comandi

si infatti proprio quello che avevo descritto qui:http://forum.hwupgrade.it/showthread.php?s=&threadid=749421

che dici avranno fatto danni in quei 15/20minuti prima che mi accorgessi della loro attività? ci sarà bisogno, ad esempio, di cambiare le password?

se togli la backdoor e non hai programmi che permettono l'accesso da remoto non vedo quali rischi tu possa correre :) anche se secondo me manco t'hanno visto :D