http://img281.imageshack.us/img281/5402/lovesan1pb.jpg

E' da un paio d'ore che il Kaspersky mi segna questo attacco al ritmo di un avviso ogni minuto circa....l'ip è sempre lo stesso (fastweb come il mio, ho tolto le ultime 3 cifre), ma di cosa si tratta, che è sto attacco Lovesan?? Premetto che ho fatto la scansione da qualche giorno ed il pc è pulito....corro rischi? Grazie a tutti! Ah, ho anche Outpost come firewall!

Ma il tuo sistema operativo e' aggiornato? L'unico Lovesan che conosco e' il virus Blaster. http://virus.html.it/virus/cat_3/virus_14/blaster_(lovesan).html

Ma il tuo sistema operativo e' aggiornato? L'unico Lovesan che conosco e' il virus Blaster. http://virus.html.it/virus/cat_3/virus_14/blaster_(lovesan).html


Aggiornatissimo, Xp pro con SP2 e tutte le patch applicate....

Posta un log di hijackthis
Fai anche una scansione online con bitdefender:http://www.bitdefender.com/scan8/ie.html

Vanno avanti anche mentre scrivo....solo che ora l'ip è cambiato, è minore di uno...per esempio, se prima era con 200 finale adesso è con 199 finale, è diminuito di un numero...ma che cavolo è????

Logfile of HijackThis v1.99.1
Scan saved at 20.50.14, on 18/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Claudio\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRA~1\DAP\dapiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programmi\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Browser Adjustment - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programmi\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {0E64B286-F91C-442D-8B6D-0D78433AA93D} (BLZPlayerAxCtrl Class) - http://visualizzamms.net.vodafone.it/mms/EmblazePCPlayerActiveXs.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121356445123
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\Outpost Firewall\wl_hook.dll
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe




questo è il log, la scansione la sto facendo ma ci mette un paio d'ore...

Queste 2 voci se non le conosci puoi fixarle:
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
ti consiglierei anche di togliere Dap perche' contiene spyware.

Per quanto riguarda l'attacco lovesan devi sapere che prende di mira i punti vulnerabili del servizio DCOM RPC dei sistemi operativi Windows NT 4.0/NT 4.0 Terminal Services Edition/2000/XP/Server 2003. Una volta rilevata la vulnerabilità, il worm, costituito da un malware che consente al mittente di effettuare qualsiasi manipolazione, viene scaricato sul computer attaccato. Sei sicuro che non ti manchi qualche aggiornamento importante?

Fixerò le voci al più presto...anzi, disinstallo proprio musicmatch che è quanto ho visto è proprio un programma dannoso....riguardo agli aggiornamenti ho controllato anche ora, ho installato davvero tutto quanto, importanti e non....ma corro qualche rischio o sono protetto dall'antivirus e dal firewall? Cosa mi consigli di fare?

Ciao,

conoscendo (in grandi linee perchè nella mia zona non c'è) il funzionamento delle reti fastweb direi che il problema potrebbe essere insito nel firewall.

- il firewall di XP è attivato?
- nelle eccezioni del firewall cosa c'è di "consentito"?
- potresti provare a settare il FW di XP su "non consentire eccezioni" per vedere se lo fa ancora

Suppongo che quegli "attacchi" provenienti da altri utenti Fastweb non siano intenzionali. Immagino che si tratti di qualche poveretto infettato da blaster (ce ne sono ancora?) che ora funge da "untore"

Fixerò le voci al più presto...anzi, disinstallo proprio musicmatch che è quanto ho visto è proprio un programma dannoso....riguardo agli aggiornamenti ho controllato anche ora, ho installato davvero tutto quanto, importanti e non....ma corro qualche rischio o sono protetto dall'antivirus e dal firewall? Cosa mi consigli di fare?
Disinstalla musicmatch e togli anche DAP che contiene spyware. Leggiti il link che ti ho dato sopra che parla di lovesan: http://virus.html.it/virus/cat_3/virus_14/blaster_(lovesan).html
Per sicurezza lancia il fix di rimozione di blaster: http://securityresponse.symantec.com/avcenter/FixBlast.exe

- il firewall di XP è attivato?
- nelle eccezioni del firewall cosa c'è di "consentito"?
- potresti provare a settare il FW di XP su "non consentire eccezioni" per vedere se lo fa ancora

Ha detto di usare outpost come firewall.

Ciao,

conoscendo (in grandi linee perchè nella mia zona non c'è) il funzionamento delle reti fastweb direi che il problema potrebbe essere insito nel firewall.

- il firewall di XP è attivato?
- nelle eccezioni del firewall cosa c'è di "consentito"?
- potresti provare a settare il FW di XP su "non consentire eccezioni" per vedere se lo fa ancora

Suppongo che quegli "attacchi" provenienti da altri utenti Fastweb non siano intenzionali. Immagino che si tratti di qualche poveretto infettato da blaster (ce ne sono ancora?) che ora funge da "untore"


Ciao, ti rispondo subito dicendoti che il firewall di XP è disattivato, uso Outpost Firewall che penso basti e avanzi, le uniche eccezioni consentite sono per i programmi che uso (msn, emule, aggiornamento dell'antivirus ed altri, cmq tutti conosciuti)...Riguardo agli "untori" avevo pensato anche io ad una cosa simile, però prima di oggi non mi era mai uscito quest'avviso, e cmq viene da due ip diversi,seppur di poco (la cifra finale) ma diversi.....boh.....! :confused:

:D scusatemi... non avevo letto di Outpost.

In ogni caso resta la mia convinzione. Forse c'è qualche porta (netbios 135, 4444 o non ricordo bene quali altre) che per qualche motivo è stata aperta. Da quella porta "entra" il tentato attacco Lovesan che viene prontamente intercettato dal Kasper. In sistemi Fastweb capita spesso. Gli utenti FW sono collegati tra loro come in una LAN classica.

Se le scansioni dicono che il tuo pc e' pulito, se hai outpost ben settato e il kaspersky e se hai detto di avere il sistema operativo aggiornato non dovresti avere problemi. Dai un'occhiata a questo link che parla delle porte utilizzate dal worm: http://web.opzione.com/modules.php?op=modload&name=News&file=article&sid=28

http://web.opzione.com/modules.php?op=modload&name=News&file=article&sid=28

mi meraviglio della mia memoria, normalmente è bucherellata come un formaggio svizzero :D le porte me le sono ricordate giuste :p

mi meraviglio della mia memoria, normalmente è bucherellata come un formaggio svizzero :D le porte me le sono ricordate giuste :p
Eh si... :)

Pc pulito, scansioni terminate senza trovare nulla, ho letto i vostri link, ho cercato manualmente i file ma nn ho trovato nulla...boh, meglio così! Gli attacchi sembrerebbero terminati ora, vi farò sapere eventuali novità....grazie ancora! :)

ciao,se posso esserti d'aiuto anche io uso sul mio pc di casa kaspersky e per moltissimo tempo come te mi e' comparsa la schermata di attacco di lovesan..all'inizio,anche se l'avviso di kaspersky mi diceva che lo bloccava,mi preoccupavo anche io e non sapevo perche' venivo attaccato in continuazione..avevo xp con sp2 aggiornato e norton firewall attivo,anch'egli aggiornatissimo..poi,postando il problema qui sul forum mi hanno avvisato che la versione di kaspersky che usavo aveva un firewall integrato che poteva causare conflitti con il norton e mi consigliavano di disabilitare la funzione "protection against network attack" e da allora gli avvisi che si ripetevano al ritmo di 20/30 al giorno sono spariti..non so se il problema fosse il conflitto..ma credo di averlo risolto facendo questa piccola modifica,dato che da quel giorno in poi ho fatto centinaia di scansioni(anche online) e non ho mai subito attacchi o infezioni da lovesan..ciao,prova a fare cosi'..male non farai..ciao

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)

rimuovi questi,ma comunque sia non dovresti risolvere il problema in questo modo,disinstalla dap in quanto portatore di malware;)

ciao

avendo lo stesso problema mi chiedevo se si era riusciti a capire come eliminare questo messaggio e la relativa minaccia....anche se onestamente ho fatto di tutto ma nn credo prorpio di aver il blaster nel pc...pero nn so spiegarmi questo mess. (uso anche io kasperky av)

ciao

avendo lo stesso problema mi chiedevo se si era riusciti a capire come eliminare questo messaggio e la relativa minaccia....anche se onestamente ho fatto di tutto ma nn credo prorpio di aver il blaster nel pc...pero nn so spiegarmi questo mess. (uso anche io kasperky av)
Ciao, se hai una versione recente di kaspersky e se hai gia' un tuo firewall ti consiglierei di disattivare la protezione contro gli attacchi di rete del kaspersky cosi' non ti crea conflitti con il firewall e non dovrebbero piu' apparire messaggi di quel tipo.

Ciao, se hai una versione recente di kaspersky e se hai gia' un tuo firewall ti consiglierei di disattivare la protezione contro gli attacchi di rete del kaspersky cosi' non ti crea conflitti con il firewall e non dovrebbero piu' apparire messaggi di quel tipo.


grazie
fatto ed in effetti nn mi esce piu quell'avviso.
nn so se questo dipendeva da altri firewall che nn uso...e quello di windows xp nn so se è attivato o meno in quanto nel registro mi dice che è attivato ma nel pannello è spuntato su disattivato senza darmi la possibilita di spuntare un'altra voce
:rolleyes: :confused:

grazie
fatto ed in effetti nn mi esce piu quell'avviso.
nn so se questo dipendeva da altri firewall che nn uso...e quello di windows xp nn so se è attivato o meno in quanto nel registro mi dice che è attivato ma nel pannello è spuntato su disattivato senza darmi la possibilita di spuntare un'altra voce
:rolleyes: :confused:
Devi provvedere a metterti un buon firewall.

Ciao, se hai una versione recente di kaspersky e se hai gia' un tuo firewall ti consiglierei di disattivare la protezione contro gli attacchi di rete del kaspersky cosi' non ti crea conflitti con il firewall e non dovrebbero piu' apparire messaggi di quel tipo.

Scusami ma non mi sembra una buona soluzione.. anch'io ho questo problema e vorrei capire come mai ricevo questo tipo di attacco.

La soluzione che proponi tu non mostra più l'avviso perchè kaspersky non esegue più la protezione contro gli attacchi di rete.. il che significa essere meno protetti.. Se l'avviso ti da fastidio basta togliere la segnalazione attacchi attraverso pop-up, quindi senza togliere la protezione di rete.

Se fosse un conflitto con il firewall (io uso outpost) non credo ci sarebbe questo tipo di segnalazione.

Attendo speranzoso una soluzione migliore..

Scusami ma non mi sembra una buona soluzione.. anch'io ho questo problema e vorrei capire come mai ricevo questo tipo di attacco.

La soluzione che proponi tu non mostra più l'avviso perchè kaspersky non esegue più la protezione contro gli attacchi di rete.. il che significa essere meno protetti.. Se l'avviso ti da fastidio basta togliere la segnalazione attacchi attraverso pop-up, quindi senza togliere la protezione di rete.

Se fosse un conflitto con il firewall (io uso outpost) non credo ci sarebbe questo tipo di segnalazione.

ogni programma deve fare il suo,lascia che kasperky si occupi solo di virus/malware e che outpost monitori il traffico internet,entrambi fanno egregiamente il loro lavoro;)

non capisco perchè Eugene insiste nel farci usare quel poco di buono del suo firewall addirittura implementando una versione di base in un antivirus