Dubbi sul mio firewall

[simone1974]

Ecco due snapshot dell'elenco delle applicazioni che accedono ad Internet e relativa policy di sicurezza, abbastanza intuibile anche dalla grafica.



Vorrei focalizzare l'attenzione sulla seconda JPEG, in particolare le righe evidenziate. Cosa sono questi processi? E perché mi rompono le palle ogni 2 miuti chiedendomi posso andare su Internet al sito pippo.pluto.paperino.net?

Chiaramente il sito l'ho messio io perché non mi ricordo l'indirizzo esatto del messaggio

Qualcuno ha qualche idea al riguardo?

Ciao a tutti
Simone

[Carcass]

fai un giro con google.... o vedi a che si riferiscono e vedi se sonop importanti o magari e un dialer

[Carcass]

Virus w32.gaobot.gen.........forse sto virus ha preso il controllo di sto file, fai una bella scansione magari con avast, non con norton che dice che non c'è

[simone1974]

Mmmmh, mi sa che mi sono beccato sto agobot nelle varianti .zz e .kj

Qual'è il miglior removal tool? Trend Micro? Symantec? Altro?

[Bilancino]

Prova Trendmicro cleaner e Stinger.........

Ciao

[Carcass]

Meglio ancora trendmicro......sai come funziona vero???????
Facile no........solo che dovresti eseguirlo in modalita provvisoria previa disabilitazione de ripristino configurazione di sistema

[simone1974]

Allora, il ripristino l'ho tengo comunque disabilitato, proverò con TrendMicro, speriamo bene...

[Carcass]

facci sapere come è andata in modalità prov ci mette un po dipende dai tuoi giga ma dovrebbe darti delle certezze............uso sempre il condizionale in queste situazioni

[simone1974]

In teoria ha ripulito, però c'è ancora, segnalato dal firewall sto cacchio de' processo svchost1.exe.... che però non vedo nella cartella windows\system32

Che palle...

[Carcass]

il fatto che sia ripulito è un dato positivo...........che ancora lo segnali no, prova a guardare nella directory C:\WINDOWS\Temp\svchost1.exe e vedi cosa trovi, magari lo elimini con suredelete o in modalita provvisoria, bisogna avere pasiensa io l'altra sera ho beccato un dialer fatto tutto il possibile e poi era nei programmi, che firewall usi....lu ti dovrebbe dire il percorso da dove viene per forza, in outpost fa cosi e mi ha tirato fuori dai guai più di una volta facci sapere

[simone1974]

Questo è il log dell'esecuzione del cleaner di TrendMicro

Quote:

/--------------------------------------------------------------\
| Trend Micro Sysclean Package |
| Copyright 2002, Trend Micro, Inc. |
| http://www.trendmicro.com |
\--------------------------------------------------------------/


2004-07-05, 19:50:12, Auto-clean mode specified.
2004-07-05, 19:50:12, Running scanner "C:\Patch\TSC.BIN"...
2004-07-05, 19:50:32, Scanner "C:\Patch\TSC.BIN" has finished running.
2004-07-05, 19:50:32, TSC Log:

Damage Cleanup Engine (DCE) 3.6(Build 1120)
Windows XP(Build 2600: Service Pack 1)

Start time : lun lug 05 2004 19:50:13

Load Damage Cleanup Template (DCT) "C:\Patch\tsc.ptn" (version 367) [success]
WORM_AGOBOT.KJ[virus clean failed]
-->delete registry data("HKEY_LOCAL_MACHINE","Software\Microsoft\Windows\CurrentVersion\Run","wuautof.exe") success
-->delete process("C:\WINDOWS\System32\wuautof.exe","","") success
-->delete file("C:\WINDOWS\System32\wuautof.exe","","") fail
-->delete registry data("HKEY_LOCAL_MACHINE","Software\Microsoft\Windows\CurrentVersion\RunServices","wuautof.exe") success
-->delete file("C:\WINDOWS\System32\wuautof.exe","","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","symantec.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","sophos.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","mcafee.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","liveupdate.symantecliveupdate.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","viruslist.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","f-secure.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","kaspersky","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","avp.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","networkassociates.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","ca.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","my-etrust.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","nai.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","trendmicro.com","") success

Complete time : lun lug 05 2004 19:50:26
Execute pattern count(992), Virus found count(1), Virus clean count(0), Clean failed count(1)

Dopo averlo eseguito mi sono accorto del fatto di cui sopra.
A quel punto ho provato a ripulire le chiavi di registro incrimintate, poi ho fatto un reboot e, al riavvio, me le sono ritrovate di nuovo.
La cosa strana è che il processo viene segnalato sotto system32, ma il file non esiste neanche tra quelli nascosti

Stasera altro giro... vedremo

[Carcass]

Io non vedo niente...anzi dice che l'ha ripulito, consigliandoti altro forse direi fesserie....aspettiamo qualche luminare ormai sono anzioso anchio su sto problema!!!!!!!!!!

Guardandolo bene l'unico indizzio puo essere questo wuautof.exe failed........ma se al termine dice che non c'e niente.......
e poi ndo cacchio sta sto file se non si trova

[simone1974]

mmmmh, mi è venuto un dubbio e forse la soluzione è proprio qui:

Il test l'ho eseguito con il pattern 928, mentre l'ultimo pattern è il 929 il cui file whatsnew.txt recita così:

Quote:

-----------------------------------------------------------------------------
Trend Micro
New Virus Pattern Release
-----------------------------------------------------------------------------

Pattern: 929
Version: 00
Release Type: New Malware Threat
Notes: TROJ_REFEST.A


July 05, 2004 11:45:31 (GMT -08:00)

---------------------
New Viruses Detected:
---------------------

There are [07] new viruses detected by the pattern file.
All detail virus names please refer to the list below.


BKDR_PEEPVIEWR.K
TROJ_BANCOS.AM
TROJ_REFEST.A
TROJ_SPABOT.C
WORM_AGOBOT.UA
WORM_RBOT.BP
WORM_RBOT.BQ


-------------------
Virus Name Changed:
-------------------
Old Virus Name New Virus Name
-------------- --------------



-------------------------
Virus Signature Modified:
-------------------------

WORM_BAGLE.AD
WORM_LOVGATE.O
WORM_LOVGATE.P
WORM_LOVGATE.U



------------------------
Virus Signature Dropped:
------------------------






-----------------------------------------------------------------------------
Copyright 1989-2004 Trend Micro, Inc. All rights reserved.
-----------------------------------------------------------------------------

Stasera faccio rigirare il removal tool con questo ultimo virus pattern sperando che finalmente funzioni!

Ciao
Simone

[Carcass]

spero si risolva sta vera e propria rottura de p.

[simone1974]

Alla fine ho vinto iooo!!!

Il virus non era l'agobot ma il WORM_RBOT.AJ

Praticamente, io cancellavo solo due delle tre chiavi di registro di questo malware, e quindi al successivo riavvio lo zozzone ripartiva! Ora credo di averlo debellato per sempre dal mio PC

Ciao, grazie a tutti soprattutto a Carcass per il supporto e l'interessamento

[Carcass]

De nada BOYZ

NB: l'interessamento è prima una cortesia e poi un learning.....meglio cosi

[simone1974]

Niente!
Ho cantato vittoria troppo presto, ieri accendendo il pc è ricomparso svhost1.exe tra i processi attivi...

La cosa strana è che dopo che ripulisco il registro, faccio il reboot e reintro nel mio profilo, sembra ok.

Se ripulisco, faccio il reboot ed entro su un altro profilo, eccolo che ricompare....

Tutti i profili hanno comunque diritti di amministrazione...

[Carcass]

faccio magari un giro e ti faccio sapere al più presto

[Carcass]

secondo quanto ho visto un po o lo rimuovi manualmente anche se gia tu dicevi che non si vede neanche con l'opzione file nascosti o provi un av on line

http://www.pandasoftware.com/actives..._principal.htm


non capisco come sia possibile queste sono le vie almeno credo e se provassi in modalita f8 a rimuoverlo manualmente

[simone1974]

Già provata la modalità provvisoria...

Stasera proverò anche il link che mi hai dato tu..