"Servizio di messaggistica immediata"

[Ballantine]

Ciao a tutti, ho appena formattato e gia' mi ritrovo un problema da risolvere.
Premetto che ho WinXP Pro + SP1. Dopo aver installato i vari drivers e programmi, mi sono connesso a internet x scaricare qualche aggiornamento critico x Windows, quando all'improvviso mi e' comparsa una finestrella:

"Servizio di messaggistica immediata"
Messaggio da SECURITY MONITOR a CUSTOMER alle 08/05/2005 1.29.06

mportant notice from MSOFT

buffer overflow in messenger service
<qua taglio, cmq diceva di installare WinME xche' gli altri hanno delle vulnerabilita'>
go to www.wupdate.net

Dopo un po' me ne compare un'altra:

"Servizio di messaggistica immediata"

Windows has found 47 critical errors

vai a www.e-regfix.com


Me ne continuano a comparire (anche di diverse), non so che fare!
Ho fatto uno scan con Nod32, Ad-aware e Spybot ma, a parte degli Alexa che ho subito levato...
Questi sono i messaggi che mi da Sygate:

Generic Host Process for Win32 Services (svchost.exe) is being contacted from a remote
machine [212.151.136.246] using local port 1034.

Generic Host Process for Win32 Services (svchost.exe) is being contacted from a remote
machine [67.19.206.95] using local port 1026 (NTERM - Remote Login Network Terminal)


Avete qualche idea? Non mi va di riformattare di nuovo!

[3dsst]

Quote:

Originariamente inviato da Ballantine

Ciao a tutti, ho appena formattato e gia' mi ritrovo un problema da risolvere.
Premetto che ho WinXP Pro + SP1. Dopo aver installato i vari drivers e programmi, mi sono connesso a internet x scaricare qualche aggiornamento critico x Windows, quando all'improvviso mi e' comparsa una finestrella:

"Servizio di messaggistica immediata"
Messaggio da SECURITY MONITOR a CUSTOMER alle 08/05/2005 1.29.06

mportant notice from MSOFT

buffer overflow in messenger service
<qua taglio, cmq diceva di installare WinME xche' gli altri hanno delle vulnerabilita'>
go to www.wupdate.net

Dopo un po' me ne compare un'altra:

"Servizio di messaggistica immediata"

Windows has found 47 critical errors

vai a www.e-regfix.com


Me ne continuano a comparire (anche di diverse), non so che fare!
Ho fatto uno scan con Nod32, Ad-aware e Spybot ma, a parte degli Alexa che ho subito levato...
Questi sono i messaggi che mi da Sygate:

Generic Host Process for Win32 Services (svchost.exe) is being contacted from a remote
machine [212.151.136.246] using local port 1034.

Generic Host Process for Win32 Services (svchost.exe) is being contacted from a remote
machine [67.19.206.95] using local port 1026 (NTERM - Remote Login Network Terminal)


Avete qualche idea? Non mi va di riformattare di nuovo!

Se non sbaglio è un virus adesso non ricordo più il nome l'ho aveva preso anche un mio amico appena connesso ad internet dopo aver formattato.
cmq stai tranquillo che non devi formattare di nuovo metti un buon antivirus e gia che ci sei posta il log con hijackhits che diamo subito una bella pulita cmq un buon antivirus dovrebbe essere sufficente almeno al mio amico e bastato.
Poi ti do un consiglio scaricati il sp2 e tienilo salvato su un cd cosi la prossima volta che formatti prima di connetterti ad internet lo installi e sto virus non ti entra più

[BravoGT83]

Quote:

Originariamente inviato da 3dsst

Se non sbaglio è un virus adesso non ricordo più il nome l'ho aveva preso anche un mio amico appena connesso ad internet dopo aver formattato.
cmq stai tranquillo che non devi formattare di nuovo metti un buon antivirus e gia che ci sei posta il log con hijackhits che diamo subito una bella pulita cmq un buon antivirus dovrebbe essere sufficente almeno al mio amico e bastato.
Poi ti do un consiglio scaricati il sp2 e tienilo salvato su un cd cosi la prossima volta che formatti prima di connetterti ad internet lo installi e sto virus non ti entra più

[3dsst]

Quote:

Originariamente inviato da BravoGT83

però e strano che il nod non lo rileva

[BravoGT83]

Quote:

Originariamente inviato da 3dsst

però e strano che il nod non lo rileva

eggià

[var]

non dovrebbe bastare disabilitare il relativo servizio?

ciao

[3dsst]

Quote:

Originariamente inviato da var

non dovrebbe bastare disabilitare il relativo servizio?

ciao

ok anche se fosse così poi che fai con il virus te lo tieni sul pc????
iniziamo a levare sta robaccia dal pc del nostro amico

[Ballantine]

Certo che se e' un virus sono stato proprio sfigato... dopo aver formattato mi sono connesso x fare Windows Update e...ZAC! Ecco i messaggini!
Il Nod32 che ho usato x fare lo scan e' aggiornato, e x essere sicuro ho fatto anche lo scan con "Advanced Euristichs" e "Potentially Dangerous Applications" ma non mi ha trovato niente.
Cmq questo e' il log di HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 21.55.53, on 08/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\Programmi\ESET\nod32kui.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Andrea\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazzetta.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1115502287546
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{32B20BDC-921E-4604-9463-2E8ECAB64F28}: NameServer = 212.151.136.246 130.244.127.169
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

Prima di connettermi per scrivere questo messaggio ho: tolto tutti i programmi che partivano all'avvio (ho agito direttamente nelle chiavi Run del registro) tra cui un misterioso carpserv.exe (me lo ha messo il modem...), disabilitato alcuni servizi di sistema potenzialmente pericolosi tramite services.msc e, infine, ho fatto sfc /scannow x vedere se c'era qualche file di win modificato.
Nel momento in cui sto scrivendo, dopo aver aperto Firefox, Internet Explorer, e aver lasciato la banda libera x almeno 5 minuti, sono connesso esattamente da 37 minuti senza che nessun messaggino mi sia ancora comparso sullo schermo. Le altre volte che mi ero connesso mi erano comparsi dopo circa 2-3 minuti (quando mi andava bene...). Dopo una sana grattatina ai gioielli di famiglia, mi sento di dire che forse sono riuscito ad eliminare il problema!
P.S. x quanto riguarda il Service Pack 2, ho letto su un forum il messaggio di un ragazzo che aveva il mio stesso problema nonostante ce l'avesse installato... probabilmente (se non e' un virus) e' un problema causato da qualche servizio o programma di windows...
x 3dsst: sei sicuro che il tuo amico avesse preso un virus? Nod32 non rileva nulla... ho tolto solo degli Alexa con Ad-Aware e Spybot.
Mi consigli di provare a fare una scansione con un'altro antivirus (magari Kaspersky)? Che antivirus usa il tuo amico?
Grazie a tutti!

[71104]

Quote:

Originariamente inviato da 3dsst

però e strano che il nod non lo rileva

normalissimo invece!
non è un virus, è semplicemente qualche buontempone che da remoto sta sfruttando qualche buco del svchost.exe per far apparire quelle finestrelle minchione; non dovete fare assolutamente nulla, il vostro pc non è infetto da nulla, dovete solo aggiornare windows, installare un buon firewall e impedire a svchost.exe di agire come server (cioè di ricevere connessioni).

PS: tempo fa è capitato anche a me (avevo temporaneamente stoppato ZA) e ho provato ad analizzare quella finestrella: proveniva da un thread di csrss.exe che se fosse realmente stato un virus che agiva in locale sarei veramente andato dall'autore a fargli i miei più sinceri complimenti, tanto era mascherato bene quel thread!

[Ballantine]

Ah, ho capito! Comunque sono connesso da piu' di 2 ore e mezza e non e' successo piu' nulla, forse disabilitando i processi di WindowsXP piu' inutili e, soprattutto, rischiosi, sono riuscito a bloccare il "buontempone" .
Una curiosita': si puo' impedire a svchost.exe di ricevere connessioni senza tenere un firewall attivo?

[3dsst]

Quote:

Originariamente inviato da 71104

normalissimo invece!
non è un virus, è semplicemente qualche buontempone che da remoto sta sfruttando qualche buco del svchost.exe per far apparire quelle finestrelle minchione; non dovete fare assolutamente nulla, il vostro pc non è infetto da nulla, dovete solo aggiornare windows, installare un buon firewall e impedire a svchost.exe di agire come server (cioè di ricevere connessioni).

PS: tempo fa è capitato anche a me (avevo temporaneamente stoppato ZA) e ho provato ad analizzare quella finestrella: proveniva da un thread di csrss.exe che se fosse realmente stato un virus che agiva in locale sarei veramente andato dall'autore a fargli i miei più sinceri complimenti, tanto era mascherato bene quel thread!

[71104]

Quote:

Originariamente inviato da Ballantine

Ah, ho capito! Comunque sono connesso da piu' di 2 ore e mezza e non e' successo piu' nulla, forse disabilitando i processi di WindowsXP piu' inutili e, soprattutto, rischiosi, sono riuscito a bloccare il "buontempone" .
Una curiosita': si puo' impedire a svchost.exe di ricevere connessioni senza tenere un firewall attivo?

intendi da qualche impostazione di Windows? a occhio e croce no, ma non ne sono sicuro perché di servizi ne so poco e niente e svchost.exe non so cosa faccia esattamente.
comunque il firewall te lo consiglio caldamente di questi tempi
io mi tengo ZA solo perché è free, ma parlano molto bene anche di altri, tipo il sygate; una volta avrei cercato il crack, ma adesso non mi fido più visto il me**aio che è diventato il delux network e affini; preferisco crakkare x conto mio, ma tanto c'ho ZA e chissene non ci sto a perder tempo

[3dsst]

Quote:

Originariamente inviato da 71104

intendi da qualche impostazione di Windows? a occhio e croce no, ma non ne sono sicuro perché di servizi ne so poco e niente e svchost.exe non so cosa faccia esattamente.
comunque il firewall te lo consiglio caldamente di questi tempi
io mi tengo ZA solo perché è free, ma parlano molto bene anche di altri, tipo il sygate; una volta avrei cercato il crack, ma adesso non mi fido più visto il me**aio che è diventato il delux network e affini; preferisco crakkare x conto mio, ma tanto c'ho ZA e chissene non ci sto a perder tempo

non si usano i crack

[71104]

Quote:

Originariamente inviato da 3dsst

non si usano i crack

infatti non li uso più, li faccio da me se ne ho voglia

[3dsst]

Quote:

Originariamente inviato da 71104

infatti non li uso più, li faccio da me se ne ho voglia

[Ballantine]

Ma Sygate non e' free (o meglio: non ce n'e' una versione free?)?

[3dsst]

Quote:

Originariamente inviato da Ballantine

Ma Sygate non e' free (o meglio: non ce n'e' una versione free?)?

c'è anche la versione free

[71104]

Quote:

Originariamente inviato da 3dsst

c'è anche la versione free

non sapevo; quando riuscirò a vincere la mia immensa pigrizia proverò...

[3dsst]

Quote:

Originariamente inviato da 71104

non sapevo; quando riuscirò a vincere la mia immensa pigrizia proverò...