[win XP] SYN Flood e Microsoft.com - Pagina 5

xcdegasp · 11-02-2008, 07:44

incomincia a installare un browser alternativo da InternetExplorer, esempio Opera o Firefox con l'aggiunta dei due componenti "Noscript" e "AdBlock plus".

rifai un log di prevx csi v1.2 e un hijackthis, se puoi

controlla se possiedi un account dal nome "Principale" e se si con quali autorizzazioni (utente limitato o amministratore) e se lo hai creato tu.

Riverside · 11-02-2008, 16:13

Per quanto mi riguarda, sulla base dei log allegati, abbiamo risolto tutta la parte relativa all'infezione; si torna al punto inziale ovvero, quello che avevo evidenziato, fin da subito: è necessario riconfigurare, secondo me, il router.
E' vero che, i programmi che richiedono di uscire, sono diversi, ma nessuno tra quelli giustifica un invio di pacchetti nella quantità che hai evidenziato.
Escluso, anche, che il P.C. (era una possibilità) possa essere infetto da obfuscated.
Ed in browser in uso, in definitiva, conta poco.

bruno1968 · 11-02-2008, 20:50

Qui gli ultimi tre log che riverside mi ha chiesto:
* combofix http://www.fileup.itadib.com/downloa...CjxcZuRDRirX6E
* eliobagl http://www.fileup.itadib.com/downloa...uXvZKIT6X4O6DX
* trendmicro http://www.fileup.itadib.com/downloa...PwwuZbsEooAP0u

bruno1968 · 11-02-2008, 21:01

Il routerè un Philips SNA6500. Volendo posso fornirvi manuale e un file di configurazione che dovrei avere da qualche parte.

bruno1968 · 11-02-2008, 21:29

Qui il link al manuale del router: http://www.p4c.philips.com/files/s/s...00_dfu_ita.pdf
Qui il log di configurazione del router che è in formato .bin http://www.fileup.itadib.com/downloa...Pn4iskQRLdxJmm

Può essere utile questo materiale ?

xcdegasp · 11-02-2008, 23:11

non credo possa essere utile, ad ogni modo vi lascio fare visto che non ho ottenuto risposte

ps: posso anche spostare in network se siete convinti che la causa sia il router così da ottenere altri pareri e sicuramente di più ampia veduta

bruno1968 · 12-02-2008, 18:06

Qui il log di Hijackthis http://www.fileup.itadib.com/downloa...ppOSHuvDi667Pt

Qui il log di prevxcsi http://www.fileup.itadib.com/downloa...1NDQr37ormJIz7

Da profano, non sono per niente convinto che sia finita la storia dei virus. Tant'è che prevxcsi trova ancora swreg.exe come tale.
Aspetto suggerimenti da voi.

Riverside · 12-02-2008, 18:22

Quote:

Originariamente inviato da bruno1968

Da profano, non sono per niente convinto che sia finita la storia dei virus. Tant'è che prevxcsi trova ancora swreg.exe come tale. Aspetto suggerimenti da voi.

Per me resta un falso positivo rilevato da PrevX: http://www.virustotal.com/it/analisi...465037f6ee9f07
e continuo a pensare che, ora, il P.C. sia pulito.
Ho notato che hai impostato come pagina iniziale il sito di Repubblica.
Se non ricordo male (potrei sbagliarmi) quel sito, come diversi altri, era compromesso da Iframe.
Prova a cambiare la pagina iniziale ed a svuotare, nuovamente, la cartella Prefetch e la cartella temp di Java ed fai ancora un giro con Dustbuster.

bruno1968 · 12-02-2008, 18:37

Bene per Repubblica.it, eseguo e rispondo.

Riverside · 12-02-2008, 18:50

Quote:

Originariamente inviato da bruno1968

Bene per Repubblica.it, eseguo e rispondo.

Bruno guarda che non ne sono certo: il fatto è che non ricordo se si trattasse di Repubblica oppure di un altro noto sito di informazione online.

bruno1968 · 12-02-2008, 18:52

Fatto. Adesso ?

bruno1968 · 12-02-2008, 19:11

Dieci minuti di navigazione appaena passabile (problemi telecom) e poi nuovo syn flood da parte mia.

bruno1968 · 12-02-2008, 19:13

River non fa niente....è sempre un tentativo

Riverside · 12-02-2008, 19:18

Quote:

Originariamente inviato da bruno1968

Dieci minuti di navigazione appaena passabile (problemi telecom) e poi nuovo syn flood da parte mia.

Guarda, a questo punto ho .... quasi ...... esaurito ..... le idee.
Volevo chiederti una cosa Bruno (cosi non mi rileggo l'intera discussione) oltre a quella macchina hai altri P.C. in rete?.

bruno1968 · 12-02-2008, 19:29

Sì, ci sono il desktop collegato al router e tre portatili in wireless.

bruno1968 · 12-02-2008, 20:34

xcdegasp l'account "Principale" è stato qui per diversi anni. Di recente ho cambiato nome al pc chiamandolo "Bruno".

bruno1968 · 12-02-2008, 20:41

xcdegasp
ho una teoria: il problema grosso è nato da quando la Telecom mi ha abbassato la banda. Credo che il router segnali un SYN Flood perchè la banda è poca e si satura subito (molto poca...secondo speedtest.it sono a 0,1 M quindi...). In realtà manco ci dovrebbe essere questo tipo di attacco ma la situazione della mia banda crea questo cocktail esplosivo.
La ricerca dovrebbe allora spostarsi sulla configurazione del router.
Così, se siete tutti concordi sul fatto che il virus non c'è, allora potremmo spostare la discussione in altra sezione del forum.

Vi aspetto.

**Chill-Out** · 12-02-2008, 20:41

Quote:

C:\DOCUME~1\PRINCI~1\IMPOST~1\Temp\cusbohcn.sys

ma questo è stato falciato?

Riverside · 12-02-2008, 20:43

Quote:

Originariamente inviato da bruno1968

Sì, ci sono il desktop collegato al router e tre portatili in wireless.

Ok Bruno, come immaginavo: ora devi decidere se assecondare, per l'ennesima volta, una idea.
Secondo me, potrebbe essere un problema che potrebbe nascere a livello di cartelle e/o programmi condivisi.
Per verificarlo hai una sola strada: ripetere l'intera procedura di controllo, su tutte le macchine poste in rete, ma questa volta, eseguendola con la Lan fisicamente disconnessa (quindi stacchi tutto, e riesegui la procedura, partendo dalla macchina principale e poi proseguendo con le altre).
Lo so che è un suggerimento che rasenta la follia della pazienza da parte tua .... quindi, tocca a te decidere se ne vale la pena.

xcdegasp · 12-02-2008, 22:33

Quote:

Originariamente inviato da bruno1968

xcdegasp
ho una teoria: il problema grosso è nato da quando la Telecom mi ha abbassato la banda. Credo che il router segnali un SYN Flood perchè la banda è poca e si satura subito (molto poca...secondo speedtest.it sono a 0,1 M quindi...). In realtà manco ci dovrebbe essere questo tipo di attacco ma la situazione della mia banda crea questo cocktail esplosivo.
La ricerca dovrebbe allora spostarsi sulla configurazione del router.
Così, se siete tutti concordi sul fatto che il virus non c'è, allora potremmo spostare la discussione in altra sezione del forum.

Vi aspetto.

ho avuto la linea via 56k, ho avuto l'isdn, ho avuto la prima adsl che era 128/256 ... avrebbero avuto tutti quanti quel problema se fosse la banda.

non solo mi trovo concorde nella domanda posta da Chill-Out ma avevo appunto richiesto due log...

ad ogni modo se volete un parere migliore basta spostarlo temporaneamente in network così da avere risposte da più utenti in merito alla domanda router e banda

del resto domandare non costa nulla e si esclude o si conferma un ipotesi.

11-02-2008, 07:44	#81
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	incomincia a installare un browser alternativo da InternetExplorer, esempio Opera o Firefox con l'aggiunta dei due componenti "Noscript" e "AdBlock plus". rifai un log di prevx csi v1.2 e un hijackthis, se puoi controlla se possiedi un account dal nome "Principale" e se si con quali autorizzazioni (utente limitato o amministratore) e se lo hai creato tu. __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

11-02-2008, 23:11	#86
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	non credo possa essere utile, ad ogni modo vi lascio fare visto che non ho ottenuto risposte ps: posso anche spostare in network se siete convinti che la causa sia il router così da ottenere altri pareri e sicuramente di più ampia veduta __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV Ultima modifica di xcdegasp : 11-02-2008 alle 23:26.

11-02-2008, 16:13	#82
Riverside Bannato Iscritto dal: Jul 2007 Città: Riverside House Messaggi: 3333	Per quanto mi riguarda, sulla base dei log allegati, abbiamo risolto tutta la parte relativa all'infezione; si torna al punto inziale ovvero, quello che avevo evidenziato, fin da subito: è necessario riconfigurare, secondo me, il router. E' vero che, i programmi che richiedono di uscire, sono diversi, ma nessuno tra quelli giustifica un invio di pacchetti nella quantità che hai evidenziato. Escluso, anche, che il P.C. (era una possibilità) possa essere infetto da obfuscated. Ed in browser in uso, in definitiva, conta poco.

11-02-2008, 20:50	#83
bruno1968 Member Iscritto dal: Feb 2008 Città: Roma Messaggi: 110	Qui gli ultimi tre log che riverside mi ha chiesto: * combofix http://www.fileup.itadib.com/downloa...CjxcZuRDRirX6E * eliobagl http://www.fileup.itadib.com/downloa...uXvZKIT6X4O6DX * trendmicro http://www.fileup.itadib.com/downloa...PwwuZbsEooAP0u

11-02-2008, 21:01	#84
bruno1968 Member Iscritto dal: Feb 2008 Città: Roma Messaggi: 110	Il routerè un Philips SNA6500. Volendo posso fornirvi manuale e un file di configurazione che dovrei avere da qualche parte.

11-02-2008, 21:29	#85
bruno1968 Member Iscritto dal: Feb 2008 Città: Roma Messaggi: 110	Qui il link al manuale del router: http://www.p4c.philips.com/files/s/s...00_dfu_ita.pdf Qui il log di configurazione del router che è in formato .bin http://www.fileup.itadib.com/downloa...Pn4iskQRLdxJmm Può essere utile questo materiale ?

12-02-2008, 18:06	#87
bruno1968 Member Iscritto dal: Feb 2008 Città: Roma Messaggi: 110	Qui il log di Hijackthis http://www.fileup.itadib.com/downloa...ppOSHuvDi667Pt Qui il log di prevxcsi http://www.fileup.itadib.com/downloa...1NDQr37ormJIz7 Da profano, non sono per niente convinto che sia finita la storia dei virus. Tant'è che prevxcsi trova ancora swreg.exe come tale. Aspetto suggerimenti da voi.

12-02-2008, 18:37	#89
bruno1968 Member Iscritto dal: Feb 2008 Città: Roma Messaggi: 110	Bene per Repubblica.it, eseguo e rispondo.

12-02-2008, 18:52	#91
bruno1968 Member Iscritto dal: Feb 2008 Città: Roma Messaggi: 110	Fatto. Adesso ?

12-02-2008, 19:11	#92
bruno1968 Member Iscritto dal: Feb 2008 Città: Roma Messaggi: 110	Dieci minuti di navigazione appaena passabile (problemi telecom) e poi nuovo syn flood da parte mia.

12-02-2008, 19:13	#93
bruno1968 Member Iscritto dal: Feb 2008 Città: Roma Messaggi: 110	River non fa niente....è sempre un tentativo

12-02-2008, 19:29	#95
bruno1968 Member Iscritto dal: Feb 2008 Città: Roma Messaggi: 110	Sì, ci sono il desktop collegato al router e tre portatili in wireless.

12-02-2008, 20:34	#96
bruno1968 Member Iscritto dal: Feb 2008 Città: Roma Messaggi: 110	xcdegasp l'account "Principale" è stato qui per diversi anni. Di recente ho cambiato nome al pc chiamandolo "Bruno".

12-02-2008, 20:41	#97
bruno1968 Member Iscritto dal: Feb 2008 Città: Roma Messaggi: 110	xcdegasp ho una teoria: il problema grosso è nato da quando la Telecom mi ha abbassato la banda. Credo che il router segnali un SYN Flood perchè la banda è poca e si satura subito (molto poca...secondo speedtest.it sono a 0,1 M quindi...). In realtà manco ci dovrebbe essere questo tipo di attacco ma la situazione della mia banda crea questo cocktail esplosivo. La ricerca dovrebbe allora spostarsi sulla configurazione del router. Così, se siete tutti concordi sul fatto che il virus non c'è, allora potremmo spostare la discussione in altra sezione del forum. Vi aspetto.

Strumenti
Mostra una versione stampabile Invia questa pagina per email