[win XP] SYN Flood e Microsoft.com

[Chill-Out]

Apri il Blocco Note copia e incolla queste riga:

Quote:

File::

C:\DOCUME~1\PRINCI~1\IMPOST~1\Temp\cusbohcn.sys

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

[bruno1968]

va bene, 1.2

[bruno1968]

di seguito: http://www.fileup.itadib.com/downloa...JygEEuE1RsPYeL
ha rilevato un file swreg.exe sotto windows-system32 che NON ho toccato.

Ma, se dovessi dirvi la verità, mi sembra che explorer vada meglio, e il router non segnala più il syn flood in uscita.

[bruno1968]

qui: http://www.fileup.itadib.com/downloa...2oipM6Pc9jFiVG

[Chill-Out]

Non hai fatto quello che ti ho indicato al post #41

[bruno1968]

Quote:

Originariamente inviato da Chill-Out

Non hai fatto quello che ti ho indicato al post #41

veramente lo ho eseguito alla lettera...cosa manca ? Oppure è una tua svista ?

[Chill-Out]

Quote:

Originariamente inviato da bruno1968

veramente lo ho eseguito alla lettera...cosa manca ? Oppure è una tua svista ?

nessuna svista, ti dico questo perchè dal log di Combo che hai allegatato manca la voce ALTRE ELIMINAZIONI o ELIMINAZIONE FALLITA

[bruno1968]

Veramente non trovo quelle diciture nemmeno nel log precedente che ho postato.

[Chill-Out]

E' ovvio che non c'è la dicitura te la dà solo ne momento che inserisci lo script che ti ho indicato
http://www.hwupgrade.it/forum/showpo...7&postcount=41
trattasi di cancellazione manuale

[bruno1968]

Non so cosa dirti.....giuro che non ci ho messo le mani. Dici di rifare la scansione ?

[Chill-Out]

Quote:

Originariamente inviato da bruno1968

Non so cosa dirti.....giuro che non ci ho messo le mani. Dici di rifare la scansione ?

Nemmeno io e rifare la scansione non ha senso, ma se tu mi dicessi che cosa hai fatto.

[xcdegasp]

riporto i file individuati da prevx solo per rendere fruibile la discussione:

Codice:

C:\WINDOWS\system32\fdsv.exe
	Loaded from: FILE
PX5: A1258BC200FDB42420A2013DB96DD40004A98489
MD5: f464045f5ad11dd2708e620a8404da7b
Determination: SUSPICIOUS


C:\WINDOWS\system32\swreg.exe
	Loaded from: FILE
PX5: F583C28B008EFEE4785C023A5217460062E7F95F
MD5: 01d95a1f8cf13d07cc564aabb36bcc0b
Determination: BAD
Malware Group: Generic.Malware

[xcdegasp]

Quote:

Originariamente inviato da xcdegasp

@ bruno1968:

aggiungo:
collegati al sito http://secunia.com/software_inspector/ e scansiona online il tuo pc, ti notificherà la presenza di programmi da aggiornare inquanto obsoleti e critici per falle di sicurezza che rappresentano.
aggiorna quello che ti trova!

manca questo pezzetto

[bruno1968]

Ho scaricato e installato il PSI di Secunia, molto carino !
Ho risolto tutti i problemi end-of-life, ora ho trafficato con gli insecure, vediamo col secondo scan.

[xcdegasp]

a me quello da eseguire in locale si piantava per questo consigliavo la funzionalità "scansiona online"

[bruno1968]

Solo problemi con Java: mi rileva due versioni della 1.6.x e una versione precedente che (visto sul sito) mi sembra difficile rimuovere. Per il resto mi dà 113 programmi patched. System score 97%.
Altro ?

[xcdegasp]

la precedente la rimuovi da pannello di controllo -> installa applicazioni
solo 97% ?

[Riverside]

Ok, cerchiamo di ricapitolare, altrimenti non se ne esce.
Il fatto che la situazione generale del P.C. fosse quella che si è poi evidenziata, allo stato conta poco (ognuno è libero di fare ciò che gli pare, anche se non mi è piaciuta la generalizzazione sul tipo cosi fan tutti prospettata da Bruno ..... però, una parte di ragione la ha).
Ora, Bruno, partiamo dalla configurazione di sicurezza e sistemiamo, prima di ogni altra cosa quella e, poi, procediamo con il resto.
Quindi, per farla breve:

1) sostitutisci Avast con un antivirus serio

ANTIVIR PERSONAL EDITION FREE: clicca qui per il download
● una volta installato, scarica gli aggiornamenti e poi, esegui una scansione completa del sistema.
qui trovi la Guida di configurazione per Antivir pubblicata da Juninho (leggi, attentamente, i primi tre post), ed altre cose importanti ed interessanti in relazione ad Antivir.
Se necessiti di informazioni o spiegazioni, posta, in quella discussione.

2) sostituisci Zone Alarm (lo devi disinstallare in modalità provvisoria) con

COMODO FIREWALL (è semplice da usare ed è gratuito):
Comodo Firewall - leggi la scheda tecnica / informazioni
Comodo Firewall - clicca qui per il download

3) disinstalla SpyBot ed altri eventuali antispyware ed installa

SUPER ANTI SPYWARE (richiede l’installazione)
clicca qui per il download
una volta installato, accedi al pannello Control Center, apri la sezione Scanning Control e spunta questi voci:
● Scan for tracking cookies
● Resolve link/Shortcuts during scan
● Scan Alternate Data Streams
● Use Kernel Direct File Access
● Use Kernel Direct Registry Access
● Display scan option in Explorer context
● conferma le impostazione cliccando su Close

● clicca sulla voce Scan you Computer
nella finestra successiva:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibilità di salvare il relativo log
allega il log che verrà rilasciato

● prima disinstalla tutto
● una volta eseguita la parte della disinstallazione:

Disabilita il Ripristino configurazione di sistema procedendo in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Il Ripristino configurazione di sistema deve rimanere disabilitato fino a quando non sarà risolto il problema esposto

Svuota il contenuto della cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows
● aprila ed, al suo interno, cerca la cartella Prefetch
● aprila ed elimina tutte le voci conservate al suo interno
mi raccomando, non eliminare la cartella

svuota la cache di JAVASUN:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al Pannello di controllo
● clicca sulla scheda Generale
● vai all'ultima sezione File temporanei Internet
● clicca sul pulsante Impostazioni
● clicca sul pulsante Elimina file e poi conferma con OK

pulisci gli eventuali ADS quindi:
● lancia Hijackthis_v2
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● togli la spunta alla voce Quick scan (Windows base folder only)
● lascia la spunta alla voce Ignore safe system info streams
● togli la spunta alla voce Calculate MD5 Checksum of streams
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

Scarica DUSTBUSTER (richiede l’installazione)
clicca qui per il download
● esegui il download da uno dei mirror disponibili sul sito
● una volta installato, lancialo
● Dust Buster provvederà, automaticamente, ad individuare e rimuovere tutti i file inutili ancora presenti sull’hard disk

● installa il nuovo Antivirus
● installa il nuovo Firewall
● installa il nuovo antispyware
● aggiorna l'antivirus ed esegui una scansione completa del sistema
● esegui una scansione completa con il nuovo antispyware

Scarica TRENDMICRO ROOTKIT BOOSTER (non richiede l’installazione)
clicca qui per il download

Devi creare una apposta Cartella sul Desktop ed al suo interno scompatta il file
● lancia il tool e clicca su Scan
● al termine della scansione ti verrà richiesto di salvare il log
● se venissero rilevati rootkit provvedi alla loro eliminazione
● verrà generato un log in una cartella denominata TRMBLog all'interno della cartella che hai precedentemente creato
allega il log salvato ed allega un nuovo log di HThis

Per ora mi sembra che basti ed avanzi ...... dopodiché, procederemo con la parte relativa alla disinfezione del P.C.

[lancetta]

ci sono cose che non mi quadrano scarica QUESTO TOOL lo avvii si aprirà un finestra dos che chiederà di digitare un tasto qualunque,(anche invio)al termine, FindAWF ti proporrà un log aprendo una pagina del block notes,posta qui il risultato.
vediamo se combo ha preso na svista

[Riverside]

Quote:

Originariamente inviato da lancetta

ci sono cose che non mi quadrano .....

Nà, socio direi che sono parecchie le cose che non quadrano
Facciamogli mettere, prima, in sicurezza il P.C. e dopo che avrà eseguito tutte le scansioni del caso, vediamo cosa rimane ancora sul campo da stroncare
Continuare ad aggiungere tool su tool, in questo momento, non credo sia l'idea migliore.