[win XP] SYN Flood e Microsoft.com

[Chill-Out]

C:\DOCUME~1\PRINCI~1\IMPOST~1\Temp\cusbohcn.sys

in ogni caso questo o in un modo e nell'altro è da eliminare

[lancetta]

Quote:

Originariamente inviato da Riverside

Nà, socio direi che sono parecchie le cose che non quadrano
Facciamogli mettere, prima, in sicurezza il P.C. e dopo che avrà eseguito tutte le scansioni del caso, vediamo cosa rimane ancora sul campo da stroncare
Continuare ad aggiungere tool su tool, in questo momento, non credo sia l'idea migliore.

Daccordo con te socio..però se c'è l'obfusc. è inutile fare procedure perchè sarebbero rese vane dai file illegittimi sostituitisi a quelli legittimi (anche se non mi sembra questo il caso...è solo per ulteriore sicurezza)

Quote:

Originariamente inviato da Chill-Out

C:\DOCUME~1\PRINCI~1\IMPOST~1\Temp\cusbohcn.sys

in ogni caso questo o in un modo e nell'altro è da eliminare

quotissimo..socio speriamo che non rompa e si faccia zompare senza problemi .....essendo un driver

[xcdegasp]

@ river:
può fare a meno del comodo perchè ha installato OnlineArmor e disinstallato il precedente.
per il resto vediamo che succede

[bruno1968]

Grazie a tutti per la vostra attenzione....siete proprio un bel team di esperti...si vede che ho scelto bene dove cercare aiuto
SITUAZIONE ATTUALE
1: installato avira antivirus e fatta scansione, ha trovato dei vecchi file relativi a crack di giochi,
2: installato Comodo firewall proprio ora, adesso vedo un attimo la configurazione
Ho rilevato un peggioramento nella qualità della line internet, ma questo è un problema che ho con telecom perchè (scoperto oggi) il servizio tecnico mi riconosce un 7 mb ma spesso il mio router mi segnala un 4 mb.
Faccio qualche rapido controllo sulla navigazione per vedere se parte ancora questo syn flood.
A presto.

[bruno1968]

Ho prvato quattro siti a caso fra cui repubblic.it e tutti regolarmente li "floddo".
Ora procedo con l'antispyware e completo la procedura descritta di riverside. Posto quello che serve e poi ci sentiamo.
Notate che i tre portatili (che sono puliti al 90% ) non mi danno questi problemi.

[bruno1968]

l'antispyware mi ha fatto una cosa strana...dopo circa un'ora e mezza di scansione mi ha fatto riavviare il pc...ed è chiaro che di log non se ne parla. Ora ne ho lanciato una seconda, sta lavorando da più di due ore, ha trovato (per ora) 35 oggetti....vediamo un pò. Vi aggiornerò.

[bruno1968]

Finalmente ci siamo....ma non è stato un processo indolore.Il mio gruppo di continuità ha cessato di vivere e quindi è saltata la corrente, il pc si è riavviato ecc.ecc.
Comunque qui il log di antivir http://www.fileup.itadib.com/downloa...d29aDULXU8MFeg
qui il log di antispy http://www.fileup.itadib.com/downloa...cRyREd68iyiWy8

attendo fiducioso.

[bruno1968]

Qui il log di rootkit: http://www.fileup.itadib.com/downloa...kpseNIXl9ubdBq
e qui il nuovo di hijackthis http://www.fileup.itadib.com/downloa...S6WRJpE85ZrvPR

a voi.

[Riverside]

Ok Bruno, iniziamo a vedere un piccolo miglioramento:

Quote:

The scan has been done completely.
15964 Scanning directories
606782 Files were scanned
11 viruses and/or unwanted programs were found
1 Files were classified as suspicious:
0 files were deleted
0 files were repaired
10 files were moved to quarantine
0 files were renamed
3 Files cannot be scanned
606771 Files not concerned
4921 Archives were scanned
5 Warnings
288 Notes

Quote:

Trace Rules Database Version: 1270
Scan type : Complete Scan
Total Scan Time : 03:07:55
Memory items scanned : 472
Memory threats detected : 0
Registry items scanned : 8546
Registry threats detected : 0
File items scanned : 233247
File threats detected : 35

Rilancia Hthis e fixa queste voci:


O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [type32] "C:\Programmi\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - Global Startup: RAID Manager.lnk = ?


Ora fai girare questi:

● KASPERSKY VIRUS REMOVAL TOOL: clicca qui per il download
Compatibilita: Windows XP
scarica la versione del tool più aggiornata rispetto alla data ed ora di pubblicazione

● verrà creata una apposta cartella sul Desktop
● all’interno della cartella è presente la classica icona (una K) di Kapsersky
● clicca sull’icona per lanciare il tool
● imposta le aree che intendi scansionare (Startup Objects e Disk boot sector sono impostate di default)
● al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati
salva ed allega il log che verrà rilasciato

Nota 1: ● Il tool è incompatibile se si hanno già prodotti Kaspersky installati
Nota 2: ● non possiede una funzione di aggiornamento automatico delle firme

PROCEDURA DI DISINSTALLAZIONE DI KASPERSKY VIRUS REMOVAL TOOL:

● clicca sull’icona per lanciare il tool
● nella finestra principale, in basso, clicca sulla voce Complete Virus Protection
● verrà visualizzato un messaggio: clicca su Ok
● chiudi la pagina web che verrà aperta
● nel messaggio successivo, clicca su SI per avviare la disinstallazione
● al termine, verrà richiesto di riavviare il P.C.
Si suggerisce di eseguire la disinstallazione, una volta risolto il probema

Scarica ELIBAGLA TOOL (Non richiede l’installazione)
clicca qui per il download

Per scaricare il tool scorri, fino in fondo, la pagina Web che si aprirà
● clicca su Descargar ELIBAGLA
● posizionalo sul Desktop, lancialo ed esegui una scansione
allega il log che verrà rilasciato

Scarica SYSCLEAN TRENDMICRO (Non richiede l’installazione)
clicca qui per il download

● crea una apposita cartella sul Desktop e, al suo interno, inserisci Sysclean

Scarica le definizioni aggiornate VIRUS PATTERN FILES
clicca qui per il download

● scompatta, all’interno della cartella creata, il file zippato contenente le definizioni
● disabilita in Ripristino configurazione di sistema
● riavvia il P.C., in modalità provvisoria
● lancia l'eseguibile Sysclean.com
● spunta la casella:Automatically Clean
● avvia la scansione
allega il log che verrà rilasciato

Mi raccomando, sempre il Ripristino configurazione di sistema disabilitato.

Ti dico subito che la questione non si concluderà qui: il dubbio che tu sia infetto, anche, da Obfuscated permane, quindi dovremo, verificare anche quello.
Anche se la configurazione di sicurezza ora è a posto, resto, inoltre, del parere, che sia necessario rivedere, anche, la configurazione del router (ma è l'aspetto che vedremo alla fine).
Di sicuro c'è una cosa: ti sei infognato davvero per bene; di situazioni difficili ne abbiamo viste e risolte diverse, ma la tua, per una serie di ragioni (che conosci bene) è davvero, rara: hai preso di tutto ed anche di più.

[xcdegasp]

Quote:

Originariamente inviato da bruno1968

Qui il log di rootkit: http://www.fileup.itadib.com/downloa...kpseNIXl9ubdBq
e qui il nuovo di hijackthis http://www.fileup.itadib.com/downloa...S6WRJpE85ZrvPR

a voi.

perchè compare ancora AcrobatReader7.0 ? non dovevi averlo aggiornato?

fixa anche:

Codice:

O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

[bruno1968]

Riverside

tieni presente che uso sia una tastiera che un mouse senza fili, quindi vorrei evitare di togliere la chiave di registro relativa a O4 - HKLM\..\Run: [type32] "C:\Programmi\Microsoft IntelliType Pro\type32.exe" Per te è la stessa cosa ?

xcdegasp

ho provato a suo tempo ad aggiornare alla 8.0 e non mi è stato possibile. Forse con una nuova installazione, ma in questo momento proprio no. Magari quando questa faccenda sarà finita.

[xcdegasp]

il problema è che soffre di gravi falle troppo gravi per rimandare, se mi impunto su questo aspetto è perchè credo sia importante.
risolviamo con estrema velocità e semplicità, disinstalla acrobat reader e installa il più legegro ed efficace http://www.foxitsoftware.com/pdf/rea...own_reader.htm
fidati

[bruno1968]

va bene per foxit, tra l'altro lo avevo già visto. Però le chiavi relative a mouse/tastiere senza fili vorrei tenerle nel registro. Dite che è lo stesso ?

[Riverside]

Quote:

Originariamente inviato da bruno1968

va bene per foxit, tra l'altro lo avevo già visto. Però le chiavi relative a mouse/tastiere senza fili vorrei tenerle nel registro. Dite che è lo stesso ?

Si lasciale: prosegui con il resto.
Per quanto riguarda Adobe, disinstalla, subito la vecchia versione e, quando avremo risolto la cosa, scarichi, la nuova.
Dopo la disinstallazione, dai un giro con CCleraner.

[bruno1968]

Qui il log di Kaspersky.Ha trovato un solo file che posso eliminare senza problemi, datemi solo l'ok http://www.fileup.itadib.com/downloa...kE6ov2WbKnnmk5

[bruno1968]

Qui il log di Elioglab...? programma spagnolo http://www.fileup.itadib.com/downloa...qWCDgmioSEmfPh

ma non ha trovato niente.
Procedo con la terza analisi.

[bruno1968]

E' sorto un altro problema: sto tentando di verificare lo status del ripristino configurazione di sistema ma, quando vado a fare il clic destro su Risorse del computer e seleziono proprietà, non succede più niente !
A questo punto (e mi rivolgo sopratutto a Riverside) non mi viene in mente come procedere.
Avete un suggerimento ?

[bruno1968]

Alla fine ci son riuscito: molte "reazioni"del pc erano notevolmente rallentate. Ho dovuto riavviare diverse volte.
Scansione Trend Micro in corso....

[Riverside]

Scarica ELIBAGLA TOOL: clicca qui per il download

Per scaricare il tool scorri, fino in fondo, la pagina Web che si aprirà
● clicca su Descargar ELIBAGLA
● posizionalo sul Desktop, lancialo ed esegui una scansione
allega il log che verrà rilasciato


Scarica COMBO FIX
clicca qui per il download

Posizionalo sul Desktop
● disconnettiti da Internet
● disabilita, temporaneamente, l’antivirus, ed eventuali altri software con protezione in tempo reale come, per esempio, Ad Watch di AdAware, Super AntiSpyware, PrevX 2.0
● lancia ComboFix e segui le istruzioni che verranno rilasciate
● completata la prima fase della scansione il sistema verrà riavviato automaticamente
● dopo il riavvio, verranno creati due log in Risorse del Computer - Disco Locale C:
● combofix.txt
● comboFix-quarantined-files.txt
allega, entrambi i log che verranno rilasciati

Note: Durante la scansione:
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● il firewall potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consentire)
allega il log che verrà rilasciato

Scarica SYSCLEAN TRENDMICRO: clicca qui per il download

● crea una apposita cartella sul Desktop e, al suo interno, inserisci Sysclean

Scarica le definizioni aggiornate VIRUS PATTERN FILES
clicca qui per il download

● scompatta, all’interno della cartella creata, il file zippato contenente le definizioni
● disabilita in Ripristino configurazione di sistema
● riavvia il P.C., in modalità provvisoria
● lancia l'eseguibile Sysclean.com
● spunta la casella:Automatically Clean
● avvia la scansione
allega il log che verrà rilasciato

[bruno1968]

Qui il log di Trend Micro: http://www.fileup.itadib.com/downloa...cLbDe4GPtXealR