[win XP] SYN Flood e Microsoft.com

[xcdegasp]

incomincia a installare un browser alternativo da InternetExplorer, esempio Opera o Firefox con l'aggiunta dei due componenti "Noscript" e "AdBlock plus".

rifai un log di prevx csi v1.2 e un hijackthis, se puoi

controlla se possiedi un account dal nome "Principale" e se si con quali autorizzazioni (utente limitato o amministratore) e se lo hai creato tu.

[Riverside]

Per quanto mi riguarda, sulla base dei log allegati, abbiamo risolto tutta la parte relativa all'infezione; si torna al punto inziale ovvero, quello che avevo evidenziato, fin da subito: è necessario riconfigurare, secondo me, il router.
E' vero che, i programmi che richiedono di uscire, sono diversi, ma nessuno tra quelli giustifica un invio di pacchetti nella quantità che hai evidenziato.
Escluso, anche, che il P.C. (era una possibilità) possa essere infetto da obfuscated.
Ed in browser in uso, in definitiva, conta poco.

[bruno1968]

Qui gli ultimi tre log che riverside mi ha chiesto:
* combofix http://www.fileup.itadib.com/downloa...CjxcZuRDRirX6E
* eliobagl http://www.fileup.itadib.com/downloa...uXvZKIT6X4O6DX
* trendmicro http://www.fileup.itadib.com/downloa...PwwuZbsEooAP0u

[bruno1968]

Il routerè un Philips SNA6500. Volendo posso fornirvi manuale e un file di configurazione che dovrei avere da qualche parte.

[bruno1968]

Qui il link al manuale del router: http://www.p4c.philips.com/files/s/s...00_dfu_ita.pdf
Qui il log di configurazione del router che è in formato .bin http://www.fileup.itadib.com/downloa...Pn4iskQRLdxJmm

Può essere utile questo materiale ?

[xcdegasp]

non credo possa essere utile, ad ogni modo vi lascio fare visto che non ho ottenuto risposte

ps: posso anche spostare in network se siete convinti che la causa sia il router così da ottenere altri pareri e sicuramente di più ampia veduta

[bruno1968]

Qui il log di Hijackthis http://www.fileup.itadib.com/downloa...ppOSHuvDi667Pt

Qui il log di prevxcsi http://www.fileup.itadib.com/downloa...1NDQr37ormJIz7

Da profano, non sono per niente convinto che sia finita la storia dei virus. Tant'è che prevxcsi trova ancora swreg.exe come tale.
Aspetto suggerimenti da voi.

[Riverside]

Quote:

Originariamente inviato da bruno1968

Da profano, non sono per niente convinto che sia finita la storia dei virus. Tant'è che prevxcsi trova ancora swreg.exe come tale. Aspetto suggerimenti da voi.

Per me resta un falso positivo rilevato da PrevX: http://www.virustotal.com/it/analisi...465037f6ee9f07
e continuo a pensare che, ora, il P.C. sia pulito.
Ho notato che hai impostato come pagina iniziale il sito di Repubblica.
Se non ricordo male (potrei sbagliarmi) quel sito, come diversi altri, era compromesso da Iframe.
Prova a cambiare la pagina iniziale ed a svuotare, nuovamente, la cartella Prefetch e la cartella temp di Java ed fai ancora un giro con Dustbuster.

[bruno1968]

Bene per Repubblica.it, eseguo e rispondo.

[Riverside]

Quote:

Originariamente inviato da bruno1968

Bene per Repubblica.it, eseguo e rispondo.

Bruno guarda che non ne sono certo: il fatto è che non ricordo se si trattasse di Repubblica oppure di un altro noto sito di informazione online.

[bruno1968]

Fatto. Adesso ?

[bruno1968]

Dieci minuti di navigazione appaena passabile (problemi telecom) e poi nuovo syn flood da parte mia.

[bruno1968]

River non fa niente....è sempre un tentativo

[Riverside]

Quote:

Originariamente inviato da bruno1968

Dieci minuti di navigazione appaena passabile (problemi telecom) e poi nuovo syn flood da parte mia.

Guarda, a questo punto ho .... quasi ...... esaurito ..... le idee.
Volevo chiederti una cosa Bruno (cosi non mi rileggo l'intera discussione) oltre a quella macchina hai altri P.C. in rete?.

[bruno1968]

Sì, ci sono il desktop collegato al router e tre portatili in wireless.

[bruno1968]

xcdegasp l'account "Principale" è stato qui per diversi anni. Di recente ho cambiato nome al pc chiamandolo "Bruno".

[bruno1968]

xcdegasp
ho una teoria: il problema grosso è nato da quando la Telecom mi ha abbassato la banda. Credo che il router segnali un SYN Flood perchè la banda è poca e si satura subito (molto poca...secondo speedtest.it sono a 0,1 M quindi...). In realtà manco ci dovrebbe essere questo tipo di attacco ma la situazione della mia banda crea questo cocktail esplosivo.
La ricerca dovrebbe allora spostarsi sulla configurazione del router.
Così, se siete tutti concordi sul fatto che il virus non c'è, allora potremmo spostare la discussione in altra sezione del forum.

Vi aspetto.

[Chill-Out]

Quote:

C:\DOCUME~1\PRINCI~1\IMPOST~1\Temp\cusbohcn.sys

ma questo è stato falciato?

[Riverside]

Quote:

Originariamente inviato da bruno1968

Sì, ci sono il desktop collegato al router e tre portatili in wireless.

Ok Bruno, come immaginavo: ora devi decidere se assecondare, per l'ennesima volta, una idea.
Secondo me, potrebbe essere un problema che potrebbe nascere a livello di cartelle e/o programmi condivisi.
Per verificarlo hai una sola strada: ripetere l'intera procedura di controllo, su tutte le macchine poste in rete, ma questa volta, eseguendola con la Lan fisicamente disconnessa (quindi stacchi tutto, e riesegui la procedura, partendo dalla macchina principale e poi proseguendo con le altre).
Lo so che è un suggerimento che rasenta la follia della pazienza da parte tua .... quindi, tocca a te decidere se ne vale la pena.

[xcdegasp]

Quote:

Originariamente inviato da bruno1968

xcdegasp
ho una teoria: il problema grosso è nato da quando la Telecom mi ha abbassato la banda. Credo che il router segnali un SYN Flood perchè la banda è poca e si satura subito (molto poca...secondo speedtest.it sono a 0,1 M quindi...). In realtà manco ci dovrebbe essere questo tipo di attacco ma la situazione della mia banda crea questo cocktail esplosivo.
La ricerca dovrebbe allora spostarsi sulla configurazione del router.
Così, se siete tutti concordi sul fatto che il virus non c'è, allora potremmo spostare la discussione in altra sezione del forum.

Vi aspetto.

ho avuto la linea via 56k, ho avuto l'isdn, ho avuto la prima adsl che era 128/256 ... avrebbero avuto tutti quanti quel problema se fosse la banda.

non solo mi trovo concorde nella domanda posta da Chill-Out ma avevo appunto richiesto due log...

ad ogni modo se volete un parere migliore basta spostarlo temporaneamente in network così da avere risposte da più utenti in merito alla domanda router e banda
del resto domandare non costa nulla e si esclude o si conferma un ipotesi.