[WinXP sp2] Sono infetto - malfunzionamento del firewall

[masca]

Non riesco ad attivare la spunta su firewall,non riesco a inserire le lucine di connessione sulla barra degli strumenti...chi mi puo' aiutare? Grazie per la Vs7collaborazione

[Riverside]

Quote:

Originariamente inviato da masca

Non riesco ad attivare la spunta su firewall,non riesco a inserire le lucine di connessione sulla barra degli strumenti...chi mi puo' aiutare? Grazie per la Vs7collaborazione

Inizia da qui:

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok

lo lasci disattivato fino a quando no sarà risolto il problema

Installa HIJACKTHIS: clicca qui per il download
● crea una apposta nuova Cartella in C:/Programmi (chiamala HThis)
● scompatta, all'interno della cartella creata, il file Zip (verrà creata una icona)
● lancialo, clicca su Do a system scan and save a logfile ed una volta che è stata creata la list, clicca su Save Log
Allega, nella discussione, il log di HijackThis per farlo controllare

Tutti i log e/o report che ti verranno richiesti devono:
● se il relativo txt generato è max 20 kb, deve essere allegato alla discussione, utilizzando l'apposita funzione Gestisci Allegati;
● se superiore a 20 kb, hostati su Zshare clicca qui per raggiungere ZShare, pubblicando, nella discussione, il link che verrà rilasciato per il download.

[xcdegasp]

io non capisco su che base questo debba essere un'infezione...
se tu fossi infetto avresti problemi più gravi non il fastidio di non riuscire a fare due cosette marginali

1) non usare il firewall di windows perchè non da' nessun controllo sul pc.. ti consiglio caldamente di chiedere/leggere in questo thread per un firewall free o a pagamento: http://www.hwupgrade.it/forum/showthread.php?t=1559488
la causa è che il servizio "Servizio connessione accesso remoto e firewall" (o qualcosa del genere) lo hai disabilitato, ma è meglio così..

2) per i monitorini della linea basta che fai tasto destro sulla connessione usata, prosegui in "propietà" e metti i due fleghettini in basso

[masca]

Quote:

Originariamente inviato da Riverside

Inizia da qui:

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok

lo lasci disattivato fino a quando no sarà risolto il problema

Installa HIJACKTHIS: clicca qui per il download
● crea una apposta nuova Cartella in C:/Programmi (chiamala HThis)
● scompatta, all'interno della cartella creata, il file Zip (verrà creata una icona)
● lancialo, clicca su Do a system scan and save a logfile ed una volta che è stata creata la list, clicca su Save Log
Allega, nella discussione, il log di HijackThis per farlo controllare

Tutti i log e/o report che ti verranno richiesti devono:
● se il relativo txt generato è max 20 kb, deve essere allegato alla discussione, utilizzando l'apposita funzione Gestisci Allegati;
● se superiore a 20 kb, hostati su Zshare clicca qui per raggiungere ZShare, pubblicando, nella discussione, il link che verrà rilasciato per il download.

Ti invio il mio log


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.47.45, on 04/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Symantec AntiVirus\DefWatch.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\Programmi\Symantec AntiVirus\Rtvscan.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\HThis\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispat...=%s&tbid=61005
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=61005
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_cu...spx?TbId=61005
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=61005
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_cu...spx?TbId=61005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?dea7b7ad227341368a9a3f16108c9cb4
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?dea7b7ad227341368a9a3f16108c9cb4
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://gio95dj.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary...o.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Windows Internet Connection Sharing Service (Windows Internet Connection Sharing) - Unknown owner - C:\WINDOWS\system32\dllcache\msfav32.exe (file missing)

--
End of file - 6203 bytes

[Gle89]

Quote:

Originariamente inviato da Riverside

Tutti i log e/o report che ti verranno richiesti devono:
● se il relativo txt generato è max 20 kb, deve essere allegato alla discussione, utilizzando l'apposita funzione Gestisci Allegati;
● se superiore a 20 kb, hostati su Zshare clicca qui per raggiungere ZShare, pubblicando, nella discussione, il link che verrà rilasciato per il download.

Putroppo come tu stessa hai quotato e letto (o almeno credo) i log e/o report devono essere allegati con la funzione GESTISCI ALLEGATI del forum, oppure mettendoli su www.zshare.com, oppure ancora cliccando il pulsante # al di sopra di dove scrivi.

Se non segui una di queste opzioni, nessuno ti può dare assistenza...

[masca]

Ecco il mio log spero di aver fatto tutto ok...mi scuso per prima.

[xcdegasp]

@ masca: potresti editare il messaggio in cui hai lasciato il log? visto che poi lo hai allegato è altamente inutile lasciare l'altro..
inoltre la prossima volta ti consiglio di metetre nel titolo per quale sistema operativo è richiesta assistenza (e ti consiglio la lettura delle Rehole di Sezione) e un argomento più significativo del generalissimo "AIUTOOO!", come del resto è chiaramente descritto nel Regolamento del Forum

grazie mille epr la collaborazione

[masca]

Quote:

Originariamente inviato da xcdegasp

@ masca: potresti editare il messaggio in cui hai lasciato il log? visto che poi lo hai allegato è altamente inutile lasciare l'altro..
inoltre la prossima volta ti consiglio di metetre nel titolo per quale sistema operativo è richiesta assistenza (e ti consiglio la lettura delle Rehole di Sezione) e un argomento più significativo del generalissimo "AIUTOOO!", come del resto è chiaramente descritto nel Regolamento del Forum

grazie mille epr la collaborazione

E' il mio primo post di ieri ore 23.00...scusa se sono un tantino imbranato ma è la prima volta ...grazie di tutto

[xcdegasp]

vedrai che piano piano diventerai esperto e sarai te ad aiutare gli altri utenti

[masca]

Non riesco ad attivare la spunta su firewall di win*dows,non riesco a inserire le lucine di connessione sulla barra degli strumenti ...chi mi puo' aiutare uso Xp allego il log spero che qualcuno mi dia una risposta ...ringrazio tutti

[Chill-Out]

Il sito sottondicato lo conosci? In caso contrario è da fixare
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - hxxp://gio95dj.spaces.live.com/PhotoUpload/MsnPUpld.cab

Prima di fixarlo fallo controllare su www.virustotal.com
O23 - Service: Windows Internet Connection Sharing Service (Windows Internet Connection Sharing) - Unknown owner - C:\WINDOWS\system32\dllcache\msfav32.exe (file missing)

[Riverside]

Quote:

Originariamente inviato da Chill-Out

Il sito sottondicato lo conosci? In caso contrario è da fixare
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - hxxp://gio95dj.spaces.live.com/PhotoUpload/MsnPUpld.cab

E' un riferimento specifico a Windows Live (caricamento delle immagini), quindi non deve essere fixato.

Gli unici da fixare, dopo aver disattivato il Ripristino configurazione di sistema, sono questi:

O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE

O23 - Service: Windows Internet Connection Sharing Service (Windows Internet Connection Sharing) - Unknown owner - C:\WINDOWS\system32\dllcache\msfav32.exe (file missing)

Poi, sarebbe necessario eseguire una pulizia approfondita, un paio di scansioni mirate ed, infine, aggiornare Internet Explorer.

P.S. Off topic: aprofitto della discussione per segnalare che, per un paio di giorni non potrò seguire il forum (upgrade del P.C.); un saluto, quindi, a tutti i soci (Glenda, Chill, Juni, Lancetta, Beyond, Mazda ed Mod Deg .........) ci rileggiamo a metà settimana

[masca]

Quote:

Originariamente inviato da Riverside

E' un riferimento specifico a Windows Live (caricamento delle immagini), quindi non deve essere fixato.

Gli unici da fixare, dopo aver disattivato il Ripristino configurazione di sistema, sono questi:

O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE

O23 - Service: Windows Internet Connection Sharing Service (Windows Internet Connection Sharing) - Unknown owner - C:\WINDOWS\system32\dllcache\msfav32.exe (file missing)

Poi, sarebbe necessario eseguire una pulizia approfondita, un paio di scansioni mirate ed, infine, aggiornare Internet Explorer.

P.S. Off topic: aprofitto della discussione per segnalare che, per un paio di giorni non potrò seguire il forum (upgrade del P.C.); un saluto, quindi, a tutti i soci (Glenda, Chill, Juni, Lancetta, Beyond, Mazda ed Mod Deg .........) ci rileggiamo a metà settimana

Grazie per la tua gentilezza ...purtroppo lo04 sono riuscito a toglierlo ma 023 no..cosa posso fare.Grazie per la cortese collaborazione

[Gle89]

Puoi allegare un NUOVO log di HJT? Grazie

[Chill-Out]

Quote:

Originariamente inviato da masca

Grazie per la tua gentilezza ...purtroppo lo04 sono riuscito a toglierlo ma 023 no..cosa posso fare.Grazie per la cortese collaborazione

tanto è vero che al post #11 ti avevo chiesto di farlo analizzare su www.virustotal.com

[NetHak]

EDIT

[Chill-Out]

Quote:

Originariamente inviato da NetHak

potete dare un'occhiata anche al mio log ? mi sembra pulito, ma vi spiego il problema e mi direte se è il caso che apro un topic dedicato e in quale sezione...
in pratica ogni tanto mi trovo il pc in questione che resta acceso quasi tutto il giorno e che non uso per navigare col comando cmd aperto e diversi comandi lanciati, oltre ad altre finestre aperte, come se qualcuno stesse usando il mio pc... le porte di vnc sono bloccate dal router...

La sezione per l'analisi dei log di HijackThis è la seguente:
http://www.hwupgrade.it/forum/showthread.php?t=937676
grazie per la collaborazione.