Firewall norton blocca Lsass.exe

opiu · 06-01-2004, 14:09

Ciao, improvvisamente il firewall di Norton si è messo a segnalare numerosi tentativi del file Lsass.exe di accedere internet in particolare l'indirizzo ip 213.92.106.32: isakmp(500)

(a dire il vero prima dice che un sistema remoto sta cercando di accedere a tale file, ma poi nei dettagli come spiegato sopra)

Cercando nel forum ho trovato davvero poco, ho fatto la scansione con il tool per il worm w32.HLLW.Lovegate.[A-L]@mm ma non ne sono afetto.

Cosa potrebbe essere?

Ciao e grazie

nekos2 · 06-01-2004, 15:37

Bloccalo definitivamente

ercolino · 06-01-2004, 15:55

Quote:

Originariamente inviato da opiu
Ciao, improvvisamente il firewall di Norton si è messo a segnalare numerosi tentativi del file Lsass.exe di accedere internet in particolare l'indirizzo ip 213.92.106.32: isakmp(500)

(a dire il vero prima dice che un sistema remoto sta cercando di accedere a tale file, ma poi nei dettagli come spiegato sopra)

Cercando nel forum ho trovato davvero poco, ho fatto la scansione con il tool per il worm w32.HLLW.Lovegate.[A-L]@mm ma non ne sono afetto.

Cosa potrebbe essere?

Ciao e grazie

Hai già dato un'occhiata qua?:

http://securityresponse.symantec.com...oor.queen.html

opiu · 06-01-2004, 16:27

Per nekos2: lo dici "tanto per" o è un consiglio motivato?

Non si tratta del backdoor.queen....

il numero ip corrisponde ad un sito.... ma potrebbe essere del tutto casuale...

Facendo la ricerca qualcuno ha sollevato un possibile legame con eMule, in effetti anche nel mio caso era in esecuzione. Ciò che però è strano è che si è messo a farlo dopo un pò, all'improvviso e non appena o dopo poco installato eMule.

opiu · 06-01-2004, 16:28

correggo... è partito anche ora senza eMule in esecuzione

PinHead · 06-01-2004, 20:50

Lsass.exe: Local Security Authority Service

"The Windows Local Security Authority Server Process Handles Windows Security Mechanisms. It verifies the validity of user logons to your PC/Server .Technically it generates the process that is responsible for authenticating users for the Winlogon service."

A mia conoscenza non è a rischio infezione. Se non ti da problemi a bloccarlo autorizza il tuo firewall a farlo sempre.

opiu · 06-01-2004, 23:25

Il problema non è tanto bloccarlo (tenta di collegarsi ad un numero ip sempre uguale, la cosa puzza) ma capire cosa sta succedendo realmente. Pensavo fosse qualcosa di conosciuto, appena riesco faccio una ricerca mooooolto approfondita.
intanto grazie a tutti... :-)

PinHead · 07-01-2004, 00:51

Ma, ti ho già risposto prima: tecnicamente Lsass all'inizio dell'attività verifica la validità dell'utente sul tuo PC/Server. Praticamente genera il processo che è responsabiledi autenticare gli utenti per il servizio di Winlogon. Winlogon è un componente di Microsoft Windows NT che fornisce il supporto per l'accesso interattivo ed effettua una chiamata a una DLL (Dynamic-Link Library, libreria di collegamento dinamico) GINA (Graphical Identification and Authentication) sostituibile per visualizzare un'interfaccia utente di accesso e autenticare l'utente. Come già detto non mi risulta che Lsass sia attaccabile da qualche virus...Lo è invece Winlogon, per esempio dal Worm/Welyah...

opiu · 07-01-2004, 19:27

Ok la funzione svolta da Lsass posso anche capirla, ma non mi spiego perchè di tutto un tratto debba mettersi a contattare quell'indirizzo. È anomalo! Certo posso farlo bloccare per sempre dal firewall, ma visto che è un qualcosa dal mio pc verso l'esterno ritengo preferibile capire cosa voglia fare e perchè e risolvere.
Che ne dite?

opiu · 07-01-2004, 19:33

http://it.mcafee.com/virusInfo/defau...virus_k=100930

Potrebbe essere, però devo ancora verificare

opiu · 10-01-2004, 00:30

Ho provato a fare un Trojan scan al sito

http://scan.sygatetech.com/trojanscan.html

Ha trova to la porta 5000 aperta, segnala come possibili trojan: Bubbel, Back Door Setup, Sockets de Troie

Come è possibile che Norton non si accorga?
ciao e grazie

ercolino · 10-01-2004, 00:51

Anche se la porta è aperta non è detto che ci sia un trojan

opiu · 10-01-2004, 00:57

ok.. ma perchè è aperta?

ho provato con il comando netstat -a -n
secondo voi è tutto normale?

Active Connections

Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1030 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1039 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1041 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1042 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1059 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1060 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1061 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1062 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1063 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1064 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1065 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1066 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1067 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1068 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1073 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1074 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING
TCP 82.48.164.148:1042 66.102.11.99:80 ESTABLISHED
TCP 82.48.164.148:1048 195.22.198.95:80 TIME_WAIT
TCP 82.48.164.148:1060 212.110.12.173:80 ESTABLISHED
TCP 82.48.164.148:1062 213.152.192.212:80 ESTABLISHED
TCP 82.48.164.148:1064 212.110.12.189:80 ESTABLISHED
TCP 82.48.164.148:1066 212.110.12.189:80 ESTABLISHED
TCP 82.48.164.148:1068 212.110.13.98:80 ESTABLISHED
TCP 82.48.164.148:1074 212.110.13.99:80 ESTABLISHED
TCP 82.48.164.148:7650 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1027 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1027 127.0.0.1:1041 ESTABLISHED
TCP 127.0.0.1:1027 127.0.0.1:1043 TIME_WAIT
TCP 127.0.0.1:1027 127.0.0.1:1045 TIME_WAIT
TCP 127.0.0.1:1027 127.0.0.1:1049 TIME_WAIT
TCP 127.0.0.1:1027 127.0.0.1:1053 TIME_WAIT
TCP 127.0.0.1:1027 127.0.0.1:1055 TIME_WAIT
TCP 127.0.0.1:1027 127.0.0.1:1057 TIME_WAIT
TCP 127.0.0.1:1027 127.0.0.1:1059 ESTABLISHED
TCP 127.0.0.1:1027 127.0.0.1:1061 ESTABLISHED
TCP 127.0.0.1:1027 127.0.0.1:1063 ESTABLISHED
TCP 127.0.0.1:1027 127.0.0.1:1065 ESTABLISHED
TCP 127.0.0.1:1027 127.0.0.1:1067 ESTABLISHED
TCP 127.0.0.1:1027 127.0.0.1:1073 ESTABLISHED
TCP 127.0.0.1:1031 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1038 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1038 127.0.0.1:1039 ESTABLISHED
TCP 127.0.0.1:1039 127.0.0.1:1038 ESTABLISHED
TCP 127.0.0.1:1041 127.0.0.1:1027 ESTABLISHED
TCP 127.0.0.1:1047 127.0.0.1:1027 TIME_WAIT
TCP 127.0.0.1:1059 127.0.0.1:1027 ESTABLISHED
TCP 127.0.0.1:1061 127.0.0.1:1027 ESTABLISHED
TCP 127.0.0.1:1063 127.0.0.1:1027 ESTABLISHED
TCP 127.0.0.1:1065 127.0.0.1:1027 ESTABLISHED
TCP 127.0.0.1:1067 127.0.0.1:1027 ESTABLISHED
TCP 127.0.0.1:1073 127.0.0.1:1027 ESTABLISHED
TCP 169.254.72.123:139 0.0.0.0:0 LISTENING
TCP 169.254.72.123:9321 0.0.0.0:0 LISTENING
UDP 0.0.0.0:68 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:1032 *:*
UDP 0.0.0.0:1040 *:*
UDP 82.48.164.148:123 *:*
UDP 82.48.164.148:1900 *:*
UDP 82.48.164.148:13378 *:*
UDP 82.48.164.148:13673 *:*
UDP 127.0.0.1:123 *:*
UDP 127.0.0.1:1900 *:*
UDP 169.254.72.123:123 *:*
UDP 169.254.72.123:137 *:*
UDP 169.254.72.123:138 *:*
UDP 169.254.72.123:1900 *:*
UDP 169.254.72.123:7840 *:*
UDP 169.254.72.123:15560 *:*

jackz · 11-01-2004, 17:50

io ho avg e kerio. oggi mi è arrivata questa mail:

"hi, I am from Denmark and you'll don't believe me,
but a trojan horse in on your computer.
I've scanned the network-ports on the internet. (I know, that's illegal)
And I have found your pc. Your pc is open on the internet for everybody!
Because the lsass.exe trojan is running on your system.
Check this, open the task manager and try to stop that!
You'll see, you can't stop this trojan.
When you use win98/me you can't see the trojan!!

On my system was this trojan, too!
And I've found a tool to kill that bad thing.
I hope that I've helped you!

greets"

c'era anche un removal-tool allegato, tuttavia non fidandomi di uno qualunque (per di più danese!!!) ho fatto una sicerca sul sito della symantec e della mcafee, senza alcun risultato.

in effetti sulla schermata del kerio personal firewall c'è l'applicazione lsass.exe in fase di listenig...

ho trovato una discussione in cui uno ha ricevuta la mia stessa mail, però è in spagnolo!!!!!
se qualcuno di voi lo capisce può provare a leggerla:

http://www.ciberpc.com/foros/ftopic4444.html

che devo fare???

opiu · 11-01-2004, 19:10

è un worm, di preciso non ricordo il nome ma sul sito symantec lo trovi. è uno degli ultimi

non fidarti MAI di mail come questa, anche se conosci il mittente puzzano (ci sono worm che inviano false mail con falsi mittenti)
quindi non aprire mai gli allegati.
se tieni aggiornato antivirus norton è in grado di rilevare questi worm

ciao

dran · 11-01-2004, 20:30

ormai le mail le apro solo da internet...

Per il problema lsass.exe ho cercato un po'ma non ho trovato soluzioni..anche se non sembra pero'essere un virus od un trojan!

jackz · 12-01-2004, 02:07

Quote:

Originariamente inviato da opiu
è un worm, di preciso non ricordo il nome ma sul sito symantec lo trovi. è uno degli ultimi

non fidarti MAI di mail come questa, anche se conosci il mittente puzzano (ci sono worm che inviano false mail con falsi mittenti)
quindi non aprire mai gli allegati.
se tieni aggiornato antivirus norton è in grado di rilevare questi worm

ciao

vuoi dire che ho già un worm attivo sul mio pc, oppure che questo worm si attiva solo se lancio l'allegato?
quali parole chiave devo mettere sul sito symantec per trovarlo?

thanxx

jackz · 12-01-2004, 02:25

Quote:

Originariamente inviato da opiu
è un worm, di preciso non ricordo il nome ma sul sito symantec lo trovi. è uno degli ultimi

non fidarti MAI di mail come questa, anche se conosci il mittente puzzano (ci sono worm che inviano false mail con falsi mittenti)
quindi non aprire mai gli allegati.
se tieni aggiornato antivirus norton è in grado di rilevare questi worm

ciao

come? vuoi dire che mi sono GIA' beccato il worm oppure che si attiva solo mandando in esecuzione l'allegato sospetto?

quali sono le parole chiave di questo worm per fare la ricerca su symantec?

thanxxx

opiu · 13-01-2004, 14:08

Dovrebbe essere questo
W32.Sober.C@mm virus

Infatti guarda la mail che ho ricevuto giosto oggi:

hi, I am from Norway and you'll don't believe me,
but a trojan horse in on your computer.
I've scanned the network-ports on the internet. (I know, that's illegal)
And I have found your pc. Your pc is open on the internet for everybody!
Because the smss.exe trojan is running on your system.
Check this, open the task manager and try to stop that!
You'll see, you can't stop this trojan.
When you use win98/me you can't see the trojan!!

On my system was this trojan, too!
And I've found a tool to kill that bad thing.
I hope that I've helped you!

e questo è il messaggio di norton

Norton AntiVirus removed the attachment: remove-smss_tool.exe.
The attachment was infected with the W32.Sober.C@mm virus.

ciao

06-01-2004, 14:09	#1
opiu Member Iscritto dal: Apr 2001 Messaggi: 111	Firewall norton blocca Lsass.exe Ciao, improvvisamente il firewall di Norton si è messo a segnalare numerosi tentativi del file Lsass.exe di accedere internet in particolare l'indirizzo ip 213.92.106.32: isakmp(500) (a dire il vero prima dice che un sistema remoto sta cercando di accedere a tale file, ma poi nei dettagli come spiegato sopra) Cercando nel forum ho trovato davvero poco, ho fatto la scansione con il tool per il worm w32.HLLW.Lovegate.[A-L]@mm ma non ne sono afetto. Cosa potrebbe essere? Ciao e grazie

10-01-2004, 00:57	#13
opiu Member Iscritto dal: Apr 2001 Messaggi: 111	ok.. ma perchè è aperta? ho provato con il comando netstat -a -n secondo voi è tutto normale? Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING TCP 0.0.0.0:1030 0.0.0.0:0 LISTENING TCP 0.0.0.0:1039 0.0.0.0:0 LISTENING TCP 0.0.0.0:1041 0.0.0.0:0 LISTENING TCP 0.0.0.0:1042 0.0.0.0:0 LISTENING TCP 0.0.0.0:1059 0.0.0.0:0 LISTENING TCP 0.0.0.0:1060 0.0.0.0:0 LISTENING TCP 0.0.0.0:1061 0.0.0.0:0 LISTENING TCP 0.0.0.0:1062 0.0.0.0:0 LISTENING TCP 0.0.0.0:1063 0.0.0.0:0 LISTENING TCP 0.0.0.0:1064 0.0.0.0:0 LISTENING TCP 0.0.0.0:1065 0.0.0.0:0 LISTENING TCP 0.0.0.0:1066 0.0.0.0:0 LISTENING TCP 0.0.0.0:1067 0.0.0.0:0 LISTENING TCP 0.0.0.0:1068 0.0.0.0:0 LISTENING TCP 0.0.0.0:1073 0.0.0.0:0 LISTENING TCP 0.0.0.0:1074 0.0.0.0:0 LISTENING TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING TCP 82.48.164.148:1042 66.102.11.99:80 ESTABLISHED TCP 82.48.164.148:1048 195.22.198.95:80 TIME_WAIT TCP 82.48.164.148:1060 212.110.12.173:80 ESTABLISHED TCP 82.48.164.148:1062 213.152.192.212:80 ESTABLISHED TCP 82.48.164.148:1064 212.110.12.189:80 ESTABLISHED TCP 82.48.164.148:1066 212.110.12.189:80 ESTABLISHED TCP 82.48.164.148:1068 212.110.13.98:80 ESTABLISHED TCP 82.48.164.148:1074 212.110.13.99:80 ESTABLISHED TCP 82.48.164.148:7650 0.0.0.0:0 LISTENING TCP 127.0.0.1:1027 0.0.0.0:0 LISTENING TCP 127.0.0.1:1027 127.0.0.1:1041 ESTABLISHED TCP 127.0.0.1:1027 127.0.0.1:1043 TIME_WAIT TCP 127.0.0.1:1027 127.0.0.1:1045 TIME_WAIT TCP 127.0.0.1:1027 127.0.0.1:1049 TIME_WAIT TCP 127.0.0.1:1027 127.0.0.1:1053 TIME_WAIT TCP 127.0.0.1:1027 127.0.0.1:1055 TIME_WAIT TCP 127.0.0.1:1027 127.0.0.1:1057 TIME_WAIT TCP 127.0.0.1:1027 127.0.0.1:1059 ESTABLISHED TCP 127.0.0.1:1027 127.0.0.1:1061 ESTABLISHED TCP 127.0.0.1:1027 127.0.0.1:1063 ESTABLISHED TCP 127.0.0.1:1027 127.0.0.1:1065 ESTABLISHED TCP 127.0.0.1:1027 127.0.0.1:1067 ESTABLISHED TCP 127.0.0.1:1027 127.0.0.1:1073 ESTABLISHED TCP 127.0.0.1:1031 0.0.0.0:0 LISTENING TCP 127.0.0.1:1038 0.0.0.0:0 LISTENING TCP 127.0.0.1:1038 127.0.0.1:1039 ESTABLISHED TCP 127.0.0.1:1039 127.0.0.1:1038 ESTABLISHED TCP 127.0.0.1:1041 127.0.0.1:1027 ESTABLISHED TCP 127.0.0.1:1047 127.0.0.1:1027 TIME_WAIT TCP 127.0.0.1:1059 127.0.0.1:1027 ESTABLISHED TCP 127.0.0.1:1061 127.0.0.1:1027 ESTABLISHED TCP 127.0.0.1:1063 127.0.0.1:1027 ESTABLISHED TCP 127.0.0.1:1065 127.0.0.1:1027 ESTABLISHED TCP 127.0.0.1:1067 127.0.0.1:1027 ESTABLISHED TCP 127.0.0.1:1073 127.0.0.1:1027 ESTABLISHED TCP 169.254.72.123:139 0.0.0.0:0 LISTENING TCP 169.254.72.123:9321 0.0.0.0:0 LISTENING UDP 0.0.0.0:68 : UDP 0.0.0.0:445 : UDP 0.0.0.0:500 : UDP 0.0.0.0:1032 : UDP 0.0.0.0:1040 : UDP 82.48.164.148:123 : UDP 82.48.164.148:1900 : UDP 82.48.164.148:13378 : UDP 82.48.164.148:13673 : UDP 127.0.0.1:123 : UDP 127.0.0.1:1900 : UDP 169.254.72.123:123 : UDP 169.254.72.123:137 : UDP 169.254.72.123:138 : UDP 169.254.72.123:1900 : UDP 169.254.72.123:7840 : UDP 169.254.72.123:15560 : Ultima modifica di opiu : 10-01-2004 alle 01:09.

11-01-2004, 17:50	#14
jackz Member Iscritto dal: Nov 2002 Messaggi: 111	trojan oppure hoax? io ho avg e kerio. oggi mi è arrivata questa mail: "hi, I am from Denmark and you'll don't believe me, but a trojan horse in on your computer. I've scanned the network-ports on the internet. (I know, that's illegal) And I have found your pc. Your pc is open on the internet for everybody! Because the lsass.exe trojan is running on your system. Check this, open the task manager and try to stop that! You'll see, you can't stop this trojan. When you use win98/me you can't see the trojan!! On my system was this trojan, too! And I've found a tool to kill that bad thing. I hope that I've helped you! greets" c'era anche un removal-tool allegato, tuttavia non fidandomi di uno qualunque (per di più danese!!!) ho fatto una sicerca sul sito della symantec e della mcafee, senza alcun risultato. in effetti sulla schermata del kerio personal firewall c'è l'applicazione lsass.exe in fase di listenig... ho trovato una discussione in cui uno ha ricevuta la mia stessa mail, però è in spagnolo!!!!! se qualcuno di voi lo capisce può provare a leggerla: http://www.ciberpc.com/foros/ftopic4444.html che devo fare??? Ultima modifica di jackz : 11-01-2004 alle 18:07.

11-01-2004, 19:10	#15
opiu Member Iscritto dal: Apr 2001 Messaggi: 111	è un worm, di preciso non ricordo il nome ma sul sito symantec lo trovi. è uno degli ultimi non fidarti MAI di mail come questa, anche se conosci il mittente puzzano (ci sono worm che inviano false mail con falsi mittenti) quindi non aprire mai gli allegati. se tieni aggiornato antivirus norton è in grado di rilevare questi worm ciao Ultima modifica di opiu : 11-01-2004 alle 19:12.

06-01-2004, 15:37	#2
nekos2 Senior Member Iscritto dal: Aug 2003 Città: Siracusa Messaggi: 521	Bloccalo definitivamente

06-01-2004, 16:27	#4
opiu Member Iscritto dal: Apr 2001 Messaggi: 111	Per nekos2: lo dici "tanto per" o è un consiglio motivato? Non si tratta del backdoor.queen.... il numero ip corrisponde ad un sito.... ma potrebbe essere del tutto casuale... Facendo la ricerca qualcuno ha sollevato un possibile legame con eMule, in effetti anche nel mio caso era in esecuzione. Ciò che però è strano è che si è messo a farlo dopo un pò, all'improvviso e non appena o dopo poco installato eMule.

06-01-2004, 16:28	#5
opiu Member Iscritto dal: Apr 2001 Messaggi: 111	correggo... è partito anche ora senza eMule in esecuzione

06-01-2004, 20:50	#6
PinHead Bannato Iscritto dal: Aug 2003 Città: Modena ©2004 Tutti I Diritti Riservati Messaggi: 938	Lsass.exe: Local Security Authority Service "The Windows Local Security Authority Server Process Handles Windows Security Mechanisms. It verifies the validity of user logons to your PC/Server .Technically it generates the process that is responsible for authenticating users for the Winlogon service." A mia conoscenza non è a rischio infezione. Se non ti da problemi a bloccarlo autorizza il tuo firewall a farlo sempre.

06-01-2004, 23:25	#7
opiu Member Iscritto dal: Apr 2001 Messaggi: 111	Il problema non è tanto bloccarlo (tenta di collegarsi ad un numero ip sempre uguale, la cosa puzza) ma capire cosa sta succedendo realmente. Pensavo fosse qualcosa di conosciuto, appena riesco faccio una ricerca mooooolto approfondita. intanto grazie a tutti... :-)

07-01-2004, 00:51	#8
PinHead Bannato Iscritto dal: Aug 2003 Città: Modena ©2004 Tutti I Diritti Riservati Messaggi: 938	Ma, ti ho già risposto prima: tecnicamente Lsass all'inizio dell'attività verifica la validità dell'utente sul tuo PC/Server. Praticamente genera il processo che è responsabiledi autenticare gli utenti per il servizio di Winlogon. Winlogon è un componente di Microsoft Windows NT che fornisce il supporto per l'accesso interattivo ed effettua una chiamata a una DLL (Dynamic-Link Library, libreria di collegamento dinamico) GINA (Graphical Identification and Authentication) sostituibile per visualizzare un'interfaccia utente di accesso e autenticare l'utente. Come già detto non mi risulta che Lsass sia attaccabile da qualche virus...Lo è invece Winlogon, per esempio dal Worm/Welyah...

07-01-2004, 19:27	#9
opiu Member Iscritto dal: Apr 2001 Messaggi: 111	Ok la funzione svolta da Lsass posso anche capirla, ma non mi spiego perchè di tutto un tratto debba mettersi a contattare quell'indirizzo. È anomalo! Certo posso farlo bloccare per sempre dal firewall, ma visto che è un qualcosa dal mio pc verso l'esterno ritengo preferibile capire cosa voglia fare e perchè e risolvere. Che ne dite?

07-01-2004, 19:33	#10
opiu Member Iscritto dal: Apr 2001 Messaggi: 111	http://it.mcafee.com/virusInfo/defau...virus_k=100930 Potrebbe essere, però devo ancora verificare

10-01-2004, 00:30	#11
opiu Member Iscritto dal: Apr 2001 Messaggi: 111	Ho provato a fare un Trojan scan al sito http://scan.sygatetech.com/trojanscan.html Ha trova to la porta 5000 aperta, segnala come possibili trojan: Bubbel, Back Door Setup, Sockets de Troie Come è possibile che Norton non si accorga? ciao e grazie

10-01-2004, 00:51	#12
ercolino Senior Member Iscritto dal: Feb 2003 Città: Torino Messaggi: 3710	Anche se la porta è aperta non è detto che ci sia un trojan

11-01-2004, 20:30	#16
dran Member Iscritto dal: Jan 2004 Città: prato Messaggi: 203	ormai le mail le apro solo da internet... Per il problema lsass.exe ho cercato un po'ma non ho trovato soluzioni..anche se non sembra pero'essere un virus od un trojan!

13-01-2004, 14:08	#19
opiu Member Iscritto dal: Apr 2001 Messaggi: 111	Dovrebbe essere questo W32.Sober.C@mm virus Infatti guarda la mail che ho ricevuto giosto oggi: hi, I am from Norway and you'll don't believe me, but a trojan horse in on your computer. I've scanned the network-ports on the internet. (I know, that's illegal) And I have found your pc. Your pc is open on the internet for everybody! Because the smss.exe trojan is running on your system. Check this, open the task manager and try to stop that! You'll see, you can't stop this trojan. When you use win98/me you can't see the trojan!! On my system was this trojan, too! And I've found a tool to kill that bad thing. I hope that I've helped you! e questo è il messaggio di norton Norton AntiVirus removed the attachment: remove-smss_tool.exe. The attachment was infected with the W32.Sober.C@mm virus. ciao

Strumenti
Mostra una versione stampabile Invia questa pagina per email