inyourass.cracks.info

[Nukles]

NO NO NO Fermi moderatori non mi bannate, era solo un modo sorridente per farvi sapere che virus mi ha preso

Malgrado abbia Outpost 2.1 (settato con "regole assistite", ovvero punto interrogativo), ma in sti casi continuo a essere colpiro da Rbot (o Agobot, devo ancora scoprire quale sia a colpirmi): NOD32 mi avvisa, io cancello e sempre mi dice che non stato in grado di cancellarlo, anche se riprovo dice lo stesso; prima addirittura il problema era irreversibile e il PC si riavviava da solo appena giunto a Windows. IL FW veniva chiuso dal worm.

Ora che è successo? E' ricormarso l'avviso di NOD32. Ho fatto cancella ma "magicamente" lo ha cancellato. Tuttavia mi è accaduto che il PC utilizzasse il 100% della CPU, grazie a un "svchost.exe" non precisato che lavora a pieno ritmo.

Così ho riavviato il PC e cosa mi è comparso all'inizio? OUTPOST che mi diceva che il seguente programma:

csrsss.exe - avete letto bene le "s" finali sono ben tre

voleva conntettersi al sito

inyourass.cracks.info

e come immmaginetta compariva un gif o jpeg chissà quanto disegnato male che voleva ingannare facendo presupporre fosse una normale applicazione (come quando svchost.exe chiede di connettersi e il FW te lo notifica).

Ovviamente ho detto ad Outpost di fermare qualsiasi azione di questo file, e ho settato un più alto livello di protezione ("punto esclamativo nella systray).

Ora anche il log di Hijackthis me lo notifica questo processo

Logfile of HijackThis v1.99.0
Scan saved at 20.52.02, on 06/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programmi\NOD32\nod32kui.exe
C:\Programmi\NetLimiter\NetLimiter.exe
C:\Programmi\Daemon Tools\daemon.exe
C:\Programmi\TweakNow PowerPack\RAM_XP.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\csrsss.exe
C:\Programmi\Active SMART\ActiveSMART.exe
C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
C:\Programmi\Mozilla\Thunderbird\thundertray.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\Diskeeper\DkService.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programmi\NOD32\nod32krn.exe
C:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\System32\PGPsdkServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programmi\HijackThis!\HijackThis.exe
C:\Programmi\Mozilla\Firefox\firefox.exe
C:\Programmi\Winamp\winamp.exe
C:\Programmi\AdunanzA Fastweb\eMule_AdnzA.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\NOD32\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NetLimiter] C:\Programmi\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\Daemon Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [RAM Idle Professional] C:\Programmi\TweakNow PowerPack\RAM_XP.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programmi\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programmi\TrojanHunter 4.0\THGuard.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Bcvsrv32] csrsss.exe
O4 - HKLM\..\RunServices: [Bcvsrv32] csrsss.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Startup: Active SMART.lnk = C:\Programmi\Active SMART\ActiveSMART.exe
O4 - Startup: StyleXP.lnk = C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
O4 - Startup: Thunderbird.lnk = C:\Programmi\Mozilla\Thunderbird\thundertray.exe
O4 - Global Startup: Active SMART.lnk = C:\Programmi\Active SMART\ActiveSMART.exe
O4 - Global Startup: StyleXP.lnk = C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
O4 - Global Startup: Thunderbird.lnk = C:\Programmi\Mozilla\Thunderbird\thundertray.exe
O8 - Extra context menu item: Download Using &BitSpirit - C:\Programmi\BitSpirit\bsurl.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programmi\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programmi\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: NOD32 Kernel Service - Unknown - C:\Programmi\NOD32\nod32krn.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: PGPsdkService - PGP Corporation - C:\WINDOWS\System32\PGPsdkServ.exe
O23 - Service: StyleXPService - Unknown - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe (file missing)

anche se a dir la verità il sito hijackthis.de non lo riconosce come pericoloso, ma "sospetto".

Bene, ecco la mia storia...

volevo chiedervi: è possibile che settando OUTPOST con "permetti di più" (punto esclamativo), non attacchi più quel dannatissimo sysmsvc.exe???

PS - Con Kerio queste cose non succedevano: dicevo di non avviare il processo svchost.exe e tutto andava ok... si si si si probabilmente ho il PC bacato: una volta mi successe per sbaglio di aprire uno zip in cui c'era un magnifico trojan con terminazione *.exe e da citrullo l'ho messo sul desktop... ma l'antivirus l'aveva trovato e cancellato, così pensavo di aver posto fine ai problemi; in realtà accadeva che uno dei processi svchost.exe lavorasse al 100% delle risorse CPU a un certo punto; con Kerio ero appunto riuscito a fermarlo. COn Outpost non ci sono riuscito subito, o meglio non so come ho fatto che impostazione ho toccato ma ora non accade più, tuttavia vengo ogni 4 minuti scansionato (me lo dice il FW) da qualcuno, che ogni tanto riesce ad entrare e mettermi sysmsvc.exe.
Appunto ho il PC bacato ma voglio convinverci, persi una giornata a mettere i programmi e regolare le impostazioni per fare un backup ottimo; ora non mi va di annullate tutto quel lavoro, e ogni volta che backuppo ritrovo gli stessi "problemi". Mi scoccio di riformattare

[wgator]

Ciao,

secondo me sopravvalutate un po' troppo quei cavolacci di firewall che fanno anche un discreto casino

Ti sei beccato l'ennesima variante di Gaobot alias Agobot alias Polibot ecc. probabilmente proveniente dai soliti P2P. Lo puoi rimuovere, immagino, solamente con un buon antivirus lanciato dalla modalità provvisoria, oppure tentando di cancellare quel csrsss.exe sempre da mod. provvisoria. Prova prima ad eliminare con cura il contenuto delle varie cartelle temporanee e dei temporanei di internet

[FOXYLADY]

Quote:

Originariamente inviato da wgator
Ciao,

secondo me sopravvalutate un po' troppo quei cavolacci di firewall che fanno anche un discreto casino

Quoto quanto detto sopra, i firewall software creano più problemi che altro.
Se non si hanno particolari esigenze di sicurezza si può tranquillamente usare il windows firewall integrato in sp2, altrimenti si può optare per un firewall hardware che ormai non costano più molto.

Ciao

[antonio338]

se si usa un router si è esposti a questo tipo di rischio, oppure si è più protetti?

[wgator]

Quote:

Originariamente inviato da antonio338
se si usa un router si è esposti a questo tipo di rischio, oppure si è più protetti?

Ciao,

bè... se devo essere sincero, nel caso specifico di Nukles le cause del suo virus dovrebbero essere da ricercarsi:

- nel mancato aggiornamento del sistema operativo, ormai il SP2 è quasi obbligatorio ai fini della sicurezza
- nell'utilizzo di software P2P, forse senza adoperare sufficienti precauzioni

Armeggiando tra i computer mi sono reso conto che sopravvivere oggi senza le ultime patch richiede una grandissima attenzione e competenza, in più l'utilizzo di programmi P2P espone il PC a tutti i malintenzionati del mondo.

Per E-mule e simili infatti, occorre avere delle cartelle in condivisione su Internet. Qualunque lamer della domenica è in grado con un normalissimo programmino di "portscan" di accedere a queste.

Molti utilizzatori di P2P inoltre hanno tutto il computer in condivisione, non solo le cartelle preposte. Questo probabilmente perchè hanno commesso qualche errore nell'impostare il firewall.

Io non sono favorevole ai firewall software perchè risiedono direttamente sul computer, richiedono una certa competenza per la configurazione e sono abbastanza vulnerabili all'IP spoofing

I firewall stateful packet inspection contenuti in molti router invece forniscono un livello di sicurezza molto maggiore e oggi hanno costi veramente abbordabili. Inoltre, una volta configurati non rompono più le scatole, nessuno dalla rete può disattivarli e se ne stanno buoni buoni a fare il loro lavoro

Naturalmente queste sono opinioni, però la mia conclusione è questa: se uno vuole la sicurezza al miglior livello deve usare un firewall hardware, altrimenti, tanto vale usare il firewall di XP perchè il suo lavoro lo fa dignitosamente

[wgator]

Ciao,

ecco, per chiarire le cose, allego il risultato di un'occhiata ad alcuni indirizzi IP fatti con un noto scanner legale, creato per scopi "pacifici" ma che, come tutte le cose, in mani sbagliate può fare danni.

In rete ci sono migliaia di utenti in queste condizioni. Come si può vedere questo utente (P2P) ha tutto il computer in condivisione su internet. Ripeto, non è un caso isolato... sono migliaia in queste condizioni.

E' evidente come una persona maleintenzionata potrebbe cancellare, modificare o infilare qualsiasi cosa in questo computer.

Mi tendo conto che questo è un argomento delicato, ho cancellato tutti i riferimenti. Voglio solamente mettere in guardia chi usa P2P. ATTENZIONE!!

[Nukles]

rimango basito wgator... però scusa ma è quell'utente che è stupido a condividere tutto ciò che ha...

[Felipo]

Ma se ad aesmpio usando un p2p l'utente condivide solo una cartella, è possibile comunque per qualche malintenzionato fare casino su tutto l'hd o solamente sulla cartella condivisa?

[wgator]

Quote:

Originariamente inviato da Nukles
rimango basito wgator... però scusa ma è quell'utente che è stupido a condividere tutto ciò che ha...

Ciao,

mah, in effetti non so come e perchè... resta il fatto che ho provato a scandire 512 indirizzi IP di un noto provider ADSL. C'erano un centinaio di utenti attivi. Ho contato 38 utilizzatori di P2P, 11 dei quali avevano l'intero computer condiviso su Internet.

C'è da considerare tuttavia che, anche se si ha soltanto una cartella in condivisione, col sistema descritto sopra, in quella cartella un lamer può fare ciò che vuole compreso infilarci un megavirusgalattico cammuffato da Naomi Campbell nuda

Per gli amanti della privacy: vabbè che nessuno dice niente e non arrestano sicuramente nessuno per questo, ma tutti quelli che si scambiano file sono chiaramente visibili a chiunque (finanza compresa ) come visibili sono le risorse che vengono scambiate.

... L'indirizzo IP 80.xxx.xxx.xxx alle ore 13 del 8 Gennaio 2005 era in lease a "Pinco Pallino" quindi se i nostri amici volessero fare una retata...

[Poix81]

che FireWall Software mi consiglaite?
Sygate personal FW potrebbe andare bene?

ciao ciao e grazie