File temp. con accesso a Internet ???

[fester40]

Ciao, rinnovo un quesito già posto giorni addietro, con zero risposte. E' la seconda volta che, controllando la lista dei programmi autorizzati ad accedere alla rete di Panda Firewall, trovo il seguente file: is-1NONL.tmp (C:\Documents and Settings\...\impostazioni locali\Temp\is-HC27B.tmp\is-1NONL.tmp) . Siccome io NON ho autorizzato un "coso" del genere ad accedere alla rete, come mai è nella lista degli autorizzati? E in definitiva cosa ca**o è? Grazie - Lorenzo

[bluepix]

Cancella il contenuto della directory TEMP e togli l'autorizzazione a connettersi.

Il nome non dice nulla, probabilmente è costruito in maniera casuale.

Posta eventualmente il log di Hijackthis.

ciao

[fester40]

Ecco fatto:

Logfile of HijackThis v1.99.1
Scan saved at 14.26.07, on 25/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Programmi\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\Programmi\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\LetterBox\LetterBox.exe
C:\Programmi\Panda Software\Panda Antivirus Platinum\pavProxy.exe
D:\DOCUMENTI\downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forums.accuratereloading.com/eve
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programmi\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmi\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: LetterBox.lnk = C:\Programmi\LetterBox\LetterBox.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1115195381765
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0A7EDB3-6E81-44C7-99AE-21D93BFE9F2B}: NameServer = 62.211.69.150 212.48.4.15
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Programmi\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programmi\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)


Grazie per l'aiuto - Lorenzo

[bluepix]

Il log sembra pulito.
Non ci sono segnalazioni particolari tranne questa :
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Una domanda.
Non è che, per caso, hai un modem Alcatel Alcatel Housse OT 311

[fester40]

Ho l'Alcatel SpeedTouch USB

[YMen]

E questo cos'è?
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0A7EDB3-6E81-44C7-99AE-21D93BFE9F2B}: NameServer = 62.211.69.150 212.48.4.15

[bluepix]

Quote:

Originariamente inviato da fester40

Ho l'Alcatel SpeedTouch USB

HC27B è il ref. code di un tipo di modem Alcatel.

Fossi in te valuterei l'eventualità di reinstallare il modem dopo aver svuotato la directory temp per poi controllare se, dopo l'installazione, i file ci sono ancora.

Ho il sospetto che hai commesso qualche errore durante l'installazione precedente e i files sono finiti lì per caso.

Questo è solo una mia opinione naturalmente.

ciao

Ps: Per questo non ti preoccupare
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0A7EDB3-6E81-44C7-99AE-21D93BFE9F2B}: NameServer = 62.211.69.150 212.48.4.15

sono gli indirizzi DNS del provider

[YMen]

Quote:

Originariamente inviato da bluepix

sono gli indirizzi DNS del provider

Meno male mi ero proccupato perchè non li conoscevo e sul sito per controllare il log era classificato come sospetto

[bluepix]

Quote:

Originariamente inviato da YMen

Meno male mi ero proccupato perchè non li conoscevo e sul sito per controllare il log era classificato come sospetto

Li da sempre come sospetti. Forse bisognarebbe segnalarlo al responsabile del programma.

Ciauzzzzzz

[fester40]

Qualcosa di strano sta accadendo; ho disinstallato e reinstallato il modem e tutti i suoi drivers, ho fatto ripetute pulizie di registro, files temp. scansioni varie con Panda (che è infallibile come ci insegna qualcuno ) niente da segnalare, PERO' se cerco di fixare quella strana voce con HijackThis, si blocca e vari tentativi non hanno dato risultati, è sempre lì. Andando a guardare sulle info, mi parla di una schifezza, Ms4Hd, che fa crashare HijackThis 1.99.1. . Sarà il mio caso?

[fester40]

Piccola aggiunta: facendo una ricerca sul registro sotto la voce "rpcapd" ho trovato la seguente descrizione - allows to capture traffic on this machine from a remote machine - . Mi pare un tantino preoccupante....

[bluepix]

Quote:

Originariamente inviato da fester40

Qualcosa di strano sta accadendo; ho disinstallato e reinstallato il modem e tutti i suoi drivers, ho fatto ripetute pulizie di registro, files temp. scansioni varie con Panda (che è infallibile come ci insegna qualcuno ) niente da segnalare, PERO' se cerco di fixare quella strana voce con HijackThis, si blocca e vari tentativi non hanno dato risultati, è sempre lì. Andando a guardare sulle info, mi parla di una schifezza, Ms4Hd, che fa crashare HijackThis 1.99.1. . Sarà il mio caso?

Ho trovato una pagina interessante:
http://forums.net-integration.net/in...howtopic=24912
a dire il vero il processo seguito è un po' (anzi molto) complicato e senza nulla sottomano è difficile seguirlo.
Prova a dare un'occhiata tu e vedi se si addice al tuo caso.

ciao

[bluepix]

Ops.... sono stato troppo rapido nel rispondere

Ti segnalo questo link:

http://www.bleepingcomputer.com/file...move-Ms4Hd.reg

è un indirizzo che scarica un file reg di aggiornamento al registro di sistema.

scarica sul desktop.
Doppio click
e segui il dialogo.

[fester40]

Sei sicuro? Se clicco mi appare la descrizione di alcune chiavi di registro e basta...

[bluepix]

A proposito del crash di Hijackthis v 1.99.1 nel caso che esista il parassita Ms4Hd, il creatore consiglia di usare la versione v 1.98.2 che si può trovare qui: http://www.merijn.org/files/hijackthis1982.zip

[bluepix]

Quote:

Originariamente inviato da fester40

Sei sicuro? Se clicco mi appare la descrizione di alcune chiavi di registro e basta...

Sai che non so come fare?

Devo andare per Google a cercare

[bluepix]

Col doppio click sull'icona del file reg dovrebbe uscire una maschera con la seguente dicitura:

Aggiungere i dati contenuti in .............. al registro?
Si no

clikka su si

[fester40]

Mi appare solo un testo, non c'è nulla da cliccare. Con la "vecchia" versione di HijackThis, la voce da fixare non me la trova..... E se andassi sul registro e cancellassi le voci relative a "rpcapd"? Grazie nel frattempo per la tua attenzione ai miei problemi (e a quelli di altri)

[bluepix]

Modifica il registro manualmente seguendo le istruzioni del file:


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Vendor]
[-HKEY_CLASSES_ROOT\CLSID\{A4C4671C-499F-101B-BB78-00AA00383CBB}]
[-HKEY_CLASSES_ROOT\CLSID\{A5366673-E8CA-11D3-9CD9-0090271D075B}]
[-HKEY_CLASSES_ROOT\Interface\{03022430-ABC4-11D0-BDE2-00AA001A1953}]

nelle cinque linee sopraelencate devi eliminare l'ultima chiave

esempio
HKEY_CURRENT_USER
Software
Microsoft
Internet Explorer e eliminare la riga Vendor



[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\63.219.181.7]
"http"=dword:00000004

in questa devi modificare il valore di HTTP

[fester40]

Rispetto alle chiavi che mi hai indicato, ho trovato solamente questa:

[-HKEY_CLASSES_ROOT\Interface\{03022430-ABC4-11D0-BDE2-00AA001A1953}]

Mi devi scusare, ma non ho capito se la devo cancellare totalmente, oppure modificarla, tieni conto che ha 4 sotto...chiavi (?)