|
|||||||
|
|
|
 |
|
|
Strumenti |
31-05-2005, 13:14
|
#1 |
|
Member
Iscritto dal: May 2005
Messaggi: 52
|
Avvio strano di connesione remota
Mi succede da un pò che dopo aver caricato Windows XP SP2, andando in start e risorse del computer, mi chida di connettermi ad internet.
 Non lo ha mai fatto prima, e ho controllato più e più volte la presenza di virus o altre schifezze con vari programmi. Ho controllato anche i processi, ma mi sembra non ce ne siano di strani. Inoltre si nota che nello spazio destinato alla password le i caratteri inseriti sono molti di più di quella utilizata per il collegamento, mentre l'id del cliente è lo stesso. Come antivirus e firwall uso trend micro, inoltre Adaware e Spyboot. Qualcuno sa aiutarmi? 
|
|
|
|
31-05-2005, 14:07
|
#2 | |
|
Senior Member
Iscritto dal: May 2005
Città: Silicon Valley(San francisco)- - - - - - Browser:Firefox - - OS:Windows e linux - alessiofbt ------------ [email protected]
Messaggi: 1843
|
Quote:
|
|
|
|
|
|
31-05-2005, 15:34
|
#3 |
|
Member
Iscritto dal: May 2005
Messaggi: 52
|
Ultimamente lo fa sempre, solo quando accedo a
risorse del computer, mi chiede di collegarmi. Ecco il log con HijackThis, spero possa essere d'aiuto. Logfile of HijackThis v1.99.1 Scan saved at 15.24.40, on 31/05/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\ATKKBService.exe C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\system32\nvsvc32.exe C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Trend Micro\Internet Security 2005\pccguide.exe C:\Programmi\File comuni\Real\Update_OB\realsched.exe C:\programmi\asus\probe\AsusProb.exe C:\Programmi\ASUS\SmartDoctor\SmartDoctor.exe C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\WINDOWS\system32\ntvdm.exe C:\DOCUME~1\nik\IMPOST~1\Temp\Directory temporanea 1 per Hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: ShowBarObj Class - {79A002FB-C126-462D-B4A7-81D6B42D1666} - C:\Programmi\ZUM\acrbat.dll O2 - BHO: {92E1B3F7-0546-421E-9835-904D25B7BA66} - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - C:\WINDOWS\system32\winvbie.dll O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\Internet Security 2005\pccguide.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ASUS Probe] c:\programmi\asus\probe\AsusProb.exe O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programmi\ASUS\SmartDoctor\\SmartDoctor.exe /start O4 - Global Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O16 - DPF: {E61135DF-716D-49A7-B29B-8287A1CD072C} (WidelookX Control) - http://81.208.113.59/it/widelook/WidelookX.cab O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe |
|
|
|
|
31-05-2005, 16:26
|
#4 |
|
Senior Member
Iscritto dal: May 2005
Città: Silicon Valley(San francisco)- - - - - - Browser:Firefox - - OS:Windows e linux - alessiofbt ------------ [email protected]
Messaggi: 1843
|
fai anche una scansione con search e destroy e ad aware inoltre fai un ultima scansione con norton.............ah poi fammi vedere una cosa............
vai su start-pannello di controllo-prestazioni e manutenzioni-strumenti di amministrazione-visualizzatore eventi, adesso ti compare una lista di errori segnali ecc.... tu devi trovare la stessa ora lo stesso giorno e lo stesso minuto in cui quella finestra di connessione ti si è aperta de trovi il log nel visualizzatore fammi uno samp e invialo.............cosi ci si capisce meglio. |
|
|
|
|
31-05-2005, 18:30
|
#5 |
|
Bannato
Iscritto dal: Oct 2001
Città: Bassa Bresciana
Messaggi: 9011
|
Forse è il caso di sentire il parere dei ragazzi di Antivirus & Sicurezza
 Spostato |
|
|
|
|
31-05-2005, 20:29
|
#6 |
|
Member
Iscritto dal: May 2005
Messaggi: 52
|
Ho controllato ancora una con Adaware e Spyboot, non hanno trovato niente. Sono andato nel registro eventi ed era disabilitato. L'ho attivato, e la prima volta che ho riavviato mi è venuta furi l'icona degli aggiornamenti automatici disabilitati. Ho provato, e questa volta non è successo niente. Ho riprovato una seconda volta dopo aver riavviato e niente ancora. Bo sembra sistemato per il momento, e spero per sempre. Inoltre adesso l'antivirus è molto più veloce a caricarsi. Misteri
 Se dovesse rifarsi vivo riscriverò in queste pagine. Per il momento grazie per l'aiuto. 
|
|
|
|
|
31-05-2005, 20:30
|
#7 |
|
Senior Member
Iscritto dal: May 2005
Città: Silicon Valley(San francisco)- - - - - - Browser:Firefox - - OS:Windows e linux - alessiofbt ------------ [email protected]
Messaggi: 1843
|
di nulla zi
|
|
|
|
|
31-05-2005, 20:50
|
#8 |
|
Member
Iscritto dal: May 2005
Messaggi: 52
|
Ritiro tutto.. Dopo aver aggiornato windows installer con windows update, e successivamente riavviato è ricomparso il fenomeno.
Ho preso il registro eventi e scrivo qua sotto quello che corrisponde all'apertura di risorse del computer. CavoliL'azione è stata avviata al secondo 30, dopo un pò è comparsa la connessione remota, poi ho provato a collegarmi. In Applicazione: Informazioni 31/05/2005 20.35.34 ESENT 102 Informazioni 31/05/2005 20.35.34 ESENT 100 Questo è quello che c'è scritto cliccando in ordine wuauclt(2484) SUS20ClientDataStore wuauclt(2484) Motore del database (vari numeri) avviato Non so proprio perchè prima non lo facesse. L'antivirus si carica più velocemente e quello è rimasto, l'unica cosa diversa è che adesso non c'è più l'icona che mi dice degli aggiornamenti automatici disabilitati. |
|
|
|
|
31-05-2005, 21:12
|
#9 |
|
Senior Member
Iscritto dal: May 2005
Città: Silicon Valley(San francisco)- - - - - - Browser:Firefox - - OS:Windows e linux - alessiofbt ------------ [email protected]
Messaggi: 1843
|
da come scrivi sembra che sia dovuta ad un applicazione interna nel sistema..................
che me lo faresti lo stamp della casella in visualizzatore eventi cosi ci capisco meglio
|
|
|
|
|
31-05-2005, 21:14
|
#10 |
|
Senior Member
Iscritto dal: Dec 2004
Città: Magenta(MI)
Messaggi: 1513
|
Controlla se il file si trova qui : C:\WINDOWS\System32\wuauclt.exe
se è in un'altra posizione ehmm .. c'è un virussino 
|
|
|
|
|
31-05-2005, 21:26
|
#11 |
|
Member
Iscritto dal: May 2005
Messaggi: 52
|
Ho controllato e wuauclt.exe è nella cartella giusta. C'è anche in prefetch, è un problema? Dopo aver disattivato nuovamente il windows update sembra che non lo faccia... ma adesso provo a riavviare e vediamo.
|
|
|
|
|
31-05-2005, 21:36
|
#12 | |
|
Senior Member
Iscritto dal: May 2005
Città: Silicon Valley(San francisco)- - - - - - Browser:Firefox - - OS:Windows e linux - alessiofbt ------------ [email protected]
Messaggi: 1843
|
Quote:
impossibile zi che abbia un virus. l'ho escluso fin dal primo momento che ho visto che ha norton.
|
|
|
|
|
|
31-05-2005, 21:36
|
#13 | |
|
Senior Member
Iscritto dal: May 2005
Città: Silicon Valley(San francisco)- - - - - - Browser:Firefox - - OS:Windows e linux - alessiofbt ------------ [email protected]
Messaggi: 1843
|
Quote:
fai lo stamp di quella casella nel visualizzatore. 
|
|
|
|
|
|
31-05-2005, 21:47
|
#14 |
|
Member
Iscritto dal: May 2005
Messaggi: 52
|
Cerco di fare ordine. Ho riavviato due volte. Dopo la prima lo ha fatto, ma ho controllato bene i tempi, cioè facendo un'operazione ogni minuto per far si che non si sormontassero per caso alcune di sistema, e mi sembra che nel registro non compaia nulla. La seconda non lo ha fatto. Non so più che pesci pigliare. Forse mi prende in giro..
 Comunque tendo ad escludere che sia l'affare di cui ho scritto sopra, probabile che si sia trattata di una coincidenza di tempi fra l'operazione che doveva fare il sistema e quello che ho fatto io. Infatti nel secondo caso dove non è apparso il collegamento della connessione remota, nel registro quell'operazione compare ugualmente. Altro che posso tentare? Per la precisazione non ho Norton Antivirus, ma Trend Micro Internet Security. |
|
|
|
|
31-05-2005, 21:52
|
#15 |
|
Senior Member
Iscritto dal: Dec 2004
Città: Magenta(MI)
Messaggi: 1513
|
Il problema è che wuauclt.exe è il programma di windows update per windows ME e tu hai XP.
controlla se non hai un file di nome wmsvc.exe comunque entrambi, se sonon presenti vanno assolutamente cancellati. controlla se esiste un'entry anche con start-esegui-msconfig prebbe essere questo: http://www.sophos.com/virusinfo/analyses/w32rbotug.html Ultima modifica di bluepix : 31-05-2005 alle 21:55. |
|
|
|
|
31-05-2005, 22:01
|
#16 |
|
Member
Iscritto dal: May 2005
Messaggi: 52
|
Il file wmsvc.exe non è presente, mentre non c'è nessun riferimento in msconfig a questi file. Faccio una scansione con qualcosa online? Il pc per il resto è una bomba, che sia un virus che Trend Micro non trova?
|
|
|
|
|
31-05-2005, 22:05
|
#17 |
|
Senior Member
Iscritto dal: Nov 2004
Città: Milano
Messaggi: 701
|
prova spy sweeper
|
|
|
|
|
31-05-2005, 22:18
|
#18 | |
|
Senior Member
Iscritto dal: May 2005
Città: Silicon Valley(San francisco)- - - - - - Browser:Firefox - - OS:Windows e linux - alessiofbt ------------ [email protected]
Messaggi: 1843
|
Quote:
nn credo sia un worm zi 
|
|
|
|
|
|
31-05-2005, 22:25
|
#19 |
|
Member
Iscritto dal: May 2005
Messaggi: 52
|
Sto provando con Panda Online. Bo per adesso non trova nulla. Però è strano che alle volte vada e alle volte no. Ricordo un periodo di due settimane che non lo ha mai fatto.
|
|
|
|
|
31-05-2005, 22:26
|
#20 |
|
Senior Member
Iscritto dal: Dec 2004
Città: Magenta(MI)
Messaggi: 1513
|
quando hai finito con panda, fai un giro anche con mwav che trovi qui:
http://channels.lockergnome.com/win...irus_tool.phtml Scaricalo e lancialo. Non ha bisogno di installazione |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 20:07.
