PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: Disconnessione e riconnessione automatica

Altre pagine della discussione:




juventino
Principiante Principiante
juventino
Principiante Principiante
juventino
Principiante
Principiante

Avatar generico


Iscritto dal : 13/Settembre/2007
Da: Italy
Status: Offline
Posts: 15
Riporta il testo di: juventino Rispondibullet Topic: Post n° 71.902 - Postato: 16/Settembre/2007 alle 00:40


il file
di nome abc123.pid ... non c' è


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 71.903 - Postato: 16/Settembre/2007 alle 00:47


Si ma c'è questa:

O4 - HKLM\..\Run: [zzrfaa.exe] C:\WINDOWS\TEMP\zzrfaa.exe

Che dice che il pc è ancora infetto... (anche se il file, se avenger ha fatto tutto
lo abbiamo cancellato)
Fai partire hijackthis...  fai fare lo scan senza log e mettici il segno di spunta
nella casellina vicino e clicca su fix...
fai ripartire e ricontrolla... (controlla anche file abc123.pid)
poi... il log di avenger lo hai controllato...? Ha fatto tutto?
Hai seguito tutte le cose che ti ho indicato di fare... alla lettera...?
Hai una connessione Adsl oppure Dialup?


Modificato da prgn - 16/Settembre/2007 alle 00:48



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 71.904 - Postato: 16/Settembre/2007 alle 00:58


Allora... ho letto che abc123.pid non c'è... quindi quella voce e stata ricreata...
e molto probabilmente da qualche altro malware...
Quindi ti consiglio di fare tutte le scansioni possibili... al fine di determinare
se ci sia qualcosa di infetto sul pc...



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 71.911 - Postato: 16/Settembre/2007 alle 14:59


Senti, fai un ulteriore verifica...
vai in C:\Windows\System32 e cerca se c'è il file rasapi32.dll (ci sta di sicuro)
dimmi solo che dimensione ha...
Poi... vedi se trovi anche altri file, nella stessa cartella, che si chiamano
rasapi seguiti da un numero...
Per accedere alla cartella... inserisci in esegui... la seguente stringa...:

%SystemRoot%\system32

e premi invio.


Modificato da prgn - 16/Settembre/2007 alle 15:00



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



juventino
Principiante Principiante
juventino
Principiante Principiante
juventino
Principiante
Principiante

Avatar generico


Iscritto dal : 13/Settembre/2007
Da: Italy
Status: Offline
Posts: 15
Riporta il testo di: juventino Rispondibullet Topic: Post n° 71.916 - Postato: 16/Settembre/2007 alle 21:46


c'è il file rasapi32.dll 231kb non ci sono altri file rasapi


juventino
Principiante Principiante
juventino
Principiante Principiante
juventino
Principiante
Principiante

Avatar generico


Iscritto dal : 13/Settembre/2007
Da: Italy
Status: Offline
Posts: 15
Riporta il testo di: juventino Rispondibullet Topic: Post n° 71.917 - Postato: 16/Settembre/2007 alle 21:56


questa sera il problema della disconnessione si è ripresentato, mentre lavoravo in internet, sito kataweb, sono stato disconnesso, la nuova connessione, come è sempre stato in ogni disconnessione, mi appare con il nome internet


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 71.924 - Postato: 17/Settembre/2007 alle 00:30


Allora... ritorniamo d'accapo... e segui in maniera precisa...
i seguenti passi... (osservandoli alla lettera...)
In primo luogo... (a titolo di curiosità... controlla di nuovo se ci sia il file
abc123.pid e fammelo sapere...

- aggiorna l'antivirus che hai installato... e fagli fare uno scan da modalità
provvisoria... segnati i nomi e il percorso dei file infetti trovati... (precisi)
nonchè il relativo nome del malware... (trojan... virus... ecc.ecc.) e se è
stato disinfettato... cancellato... pulito... ecc.ecc. (in poche parole come si
è comportato l'antivirus)

- fai fare lo stesso con un software antispyware...

- se l'antivirus... non dovesse rilevare nulla di rilevante... fagli fare una
scansione online... (se non vuoi fare una scansione online... scarica un
tool tipo Sysclean Package e il relativo pattern dei virus lpt711.zip, visto
che il pc ti si disconnette facilmente... forse è una soluzione conveniente...
per usarlo...
metti il file Sysclean in una cartella e nella stessa cartella...
scompatta il pattern dei virus aggiornato... in modo che il contenuto del
file .zip... si trovi nella stessa cartella si Sysclean.com
fai riavviare in modalità provvisoria... e vai nella cartella con Sysclean
e fallo partire... in modo che ti faccia lo scan del pc...)

Dopo tutto questo... facci sapere che è stato rilevato... e solo dopo...
fai fare uno scan ad hijackthis... ed incolla il log qui...

(purtroppo ci sono centinaia di migliaia di minacce... e non si posso azzeccare
tutte indovinando...
Zonebac è stato individuato... lui con il dialer... e la procedura di eliminazione
è stata corretta... però la seguente voce che hai trovato:

O4 - HKLM\..\Run: [zzrfaa.exe] C:\WINDOWS\TEMP\zzrfaa.exe

Non si sarebbe dovuta creare... e quindi... molto probabilmente, il tuo pc
era infetto anche da qualche altra cosa...)

Quindi segui i passi che ti ho indicato... e facci sapere... io, per sicurezza...
il tool Sysclean lo userei comunque...
Ciao.


Modificato da prgn - 17/Settembre/2007 alle 00:52



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



juventino
Principiante Principiante
juventino
Principiante Principiante
juventino
Principiante
Principiante

Avatar generico


Iscritto dal : 13/Settembre/2007
Da: Italy
Status: Offline
Posts: 15
Riporta il testo di: juventino Rispondibullet Topic: Post n° 71.930 - Postato: 17/Settembre/2007 alle 13:51


con sysclean è uscita la seguente voce: no virus found

haijackthis ha rivelato:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\windows\system32\winlogon.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\TEMP\sdwgaa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Windows Media Player\wmplayer.exe
C:\Documents and Settings\lorenzo\Documenti\sysclean\TSC.BIN
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.archeoclubitalia.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programmi\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /F "C:\WINDOWS\TEMP\E_S77.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [sdwgaa.exe] C:\WINDOWS\TEMP\sdwgaa.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D632C936-FD57-4FE4-B8BD-027B287FA5D3}: NameServer = 62.211.69.150 212.48.4.15
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google
Updater\GoogleUpdaterService.exe

abc123.pid non c'è


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 72.071 - Postato: 22/Settembre/2007 alle 20:28


Ciao...  senti... io ho visto i log che mi hai mandato... e ci sono alcuni problemi...
In primo luogo... col il primo script... (quello di avenger... abbiamo eliminato
il trojan.downloader...)... però molto probabilmente... c'era qualche alto
malware sul pc... e ti ha ricreato una voce infetta tra i programmi eseguibili...
altro problema... è che il log di systemscan... incollato nella email... ha perso
gran parte della formattazione... diventando problematico e impegnativo da
leggere... e quindi... tempo limitato... uguale... impossibile risalire a tutti i file...
Inoltre... ho notato dallo stesso log... che il 17 ti sei ripigliato... trojan.downloader...
Quindi... penso che ci sono dei siti che visiti... che di volta in volta... provvedono
ad infettarti...
Ti consiglio di effettuare una serie di scansioni... al fine di determinare
quali siano di preciso i file infetti e da quali malware sono stati infettati...
se hai difficoltà ad effettuare delle scansioni online... potresti usare il
tool panda (che scarichi e puoi usarlo standalone... cioè... lo scarichi e lo
utilizzi sul computer... senza installazione...) link...

Lo scarichi...
lo scompatti... in una cartella... (mettici come nome lo stesso nome del file... pavcl
in modo da inserire direttamente i comandi che ti detto...) prendi la cartella
e portala nel dico in posizione C: (vai in esplora risorse e fai doppio clic su
C: e trascina la cartella pavcl in C:).
Fai riavviare in modalità provvisoria...
Adesso vai in start -> esegui e digita cmd e clicca su ok per far accettare...
ti si aprirà una finestra con prompt dos...
e digita i seguenti comandi...:

cd\                       (premi invio per fare accettare)
cd pavcl               (premi invio per fare accettare)      

a questo punto il prompt avrà la seguente forma... C:\pavcl>_
Digita allora il seguente comando...:

pavcl -cmp -aex -del C:\  
       (premi invio per fare accettare)

Con
C si intede il disco dove vuoi che venga scannerizzato... se hai più
dischi... ti conviene ripetere il comando per ogni disco... sostituendo alla lettera
C la lettera degli altri dischi...

Adesso... nella cartella pavcl... dopo la scansione... troverai un file pavcl.log
con i risultati della scansione...
Sarebbe opportuno visionarlo... altrimenti... non sappiamo che tipo di malware
siano... però, il file, sarà certamente enorme... quindi ti consiglio di usare
un servizio di file hosting... sul quale caricare il file... per poi qui indicare
il link del file...
A questo proposito puoi usare
www.sendmefile.com e tramite prima sfoglia e poi upload...
metterlo su sendmefile, dopo di che metti il link diretto al file all'interno di un
post... (...il log è praticamente enorme... e sarebbe difficoltoso inserirlo direttamente
nel post senza creare problemi...)
se non riesci... fammi sapere che troviamo una soluzione...
Ciao



Modificato da prgn - 22/Settembre/2007 alle 20:34



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Altre pagine della discussione:






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,035 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni