Discussione:
connessione rallentata da virus?
(troppo vecchio per rispondere)
demish
2006-09-19 08:01:23 UTC
Permalink
Ciao a tutti,
ho alice adsl flat che da qualche giorno va come un 56k.
Io ho il sospetto che si tratti di qualche malware ma avast nn mi trova
niente.
Ho scaricato con affanno hijackthis e sotto vi riporto il log dello scan:

Logfile of HijackThis v1.99.0
Scan saved at 9.42.45, on 19/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Apoint2K\Apoint.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programmi\TOSHIBA\Tvs\TvsTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD -
2006\EDICT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\massi\Documenti\file
massi\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} -
C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [Tvs] C:\Programmi\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [E06IXLRD_575312] "C:\Programmi\Microsoft
Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE" -m
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe"
/background
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} -
C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient
Class) -
http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) -
http://das.microsoft.com/activate/cab/x86/i486/NTANSI/retail/DASAct.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) -
http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 -
HKLM\System\CCS\Services\Tcpip\..\{E6D65641-715E-45DC-A950-8E1CDE03BF7D}:
NameServer = 85.37.17.17 85.38.28.72
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} -
C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programmi\Alwil
Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -
C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown - C:\Programmi\Alwil
Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil
Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil
Software\Avast4\ashWebSv.exe
O23 - Service: ConfigFree Service - TOSHIBA CORPORATION -
C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. -
C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: InstallDriver Table Manager - Macrovision Corporation -
C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. -
C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation -
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH -
C:\Programmi\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec
Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe

io questi dati non so proprio come interpretarli.
Scansioni online nn posso farle perchè la connesseione è troppo lenta.
Grazie in anticipo :).....Massi
Edoardo Benussi [MVP]
2006-09-19 09:19:14 UTC
Permalink
Post by demish
Ciao a tutti,
ho alice adsl flat che da qualche giorno va come un 56k.
Io ho il sospetto che si tratti di qualche malware ma avast nn mi
trova niente.
analizza il tuo log qui
http://www.ilsoftware.it/hijackthis.asp
ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
demish
2006-09-19 13:02:02 UTC
Permalink
"Edoardo Benussi [MVP]" <***@tin.it> ha scritto nel messaggio
news:450fbda6$0$30245>

analizza il tuo log qui
Post by Edoardo Benussi [MVP]
http://www.ilsoftware.it/hijackthis.asp
ciao.
beh il sito mi dice che nn ho nessun firewall attivo ma in realtà uso quello
di xp.
Non posso scaricarmi nessun firewall perchè come ho detto ho la connessione
lenta intasata e i download si interrompono (cioè mi comunica che il
download è completato ma in realtà ha scaricato pochi kb di un file di
diversi mega quindi non funzionante)
per il resto la pagina si carica solo a metà quindi nn so se ci sono altri
messaggi.
Ma quale virus potrebbe essere che rallenta di tanto la connessione?, strano
che avast non lo rilevi :(
Grazie
Edoardo Benussi [MVP]
2006-09-19 13:28:45 UTC
Permalink
messaggio news:450fbda6$0$30245>
analizza il tuo log qui
Post by Edoardo Benussi [MVP]
http://www.ilsoftware.it/hijackthis.asp
ciao.
beh il sito mi dice che nn ho nessun firewall attivo ma in realtà uso
quello di xp.
hai provato a scrollare verso il basso ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
demish
2006-09-19 13:29:28 UTC
Permalink
Post by demish
beh il sito mi dice che nn ho nessun firewall attivo ma in realtà uso
quello di xp.
per il resto la pagina si carica solo a metà quindi nn so se ci sono altri
messaggi.
scusa nn avevo capito che dovevo cliccare sul link per vedere il resoconto,
ed infatti c'è un file classificato come abbastanza sospetto:

O17 -
HKLM\System\CCS\Services\Tcpip\..\{E6D65641-715E-45DC-A950-8E1CDE03BF7D}:
NameServer = 85.37.17.17 85.38.28.72

Se il Dominio non appartiene al vostro provider Internet od alla vostra rete
aziendale, questi elementi dovrebbero essere eliminati. Anche gli elementi
'SearchList' dovrebbero essere cancellati (Fix).


io premo fix, ma quando mi riconnetto e rifaccio la scansione con hijackthis
questa voce ricompare.
Vincenzo Di Russo [MVP]
2006-09-19 13:44:58 UTC
Permalink
demish wrote:

[...]
Post by demish
NameServer = 85.37.17.17 85.38.28.72
Se il Dominio non appartiene al vostro provider Internet od alla vostra
rete aziendale
[...]

http://www.ripe.net/whois?form_type=simple&full_query_string=&searchtext=85.37.17.17

http://www.ripe.net/whois?form_type=simple&full_query_string=&searchtext=85.38.28.72
--
Vincenzo Di Russo
Microsoft® MVP - Most Valuable Professional
Windows - Internet Explorer since 2003
My Blog: http://blogs.dotnethell.it/vincent/
My Home: http://mvp.support.microsoft.com/
Woland
2006-09-19 15:01:32 UTC
Permalink
Post by demish
O17 -
NameServer = 85.37.17.17 85.38.28.72
E' legittimo appartiene a Telecom
Axl Rose
2006-09-19 15:54:35 UTC
Permalink
Post by demish
O17 -
NameServer = 85.37.17.17 85.38.28.72
sono i dns di Alice

--
W.A.R.®
Crusader
2006-09-19 13:42:38 UTC
Permalink
Post by demish
news:450fbda6$0$30245>
analizza il tuo log qui
Post by Edoardo Benussi [MVP]
http://www.ilsoftware.it/hijackthis.asp
ciao.
beh il sito mi dice che nn ho nessun firewall attivo ma in realtà uso quello
di xp.
[cut]
Tutto qui? Solo questo ti dice? Mi sembra poco probabile: l'analisi
del log e' anche troppo puntigliosa. Cosa ti dice delle varie voci?
demish
2006-09-19 16:36:12 UTC
Permalink
Post by Crusader
Tutto qui? Solo questo ti dice? Mi sembra poco probabile: l'analisi
del log e' anche troppo puntigliosa. Cosa ti dice delle varie voci?
beh a parte quell'elemento "abbastanza sospetto" ( ma che a quanto pare è
più innocuo degli altri) ci sono altri elementi che sono "sconosciuti":

C:\Programmi\TOSHIBA\Tvs\TvsTray.exe

O4 - HKLM\..\Run: [Tvs] C:\Programmi\TOSHIBA\Tvs\TvsTray.exe

O4 - HKCU\..\Run: [E06IXLRD_575312] "C:\Programmi\Microsoft
Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE" -m

O20 - Winlogon Notify: WBSrv -
C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll


gli altri elementi sono segnati come sicuri.
A questo punto non so davvero più cosa fare, ma quali virus fanno danni del
genere? potrebbe trattarsi di un dialer o questo è da escludere visto che
quel IP è di telecom?
Ah devo aggiungere che solo il download è drasticamente rallentato, per
quanto riguarda l'upload nn ho problemi.
Saluti.
Massi
Crusader
2006-09-20 10:39:45 UTC
Permalink
"demish" <***@libero.it> scrisse con audacia:
[cut]
Post by demish
beh a parte quell'elemento "abbastanza sospetto" ( ma che a quanto pare è
[cut]
Allora la cosa diventa un po' piu' seccante. Se non ci sono elementi
sospetti sul tuo comp viene facile concludere che durante la
navigazione tu non sia abbastanza protetto contro le intrusioni
indesiderate. Usi il fw di Xp? Se e' cosi' forse ti occorre un
firewall un po' piu' sofisticato che mostri i tentativi di connessioni
col tuo comp riusciti e consenta di 'scremare'.
Comodo Personal Firewall (gratuito) e Outpost Pro (a pagamento) sono i
nomi che per primi mi vengono in mente per questo.
demish
2006-09-20 13:03:28 UTC
Permalink
Post by Crusader
Allora la cosa diventa un po' piu' seccante. Se non ci sono elementi
sospetti sul tuo comp viene facile concludere che durante la
navigazione tu non sia abbastanza protetto contro le intrusioni
indesiderate. Usi il fw di Xp? Se e' cosi' forse ti occorre un
firewall un po' piu' sofisticato che mostri i tentativi di connessioni
col tuo comp riusciti e consenta di 'scremare'.
Comodo Personal Firewall (gratuito) e Outpost Pro (a pagamento) sono i
nomi che per primi mi vengono in mente per questo.
ho provato a scaricare personal firewall ma niente, la velocità scende a 400
byte/sec poi ritorna 1,39 kb/sec per poi bloccarsi.
cmq ritornando agli elementi sospetti credo che qualcosa ci sia:

facendo il comando netstat -b c'è una connessione sospetta che ritarda ad
apparire:

PROTO=TCP Indirizzo esterno=213.254.212.79:http Stato=ESTABLISHED
PID=1112
e subito sotto appare (e questa sembra la cosa sospetta):
c:\windows\system32\WS2_32.dll
c:\windows\system32\WINHTTP.dll
[svchost.exe]

che sia un virus che si nasconde sotto svchost?boh!

la cosa negativa è come ho detto il fatto di non poter scaricare firewall,
di fare scansioni on-line.
Ne avast ne hijackthis rilevano niente.
e le pagine continuano visualizzarsi molto lentamente, quelle più pesanti
neanche finiscono di caricarsi e si bloccano.
Piuttosto che formattare il computer preferisco disdire l'abbonamento ad
alice FLAT perchè è inutile se va più lenta di un 56 kb.

Grazie per l'interessamento.
demish
2006-09-20 19:47:25 UTC
Permalink
Post by demish
PROTO=TCP Indirizzo esterno=213.254.212.79:http Stato=ESTABLISHED
PID=1112
c:\windows\system32\WS2_32.dll
c:\windows\system32\WINHTTP.dll
[svchost.exe]
ho avuto l'idea di sostituire WS2_32.dll con un analogo file scaricato da
www.dll-files.com il problema ora però è che nn me lo fa sostituire perchè è
in uso. Infatti tra i processi ce più di un svchost che lo utilizza.
Quindi ho provato ad interrompere gli svchost che li contenevano (sia WS2_32
che WINHTTP) ma primo si avvia il conto alla rovescia per lo spegnimento (1
min) secondo ho cercato di sfruttare quel minuto per sostituire il file ma
si vede che terminando svchost si disattiva anche il processo che permetta
di trascinare/cancellare/copiare file.
In poche parole sono in trappola...
Qualche suggerimento??
Crusader
2006-09-21 00:06:28 UTC
Permalink
Post by demish
Ciao a tutti,
[cut]
Post by demish
Logfile of HijackThis v1.99.0
[cut]
Guarda comunque che hai una vecchia versione di Hijackthis: la piu'
recente e' la 1.99.1. Magari fattela scaricare e riprova.
demish
2006-09-21 07:36:29 UTC
Permalink
Post by Crusader
Guarda comunque che hai una vecchia versione di Hijackthis: la piu'
recente e' la 1.99.1. Magari fattela scaricare e riprova.
eh veramente dopo sono riuscito a scaricare la nuova e non mi rileva niente.
la riporto dovesse essere utile a capire qualcosa:

Logfile of HijackThis v1.99.1
Scan saved at 9.35.49, on 21/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programmi\TOSHIBA\Tvs\TvsTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD -
2006\EDICT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Documents and Settings\massi\Documenti\file
massi\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} -
C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [Tvs] C:\Programmi\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [E06IXLRD_575312] "C:\Programmi\Microsoft
Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE" -m
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} -
C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient
Class) -
http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) -
http://das.microsoft.com/activate/cab/x86/i486/NTANSI/retail/DASAct.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) -
http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 -
HKLM\System\CCS\Services\Tcpip\..\{E6D65641-715E-45DC-A950-8E1CDE03BF7D}:
NameServer = 85.37.17.17 85.38.28.72
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} -
C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -
C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil
Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil
Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil
Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION -
C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. -
C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel
32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. -
C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp
Software GmbH - C:\Programmi\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Crusader
2006-09-20 23:42:29 UTC
Permalink
"demish" <***@libero.it> scrisse con audacia:

[cut]
Post by demish
PROTO=TCP Indirizzo esterno=213.254.212.79:http Stato=ESTABLISHED
PID=1112
c:\windows\system32\WS2_32.dll
c:\windows\system32\WINHTTP.dll
[svchost.exe]
Ecco una cosa che mi da' fastidio: svchost e' collegato all'esterno.
E' una delle prime cose che blocco col fw, per impedire in assoluto
che qualsiasi istanza di svchost vada in Rete (infatti qui non compare
nulla del genere).
Prova anzitutto ad arrestare i servizi Dhcp, Dns, e Netbios Helper, se
sono attivi.
Potresti anche provare a disabilitare l'accesso di svchost alla Rete
con un fw, ma se appunto non puoi scaricarlo la cosa diventa un po'
difficilotta.
Usi IE per caso? Come sei a patches?
Post by demish
che sia un virus che si nasconde sotto svchost?boh!
Mi sa piu' di troppe connessioni esterne, o meglio troppe 'chiamate' e
conseguente saturazione della banda. Anche Netbios potrebbe essere
responsabile: pensa che talvolta durante la navigazione il fw blocca
alcune chiamate Netbios che comunque finche' non mollano la presa
(anche per qualche decina di secondi) bloccano la navigazione...:-(
[cut]
demish
2006-09-21 08:00:30 UTC
Permalink
Post by Crusader
Ecco una cosa che mi da' fastidio: svchost e' collegato all'esterno.
infatti credo sia proprio questo il problema. quando mi collego solamente e
non apro nessun client (quindi niente messenger, iExplorer, outlook e altri)
su netstat - b quella stringa compare più di una volta come a significare
che se non la uso io la banda ci pensa lui avviando più connessioni di
svchost
Post by Crusader
E' una delle prime cose che blocco col fw, per impedire in assoluto
che qualsiasi istanza di svchost vada in Rete (infatti qui non compare
nulla del genere).
Prova anzitutto ad arrestare i servizi Dhcp, Dns, e Netbios Helper, se
sono attivi.
i servizi l'ho disabilitati (con services.msc no?) ma non credo che fossero
quello il problema cmq grazie tante del suggerimento anzi se conosci qualche
altro servizio che è praticamente inutile ne farei volentieri a meno!
Post by Crusader
Potresti anche provare a disabilitare l'accesso di svchost alla Rete
con un fw, ma se appunto non puoi scaricarlo la cosa diventa un po'
difficilotta.
infatti, ora cerco di procurarmi il firewall non da internet, qualche
suggerimento su quale usare? uno veramente efficace qual'è?
e comunque mettendo il firewall blocco solamente il tentativo di connessione
e non la cosa che fa questo tentativo quindi il virus rimarrebbe latente.
(ma se il firewall di windows non vale niente allora che ce lo mettono a
fare se poi siamo costretti a scaricarne un altro??)
Post by Crusader
Usi IE per caso? Come sei a patches?
si uso IE perche non mi ha mai dato problemi, e poi non conosco le
caratteristiche e le differenze degli altri, si sente spesso che firefox è
meglio di IE ma perchè?
la mia situazione a patches non te la so dire...non so da dove estrapolarla
Post by Crusader
Mi sa piu' di troppe connessioni esterne, o meglio troppe 'chiamate' e
conseguente saturazione della banda. Anche Netbios potrebbe essere
responsabile: pensa che talvolta durante la navigazione il fw blocca
alcune chiamate Netbios che comunque finche' non mollano la presa
(anche per qualche decina di secondi) bloccano la navigazione...:-(
[cut]
ma che motivo ha netbios di collegarsi in rete? forse per sincronizzare
l'orologio? ma cmq disabilitando il servizio HELPER di netbios (che
tralaltro neanche so a cosa serva) non si evita questa connessione del
Netbios??

scusa per l'ignoranza e grazie per la pazienza :)
demish
2006-09-21 11:16:13 UTC
Permalink
Post by demish
infatti credo sia proprio questo il problema. quando mi collego solamente
e non apro nessun client (quindi niente messenger, iExplorer, outlook e
altri) su netstat - b quella stringa compare più di una volta come a
significare che se non la uso io la banda ci pensa lui avviando più
connessioni di svchost
Ci sono riuscito!!! spulciando su avast ho visto che dispone della funzione
blocca url, quindi notando che svchost si collega tramite http ho messo il
blocco verso quell'ip (che si vede da netstat -b).
le cose sono decisamente migliorate, sto scaricando zone alarm, comodo
firewall, e firefox.
ma facendo netstat -b quella connessione continua ad apparire.
ora il problema diventa eliminare il malware, riavere la connessione ad
internet è stata già una grossa conquista!(almeno per me che sono solo uno
studente di medicina ;)

ora non mi rimane che accettare consigli su quale firewall , antivirus ecc
utilizzare
Crusader
2006-09-21 11:30:59 UTC
Permalink
"demish" <***@libero.it> scrisse con audacia:

[cut]
Post by demish
Ci sono riuscito!!! spulciando su avast ho visto che dispone della funzione
blocca url, quindi notando che svchost si collega tramite http ho messo il
Ottimo, davvero: ignoravo questa funzione di Avast :-))
[cut]
Post by demish
ma facendo netstat -b quella connessione continua ad apparire.
Purtroppo anche disabilitando NetBios Helper dai Servizi, resta
comunque attivo (note e segnalate stranezze di Windows). Ti consiglio
anzitutto una simpatica utilita', Windows Worms Doors Cleaner, che
trovi qui
http://www.sicurezzainrete.com/Windows_Worm_doors_cleaner.htm
Post by demish
ora il problema diventa eliminare il malware, riavere la connessione ad
Io uso questi sw, tutti gratuiti: Spybot Search & Destroy, Ad-aware e
A-squared Free in funzione di pulizia, SpywareBlaster in funzione
preventiva. Tutti facili da usare. Per la rimozione di eventuali
animaletti posso consigliarti anche Ewido, utilizzabile per 30 giorni
gratis: scaricalo, aggiornalo ed esegui una bella scansione.
Scova una miriade di malware, anche dove alcuni antivirus falliscono.
[cut]
Post by demish
internet è stata già una grossa conquista!(almeno per me che sono solo uno studente di medicina ;)
E che devo dire io che sono collaboratore in uno studio legale? :-PP
Post by demish
ora non mi rimane che accettare consigli su quale firewall , antivirus ecc
utilizzare
Beh, Comodo Personal Firewall e' un'ottima soluzione, pero' richiede
conoscenze un po' piu' approfondite della media. Outpost Pro e'
facilmente configurabile, notevolmente efficace, ma non e' gratis. :-(
Zone Alarm e' buonino ma a volte da' problemi..E qui mi fermo perche'
ci sono fin troppi post che trattano di questo argomento.
demish
2006-09-21 16:03:59 UTC
Permalink
Post by Crusader
Ottimo, davvero: ignoravo questa funzione di Avast :-))
[cut]
si è stato un colpo di fortuna anche che il malware utilizzi il protocollo
http
Post by Crusader
Io uso questi sw, tutti gratuiti: Spybot Search & Destroy, Ad-aware e
A-squared Free in funzione di pulizia, SpywareBlaster in funzione
preventiva. Tutti facili da usare. Per la rimozione di eventuali
animaletti posso consigliarti anche Ewido, utilizzabile per 30 giorni
gratis: scaricalo, aggiornalo ed esegui una bella scansione.
spyware blaster e spybot S&D li uso anche io ma mi sono serviti a poco visto
che l'antispyware di zonealarm mi ha trovato altri 18 spyware
Post by Crusader
E che devo dire io che sono collaboratore in uno studio legale? :-PP
ed io che pensavo fossi un'addetto ai lavori! :)
Post by Crusader
Zone Alarm e' buonino ma a volte da' problemi..E qui mi fermo perche'
ci sono fin troppi post che trattano di questo argomento.
si zonealarm l'ho installato ma lo sostituirò subito con comodo perchè crea
dei problemi (non mi faceva visualizzare pagine web nè vedere i messaggi su
NG , rallenta enormemente il computer...) infatti adesso sto navigando con
zonealarm disattivato e vado alla grande sembra che il problema si sia
risolto da solo, infatti non compare neanche più la connessione di svchost


Ciao :)

Continua a leggere su narkive:
Loading...