Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » un grazie per un aiuto

un grazie per un aiuto Opzioni
Topic Precedente · Topic Sucessivo
anrambe
Inviato: Monday, May 09, 2005 10:04:54 AM
Rank: Member

Iscritto dal : 5/9/2005
Posts: 0
Problemi con la pagina iniziale di IE.
Si apre sempre con: about:blank
inoltre o 4 pagine nei prefiti che non riesco ad eliminare.
Premetto che Norton Internet security mi ha avvertito di due tentativi di intrusione ed ha rilevato 2 porte aperte qiundi vulnerabili ad intrusioni!: ping icmp e porta 80 http.Possibile che si sia inserito qualcosa come faccio a chiuderle.Qualche aiuto sarebbe molto efficace grazie. Di seguito riporto il log file di hijackthis


Logfile of HijackThis v1.99.1
Scan saved at 9.12.21, on 09/05/2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\Norton Internet Security\NISUM.EXE
C:\WINNT\Explorer.exe
C:\WINNT\system32\ipio.exe
C:\WINNT\system32\ati2evxx.exe
C:\Programmi\Norton Internet Security\ccPxySvc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programmi\SSH Communications Security\SSH Sentinel\sshipm.exe
C:\Programmi\SSH Communications Security\SSH Sentinel\sshmonitor.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINNT\system32\Atiptaxx.exe
C:\WINNT\addlh32.exe
C:\WINNT\system32\internat.exe
C:\Programmi\SSH Communications Security\SSH Sentinel\Accession\ssh_accession.exe
C:\Programmi\SSH Communications Security\SSH Sentinel\sshtray.exe
C:\WINNT\NTSecurity.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\temp\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe NTSecurity.exe
F3 - REG:win.ini: run=NTSecurity.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: Class - {BFBD4826-B9A4-7AE8-94EB-30CF27D770B7} - C:\WINNT\mfcyb32.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NTSecurity] NTSecurity.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Programmi\Internet Explorer\IEXPLORE.EXE
O4 - HKLM\..\Run: [addlh32.exe] C:\WINNT\addlh32.exe
O4 - HKLM\..\RunServices: [NTSecurity] NTSecurity.exe
O4 - HKLM\..\RunServices: [] NTSecurity.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: canlog.bat
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: SSH Accession.lnk = C:\Programmi\SSH Communications Security\SSH Sentinel\Accession\ssh_accession.exe
O4 - Global Startup: SSH Sentinel Agent.lnk = C:\Programmi\SSH Communications Security\SSH Sentinel\sshtray.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA3040FB-80EF-4E85-B990-A4879166ED08}: NameServer = 151.99.125.2,151.99.125.3
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\system32\ipio.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\ccPxySvc.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programmi\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: SSH Sentinel (SSHIPM) - Unknown owner - C:\Programmi\SSH Communications Security\SSH Sentinel\sshipm.exe" -d (file missing)
O23 - Service: SSH Sentinel Monitor (SSHMONITOR) - Unknown owner - C:\Programmi\SSH Communications Security\SSH Sentinel\sshmonitor.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
Torna in alto
 
Sponsor
Inviato: Monday, May 09, 2005 10:04:54 AM

 
Torna in alto
 
alfonso
Inviato: Monday, May 09, 2005 10:35:56 AM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Ciao ,
esegui queste operazioni

1) Disattiva il ripristino di configurazione, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=257&SH=N

2) riavvia in modalità provvisoria, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=N

apri HIJAC THIS ed elimina come indicato in questo articolo
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175
le righe che seguono, (nel caso le righe da eliminare non compaiono in modalità provvisoria, eliminale dalla modalità normale e riavvia il computer).

==================================
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
-
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe NTSecurity.exe
F3 - REG:win.ini: run=NTSecurity.exe
-
O2 - BHO: Class - {BFBD4826-B9A4-7AE8-94EB-30CF27D770B7} - C:\WINNT\mfcyb32.dll
-
O4 - HKLM\..\Run: [NTSecurity] NTSecurity.exe
-
O4 - HKLM\..\Run: [addlh32.exe] C:\WINNT\addlh32.exe
O4 - HKLM\..\RunServices: [NTSecurity] NTSecurity.exe
O4 - HKLM\..\RunServices: [] NTSecurity.exe
-
O4 - Startup: canlog.bat
-
O4 - Global Startup: SSH Accession.lnk = C:\Programmi\SSH Communications Security\SSH Sentinel\Accession\ssh_accession.exe
O4 - Global Startup: SSH Sentinel Agent.lnk = C:\Programmi\SSH Communications Security\SSH Sentinel\sshtray.exe
-
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
-
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\system32\ipio.exe
-
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: SSH Sentinel (SSHIPM) - Unknown owner - C:\Programmi\SSH Communications Security\SSH Sentinel\sshipm.exe" -d (file missing)
O23 - Service: SSH Sentinel Monitor (SSHMONITOR) - Unknown owner - C:\Programmi\SSH Communications Security\SSH Sentinel\sshmonitor.exe
==================================

Con la funzione TROVA di Windows, cerca ed elimina questi file,

==================================
bqkpr.dll
NTSecurity.exe
mfcyb32.dll
addlh32.exe
canlog.bat
ssh_accession.exe
sshtray.exe
ipio.exe
sshipm.exe
sshmonitor.exe
==================================

Vai a PANNELLO DI CONTROLLO e clicca su OPZIONI INTERNET
nella finestra che si apre clicca i tre pulsanti
ELIMINA COOKIES - ELIMINA FILE . CANCELLA CRONOOLOGIA
clicca inoltre sul pulsante PAGINA PREDEFINITA e poi su OK

al termine utilizza i programmi AD-AWARE e SPYBOT indicati in questo articolo
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=388&SH=N

sempre in modalità provvisoria fai una scansione Antivirus

quindi riavvia il computer e controlla se il problema e risolto, se e tutto OK riattiva il ripristino configurazione disattivato all'inizio di questa procedura.


Utilizzi il Norton Security, ma il Firewall e disattivato, fai un ulteriore controllo on line da questo indirizzo, sia per il controllo sicurezza che per la scansione virus
http://security.symantec.com/default.asp?productid=symhome&langid=it&venid=sym
Collaboratore Aiutamici
Torna in alto
 
anrambe
Inviato: Monday, May 09, 2005 1:21:13 PM
Rank: Member

Iscritto dal : 5/9/2005
Posts: 0
[quote]
Problemi con la pagina iniziale di IE.
Si apre sempre con: about:blank
inoltre o 4 pagine nei prefiti che non riesco ad eliminare.
Premetto che Norton Internet security mi ha avvertito di due tentativi di intrusione ed ha rilevato 2 porte aperte qiundi vulnerabili ad intrusioni!: ping icmp e porta 80 http.Possibile che si sia inserito qualcosa come faccio a chiuderle.Qualche aiuto sarebbe molto efficace grazie. Di seguito riporto il log file di hijackthis


Logfile of HijackThis v1.99.1
Scan saved at 9.12.21, on 09/05/2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\Norton Internet Security\NISUM.EXE
C:\WINNT\Explorer.exe
C:\WINNT\system32\ipio.exe
C:\WINNT\system32\ati2evxx.exe
C:\Programmi\Norton Internet Security\ccPxySvc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programmi\SSH Communications Security\SSH Sentinel\sshipm.exe
C:\Programmi\SSH Communications Security\SSH Sentinel\sshmonitor.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINNT\system32\Atiptaxx.exe
C:\WINNT\addlh32.exe
C:\WINNT\system32\internat.exe
C:\Programmi\SSH Communications Security\SSH Sentinel\Accession\ssh_accession.exe
C:\Programmi\SSH Communications Security\SSH Sentinel\sshtray.exe
C:\WINNT\NTSecurity.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\temp\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe NTSecurity.exe
F3 - REG:win.ini: run=NTSecurity.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: Class - {BFBD4826-B9A4-7AE8-94EB-30CF27D770B7} - C:\WINNT\mfcyb32.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NTSecurity] NTSecurity.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Programmi\Internet Explorer\IEXPLORE.EXE
O4 - HKLM\..\Run: [addlh32.exe] C:\WINNT\addlh32.exe
O4 - HKLM\..\RunServices: [NTSecurity] NTSecurity.exe
O4 - HKLM\..\RunServices: [] NTSecurity.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: canlog.bat
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: SSH Accession.lnk = C:\Programmi\SSH Communications Security\SSH Sentinel\Accession\ssh_accession.exe
O4 - Global Startup: SSH Sentinel Agent.lnk = C:\Programmi\SSH Communications Security\SSH Sentinel\sshtray.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA3040FB-80EF-4E85-B990-A4879166ED08}: NameServer = 151.99.125.2,151.99.125.3
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\system32\ipio.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\ccPxySvc.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programmi\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: SSH Sentinel (SSHIPM) - Unknown owner - C:\Programmi\SSH Communications Security\SSH Sentinel\sshipm.exe" -d (file missing)
O23 - Service: SSH Sentinel Monitor (SSHMONITOR) - Unknown owner - C:\Programmi\SSH Communications Security\SSH Sentinel\sshmonitor.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

Se elimino le stringhe 023 e 04 del ssh sentinel il programma(sentinel) continua a funzionare normalmente.
IL firewall è attivo ed è stato proprio il check della symantec lo stesso del sito che mi hai inviato a dirmi delle due porte aperte.
Ad un mio controllo delle impostazioni del firewall sembra tutto ok.
Grazie
Torna in alto
 
alfonso
Inviato: Monday, May 09, 2005 4:54:37 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Probabilmente il sistema e infetto da virus, ti conviene formattare e reinstallare tutto, installa Antivirus e Firewall appena dopo Windows e prima di fare il primo collegamento.

Nel log posso indicarti gli spyware, i virus possono infettare file legittimi di sistema e in quel caso se non risolve il problema l'antivirus non rimane che la formattazione.
Collaboratore Aiutamici
Torna in alto
 
anrambe
Inviato: Tuesday, May 10, 2005 12:07:13 PM
Rank: Member

Iscritto dal : 5/9/2005
Posts: 0
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Probabilmente il sistema e infetto da virus, ti conviene formattare e reinstallare tutto, installa Antivirus e Firewall appena dopo Windows e prima di fare il primo collegamento.

Nel log posso indicarti gli spyware, i virus possono infettare file legittimi di sistema e in quel caso se non risolve il problema l'antivirus non rimane che la formattazione.
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>

Scusa mi sono spiegato male, ho omesso il punto di domanda, il programma ssh sentinel è un programma che ho installato io e non vorrei comprometterlo cancellando librerie o altro per questo ti ho chiesto se cancellando le stringhe 04 e 023 tutto può continuare a funzionare normalmente.
Per quanto riguarda i virus facendo un controllo sia in funzionalità normale che con quella provvisoria sia norton e sia stinger (aggiornati)non rievano nulla.
Quindi si può pensare che il sistema sia esente da virus e che nessun file è infetto?
Torna in alto
 
alfonso
Inviato: Tuesday, May 10, 2005 5:57:33 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Allora, pensavo che avessi eseguito le operazioni e che fossero ricomparse nuovamente, in questo caso ecco la lista aggiornata


Ciao ,
esegui queste operazioni

1) Disattiva il ripristino di configurazione, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=257&SH=N

2) riavvia in modalità provvisoria, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=N

apri HIJAC THIS ed elimina come indicato in questo articolo
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175
le righe che seguono, (nel caso le righe da eliminare non compaiono in modalità provvisoria, eliminale dalla modalità normale e riavvia il computer).

==================================
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\bqkpr.dll/sp.html#83556
-
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe NTSecurity.exe
F3 - REG:win.ini: run=NTSecurity.exe
-
O2 - BHO: Class - {BFBD4826-B9A4-7AE8-94EB-30CF27D770B7} - C:\WINNT\mfcyb32.dll
-
O4 - HKLM\..\Run: [NTSecurity] NTSecurity.exe
-
O4 - HKLM\..\Run: [addlh32.exe] C:\WINNT\addlh32.exe
O4 - HKLM\..\RunServices: [NTSecurity] NTSecurity.exe
O4 - HKLM\..\RunServices: [] NTSecurity.exe
-
O4 - Startup: canlog.bat
-
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
-
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\system32\ipio.exe
-
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: SSH Sentinel (SSHIPM) - Unknown owner - C:\Programmi\SSH Communications Security\SSH Sentinel\sshipm.exe" -d (file missing)
==================================

Con la funzione TROVA di Windows, cerca ed elimina questi file,

==================================
bqkpr.dll
NTSecurity.exe
mfcyb32.dll
addlh32.exe
canlog.bat
ipio.exe
==================================

Vai a PANNELLO DI CONTROLLO e clicca su OPZIONI INTERNET
nella finestra che si apre clicca i tre pulsanti
ELIMINA COOKIES - ELIMINA FILE . CANCELLA CRONOOLOGIA
clicca inoltre sul pulsante PAGINA PREDEFINITA e poi su OK

al termine utilizza i programmi AD-AWARE e SPYBOT indicati in questo articolo
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=388&SH=N

sempre in modalità provvisoria fai una scansione Antivirus

quindi riavvia il computer e controlla se il problema e risolto, se e tutto OK riattiva il ripristino configurazione disattivato all'inizio di questa procedura.


Utilizzi il Norton Security, ma il Firewall e disattivato, fai un ulteriore controllo on line da questo indirizzo, sia per il controllo sicurezza che per la scansione virus
http://security.symantec.com/default.asp?productid=symhome&langid=it&venid=sym

Riattiva il Firewall.
Collaboratore Aiutamici
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » un grazie per un aiuto


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.