Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

aiuto! Opzioni
phortuna
Inviato: Friday, April 07, 2006 11:32:34 AM
Rank: Member

Iscritto dal : 2/13/2006
Posts: 0
scusate... ma sono poco pratica di intrusioni e protezioni...
è da un pò che il mio norton mi comunica che è stata bloccata un'intrusione, questo l'avviso:

indirizzo IP dell'intrusione 7.12.12.16 (portscan)

indirizzo IP dell'intrusione 219.146.96.77
(MS SQL STACK BO)

inoltre da quando accade il mio pc è molto più lento!

cosa devo fare?
posso stare tranquilla?

grazie
Sponsor
Inviato: Friday, April 07, 2006 11:32:34 AM

 
alfonso
Inviato: Friday, April 07, 2006 4:32:35 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Scarica questo programma e leggi le istruzioni per inserire il tuo log
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175


Collaboratore Aiutamici
phortuna
Inviato: Saturday, April 08, 2006 2:58:11 AM
Rank: Member

Iscritto dal : 2/13/2006
Posts: 0


Logfile of HijackThis v1.99.1
Scan saved at 2.56.33, on 08/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Acer\ePM\EPM-DM.exe
C:\PROGRA~1\LAUNCH~1\LManager.EXE
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\amministratore\Impostazioni locali\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [EPM-DM] C:\Acer\ePM\EPM-DM.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Avvio rapido di HP Image Zone.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{969D02BA-7A47-4573-80F4-D87B46D69502}: NameServer = 193.70.152.25 193.70.192.25
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programmi\Norton Internet Security\comHost.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

phortuna
Inviato: Saturday, April 08, 2006 3:01:19 AM
Rank: Member

Iscritto dal : 2/13/2006
Posts: 0
ti prego...non farmi usare la modalità provvisoria... non riesco proprio...
grazie.
phortuna
Inviato: Saturday, April 08, 2006 3:01:47 AM
Rank: Member

Iscritto dal : 2/13/2006
Posts: 0
ti prego...non farmi usare la modalità provvisoria... non riesco proprio...
grazie.
monsee
Inviato: Saturday, April 08, 2006 8:10:04 AM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Alfonso ti saprà certo dir meglio di me, Phortuna... ma credo di poterti anticipare che:

1) o cerchi di eliminar l'intruso che probabilmente hai (può essere un backdoor o qualcosa di simile) in Modalità Provvisoria...
2)... o è assai probabile che tu non riesca ad eliminarlo, per cui... l'unico modo di liberartene sarà formattare.

M'auguro di sbagliarmi, ovviamente. Ma questo non toglie il fatto che -ad andare in Modalità Provvisoria- dovresti, se posso darti il mio consiglio, imparare. Perché è una cosa che ti tornerà parecchio utile.
alfonso
Inviato: Saturday, April 08, 2006 11:49:47 AM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Phortuna, in riguardo alla modalità provvisoria, possiamo fare questo paragone, considera la modalità provvisoria come il Crik per alzare l'auto in modo da cambiare la ruota bucata, se non usi il Crik (modalità provvisoria) non potrai in nessun caso cambiare la ruota <img src=icon_smile_big.gif border=0 align=middle>

Il log é pulito da spyware

prova a fare una scansione antivirus on line da questyo indirizzo, per verificare se il tuo antivirus funziona correttamente
http://security.symantec.com/sscv6/default.asp?productid=globalsites&langid=it&venid=sym

per quanto riguarda l'accesso alla modalità provvisoria puoi utilizzare questo programma
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=1354

Collaboratore Aiutamici
phortuna
Inviato: Saturday, April 08, 2006 1:38:55 PM
Rank: Member

Iscritto dal : 2/13/2006
Posts: 0
quindi.. scusatemi... non ho nessun intruso?
nemmeno questo "backdoor" come suggerisce monsee?
... proverò ad imparare a lavorare in modalità provvisoria... spero bene...
grazie...

p.s.
cosa è il backdoor?
phortuna
Inviato: Saturday, April 08, 2006 1:49:14 PM
Rank: Member

Iscritto dal : 2/13/2006
Posts: 0
HO UN NUOVO OSPITE!!!

come vedete sono passati pochi minuti... ho appena aperto il link per la scansione online e il mio norton mi ha segnalato una NUOVA INTRUSIONE!
questa:

INTRUSIONE: portscan
AUTORE: 206.204.51.31 (2894)
PROTOCOLLO: tcp
IP ATTACCATO. (il mio)
PORTA ATTACCATA: imap (143)

Intanto la scansione online non mi ha segnalato niente... per favore... ma che significa?
alfonso
Inviato: Saturday, April 08, 2006 3:10:02 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Probabilmente qualcuno sta tentanfo di entrare nel tuo computer, puoi stare tranquillo fino a che il Norton lo rileva

nella finestra di avviso del norton troverai un opzione, un quadratino, spuntalo cosi non ti presenterà più quella finestra

il backdoor é un programma che lascia aperta una porta per le intrusioni, ma nel tuo sistema non é presente, puoi stare tranquillo.

Collaboratore Aiutamici
phortuna
Inviato: Sunday, April 09, 2006 1:33:30 AM
Rank: Member

Iscritto dal : 2/13/2006
Posts: 0
scusami, ma se qualcuno sta tentando di entrare nel mio pc non esiste un modo per impedirlo? e il norton, fino a quando ci riuscirà?
tra l'altro oggi pomeriggio ho avuto ancora un'altra intrusione e il numero IP, aveva le prime cifre simili alle mie.
il nome dell'intrusione è questo:
http MS IIS NTLM ASN1 BO
ma che significa?

ora... vorrei l'ennesimo consiglio...
ricordo di aver scaricato dei font da un sito e d'allora ho iniziato a subire intrusioni.
come faccio a fare un controllo approfondito dei font? perchè ovviamente non ricordo il nome dei font scaricati... quindi devo controllarli tutti.
grazie...

monsee
Inviato: Sunday, April 09, 2006 2:02:31 AM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Ordini a Norton di controllare la cartella Fonts (si trova nella cartella di Sistema che si chiama WINDOWS, la quale -di norma- sta nel Volume C:/). Ci metterà comunque meno che a controllare tutto quanto il Disco Fisso.
Alfonso ha ragione: finché non riesce ad entrarti un backdoor dentro il Sistema (cosa che è sempre possibile, ma di certo non facile finché il tuo sistema difensivo [firewall + antivirus + antispyware + tua prudenza e intelligenza] regge), non hai nessun motivo serio di preoccuparti. C'è sempre qualche tonto che cerca il modo di "intruffolarsi" dentro i computers altrui...
alfonso
Inviato: Sunday, April 09, 2006 12:44:19 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
I font non sono file infettabili

Il programma che serve a bloccare Intrusioni e Virus si chiama NORTON ANTIVIRUS e FIREWALL, la comparsa della finestra significa appunto che il programma funziona perfettamente, in quella finestra di avviso, spunta la casellina per non ricordarti quel problema e vai avanti tranquillo.

Collaboratore Aiutamici
phortuna
Inviato: Monday, April 10, 2006 1:15:23 AM
Rank: Member

Iscritto dal : 2/13/2006
Posts: 0
vi ringrazio. siete veramente gentili.
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.