virus nuovo o problema hardware??

[heroes3]

Ciao a tutti
ho un grosso problema sul mio portatile XP Pro sp2 in dominio
sono 2 giorni che continua a darmi l'errore tipico del worm sasser e blaster (Nt/autority system lsass.exe oppure Utilità di avvio processo server dcom oppure services.exe) il sistema a provocato un errore e verrà riavviato entro 60 secondi

ho scaricato lo stinger della mcafee e lanciato in modalità provvisoria ma non ha rilevato nulla
i 2 removal tools (sasser e blaster)di symantec ma anche li nisba

ho guardato il registro eventi in modalita provvisoria e ho trovato il virus messo in quarantena da mcafee enterprise di nome "new malware.q"
anche li ho provato a scaricare XoftSpySE426_187.exe, ewido-setup.exe, e hijack ma sempre nulla e il problema persiste anche a rete lan scollegata e il pc non loggato

non so + cosa pensare
potrebbe essere un problema di scheda di rete??

mi date na mano ???

thanks

[Habanero]

ma sei sicuro di avere il sp2? XP sp2 è immune alle famigerate vulnerabilità di DCOM e di LSA.
hai un firewall attivo? questi attacchi in genere provengono dalla rete... l'interfaccia vulnerabile di dcom e lsa è proprio quella che comunica con l'esterno...

In quali situazioni si verifica il problema? Hai provato a disconnetterti dalla rete a scopo di test? il problema si presenta ugualmente?

[heroes3]

innanzitutto grazie per la tua risposta
sicurisimo che il pc è un winxp pro sp2 l'ho appena acquistato ed è un modello recente con tanto di licenza serigrafata Xp sp2....
per quanto riguarda antivirus
utilizzo mcafee enterprise 8 con l'ultimo aggiornamento possibile
il firewall di windows l'ho disabilitato in quanto all'interno delle mie 2 lan (casa, lavoro) ho personalmente configurato i firewall per bloccare tutto e consentire l'accesso solo a 4- 5 porte:
porta 80,25,110,popgmail(995),smtpgmail,https,remote desktop,ftp e basta
queste sono quelle aperte il resto blocco tutto quanto.
appunto prima che stavo scrivendo stavo facendo dei test senza la rete lan collegata e wireless disattivato
ma ho sempre lo stesso problema.....
ancor prima di fare il logon se lasci la famigerata finestra ctrl+alt+canc dopo 2 min max mi da quell'errore nt autority system e varia con i 3 programmi suddetti

HELP

[Habanero]

bella gatta da pelare...

Come prima cosa vericherei che (a pc totalmente scollegato dalla rete)

1) non ci siano ospiti indesiderati. Ti consiglio di seguire queste indicazioni anche se da quanto ho capito mi pare che tu abbia già provato in tal senso. Per precauzioni segui il passo [4] alla lettera e posta un log di Hijackthis.

2) il sistema sia integro. Prova a lanciare
sfc /scannow
dal prompt o da Start->Esegui.

[heroes3]

Logfile of HijackThis v1.99.1
Scan saved at 11.25.28, on 16/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://companyweb
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {F2343C69-4A68-ACAE-51F7-01F55409A920} - C:\WINDOWS\liaht1.dll (file missing)
O4 - HKLM\..\Run: [TPNF] C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programmi\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programmi\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programmi\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SolidWorks Task Scheduler Engine.lnk = C:\Programmi\SolidWorks\swScheduler\swBOEngine.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://companyweb
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1139845907781
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = nome dominio
O17 - HKLM\Software\..\Telephony: DomainName = treesse.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED5F2CF8-E603-4C82-BE90-CC062F1CB79A}: NameServer = 192.168.1.10,62.94.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = nome dominio
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = nome dominio
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = nome dominio
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: Domain = nome dominio
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: Servizio di framework di McAfee (McAfeeFramework) - Unknown owner - C:\Programmi\Network Associates\Common Framework\FrameworkService.exe" /ServiceStart (file missing)
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programmi\UltraVNC\WinVNC.exe" -service (file missing)

[heroes3]

ho notato che nel task manager non è presente il task di explorer.......
appena lo lancio si killa in automatico

[holifay]

Forse non è qualcosa di hardware, ma qualcosa di nuovo...

Qualcuno ha problemi analoghi (anche se con un altro servizio) e per quello che ho potuto vedere anche in altri forum, nel log di HijackThis c´è sempre una voce simile a questa (cambia il nome) che hai tu:

O2 - BHO: Class - {F2343C69-4A68-ACAE-51F7-01F55409A920} - C:>WINDOWS>liaht1.dll (file missing)

Ora secondo non so se basta cancellarla per risolvere il problema, ma comunque la riga è da fixare ed il file da eliminare manualmente

Prima di cancellarla ti chiederei se riesci a trovarla (anche se Hijackthis dice che non c´è) di mandarla zippata a http://www.suspectfile.com. Prova a cercarla visualizzando i file nascosti e di sistema.

Ti consiglio anche una scansione con Rootkitrevealer, se trovi qualcosa posta qui il contenuto.

Ciao

[heroes3]

purtroppo il file non esiste non lo trovo in nessun modo anche attuando la visualizzazione file nascosti e di windows
e il rootkit da te suggerito purtroppo non funziona in modalità provvisoria....
il pc attualmente parte solo in modalità provvisoria
se entro oggi pomeriggio non trovo delle valide soluzioni formaggio tutto e buona notte
mi sta facendo imbestialire e non poco sta cosa

[holifay]

Forse è la cosa migliore... ma almeno per curiosità, prima di formattare:

Puoi provare a utilizzare http://www.sysinternals.com/Forum/up...522_unhook.zip. Usalo da linea di comando digitando unhook. Se ti viene elencato qualcosa, digita unhook -u per rendere visibile il rootkit. In questo modo dovresti poterlo trovare ed eliminare.

Per la cancellazione dei file, anche se non li vedi, puoi usare un tool a livello di kernel, conoscendo il loro percorso. Scarica Avenger di SwanDog sul desktop. Poi copia (CTRL+V) negli appunti quanto segue:

File to delete:

C:\WINDOWS\liaht1.dll
C:\WINDOWS\XXXXXX**

NOTA: ** qui riporti il nome con il percorso esatto che magari hai trovato con Unhook, altrimenti non scrivi niente

Avvia Avenger, rispondi OK, poi seleziona Input script manually. Clicca sulla lente di ingrandimento e nella finestra che si apre incolla quanto hai copiato prima. Poi premi Done.

Adesso premi sull´cona con il semaforo, rispondi OK e riavvii il PC.

Dopo il riavvio cancelli quella riga con HijackThis.

[heroes3]

ancora niente ho provato seguendo passo passo ma non ho trovato nulla di quanto indicato

mi sa che dovrò fare un bel backup con relativo format