system32/lsass.exe

[lamia]

purtroppo ho ancora problemi...dopo tre formattazioni, scansioni, pulizie etc. stamattina mi ritrovo lo stesso problema...mi compare la finestra con su scritto che il sistema ha rilevato un errore e il pc verrà riavviato; come sempre l'errore è riscontrato nel file che ho scritto nel titolo del post, in WINNT....ora, Spybot non ha trovato nulla, Avast manco, Firewall è a posto...ho ripulito per sino con CCleaner così per sicurezza e niente. Unica cosa che ho fatto ieri è installarmi Emule e scaricarmi qualcosa che cmq alla scansione risulatava pulita...sto impazzendo che devo fare?? Non è che mi si è danneggiato il sistema?? Come posso saperlo? Aiutatemi grazie mille.... :berto:

[lamia]

Logfile of HijackThis v1.99.1
Scan saved at 13.01.57, on 25/01/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\GlobespanVirata\Adsl\dslagent.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2. EXE
C:\WINNT\system32\internat.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\AS3 Personal Firewall\AS3PF.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\ZipGenius 6\zipgenius.exe
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\ZGTemp\HijackTh is.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\GlobespanVirata\Adsl\dslagent.exe
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2. EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\RunOnce: [svg_file_op1] FileOps.exe -r "C:\Programmi\File comuni\Adobe\SVG Viewer 3.0\Uninstall"
O4 - HKLM\..\RunOnce: [svg_file_op2] FileOps.exe -r "C:\Programmi\File comuni\Adobe\SVG Viewer 3.0\Uninstall\"
O4 - HKLM\..\RunOnce: [svg_file_op3] FileOps.exe -r "C:\Programmi\File comuni\Adobe\SVG Viewer 3.0\"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1169643495841
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

[lamia]

Ho letto l'altro post sul file lsass.exe di Luisa227 ma nn mi è stato di aiuto....cmq il nome del mio file è con la L minuscola!!!!

[Habanero]

la vulnerabilità di lsass.exe è tipica dei sistemi non aggiornati o che non usato un firewall (o che lo hanno impostato male)

una reinstallazione di windows 2000 dovrebbe seguire questa scaletta:
http://forum.html.it/forum/showthrea...7#post10160417



il log sembra pulito.

[lamia]

Cioè vuol dire che dovrei reinstallare W2000? Quindi è o non è un virus?
Grazie Habanero, ho un pò do dubbi perchè l'installazione che ho fatto qualche settimana fa cmq seguiva quella scaletta che mi hai indicato...

[Habanero]

è il tentativo di usare una vulnerabilità di sistema da parte di un virus che ha infettato un altro pc sulla rete. tramite questa vulnerabilità sarebbe possibile eseguire codice da una postazione remota. Il virus cerca quindi di installarsi sul tuo pc dalla rete. Non è detto che ci sia riuscito, ma l'effetto collaterale è il crash del servizio vulnerabile... con conseguente riavvio.

Soluzioni
1) usa un personal firewall
2) usa windows update per aggiornare il sistema.

[lamia]

Da un pò uso AS3 Personal Firewall anche se gli aggiornamenti non so perchè sono sempre un mistero...ZOne Alarm resta sempre il migliore?

[Habanero]

per curiosità, vediamo come è messo il tuo firewall...
fai un test di scansione su GRC:

https://www.grc.com/x/ne.dll?bh0bkyd2

premi sul pulsante proceed, e poi tra i vari test disponibili scegli "all service ports".
Dovrebbe cominciare la scansione...
quadratino vede= porta invisibile
quadratino blu= porta chiusa
quadratino rosso= porta aperta

fammi sapere l'esito.

[lamia]

ok...in pratica mi ha dato questo

Results from scan of ports: 0-1055

0 Ports Open
1 Ports Closed
1055 Ports Stealth
---------------------
1056 Ports Tested

NO PORTS were found to be OPEN.

The port found to be CLOSED was: 1

Other than what is listed above, all ports are STEALTH.

TruStealth: FAILED - NOT all tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.

...e per quello che riguarda l'unica porta trovata blu mi dice:

Name: tcpmux
Purpose: Tcp port service Multiplexer
Background and Additional Information:

Trojan Sightings: Breach, SocketsDeTroie

[lamia]

nessun parere? Per il momento il problema mi si è ripresentato una volta soltanto due gg fa...faccio sempre scansioni, aggiorno etc ma nn si trova nulla di infetto...