help x ? che mi scansiona le porte

[kingjoe]

ciao
ho un grosso problema, o almeno penso..
c'è un pc XP della rete della Biblioteca dove lavoro (192.168.117.158) che continua a tentare di entrare nel mio pc (.180) e in un altro (.151) ...
viene bloccato sul mio dal firewall outpost:

17.21.26 svchost.exe IN REFUSED TCP 192.168.117.158 1108 Block incoming RPC (TCP)
17.20.14 svchost.exe IN REFUSED TCP 192.168.117.158 1106 Block incoming RPC (TCP)
17.19.01 svchost.exe IN REFUSED TCP 192.168.117.158 1104 Block incoming RPC (TCP)
17.17.49 svchost.exe IN REFUSED TCP 192.168.117.158 1102 Block incoming RPC (TCP)
17.16.37 svchost.exe IN REFUSED TCP 192.168.117.158 1100 Block incoming RPC (TCP)
17.15.24 svchost.exe IN REFUSED TCP 192.168.117.158 1093 Block incoming RPC (TCP)
17.14.42 svchost.exe IN REFUSED TCP 192.168.117.158 1088 Block incoming RPC (TCP)
17.13.59 svchost.exe IN REFUSED TCP 192.168.117.158 1072 Block incoming RPC (TCP)
17.13.16 svchost.exe IN REFUSED TCP 192.168.117.158 1062 Block incoming RPC (TCP)
17.12.33 svchost.exe IN REFUSED TCP 192.168.117.158 1038 Block incoming RPC (TCP)
continua a scansire le porte ogni 43 secondi... e notare che spento non lo fa ..quindi è lui e non un altro della rete che si maschera..

dopo aver visto i consigli di Habanero:
ho tolto Mcafee , ho istallato Kaspersky, spywareterminator... e outpost sul pc incriminato
ho cercato in internet pensando ad un worm e quindi Stinger,normale e per polimorfico, un paio di tools di Symantec .. ma continua...

help... e grazie...

Giorgio

[Habanero]

un tentativo così insistente sul servizio RPC (porta 135) fa pesantemente sospettare di un worm che tenta di sfruttare la famosa vulnerabilità usata da MSBlaster...

Sicura che la scansione completa del sistema non abbia rilevato proprio nulla?

Nel caso prova a postare un log di Hijackthis eseguito sul .158. (leggi bene il punto 4 del thread in rilievo)

[kingjoe]

ciao Habanero

il sistema è un XP Professional
istallato outpost , poi rimosso, ora Sygate (che mi da qualche problema.. impalla la macchina XP, mentre sui 2000 è stupendo anche per la tracciatura degli IP)

scan eseguiti in locale (in normale e in provvisoria):
McAfee, Kasperky

scan eseguiti on-line (in normale e in provvisoria):
Symantec
Kaspersky
F-Secure
Trend Micro

solo l'ultimo segnala una falla: Buffer overrun in Jpeg Processing (833987)
.. è qui ho scoperto che non c'è la service pack 2!! (il fornitore mi aveva assicurato che c'era.. ora ho altre 10 macchine da controllare!!)

aggiorno il sistema.. e se non funziona è gia sul banco di esecuzione (format)

cmq
il Logfile of HijackThis v1.99.1
Scan saved at 15.33.04, on 25/05/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\klswd.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.117.253:3128
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programmi\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programmi\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programmi\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1147254208567
O17 - HKLM\System\CCS\Services\Tcpip\..\{420B1796-1CF1-4F23-A6D4-804D064C667C}: NameServer = 151.99.125.2,151.99.125.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{420B1796-1CF1-4F23-A6D4-804D064C667C}: NameServer = 151.99.125.2,151.99.125.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{420B1796-1CF1-4F23-A6D4-804D064C667C}: NameServer = 151.99.125.2,151.99.125.3
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus Service (kavsvc) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programmi\TightVNC\WinVNC.exe" -service (file missing)
******

151.99.125.2,151.99.125.3 sono i DNS di interbusiness

aspetto un giorno e poi eseguirò la condanna! ma è una sconfitta non sapere chi fosse il "maledetto worm" anche perchè mi rimane il dubbio che sia nella rete della Biblioteca da qualche parte... ho paura per i vecchi server NT!!!

cmq grazie
giorgio

[kingjoe]

si.. sono un POLLO .. era scritto anche in grande in modalità provvisoria!!!

mai dare niente per scontato

"neanche gli Dei possono contro la stupidità umana"

Giorgio

[Habanero]

a parte il sistema non aggiornato non vedo problemi.

[kingjoe]

grazie comunque

lo sto rifacendo da zero..

esiste un tools free tipo ghost o drive image per xp?
esiste l'utility di windows per la copia di backup del sistema ..
meglio sarebbe una copia 1 a 1 su un hd tipo DriveCopy... da poter rimpiazzare in caso di crash.. sempre free

vi sembrerà strano ma come Biblioteca Pubblica non abbiamo un soldo .. e mi devo arrangiare legalmente con tools free!

giorgio

[Habanero]

per questo ti conviene chiedere nel forum Windows.