Blocco PC 5 sec - Firewal e connessione

[Lallettino]

Salve a tutti,

ho un problema singolare, sistema operativo Win 2000 SP4 - IE - connessione fastweb.

Ogni 5/10 minuti il PC si blocca ed il Firewall (zonealarm) si accende mostrando che il quel momento c'è traffico. Il blocco dura 10/15 secondi, durante i quali non si riesce nemmeno a muovere il mouse, poi il traffico s'interrompe e tutto torna a posto.

Ho fatto una scansione con SpyBot, AdAware, Avast, Scan online di pandasoftware ma nessuna traccia di virus o altre minacce.

Ho notato tra i log di zonealarm che c'è il blocco dello stesso IP 1.253.128.30:53 e la destinazione ovviamente è il mio IP 23.250.xxx.xxx:1436 poi 23.250.xxx.xxx:1437 poi
23.250.xxx.xxx:1438 e 23.250.xxx.xxx:1439 poi si interrompe per 10 minuti e riprende cambiando la porta.

Non posso interrompere zonealarm, perchè con fastweb mi entrano immediatamente i virus (è già successo 2 volte), pensate che posso permettere l'accesso a quell'IP o è pericoloso? ammesso che il problema possa dipendere da quello....

altrimenti avete qualche suggerimento?

Grazie mille

[Lallettino]

cazpiterina! mi sa che ho sbagliato forum!
volevo postare in sicurezza informatica...
mi fate il trasloco?

[Evi|A|ivE]

hijackthis. fai una scansione e vedi cosa ti da, magari posti il log.

PS hai gia segnalato il thread cosi lo spostano? ^^

[Shiftzero]

Ti sposto

[Lallettino]

Grazie per il trasloco, di seguito il log di Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 15.06.30, on 03/11/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\WINNT\system32\internat.exe
C:\Programmi\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\PROGRA~1\MACROM~1\FLASH5~1\Flash.exe
C:\Programmi\Macromedia\Dreamweaver 3\Dreamweaver.exe
C:\Programmi\Adobe\Photoshop 6.0\Photoshp.exe
C:\Programmi\File comuni\Adobe\Web\AOM.exe
C:\Documents and Settings\riccardo\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [projselector] "C:\Programmi\File comuni\Roxio Shared\Project Selector\projselector.exe" -r
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programmi\File comuni\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Programmi\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1191542739613
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

[Lallettino]

Non riesco a risolvere il fastidioso problema...

Ho letto in altri post che potrebbe essere utile uno scan con GMER

posto di seguito i links con i log di GMER

http://www.sendmefile.com/00592221 (rootkit)
http://www.sendmefile.com/00592222 (autorun)

grazie

[Deifobe]

Prendi con le pinze quello che leggi e ascolta le persone esperte..

Partendo da una voce, tutto quello che ho trovato è che è una falla di vsdatant.sys che può comportare o quello che hai scritto tu (uguale) o un crash del computer
(queste sono info del 2003 http://secunia.com/advisories/9459/ ).

Certo, parrebbe strano che dal 2003 al 2007 si stia ancora a questo punto.. e, invece, pare ci siano anche info datate 2007..
http://www.securityfocus.com/bid/23494/discuss
questa ne è un esempio.. e parla ancora della vulnerabilità di vsdatant.

Visto che non ci capisco molto, mi fermo qui Non allarmarti... ok?

edit 1: http://secunia.com/advisories/26513/

edit 2: nb "Solution: Update to version 7.0.362". Tu quale versione hai?

edit 3: ti ho inserito le info del 2003

[amvinfe]

vai su www.virustotal.com e fai controllare questa .dll
c:\programmi\google\googletoolbar1.dll

[Lallettino]

Originariamente inviato da Deifobe
Prendi con le pinze quello che leggi e ascolta le persone esperte..

Partendo da una voce, tutto quello che ho trovato è che è una falla di vsdatant.sys che può comportare o quello che hai scritto tu (uguale) o un crash del computer
(queste sono info del 2003 http://secunia.com/advisories/9459/ ).

Certo, parrebbe strano che dal 2003 al 2007 si stia ancora a questo punto.. e, invece, pare ci siano anche info datate 2007..
http://www.securityfocus.com/bid/23494/discuss
questa ne è un esempio.. e parla ancora della vulnerabilità di vsdatant.

Visto che non ci capisco molto, mi fermo qui Non allarmarti... ok?

edit 1: http://secunia.com/advisories/26513/

edit 2: nb "Solution: Update to version 7.0.362". Tu quale versione hai?

edit 3: ti ho inserito le info del 2003

Grazie, ho controllato il file vsdatant.sys e la versione installata sulla macchina è la 7.0.362.0

[Lallettino]

Originariamente inviato da amvinfe
vai su www.virustotal.com e fai controllare questa .dll
c:\programmi\google\googletoolbar1.dll

l'ho fatto controllare ma non mi ha trovato nulla.