Pagina 3 di 5 primaprima 1 2 3 4 5 ultimoultimo
Visualizzazione dei risultati da 21 a 30 su 49

Discussione: Firewall disattivato

  1. #21
    Utente di HTML.it L'avatar di Conetti
    Registrato dal
    Feb 2009
    Messaggi
    2,323
    Originariamente inviato da tafkaA@P
    In attesa di consigli, ecco qualche altra info:
    Ho notato che appena acceso il PC il firewall era attivo, poi a termine dei vari processi si disattivava ... e che ciò avveniva in concomitanza dell'alert di notifica di aggiornamento della definizione virus di avast...
    Ho provato allora a disattivare l'aggiornamento automatico, ho riavviato e ...
    niente! Solito problema!
    H E L P !
    Ciao, scusa il ritardo della risposta ma sono stato occupato.
    Mi pare che il log del tuo precedente post sia pulito.
    Prova ad eseguire una scansione, come consigliato dall'utente ILPISANO, con Malware Bytes.
    Al termine della scansione non eliminare alcun file (potrebbero essere dei falsi-positivi) ma posta il log generato.
    Grazie

  2. #22
    Allora: innanzitutto GRAZIE ad entrambi per interessarvi del mio caso ...(Conetti, siamo all'assurdo che _tu_ ti scusi del ritardo con coi scrivi...).
    Ho seguito i vostri consigli e in effetti Malware Bytes mi ha trovato trojan che nessun altro mi aveva rivelato..
    Al primo passaggio ha trovato 3 files infetti:

    Malwarebytes' Anti-Malware 1.45
    www.malwarebytes.org

    Versione database: 4027

    Windows 5.1.2600 Service Pack 3 (Safe Mode)
    Internet Explorer 8.0.6001.18702

    23/04/2010 23.44.54
    mbam-log-2010-04-23 (23-44-54).txt

    Tipo di scansione: Scansione completa (C:\|E:\|F:\|G:\|)
    Elementi esaminati: 240691
    Tempo trascorso: 1 ore, 38 minuti, 33 secondi

    Processi infetti in memoria: 0
    Moduli di memoria infetti: 0
    Chiavi di registro infette: 0
    Valori di registro infetti: 0
    Voci infette nei dati di registro: 0
    Cartelle infette: 0
    File infetti: 3

    Processi infetti in memoria:
    (Non sono stati rilevati elementi nocivi)

    Moduli di memoria infetti:
    (Non sono stati rilevati elementi nocivi)

    Chiavi di registro infette:
    (Non sono stati rilevati elementi nocivi)

    Valori di registro infetti:
    (Non sono stati rilevati elementi nocivi)

    Voci infette nei dati di registro:
    (Non sono stati rilevati elementi nocivi)

    Cartelle infette:
    (Non sono stati rilevati elementi nocivi)

    File infetti:
    C:\System Volume Information\_restore{29B94AC9-E47A-4B67-94D2-0988948E0E96}\RP55\A0010247.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{29B94AC9-E47A-4B67-94D2-0988948E0E96}\RP56\A0010730.exe (Rogue.Installer) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{29B94AC9-E47A-4B67-94D2-0988948E0E96}\RP94\A0022925.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.


    Eliminati e poi nuova scansione ...
    trovati altri 2 files infetti:

    24/04/2010 22.47.54
    mbam-log-2010-04-24 (22-47-54).txt

    Tipo di scansione: Scansione completa (C:\|E:\|F:\|G:\|)
    Elementi esaminati: 237579
    Tempo trascorso: 1 ore, 38 minuti, 11 secondi

    Processi infetti in memoria: 0
    Moduli di memoria infetti: 0
    Chiavi di registro infette: 0
    Valori di registro infetti: 0
    Voci infette nei dati di registro: 0
    Cartelle infette: 0
    File infetti: 2

    Processi infetti in memoria:
    (Non sono stati rilevati elementi nocivi)

    Moduli di memoria infetti:
    (Non sono stati rilevati elementi nocivi)

    Chiavi di registro infette:
    (Non sono stati rilevati elementi nocivi)

    Valori di registro infetti:
    (Non sono stati rilevati elementi nocivi)

    Voci infette nei dati di registro:
    (Non sono stati rilevati elementi nocivi)

    Cartelle infette:
    (Non sono stati rilevati elementi nocivi)

    File infetti:
    E:\System Volume Information\_restore{29B94AC9-E47A-4B67-94D2-0988948E0E96}\RP123\A0029783.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    E:\System Volume Information\_restore{29B94AC9-E47A-4B67-94D2-0988948E0E96}\RP123\A0029784.exe (Trojan.Downloader) -> Quarantined and deleted successfully.


    ... erano altri 2 files ... come è possibile che al primo scan non li aveva rilevati?
    Vabbe' ... eliminati e nuova scansione ...
    stavolta pulito!


    24/04/2010 22.53.38
    mbam-log-2010-04-24 (22-53-38).txt

    Tipo di scansione: Scansione completa (C:\|)
    Elementi esaminati: 396
    Tempo trascorso: 16 secondi

    Processi infetti in memoria: 0
    Moduli di memoria infetti: 0
    Chiavi di registro infette: 0
    Valori di registro infetti: 0
    Voci infette nei dati di registro: 0
    Cartelle infette: 0
    File infetti: 0

    Processi infetti in memoria:
    (Non sono stati rilevati elementi nocivi)

    Moduli di memoria infetti:
    (Non sono stati rilevati elementi nocivi)

    Chiavi di registro infette:
    (Non sono stati rilevati elementi nocivi)

    Valori di registro infetti:
    (Non sono stati rilevati elementi nocivi)

    Voci infette nei dati di registro:
    (Non sono stati rilevati elementi nocivi)

    Cartelle infette:
    (Non sono stati rilevati elementi nocivi)

    File infetti:
    (Non sono stati rilevati elementi nocivi)


    ... a questo punto ho riavvato il tutto e ...
    SEMPRE SOLITO PROBLEMA!
    (a dire il vero ora passa più tempo dall'avvio a quando il firewall viene disattivato ... circa 25/30 sec)
    ... quindi nuova scansione (come le altre, sempre in mod. provvisoria) ... tutto pulito.

    ... QUINDI?

    Ma non possibile (come ipotizzavo io prima di essere spostato in qs forum) che sia un problema di registro incasinato?

    10x
    A@P

  3. #23
    Eccomi di nuovo! ... sempre io!
    Ultimi aggiornamenti: ho fatto finta di iniziare da capo, quindi ho aggiornato tutti i vari antirus/malware/trojan/ecc, cancellato i temporanei, ho riavviato in modalità provv (ho scollegato il cavo di rete) e nell'ordine ho passato le scansioni di:
    - avast (pulito)
    - superantispyware (pulito)
    - walwarebytes (pulito)
    - a-squared
    .. quest'ultimo mi ha trovato alcuni files infetti ... tanti a dire il vero: 12 tra trojan e similari (soprattutto "trojan downloader win32") , ma nessuno in file "di sistema" ... erano tutti in un'HDD diverso da C tranne un paio di falsi positivi che avevo sul desktop (almeno io credo: elibagle e avenger)
    Morale della favola ho cancellato tutto (anche i falsi positivi, tanto non mi occorrevano quei files)... riavvio e ... indovinate?
    Sempre solito problema...

    Grazie
    A@P

  4. #24
    Utente di HTML.it L'avatar di Conetti
    Registrato dal
    Feb 2009
    Messaggi
    2,323
    Ciao, prova a scaricare questo archivio e a unzipparlo (http://www.mediafire.com/?zfk2kjditon).
    Clicca due volte sul file .reg al suo interno e riavvia il Pc: si verifica ancora lo stesso problema?
    Questo file, sostanzialmente, risetta le impostazioni del Firewall.

  5. #25
    Ciao,
    purtroppo anche questo non ha funzionato, anzi: appena ho eseguito il .reg, mi è immediatamente comparsa la notifica di firewall disattivato... praticamente l'esecuzione del file mi ha disattivato il firewall (che avevo attivato manualmente). Ho riavvato e ... solito!
    Ho provato poi ad eseguire il .reg a firewall già disattivato ... nulla è cambiato.
    ... questa faccenda incomincia ad assumere dei toni grotteschi...
    A@P

  6. #26
    Utente di HTML.it L'avatar di Conetti
    Registrato dal
    Feb 2009
    Messaggi
    2,323
    Dato che dai programmi anti-malware e dai log di System Scan/HiJackThis non sono risultati malware, escludo che il problema dipenda da un virus.
    Penserei perciò ad un problema di conflitto: potresti elencarmi tutti i software relativi alla sicurezza del Pc che hai installato?
    Sarebbe un problema postare anche un elenco dei software relativi alla sicurezza del Pc disinstallati in precedenza?
    Grazie

  7. #27
    senti con avast la scansione che hai fatto e' quella semplice oppure quella dal menu scansona al riavvio.....se non l hai fatta esegui la seconda e' molto piu profonda ed inizia prima che carichi il tutto lasciala fare dura un po di tempo a volte piu diun ora......e pirma se non lo ai gia' 'eseguito prima fai questo..... start-risorse del comp- tasto dx-proprita'-ripristino configurazione del sistema-metti la spunta su ripristino conf sistema- poi torni in malwarebyte e sempre in modalita' p. scansioni.... poi torni su ripristino e togli la spunta......
    Pisa...vi saluta...
    .........e ringrazia.......
    http//www.youtube.com/watch?v=pp6X9f7VBQQ&feature=player_embedded
    Suite di Sicurezza : Avira Free, Pc Tools Firewall Plus, SUPERAntiSpyware e Malwarebytes

  8. #28
    Utente di HTML.it
    Registrato dal
    May 2010
    Messaggi
    1,024
    Ciao a tutti.
    Scusate l'intromissione, ma il pc di tafkaA@P , è infetto da rootkit:

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Shell Extensions\Approved\{CED4DE5E-72AB-6B30-3380-EA48806BF275}]
    "jaejgmdnefpnpfiglhbf"=hex:6b,61,69,6a,6a,62,6a,66 ,6d,67,61,6f,6f,6b,66,6b,66,66,61,64,6e,..
    "iagimlobjgkmcpddlg"=hex:6b,61,69,6a,61,63,63,65,6 b,6a,67,67,63,70,61,61,66,6e,63,6a,66,..
    "haihglcpceacilfe"=hex:6a,61,6f,68,69,6b,6f,6a,6c, 67,70,62,6d,6a,67,69,66,68,61,6d,00,..
    "haihglcpjdjbkahi"=hex:62,62,63,6b,6f,61,67,6f,65, 69,6c,6c,6c,6a,70,66,65,6b,70,6d,61,..

    Suggerirei, una scansione con Gmer, oppure Combofix.
    Scusate l'intrusione.

  9. #29
    Allora ... ho letto ora il post di R16 (che ringrazio), quindi in attesa di operare come da lui suggerito, rispondo ai due post procedenti.
    Ho fatto come ha suggerito il pisano e per avast ero pulito (mi ha trvato un sacco di archivi zip o cab danneggiati, ma nessuna minaccia)
    poi già che c'ero ho ripassato i vari sw (superantypyware e malwarebytes) .. pulito anche per loro.
    infine ho passato a-squared.. a parte che la scansione è durata tutta notte...
    cmq mi ha trovato un paio di cookie con basso pericolo (evabbè...) e
    8 files con Trojan-Downloader.Win32.Bagle!IK.

    Ecco il log:

    a-squared Free - Versione 4.5
    Ultimo aggiornamento: 03/05/2010 22.46.31

    Impostazioni scansione:

    Scan type: deep
    Oggetti: Memoria, Tracce, Cookies, C:\, E:\, F:\, G:\
    Archivio scansioni: On
    Scientifico: Off
    ADS Scan: On

    Scansione avviata: 04/05/2010 20.50.59

    C:\Documents and Settings\User\Dati applicazioni\Mozilla\Firefox\Profiles\kwku4o6k.def ault\cookies.sqlite:1272872402777000 rilevati: Trace.TrackingCookie.s4.shinystat.com!A2
    C:\Documents and Settings\User\Dati applicazioni\Mozilla\Firefox\Profiles\kwku4o6k.def ault\cookies.sqlite:1272872402777001 rilevati: Trace.TrackingCookie.s4.shinystat.com!A2
    C:\Documents and Settings\User\Dati applicazioni\Mozilla\Firefox\Profiles\kwku4o6k.def ault\cookies.sqlite:1272873212558000 rilevati: Trace.TrackingCookie.s4.shinystat.com!A2
    C:\Documents and Settings\User\Dati applicazioni\Mozilla\Firefox\Profiles\kwku4o6k.def ault\cookies.sqlite:1272873212558001 rilevati: Trace.TrackingCookie.s4.shinystat.com!A2
    C:\Documents and Settings\User\Dati applicazioni\Mozilla\Firefox\Profiles\kwku4o6k.def ault\cookies.sqlite:1272873668871000 rilevati: Trace.TrackingCookie.go.com!A2
    C:\Programmi\Java\jre6\lib\deploy\ffjcext.zip/ffjcext.js rilevati: Trojan-Downloader.Win32.Bagle!IK
    C:\Programmi\Java\jre6\lib\deploy\ffjcext.zip/ffjcext.xul rilevati: Trojan-Downloader.Win32.Bagle!IK
    C:\Programmi\Java\jre6\lib\deploy\ffjcext.zip/chrome.manifest rilevati: Trojan-Downloader.Win32.Bagle!IK
    C:\Programmi\Java\jre6\lib\deploy\ffjcext.zip/install.rdf rilevati: Trojan-Downloader.Win32.Bagle!IK
    C:\Programmi\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\chrome\content\ffjcext\ffjcext.js rilevati: Trojan-Downloader.Win32.Bagle!IK
    C:\Programmi\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\chrome\content\ffjcext\ffjcext.xul rilevati: Trojan-Downloader.Win32.Bagle!IK
    C:\Programmi\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\chrome.manifest rilevati: Trojan-Downloader.Win32.Bagle!IK
    C:\Programmi\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\install.rdf rilevati: Trojan-Downloader.Win32.Bagle!IK

    Scansionati

    Files: 219088
    Tracce: 445943
    Cookies: 909
    Processi: 10

    Rilevato

    Files: 8
    Tracce: 0
    Cookies: 5
    Processi: 0
    Chiavi di registro: 0

    Fine scansione: 05/05/2010 6.36.13
    Tempo scansione: 9:45:14

    C:\Programmi\Java\jre6\lib\deploy\ffjcext.zip/ffjcext.js Cancellato Trojan-Downloader.Win32.Bagle!IK
    C:\Programmi\Java\jre6\lib\deploy\ffjcext.zip/ffjcext.xul Cancellato Trojan-Downloader.Win32.Bagle!IK
    C:\Programmi\Java\jre6\lib\deploy\ffjcext.zip/chrome.manifest Cancellato Trojan-Downloader.Win32.Bagle!IK
    C:\Programmi\Java\jre6\lib\deploy\ffjcext.zip/install.rdf Cancellato Trojan-Downloader.Win32.Bagle!IK
    C:\Programmi\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\chrome\content\ffjcext\ffjcext.js Cancellato Trojan-Downloader.Win32.Bagle!IK
    C:\Programmi\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\chrome\content\ffjcext\ffjcext.xul Cancellato Trojan-Downloader.Win32.Bagle!IK
    C:\Programmi\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\chrome.manifest Cancellato Trojan-Downloader.Win32.Bagle!IK
    C:\Programmi\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\install.rdf Cancellato Trojan-Downloader.Win32.Bagle!IK
    C:\Documents and Settings\User\Dati applicazioni\Mozilla\Firefox\Profiles\kwku4o6k.def ault\cookies.sqlite:1272873668871000 Cancellato Trace.TrackingCookie.go.com!A2
    C:\Documents and Settings\User\Dati applicazioni\Mozilla\Firefox\Profiles\kwku4o6k.def ault\cookies.sqlite:1272872402777000 Cancellato Trace.TrackingCookie.s4.shinystat.com!A2
    C:\Documents and Settings\User\Dati applicazioni\Mozilla\Firefox\Profiles\kwku4o6k.def ault\cookies.sqlite:1272872402777001 Cancellato Trace.TrackingCookie.s4.shinystat.com!A2
    C:\Documents and Settings\User\Dati applicazioni\Mozilla\Firefox\Profiles\kwku4o6k.def ault\cookies.sqlite:1272873212558000 Cancellato Trace.TrackingCookie.s4.shinystat.com!A2
    C:\Documents and Settings\User\Dati applicazioni\Mozilla\Firefox\Profiles\kwku4o6k.def ault\cookies.sqlite:1272873212558001 Cancellato Trace.TrackingCookie.s4.shinystat.com!A2

    Cancellato

    Files: 8
    Tracce: 0
    Cookies: 5


    Due domande, anzi 3:
    a) ma come è possibile che la scansione di un paio di giorni fa non me li abbia trovati? (nel frattempo non ho usato il pc)
    b) i files sono estensioni di Mozilla o Java ... vuol dire che non mi posso nemmeno fidare quando Mozilla o Java mi avvertono di un aggiornamento disponibile? Possono nascondersi anche lì i maledetti?
    c) come è possibile che usando "n" sw spyware, antivirus, antimalware e chi più ne ha, più ne metta... cmq con l'ultimo si trova sempre qualcosa che gli altri "n-1" avevano ignorato? Si potrebbe quindi dire che non si può mai avere la certezza di essere puliti! Erro?

    Vabbe', tornando al "nostro" problema: ho eliminato tutto e riavviato: tutto come prima.

    Rispondendo invece a Conetti:
    Il problema iniziale era il PC lentissimo e con un sacco di programmi in esecuzione (molti dei quali all'apparenza doppi) ... allora convinto di avere qualche virus ho installato (tra gli altri) spybot S&D che mi segnalava il "windows security center" disabilitato. Ho fatto correggi il problema e poi quando ero sicuro di essere pulito (ora mi fa sorridere questa mia certezza!) ho disinstallato spybotS&D e ho corretto il registro con più sw adibiti. Non vorrei fare confusione, ma da questo momento, mi sembra essersi presentato il problema.

    Infine rispondo a R16:
    Ricordo di aver già fatto una scansione, di cui questo era il log:

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Status check on 13/04/2010 at 20.38.52,01

    Account attivo No
    Appartenenze al gruppo locale

    ~~ Checking mbr ~~

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spcv.sys >>UNKNOWN [0x8A6BA938]<<
    kernel: MBR read successfully
    user & kernel MBR OK

    ~~ Checking for termsrv32.dll ~~

    termsrv32.dll not found


    HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\termservice\parameters
    ServiceDll REG_EXPAND_SZ %SystemRoot%\System32\termsrv.dll

    ~~ Checking profile list ~~

    No HelpAssistant profile in registry

    ~~ Checking for HelpAssistant directories ~~

    none found

    ~~ Checking firewall ports ~~

    [HKLM\~\services\sharedaccess\parameters\firewallpo licy\domainprofile\GloballyOpenPorts\List]

    [HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]


    ~~ EOF ~~

    In ogni caso, proverò a fare entrambe le scansioni che mi hai suggerito... ma dove hai trovato quel frammento di codice che hai postato? Dal mio registro?

    GRAZIE A TUTTI (scusate se ho urlato!)
    A@P

  10. #30
    Utente di HTML.it
    Registrato dal
    May 2010
    Messaggi
    1,024
    ma dove hai trovato quel frammento di codice che hai postato? Dal mio registro?
    Dal log di Systemscan.

    In ogni caso, secondo il log di a-squared, sei infetto anche dal Worm Bagle .
    Questo, in teoria, non dovrebbe farti scaricare nessun software di difesa.
    Disattiva il Ripristino configurazione sistema.
    Prova a fare una scansione con questo programma:
    Scarica Findykill:
    http://pagesperso-orange.fr/NosTools...ne29/Setup.exe
    installa FindyKill .
    chiudi tutte le eventuali applicazioni aperte (antivirus, firewall e programmi "residenti")
    disconnettiti da Internet
    sconnetti, fisicamente, il modem dal computer.
    avvia il tool e digita F per impostare la lingua;
    clicca su 2 - Suppression des fichiers infectieux (Eliminazione dei file infetti)
    al termine dell'operazione verrà rilasciato un log: salvalo sul Desktop, e postalo qui.(se non lo trovi sul desktop, lo trovi in C:\FindyKill.txt)
    P.S:
    Potranno esserci dei riavvii, non preoccuparti, è il programma che stà lavorando.

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2020 vBulletin Solutions, Inc. All rights reserved.