Qualcuno si è intromeso nella LAN

[Discolo]

La mia ditta ha una LAN paritaria con 4 pc (2 WinXP PE, 1 Win XP HE, 1 WIn98SE)
che accedono a internet attraverso la LAN.
Abbiamo ricevuto un'email di un tale che si lamentava di ricevere filmati pornografici dal nostro indirizzo. Era scritta cosi' bene che l'abbiam presa sul serio. E così, da bravi fessi, siamo anche andati sul sito da loro indicato (www.spywarekillersite.com).

Non abbiamo installato nulla, tuttavia pare che gli sia bastata la "visita".
Infatti da quel momento il pc Win98SE, quello che ha visitato il sito, praticamente non riesce piu' ad accedere più alla rete.
Pare come se si prendano tutta la banda disponibile.
Non credo proprio che ciò dipenda da spyware o virus, perché ho ripristinato pochi minuto fa il sistema con una precedente immagine fatta con ghost, ma non è cambiato proprio nulla .
Ho provato a cambiare anche l'ultima delle quattro cifre dell'indirizzo IP, ma anche questo non è servito.
Allora ho disconnesso fisicamente il pc dalla rete, almeno non gli permetto di fare i loro comodi.

che devo fare?

[Habanero]

http://forum.html.it/forum/showthrea...readid=1062286

[Discolo]

Ora il pc win98 non è più in rete con gli altri, né accede a internet.

Ho scaricato e fatto una scansione con Hijack this, riporto il risultato:

Logfile of HijackThis v1.99.1
Scan saved at 11.12.50, on 09/12/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\RAMPAGE\RAMPAGE.EXE
C:\PROGRAMMI\ACCESSORI\REALPOPUP\REALPOPUP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [RAMpage] "C:\Programmi\RAMpage\RAMpage.exe" U=2 M=16 T=16 P="C:\Programmi\RAMpage\RAMpageConfig.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [RealPopup] "C:\PROGRAMMI\ACCESSORI\REALPOPUP\REALPOPUP.EX E" BOOT
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Controllo AcPreview) - file://C:\Programmi\AutoCAD LT 2002 Ita\AcPreview.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Controllo AcDc oggi) - file://C:\Programmi\AutoCAD LT 2002 Ita\AcDcToday.ocx
O16 - DPF: {AE563729-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programmi\AutoCAD LT 2002 Ita\InstBanr.ocx
O16 - DPF: {1F831FA9-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programmi\AutoCAD LT 2002 Ita\InstFred.ocx
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://paschiinazienda.mps.it/RBLit...ol/xenroll.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://stat.trafficadvance.net/dialer/303943.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as/asinst.cab
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk/download/netradio/Rawflow.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.106.1.1,193.205.1.1

[Discolo]

Stamattina ho provato a vedere se fosse cambiato qualcosa: negativo.
In compenso è comparsa una stranezza:

ora i file txt vengono visualizzati con l'icona del calendario. virus?

[Discolo]

allegato

[Habanero]

elimina:

O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://stat.trafficadvance.net/dialer/303943.exe



Per le icone prova a cancellare il file:

c:/windows/ShellIconCache

e poi riavvia il sistema.

Usi ancore IE5.5.
Per ragioni di sicurezza non sarebbe male aggiornarlo alla versione 6 oppure usare un altro browser.

[Discolo]

suggerimento seguito, ora funzia di nuovo, grazie!

se permetti avrei una domanda:
HijackThis descrive l'oggetto che ho eliminato come un qualcosa che viene caricato in automatico ogniqualvolta si lancia explorer.
Dunque dovrebbe risiedere in C:\windows, giusto? o cmq nella partiz di sistema, in C:

Ma allora, perché non è stato eliminato quando ho fatto il ripristino del sistema con ghost?

Un'altra cosa: ho cancellato anche il file relativo allo scambio di icone, ma che relazione può avere questa anomalia - che non era mai accaduta prima - con il problema del dialer?
E' solo una coincidenza?

[Discolo]

L'accesso alla rete è ripristinato, ma risulta rallentato rispetto a prima. Da cosa può dipendere?

[Discolo]

L'accesso a internet è davvero ancora problematico:

spesso è lentissimo nel rilevare il sito (anche quello impostato come pagina iniziale)
se ne sta fermo anche 20-30 secondi (vedi gli allegati)

molto spesso si blocca nel caricamento di una pagina (anche queste del forum di html.it):
devo interrompere e ripetere il comando di caricamento.

Non c'è differenza nell'uso di explorer o Firefox (che usavo anche prima di incappare in questo fastidioso problema)

Quali altre cause ci sono?
Ricordo che tutto questo lo devo all'aver portato il browser all'indirizzo indicato sopra.

[Discolo]

allegato