Zone Alarm e configurazione

[gif]

Vorrei configurare al meglio il mio Zone Alarm in modo da non avere problemi quando entro nei siti, voglio fare un download, voglio usare Emule e via dicendo...
Per il momento quello che sto facendo e avviato il programma che voglio usare, per esempio emule, alla domanda da parte del firewall di bloccare o dare il permesso al software di connettersi, rispondo, si...
pero per esempio non mi scarica i files fino aquando non blocco il firewall, e nemmeno da internet se voglio salvare dei files non me lo permette.
Un'ultima cosa: questi .exe sono dei programmi che cercano di collegarsi ad internet nel momento in cui io mi connetto sapete dirmi cosa sono (alcuni li conosco ma non tutti):

inetinfo.exe
svchost.exe
dllmem32.exe
spoolsv.exe
tmproxy.exe

[Cinder]

Inetinfo.exe e svchost.exe e spoolsv.exe sono file appartenenti ad XP

Tmproxy.exe dovrebbe riguardare L'antivirus PC -Cillin e il suo percorso è:
C:\Program Files\Trend Micro\PC-cillin 2003\tmproxy.exe .

Gif il problema è questo file cioe dllmem32.exe che dovrebbe essere Backdoor tankedoor. Vai al link che ti posto all fine è controlla per bene le chiavi di registro che inserisce. Se trovi valori del genere nel registro :

DLL32"="%System%dllmem32.exe" e Shell"="Explorer.exe %System%dllmem32.exe

ed accertato che il problema è questo procedi pure all'eliminazione seguendo le istruzioni. Se hai problemi posta pure.

http://securityresponse.symantec.com...tankedoor.html

[Cinder]

Gif puoi benissimo fare una scansione online su symantec per verificare se sei infetto con quella backdoor .Tiene presente che la posizione delle chiavi di registro caricate dalla backdoor dipende dal sistema operativo che usi

[gif]

andato sul regedit e ho seguito il percorso citato dal link Host...>Windows>Run cliccato due volte su ogni chiave e non ho notato nulla di strano, nelle chiavi era presente solo il percorso dei file.
ora non riesco a capire perche il mio pc cillin non abbia scovato il virus, sempre se lo e!
cmq questo backdoor cosa sarebbe in grado di fare?

[Cinder]

Gif ascoltami vai in questa chiave di registro(hai XP giusto? o mi sbaglio)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Nella cartella Win Logon troverai un icona con associato il valore

"Shell"="Explorer.exe %System%dllmem32.exe"

Doppio clic su quell'icona cancella la parte %System%dllmem32.exe",conferma con ok nella finestra

la chiave dovrà apparire cosi:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell"="Explorer.exe "

Ora devi eliminare il file dllmem32.exe,cercalo ed eliminalo se non te lo permette con XP in esecuzione riavvia in modalità provvisoria elimina il file e non dimenticare di apportare quella modifica alla chiave di sopra. Riavvia il pc normalmente e fai aasolutamente una scansione ONLINE. Fammi sapere come è andata

[Cinder]

C'è un errore nel post precedente. Nella cartella Win Logon troverai un icona chiamata shell con associato a destra il famoso valore.

Dopo le tue modifiche esci dalla cartella ritornaci e la chiave ti dovra apparire così

HKEY_LOCAL_MACHINE\Software\Microsoft\Wi
ndows NT\CurrentVersion\Winlogon

Shell=Explorer.exe (l'ho appena visto nel registro di un XP :gren: )

[gif]

gia proprio come dicevi
quella riga era li!

ora potresti spiegarmi cosa fa quel file e come me lo potrebbero aver inviato?

[Cinder]

Gif comprendo benissimo la tua diffidenza iniziale, ti sarai chiesto ma come ho il mio bel pc-cillin 2003 e Cinder mi dice che ho una backdoor trojan in esecuzione. Sei venuto a chiedere come configurare un firewall e ti sei ritrovato a dover eliminare questo problema. Pensaci un attimo Gif, se tu non avessi postato il nome di quel file ora magari ti saresti ritrovato sì un firewall ben settato ma anche(ed ecco le spiegazioni che volevi) un accesso non autorizzato al tuo pc sul groppone. Una porta aperta verso il tuo pc(tramite canale IRC) che molto probabilmente avrebbe avuto vita lunga visto che il tuo antivirus non lo ha mai intercettato(mentre il firewall si,infatti ti ha indicato che il file voleva connettersi ad internet). La backdoor in questione che una volta in esecuzione si finge un falso servizio di Windows è stata scoperta il 4 aprile per cui se il tuo antivirus è aggiornato con definizioni precedenti a tale data(ma ne dubito fortemente)si spiega il perchè non è stata rilevata. Ma se il tuo AV è aggiornato come io penso con le ultime definizioni allora significa che devi assolutamente cambiarlo in quanto esso si è fatto ingannare da uno dei cosidetti programmi di compressione di back e trojan, i quali appunto hanno lo scopo di mascherare la vera natura di questi codici pericolosi rendendo quindi difficile la rilevazione da parte dell'AV. Gif mi devo fermare qui con le spiegazioni quindi se non l'hai già fatto oltre a ripristinare quella chiave elimina immediatamente quel file dllmem32.exe dal tup pc e se non te lo premette fallo da modalità provvisoria

Ogni tanto fai scansioni online non fidarti ciecamente del AV sul pc
e non aprire file allegati di cui non conosci la provenienza

[gif]

ok, mi diresti da che link e possibile fare scansioni online?
il problema del mio pc cillin e che non mi fa piu l'udate, mi dice errore del proxy ecc..!! ma come mai???
cmq io non scarico mai dal mirc inoltre l'avro usato in tutto un paio di volte com'e possibile che mi sono beccato quel file?
Ultima cosa un backdoor che potenzialita ha?
Cosa puo fare il Cogl***cello di turno sul mio pc?Scaricasi file vedere roba.. ecc?

[Cinder]

Vai a questa pagina

http://security.symantec.com/ssc/hom...JUIYCZRWEJGSSK

Clicca sul link scansione virus, ti verra chiesto di scaricare un controllo active x, accetta il download di quel file(te lo chiederà un paio di volte e tu risponderai sempre si) dopodiche comincierà la scansione del PC.

Gif se il tuo AV non può piu aggiornarsi(a causa di quell'errore) cambialo subito e mettine un altro, proprio per tale motivo ti sei beccato la backdoor anche se hai solo effettuato pochissimi download., ne sarebbe potuto bastare anche uno solo.

Ecco un paio di link per AV free e aggiornabili

www.avast.com
www.free-av.com/


Riguardo alla tua ultima domanda beh ci sono più backdoor e ciascuna meriterebbe una trattazione a parte. Nel tuo caso(bakdoor trojan) con l'IP notify tramite IRC(se settato) il coglione ad ogni tuo accesso ad internet riceveva nella posta un messaggio che lo avvertiva della tua connessione alla rete e relativo indirizzi IP. Se la backdoor era dotata anche di funzioni(su symantec non dice molto sulle caratteristiche)Keys/Messages e Fun Manager il coglio sapeva pure ciò che digitavi sulla tastiera , si poteva fare tanto di print screen del tuo desktop(una foto del tuo desktop)ecc...Ora è inutile scervellarsi su ste cose devi solo garantirti più sicurezza sul pc
tenedo l'antivirus sempre aggiornato, ed abbinarlo anche con un antitrojan(sempre aggiornato)

Qui trovi anche degli antitrojan, programmi specifici da abbinare all'antivirus per avere doppia protezione contro questi codici pericolosi.

Gif ora hai tutti gli strumenti necessari, datti da fare cambia AV, installa un antitrojan e fai la scansione online, in bocca al lupo