Virus, Trojan o cosa??

[einj]

Ieri ho formattato un pc e ci ho messo win2000, stavo finendo di installare tutti i programmi ed ho avuto la malagurata idea di connettermi a internet per scaricare la posta senza aver ancora installato il firewall (Sygate) tanto mi son detto per 30 sec che vuoi che succeda?? beh pare siano bastati perchè succedesse qualcosa di strano...windows ha segnalato un errore al scvhost.exe e che lo chiudeva, al momento la cosa mi è parsa strana visto msblast cosi ho chiuso la connessione internet ed ho riavviato...ho messo il firewall, e controllato con il tool della symantec di nn avere preso il blast e mi ha segnalato che il sistema è pulito...però ogni 20ina di minuti il firewall mi segnala tentativi di accesso al file ntkrnl.exe da parte di un indirizzo di rete 192.168.0.25 che genera traffico UDP sulle porte 137 o 138 (d0vrebbero essere quelle del netbios mi pare)...pensavo di essermi beccato un altro virus strano o un trojan, ma secondo i miei check con Nortona Antivirus aggiornato a ieri, l'antivirus online della TrendMicro HouseCall, Spybot e The Cleaner nn ci sono ospiti indesiderati sul mio pc...che cavolo è che cerca di connettersi al kernel? è il kernel ormai infetto che cerca di connettersi a qualche altra macchina?? anche netstat da shell nn segnala cose strane....mi son pure spulciato tutti i iprocessi attivi e le chiave di registro in RUN...nulla di nulla...voi sapete dirmi che cavolo è? mi tocca riformattare per essere sicuro??

[gennaro12]

Originariamente inviato da einj
Ieri ho formattato un pc e ci ho messo win2000, stavo finendo di installare tutti i programmi ed ho avuto la malagurata idea di connettermi a internet per scaricare la posta senza aver ancora installato il firewall (Sygate) tanto mi son detto per 30 sec che vuoi che succeda?? beh pare siano bastati perchè succedesse qualcosa di strano...windows ha segnalato un errore al scvhost.exe e che lo chiudeva, al momento la cosa mi è parsa strana visto msblast cosi ho chiuso la connessione internet ed ho riavviato...ho messo il firewall, e controllato con il tool della symantec di nn avere preso il blast e mi ha segnalato che il sistema è pulito...però ogni 20ina di minuti il firewall mi segnala tentativi di accesso al file ntkrnl.exe da parte di un indirizzo di rete 192.168.0.25 che genera traffico UDP sulle porte 137 o 138 (d0vrebbero essere quelle del netbios mi pare)...pensavo di essermi beccato un altro virus strano o un trojan, ma secondo i miei check con Nortona Antivirus aggiornato a ieri, l'antivirus online della TrendMicro HouseCall, Spybot e The Cleaner nn ci sono ospiti indesiderati sul mio pc...che cavolo è che cerca di connettersi al kernel? è il kernel ormai infetto che cerca di connettersi a qualche altra macchina?? anche netstat da shell nn segnala cose strane....mi son pure spulciato tutti i iprocessi attivi e le chiave di registro in RUN...nulla di nulla...voi sapete dirmi che cavolo è? mi tocca riformattare per essere sicuro??

Ciao
ma visto com'è ti consiglio di riformattare ora,visto che è fresco, ti perdi un ora e sei sicuro magari se tralasci continui a portarti dietro un problema cha ti aggravera la situazione....
ciao ciao
ge

[einj]

infatti è la soluzione più probabile, volevo solo scoprire qual'era il colpevole per curiosità..

[tia86]

192.168.0.25 è un indirizzo privato.
nn è ke hai installato una sheda di rete (o sei in una lan)?
se si è normale traffico di rete




ciao

[einj]

si ho due pc in rete però l'ip dell'altro pc è 192.168.0.2 ed il pc ieri sera se nn ricordo male era spento :master:

[tia86]

Originariamente inviato da einj
si ho due pc in rete però l'ip dell'altro pc è 192.168.0.2 ed il pc ieri sera se nn ricordo male era spento :master:

se il tuo ha ip 192.168.0.25 è tutto normalissimo.
netbios fa un broadcasting (all'ip 255.255.255.255) con la porta 137 per sapere quali pc sono online e per far sapere agli altri ke ci sei.

[einj]

Infatti ho scoperto che il problema è di qualche incompatibilità tra windows2000 ed il mio firewall sygate 5.0...per essere sicuro ho formattato reinstallato tutto (sta volta senza andare online) e dopo 5 minuti il firewall mi segnala l'accesso ad un file di sistema bloccato...ho sull'altra macchina in rete win2000 sp4 e nn mi ha mai dato nessun problema, su questo ho win2000 liscio e mi da questi accessi bloccati dalla rete :master: