tentativi di intrusione

[ThUnDeR201]

Ciao a tutti, scusate se apro un nuovo post ma non sono riuscito a trovare una risposta negli altri. Ecco il mio indovinello: dalla relazione del mio antivirus riscontro che da qualche giorno ho dei continui attacchi da parte di due IP come segue:


Rapporto incidenze di Panda Platinum 2005 Internet Security.
Filtro selezionato:Virus rilevato, File sospetto, File pericoloso, Esecuzione script, Connessione telefonica, Tentativo di connessione, Attacco a scansione delle porte, Attacco alla disponibilità servizi (DoS), Spoofing, Blocco indirizzo IP attaccante, Attivato, Disabilitazione, Aggiornamento, Scansione avviata, Analisi terminata, Data: tutte
INCIDENZA NOTIFICATA DA DATA - ORA RISULTATO INFORMAZIONI ADDIZIONALI
Tentativo di connessione Protezione sul Firewall 02/15/07 08:35:27 Bloccato IP di origine: 130.244.127.169
Tentativo di connessione Protezione sul Firewall 02/15/07 08:35:26 Bloccato IP di origine: 212.151.136.246
Tentativo di connessione Protezione sul Firewall 02/15/07 08:35:26 Bloccato IP di origine: 130.244.127.169
Questi sono gli ultimi report....preciso che grazie ad Andorra24 ho eliminato un Trj Rizalof VN/VV ma presumo che qualcosa sia ancora rimasto visto questi continui attacchi, neutralizzati dal firewall.

Ora cosa sta accdendo secondo voi? Per scupolo allego l'ultimo log file di HiJackthis:

Logfile of HijackThis v1.99.1
Scan saved at 22.54.35, on 15/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe
C:\Programmi\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe
C:\Programmi\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe
C:\Programmi\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Panda Software\Panda Platinum 2005 Internet Security\apvxdwin.exe
C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe
C:\Programmi\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe
C:\Programmi\Panda Software\Panda Platinum 2005 Internet Security\AVENGINE.EXE
C:\Programmi\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe
C:\Programmi\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe
C:\Programmi\IObit\Advanced WindowsCare V2 Pro\Awc.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
C:\Programmi\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmi\Panda Software\Panda Platinum 2005 Internet Security\SRVLOAD.EXE
C:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Panda Software\Panda Platinum 2005 Internet Security\WebProxy.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\alenadia\IMPOST~1\Temp\Rar$EX00.735\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Advanced WindowsCare V2 Pro] "C:\Programmi\IObit\Advanced WindowsCare V2 Pro\Awc.exe" /startup
O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Programmi\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe"
O4 - HKCU\..\Run: [ccleaner] "C:\Programmi\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programmi\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1F07841-6F02-4D9E-9430-3C3A3107F5B5}: NameServer = 212.151.136.246 130.244.127.169
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: PAVWAIT.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Panda Antispam Server Service (PASSRV) - Unknown owner - C:\Programmi\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Programmi\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Programmi\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe
O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Programmi\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe
O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Programmi\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programmi\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Programmi\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Programmi\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programmi\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Aggiungo inoltre che ho gia spazzolato via anche con Killbox quello che rimaneva del Trj....

Ringrazio anticipatamente chi mi saprebbe dare una risposta e se fosse un aiuto.
Ciao

[andorra24]

Ciao, il log è pulitissimo. Per quanto riguarda gli attacchi è normale subire degli attacchi o dei portscan quando si è in internet e il compito del firewall è proprio quello di respingere gli attacchi ed evitare le infiltrazioni. Quindi direi di non preoccuparti. Eventualmente fai una scansione con superantispyware per sicurezza:

http://www.superantispyware.com/downloa ... PYWAREFREE

[ThUnDeR201]

Grazie per la risposta e provo a scaricare il programma....la cosa che mi suonava strana è questa stringa
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1F07841-6F02-4D9E-9430-3C3A3107F5B5}: NameServer = 212.151.136.246 130.244.127.169
che avevo cancellato prima ancora di inviare il log file a voi e a seguito di ciò avevi trovato il troian.
La stringa infatti contiene i due IP da dove continuano a partire gli attacchi di intrusione quindi ecco il perchè del mio quesito.
Grazie ancora per la disponibilità.
Ciaoooooooooooooooooo

[andorra24]

Grazie per la risposta e provo a scaricare il programma....la cosa che mi suonava strana è questa stringa
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1F07841-6F02-4D9E-9430-3C3A3107F5B5}: NameServer = 212.151.136.246 130.244.127.169
che avevo cancellato prima ancora di inviare il log file a voi e a seguito di ciò avevi trovato il troian.
La stringa infatti contiene i due IP da dove continuano a partire gli attacchi di intrusione quindi ecco il perchè del mio quesito.
Grazie ancora per la disponibilità.
Ciaoooooooooooooooooo

Quella voce O17 riguarda i DNS di Tele2 che presumo sia il tuo provider. Se Tele2 è il tuo provider non devi eliminare la voce.