Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Computer bloccato dopo pochi minuti connessione adsl

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Postdi BilloKenobi » 09/06/07 14:51

ti rispondo in private perchè qui oramai non è più il posto adatto
Begun the Clone War has

Sì sì, mi hanno fatto redattore --- SuspectFile
BilloKenobi
Utente Senior
 
Post: 348
Iscritto il: 08/07/06 11:05

Sponsor
 

Postdi Mikizo » 09/06/07 15:36

Non scadiamo nel flame, per favore.

@ edo_aol, a prescindere dalla questione in se', appellare qualcuno il cui nome è stampato a chiare lettere con un "come si chiama" è ben poco educato.

@ BilloKenobi, non farti prendere da mano, e lascia che i moderatori facciano il proprio lavoro (ti assicuro che tutto viene letto e valutato).
Una cosa è che la critica arrivi dallo staff, un'altra che la faccia un altro utente e con termini non proprio pacati.
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Postdi FilippoDT » 21/06/07 23:13

Salve a tutti.
Chiedo scusa per il ritardo nella risposta, purtroppo il titolare del pc è stato via per lavoro parecchi giorni.
Il risultato di Findawf è il seguente:

Find AWF report by noahdfear ©2006

bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 9092-B70A

Directory di C:\PROGRA~1\MESSEN~1\BAK

0 File 0 byte
2 Directory 56.399.634.432 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 9092-B70A

Directory di C:\PROGRA~1\QUICKT~1\BAK

07/06/07 20.53 23.568 qttask.exe
1 File 23.568 byte
3 Directory 56.399.634.432 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 9092-B70A

Directory di C:\PROGRA~1\SUPERA~1\BAK

23/05/07 10.12 1.314.816 SUPERAntiSpyware.exe
1 File 1.314.816 byte
2 Directory 56.399.630.336 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 9092-B70A

Directory di C:\PROGRA~1\ALWILS~1\AVAST4\BAK

30/04/07 17.42 75.392 ashDisp.exe
1 File 75.392 byte
2 Directory 56.399.630.336 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 9092-B70A

Directory di C:\PROGRA~1\QUICKT~1\BAK\BAK

15/10/03 20.50 77.824 qttask.exe
1 File 77.824 byte
2 Directory 56.399.630.336 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 9092-B70A

Directory di C:\PROGRA~2\D-LINK\DSL-200\BAK

26/11/04 06.05 16.384 dslagent.exe
26/11/04 06.05 356.352 dslstat.exe
2 File 372.736 byte
2 Directory 56.399.630.336 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 9092-B70A

Directory di C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\BAK

27/05/03 05.08 99.840 E_S10IC2.EXE
25/11/03 05.00 99.840 E_S4I0R2.EXE
2 File 199.680 byte
2 Directory 56.399.630.336 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

23568 15 May 2007 "C:\Programmi\QuickTime\qttask.exe"
23568 7 Jun 2007 "C:\Programmi\QuickTime\bak\qttask.exe"
77824 15 Oct 2003 "C:\Programmi\QuickTime\bak\bak\qttask.exe"
23568 15 May 2007 "C:\Programmi\QuickTime\qttask.exe"
23568 7 Jun 2007 "C:\Programmi\QuickTime\bak\qttask.exe"
77824 15 Oct 2003 "C:\Programmi\QuickTime\bak\bak\qttask.exe"
23568 7 Jun 2007 "C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe"
1314816 23 May 2007 "C:\Programmi\SUPERAntiSpyware\bak\SUPERAntiSpyware.exe"
75392 30 Apr 2007 "C:\Programmi\Alwil Software\Avast4\ashDisp.exe"
75392 30 Apr 2007 "C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe"
23568 15 May 2007 "C:\Programmi\QuickTime\qttask.exe"
23568 7 Jun 2007 "C:\Programmi\QuickTime\bak\qttask.exe"
77824 15 Oct 2003 "C:\Programmi\QuickTime\bak\bak\qttask.exe"
23568 7 Jun 2007 "C:\Program Files\D-Link\DSL-200\dslagent.exe"
16384 26 Nov 2004 "C:\Program Files\D-Link\DSL-200\bak\dslagent.exe"
23568 7 Jun 2007 "C:\Program Files\D-Link\DSL-200\dslstat.exe"
356352 26 Nov 2004 "C:\Program Files\D-Link\DSL-200\bak\dslstat.exe"
99840 27 May 2003 "C:\WINDOWS\system32\spool\drivers\w32x86\E_S10IC2.EXE"
23568 7 Jun 2007 "C:\WINDOWS\system32\spool\drivers\w32x86\3\E_S10IC2.EXE"
99840 27 May 2003 "C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_S10IC2.EXE"
99840 25 Nov 2003 "C:\WINDOWS\system32\spool\drivers\w32x86\E_S4I0R2.EXE"
23568 7 Jun 2007 "C:\WINDOWS\system32\spool\drivers\w32x86\3\E_S4I0R2.EXE"
99840 25 Nov 2003 "C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_S4I0R2.EXE"

end of report

In attesa di ulteriori indicazioni e commenti invio a tutti cordiali saluti.
Filippo
FilippoDT
Utente Junior
 
Post: 16
Iscritto il: 08/06/07 19:48

Postdi Luke57 » 25/06/07 09:53

Ciao, se non l'hai scarica avenger sul desktop.
http://swandog46.geekstogo.com/avenger.zip
scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla (ctl+v)le scritte in neretto:

files to move:
C:\Programmi\SUPERAntiSpyware\bak\SUPERAntiSpyware.exe | C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\D-Link\DSL-200\bak\dslagent.exe | C:\Program Files\D-Link\DSL-200\dslagent.exe
C:\Program Files\D-Link\DSL-200\bak\dslstat.exe | C:\Program Files\D-Link\DSL-200\dslstat.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_S10IC2.EXE | C:\WINDOWS\system32\spool\drivers\w32x86\3\E_S10IC2.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_S4I0R2.EXE | C:\WINDOWS\system32\spool\drivers\w32x86\3\E_S4I0R2.EXE







Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Il programma rilascia un log con le operazioni eseguite.

Posta il log di Avenger (C:/avenger.txt) con l´esito dello script.

Cancella questa cartella bak:
C:\Programmi\Alwil Software\Avast4\bak

Apri hijackthis, premi "do a system scan only", cderchi e spunti le voci 015, se presenti
premi fix checked.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi FilippoDT » 25/06/07 13:55

Ciao, grazie dei preziosi suggerimenti, spero di avere i risultati per questa sera stessa.
Grazie infinite per l'aiuto a presto.
Saluti, FilippoDT
FilippoDT
Utente Junior
 
Post: 16
Iscritto il: 08/06/07 19:48

Postdi Luke57 » 25/06/07 15:13

FilippoDT ha scritto:Ciao, grazie dei preziosi suggerimenti, spero di avere i risultati per questa sera stessa.
Grazie infinite per l'aiuto a presto.
Saluti, FilippoDT

Ciao, poi disistalla quicktime (ci sono versioni infette ripetute di cui non riesco a capire qual è quella buona), al limite lo reistalli una volta ripulito tutto.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi FilippoDT » 25/06/07 17:06

Ok grazie per l'indicazione, ho appuntamento con il proprietario del pc per le 20 e in quell'occasione farò tutto. A presto con i nuovi risultati, grazie per l'aiuto e cordiali saluti.
FilippoDT
FilippoDT
Utente Junior
 
Post: 16
Iscritto il: 08/06/07 19:48

Postdi FilippoDT » 25/06/07 19:10

Salve, ecco il log di avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vyvyufvh

*******************

Script file located at: \??\C:\WINDOWS\System32\vgcgjwyb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File move operation C:\Programmi\SUPERAntiSpyware\bak\SUPERAntiSpyware.exe|C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe completed successfully.
File move operation C:\Program Files\D-Link\DSL-200\bak\dslagent.exe|C:\Program Files\D-Link\DSL-200\dslagent.exe completed successfully.
File move operation C:\Program Files\D-Link\DSL-200\bak\dslstat.exe|C:\Program Files\D-Link\DSL-200\dslstat.exe completed successfully.
File move operation C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_S10IC2.EXE|C:\WINDOWS\system32\spool\drivers\w32x86\3\E_S10IC2.EXE completed successfully.
File move operation C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_S4I0R2.EXE|C:\WINDOWS\system32\spool\drivers\w32x86\3\E_S4I0R2.EXE completed successfully.

Completed script processing.

*******************

Finished! Terminate.

Dopo aver eseguito tutte le operazioni suggerite ho provato la connessione ma il problema del blocco del pc si è ripresentato. Ho fatto una scansione con HijackThis ed erano comparse delle entry che contenevano indirizzi IP mai visti prima, uno dei quali è:
85.37.17.14

Usando sempre HijackThis ho rimosso la voce interessata e adesso sto provando a vedere che succede.
Nel frattempo avast continua a riportare un attacco DCOM exploit da vari indirizzi IP, tipo 87.2.113.180.

In attesa di ulteriori suggerimenti ringrazio per la cortese attenzione e invio cordiali saluti.
FilippoDT
FilippoDT
Utente Junior
 
Post: 16
Iscritto il: 08/06/07 19:48

Postdi FilippoDT » 25/06/07 19:18

Scusate il fiume di messaggi ma ritengo opportuno sottolineare quanto segue: la scansione attuale con hijackthis è:

Logfile of HijackThis v1.99.1
Scan saved at 20.16.48, on 25/06/07
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\D-Link\DSL-200\dslstat.exe
C:\Program Files\D-Link\DSL-200\dslagent.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOCUME~1\Santin\IMPOST~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O5 "LPT1:" /M "Stylus C86"
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\Aethra\ADSL EB1070 USB\CnxTrApp.dll",AppEntry -REG "Aethra\ADSL EB1070 USB"
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\D-Link\DSL-200\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\D-Link\DSL-200\dslagent.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/house ... hcImpl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{200A510F-4A6C-43DD-9D6F-FF24A026AB69}: NameServer = 85.37.17.14 85.38.28.78
O17 - HKLM\System\CS3\Services\Tcpip\..\{200A510F-4A6C-43DD-9D6F-FF24A026AB69}: NameServer = 85.37.17.14 85.38.28.78
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\Sptisrv.exe

tuttavia, prima di aprire la connessione, le due entry

O17 - HKLM\System\CCS\Services\Tcpip\..\{200A510F-4A6C-43DD-9D6F-FF24A026AB69}: NameServer = 85.37.17.14 85.38.28.78
O17 - HKLM\System\CS3\Services\Tcpip\..\{200A510F-4A6C-43DD-9D6F-FF24A026AB69}: NameServer = 85.37.17.14 85.38.28.78

non c'erano! Può voler dire qualcosa? In attesa di riscontro invio (di nuovo) cordiali saluti!
FilippoDT
FilippoDT
Utente Junior
 
Post: 16
Iscritto il: 08/06/07 19:48

Postdi FilippoDT » 25/06/07 21:00

Salve ancora, in merito alle due entry mi sono documentato un po' e ho scoperto quanto segue:
http://www.nonsolonews.it/thread-147-0- ... tringa.htm

A quanto pare non dovrebbero essere niente di strano (DNS di Alice?)
Scusate la confusione è che non vedo l'ora di risolvere questo problema!
Grazie per l'attenzione e saluti.
FilippoDT
FilippoDT
Utente Junior
 
Post: 16
Iscritto il: 08/06/07 19:48

Postdi Luke57 » 26/06/07 15:29

Ciao, verifica inserendo l'IP qui, prima l'uno 85.37.17.14 , poi l'altro 85.38.28.78 ( sono della Telecom, comunque ;) )

http://www.ripe.net/whois
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi FilippoDT » 26/06/07 16:08

Si, corrispondono a Telecom come avevo intuito dal link che avevo riportato. Però il problema rimane. Hai ulteriori idee per caso?
Grazie per la pazienza e saluti.
FilippoDT
FilippoDT
Utente Junior
 
Post: 16
Iscritto il: 08/06/07 19:48

Postdi Luke57 » 26/06/07 16:55

Ciao, scarica systemscan,
http://www.suspectfile.com/systemscan
estrailo, avvialo, metti la spunta a tutte le voci e premi "Scan". Poi vai su http://www.easy-share.com e metti lì il suo log (che trovi in C:\suspectfile\report.txt). Poi inserisci il link per scaricarlo (solo quello per scaricarlo, non quello per eliminarlo dal sito di hosting)
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi FilippoDT » 26/06/07 17:01

Lo farò senz'altro, entro venerdì sera avrò i risultati.
Grazie infinite per la pazienza e l'impegno, cordiali saluti!
FilippoDT
FilippoDT
Utente Junior
 
Post: 16
Iscritto il: 08/06/07 19:48

Postdi FilippoDT » 29/06/07 19:41

Salve, il risultato dell'ultimo suggerimento si trova qui
http://w13.easy-share.com/1264909.html

Grazie per l'aiuto e per la pazienza, cordiali saluti.
FilippoDT
FilippoDT
Utente Junior
 
Post: 16
Iscritto il: 08/06/07 19:48

Postdi Luke57 » 29/06/07 22:00

Ciao, è illeggibile anche per Billo, inserisci il file .zip che trovi nella cartella C:\suspect.file.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi FilippoDT » 30/06/07 09:52

Salve, provvederò entro stasera al recupero del file che mi hai chiesto.
Intanto, supponendo che l'illeggibilità sia legata alla visualizzazione, ho provato a salvare il un file di word il testo di ieri. Qui da me si legge bene, l'ho caricato
http://w13.easy-share.com/1267448.html
nella speranza che possa essere utile.
In ogni caso grazie per la pazienza e per il costante aiuto.
A presto, Filippo
FilippoDT
Utente Junior
 
Post: 16
Iscritto il: 08/06/07 19:48

Postdi Dincibacco » 18/12/07 18:00

Salve a tutti, mi sono appassionato a leggere questo topic, ma arrivato alla fine.......non ho trovato una fine!!
Purtroppo ho lo stesso problema di FilippoDT, ovvero il computer funziona benissimo in modalità offline e per i primi 20 minuti di connessione. Al ventesimo minuto la connessione rimane attiva ma non trasmette più nessun pacchetto e il computer va in palla. Non posso più aprire firefox, il task manager, oppure spegnerlo o riavviare.
Questo accade sia con il mio computer sia con un portatile che mi sono fatto prestare.
Ho notato che questo problema è iniziato qualche giorno fa, quando la velocità di connessione è passata dai 4Mbps ai 5.1Mbps.
Ho un modem ericsson hm 120 dp usb. Fra qualche giorno proverò un altro modem per vedere se il problema sussiste.
Intanto vorrei sapere se qualcuno ha qualche idea e se FilippoDT era riuscito a risolverlo.
Grazie!
Dincibacco
Newbie
 
Post: 2
Iscritto il: 18/12/07 17:39

Postdi FilippoDT » 18/12/07 20:25

Ciao guarda io avevo osservato questo fenomeno: con il modem che aveva il tipo tutto si piantava, con il mio dlink dsl 200 no. Dato che tutti gli interventi (ragionevoli eh, ci mancherebbe) che erano stati suggeriti non avevano prodotto miglioramenti io avevo suggerito al tipo di cambiare il modem (era delle Telecom, in comodato). Per tutta risposta lui ha formattato e il problema adesso sembra risolto. Quindi posso tranquillamente dire che il problema secondo me non è stato risolto. Spero che a te vada meglio ;) Ciao!!
FilippoDT
Utente Junior
 
Post: 16
Iscritto il: 08/06/07 19:48

Postdi Dincibacco » 19/12/07 12:46

Ho capito, grazie mille.
Ho una rettifica da fare: il blocco avviene anche se non attivo la connessione. Basta che il modem sia inserito e dopo 20 minuti si blocca tutto.
Se avvio windows senza modem inserito, tutto bene.
Per quel che sono riuscito a capire finora è un problema legato all'usb.
Se qualcuno ha qualche idea io rimango in attesa...
Dincibacco
Newbie
 
Post: 2
Iscritto il: 18/12/07 17:39

Precedente

Torna a Sicurezza e Privacy


Topic correlati a "Computer bloccato dopo pochi minuti connessione adsl":


Chi c’è in linea

Visitano il forum: Nessuno e 8 ospiti