Ho preso un trojan!!!!!!!

Raga allora prima mi uscivano + finestre uguali ke mi diceva no "error ecc..."
poi cn AVG ho fatto il test e dice ke ho preso trojan e vari virus...
ma AVG elimina tutto automaticamente?
rispondetemi sn in piena crisi :(
ciao!rispondetemi al + presto xfavore!

Dopo la scansione AVG NON elimina automaticamente i virus... devi dirglielo tu... puoi pulire i file metterli in quartantena o eliminare direttamente i file infetti....

questo e' quello che succede se vedi i siti xxx

codicil, 1 consiglio: installa 1 firewall (nn so zonealarm ke ho io o sygate) così navigando stai al sicuro

Se veramente di trojan si tratta (potrebbero essere semplicemente degli spyware, che il tuo AV vede come trojan) potresti provare ad utilizzare un programmino come "theCleaner", che puoi scaricare gratuitamente in versione trial di 30 gg qui

Dopo la scansione AVG NON elimina automaticamente i virus... devi dirglielo tu... puoi pulire i file metterli in quartantena o eliminare direttamente i file infetti....

Ma come?è inglese e nn ci capisco un tubo :(

codicil, 1 consiglio: installa 1 firewall (nn so zonealarm ke ho io o sygate) così navigando stai al sicuro

Ma i firewall non sono quelli che ti fanno connettere automaticamente ad internet quando accendi il pc??
Diego

Ma i firewall non sono quelli che ti fanno connettere automaticamente ad internet quando accendi il pc??
Diego

No, sono quegli aggeggi che regolano le connessioni da e verso il tuo pc...

Io pensavo che fosse quello... allora cos'è quello che mi continua a connettere automaticamente ad internet quando accendo il pc??
Diego

Forse semplicemente la connessione di accesso remoto, con la spunta su connetti automaticamente??

[Xsescott]

Cmq se ti metti un firewall tipo zonealarm e poi nn lo sai usare,nel momento in cui acchiappi un trojan e qualcuno va a richiamare l eseguibile facendo una semplice scansione al range d appartenenza del tuo ip,e per dimenticanza o perche' tu nn lo sai digiti una volta aperta la finestrella dello sconosciuto file su yes, convinto che sia un'applicazione di qualche programma(tipo all avvio del pc se ne aprono un bel po'),va a finire che lasci accedere lo sconosciuto al tuo pc,quindi ti consiglierei di prenderti un antivirus maneggevole come norton antivirus,fai una scansione e elimini i parassiti :pppp

bye bye ,e buona fortuna!!!;PPPP

Chiarissimo...

Ragazzi firewall e antivirus sono due cose ben diverse!

L'antivirus trova e (volendo) elimina software malevoli situati sul vostro pc.

Il firewall si mette tra voi e internet e filtra tutte le comunicazioni, chiedendovi cosa fare in caso un programma dall'interno cerchi di comunicare con l'esterno (un browser, un trojan, ecc..) o in caso qualcuno cerchi di entrare da fuori o faccia una scansione delle vostre porte.

Ci vogliono tutti e due.

Come si usa un firewall.

Sia Zone Alarm (la versione base e' gratuita) sia Sygate (e' gratuito e ha molte funzionalita' in piu') vi chiederanno cosa fare nel caso individuino un programma che sta per connettersi con l'esterno.

Vi verra' chiesto se farlo passare, se non farlo passare e se ricordare questa scelta anche in futuro. Ovviamente se il firewall (in inglese) vi dira' che il programma in questione e' Firefox 0.9 voi sceglierete "ricorda la decisione" e poi "yes". Se il programma e' ruisghbf.exe magari io ci penserei un po'.

Per quanto riguarda gli attacchi verso l'interno: entrambi i firewall vi avvertiranno nel caso qualcuno stia scansionando le vostre porte o cercando di entrare.

Per chi non lo sapesse le porte aperte su internet quando vi connettete sono 65536, di cui 1 e' usata dal vostro browser e le altre aspettano...

Su windows sono aperte di default e ci vuole un firewall per chuderle e controllare.

Su linux sono chiuse di default ma sinceramente mi piacerebbe trovare un firewall che controlli il traffico.
Se qualcuno ne conosce uno me lo dica.

...Su linux sono chiuse di default ma sinceramente mi piacerebbe trovare un firewall che controlli il traffico.
Se qualcuno ne conosce uno me lo dica.

Se vogliamo rispettare la filosofia di linux, sono convinto che la cosa migliore, per quanto non certo la più semplice, sia quella di costruirselo da se utilizzando il tool IPTABLES, che ormai hanno quasi tutte le distro.
Ti mostro la base dalla quale si può partire (unico prerequisito un kernel almeno 2.4) per iniziare ad avere qualcosa che funziona come si deve:

#!/bin/sh
# mio script per il settaggio di iptables
IPTABLES=/sbin/iptables
LOOPACK=127.0.0.1
# disabilita l'inoltro dei pacchetti durante la config. dell'Fw
echo 0 > /proc/sys/net/ipv4/ip_forward
# impostazione della politica di default
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP
iptables -A INPUT -m unclean -j DROP
#sezione regole
# consento traffico su loopback
iptables -A INPUT -i lo -j ACCEPT
# abilito connessioni Web
iptables -t filter -A INPUT -p tcp --sports 80 -j ACCEPT
# abilito connessioni SMPT e POP3
iptables -t filter -A INPUT -p tcp --sport 25 -j ACCEPT
iptables -t filter -A INPUT -p tcp --sport 110 -j ACCEPT
# abilito servizio DNS per protocolli UDP e TCP
iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT
# abilito connessioni SSH con attivazione Log
iptables -t filter -A INPUT -o ppp0 -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -o ppp0 -p tcp --syn --sport 22 -m state --state NEW -j
LOG --log-level info --log-prefix "---SSH from ppp0---"
# accetto le richieste di ping provenienti da 127.0.0.1
iptables -t filter -A INPUT -s 127.0.0.1 -p icmp -j ACCEPT
iptables -t filter -A INPUT -p icmp --icmp-type 0 -j ACCEPT
# nego tutte le altre richieste di ping
iptables -t filter -A INPUT -p icmp --icmp-type echo-request -j DROP
# port scanner strani
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit
1/s -j ACCEPT
# attivo registrazione connessioni
iptables -t filter -A INPUT -p tcp --syn -j LOG --log-prefix "FW: CONNESIONE" \
--log-level info
# sezione mascheramento
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
# fine dello script di configurazione firewall riabilito l'inoltro pacchetti
echo 1 > /proc/sys/net/ipv4/ip_forward

Buon divertimento!!

Forse semplicemente la connessione di accesso remoto, con la spunta su connetti automaticamente??

Non pensi che se fosse così facile l'avrei già fatto??
Diego

Non pensi che se fosse così facile l'avrei già fatto??
Diego

Fare cosa?

Ti ricordi cosa hai detto?

Io pensavo che fosse quello... allora cos'è quello che mi continua a connettere automaticamente ad internet quando accendo il pc??
Diego

Io semplicemente ti stavo rispondendo...

Grazie serverplus, ma io intendevo soprattutto avere una notifica in tempo reale nel caso qualcuno "bussasse" alle mie porte. Ad ogni modo mi sutdio un po' il tuo codice che mi sembra molto... appetitoso

diegoguerriero forse hai un dialer.

norton firewall è il migliore mi ci trovo benissimo

Serverplus... tu hai detto "Forse semplicemente la connessione di accesso remoto, con la spunta su connetti automaticamente??", quindi ho dedotto che tu pensassi ci fosse una casella da spuntare "connetti automaticamente" ma invece non c'è... sarebbe stato troppo facile...
Diego

[NoWhere]

riferendomi al pen'ultimo post di CoD, ma si possono istallare e far partire 2 firewall contemporaneamente?? può servire??

No, non serve a niente, cosi' come non serve avere due antivirus.

Il firewall chiude e controlla le porte del tuo pc, metterne due credo incasinerebbe il tutto con il rischio che nessuno dei due funzioni, e poi cosa te ne fai di due?

P.S.: per quanto mi rigurada non considero Norton Firewall un firewall piu' di quanto non consideri "veline" un programma culturale. Se volete spendere dei soldi per prodotti commerciali e di basso livello fate pure... OLD

quoto cod.
io ho solo il terrore di mettere qualcosa di sicurezza nortoniano nel pc, perché è un mattone tremendo (ho usato norton antivirus 2003).
per il firewall, basta un buon sygate o un kerio e si sta tranquilli (ovviamente bisogna sapere usare un firewall)

[NoWhere]

ok, allora: SONO IN PIENA CRISI DA IERI SERA!!!
perchè mi sono ritrovato un pò di trojan nel pc!!

Ora mi viene voglia di uccidermi perchè sono stato superattento nei siti dove andavo ecc... ma, é capitato ke in questi giorni c'é stato un mio amico a casa, e.. sapete com'é, un sito tira l'altro -e poi quando si é in compagnia... .... cmq, credo ke i trojan provenghino da lì!
[e qui si vede la grandezza di un uomo nell'ammetere i propro errori!! ...magra consolazione!!]

preciso ke da quando ho messo xppro -bel pò di mesi fa- ho sempre e solo usato zoneallarm e basta!! senza montare nessun antivirus....

da ieri mi sto provando un pò di cose, tipo a squared2 [antitrojan] e NOD[antivirus], ma con scarsi risultati, perchè mi trovano i trojan, li mettono in quarantena, ma mi ritrovo il pc sempre infestato e superrallentato!!! -come se nn li cancellassero!!
andando nel task manager di win mi ritrovo l'attività della cpu al 100%

mi sapete dare una mano??????

un buon consiglio?? [e ke nn sia quello di formattare!!!]
tra parentesi di pome correrò a prendere un antivir... consigli anke su questo acquisto??

1° consiglio: tieniti il nod perché è ottimo
2° consiglio: posta il log di hijackthis

[Taitaonline]

3° consiglio: non invitare più i tuoi amici a casa

Quello che mi lascia "pensoso" è : come diamine fate a ritrovarvi sempre pieni di schifezze nel PC .... :?????:

Io uso "solo" il Norton Antivirus e, checché ne dica il CoD, non mi trovo male, cioè, quelle uniche due volte che doveva funzionare, lo ha fatto nel migliore dei modi.... sarà forse perchè (ahimé) uso le versioni originali (quelle che costano!) e non delle versioni crakkate... non lo sò... però funziona e non mi crea nessun "grave" rallentamento nella macchina.... se una pagina si apre in due secondi invece che in uno, non credo sia terribile, no?
In più, mi limito, ogni due o tre giorni, ad una scansione con Ad-Aware, giusto per togliermi dalle scatole le piccole schifezze.
Eppure, siamo sinceri, qualche sitarello porno me lo navigo anch'io, ogni tanto....
... Mah ... :eyes:

bè se è per questo io navigo spesso in siti potenzialmente rischiosi, uso programmi rischiosi,ecc.
non vengo mai colpito da virus perché
1° uso firefox come browser e popup active x e schifezze simili nemmeno le vedo
2° uso nod32 versione 1.8 (devo aggiornarlo alla 2)
3° uso spybot s & d con funziona immunizza automaticamente
4° uso sygate e ormai conosco a memoria tutti i processi
5° quando navigo sono sempre attento, non navigo mai vulnerabile
6° patcho sempre quello schifo di winzozz
7° navigate con linux
@ taitonline: personalmente non mi accontento mai. se esisono antivirus migliori perché più veloci e forse anche migliori a levare i virus, non vedo il motivo perché non dovrei sfuttare la possibilità

[NoWhere]

@rommel, uso ie solo quando aggiorno il windows!

Il link punta ad una home di un sito [webattack].. sto cercando quel programma lì.. ma questo programma é un cerca-e-distruggi-trojan?! ^^

Il nod c'é l'ho in versione try......


@taita: di sicuro la proxima volta ke viene e propone manderò aphankulo la ricerca e mi tufferò direttamente solo sui video!!

Allora, moltissimi siti ormai conoscono a memoria le falle di Zone Alarm. Ce ne sono un'infinita' e sono abbastanza pubbliche da rendere chiunque in grado di bypassarlo.

Come se non bastasse molti siti usano le falle di IE (che ovviamente zone alarm non ferma) per uploadare degli hijacker.

NOTA: gli hijacker (letteralmente "dirottatori") non sono trojan, o meglio, non solo. Un hijacker ha come primo obiettivo quello di costreingere il tuo browser a connettersi ad un determinato sito ogni volta che fa qualcosa (prima pagina, nuovo sito, ricerca, ecc...)

Hijackthis ti fa una scansione del sistema identificando TUTTI i processi POTENZIALMENTE pericolosi, ma trova anche quelli legittimi!
Per cui finita la scansione salvi il log e lo posti a qualcuno che se ne intenda e in questo modo ti verra' detto cosa devi eliminare e cosa no.
Il log non contiene dati sensibili e persino i siti a cui lo hijacker si connette sono "censurati" nella ultima parte.

Su siti potenzialmente pericolosi ci navigo anch'io, anche se adesso uso linux e non ho problemi.

Un tempo usavo windows 98 con sygate, firefox e antivir e non mi sono mai preso un virus, anzi li colleziono per studiarli.

Se poi volete essere proprio paranoici: navigate con firefox impostandogli il nome di un altro browser. Con l'estensione User Agent Switcher potete far credere al sito che visitate di usare internet explorer con win98 o Opera, o qualunque altra cosa.

[Taitaonline]

Per cui finita la scansione salvi il log e lo posti a qualcuno che se ne intenda e in questo modo ti verra' detto cosa devi eliminare e cosa no.

Detto fatto :

Logfile of HijackThis v1.98.2
Scan saved at 10.27.07, on 14/09/04
Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT40\System32\nddeagnt.exe
C:\WINNT40\Explorer.exe
C:\WINNT40\System32\loadwc.exe
C:\WINNT40\System32\NILaunch.exe
C:\OfficeScan NT\pccntmon.exe
C:\WINNT40\loadqm.exe
C:\WINNT40\System32\ddhelp.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Plus!\MICROS~1\iexplore.exe
C:\Programmi\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.it.msn.com/access/allinone.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.it/Default.asp?Ath=f
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /logon
O4 - HKLM\..\Run: [Net-It Launcher] C:\WINNT40\System32\NILaunch.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [] -HideWindow
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O13 - WWW. Prefix: http://
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = comune.genova.it
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = comune.genova.it
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 192.168.0.3
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = comune.genova.it
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 192.168.0.3
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 192.168.0.3

..... Questo è quanto mi dice il ragazzo dopo aver scansionato il "casseruolo" del mio ufficio..... :eyes:

Ma era Nowhere ad avere problemi, oppure Taita???

uhm.. deduco solo un paio di cose da questo log (che per il resto mi pare normale)

O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe

Questi due sono processi abbastanza inutili. LoadQM e' un processo inserito da MSN che io personalmente reputo spyware. Ho elminato entrambi e non mi e' mai accaduto niente.
Va detto pero' che non ho documentazione a riguardo. Non sono dannosi comunque.

O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /logon

Questo mi lascia perplesso.
MS TIN IT ??

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [] -HideWindow

Il secondo mi insospettisce, ma sembra essere un parente del primo.
Office Scan se non vado errato e' l'antivirus fornito dal comune di genova ai suoi dipendenti, lavori in comune?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

un bottone fantasma in IE? Residuo di qualche tool disinstallato?

O13 - WWW. Prefix: http://

Mai visto. Che e'???

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = comune.genova.it
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = comune.genova.it
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 192.168.0.3
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = comune.genova.it
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 192.168.0.3
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 192.168.0.3

Uhm... si' si' mi sa che lavori in comune OLD