|
|
Rank: AiutAmico
Iscritto dal : 12/10/2006
Posts: 51
|
Devo dire che gmer m'ha "mandato nel pallone", cmq ho fatto 2 scansioni senza trovare voci rosse, e al secondo tentativo son riuscito a copiare su notepad, ma mi pare non ci stia tutto in un post, come puoi notare. C'è di buono che invece il software che m'hai segnalato dopo è riuscito ad aggiornarsi, e già la scansione rapida m'ha trovato un trojan... Commenta:
Malwarebytes' Anti-Malware 1.25
Versione del database: 1095
Windows 5.1.2600 Service Pack 2
18.22.54 29/08/2008
mbam-log-08-29-2008 (18-22-54).txt
Tipo di scansione: Scansione rapida
Elementi scansionati: 45729
Tempo trascorso: 2 minute(s), 58 second(s)
Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 1
File infetti: 0
Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)
Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)
Chiavi di registro infette:
(Nessun elemento malevolo rilevato)
Valori di registro infetti:
(Nessun elemento malevolo rilevato)
Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)
Cartelle infette:
C:\WINDOWS\PIF (Trojan.Agent) -> Quarantined and deleted successfully.
File infetti:
(Nessun elemento malevolo rilevato)
Al contrario, la scansione approfondita successiva non ne ha trovati: Commenta:
Malwarebytes' Anti-Malware 1.25
Versione del database: 1095
Windows 5.1.2600 Service Pack 2
19.12.02 29/08/2008
mbam-log-08-29-2008 (19-12-02).txt
Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 322582
Tempo trascorso: 27 minute(s), 36 second(s)
Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0
Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)
Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)
Chiavi di registro infette:
(Nessun elemento malevolo rilevato)
Valori di registro infetti:
(Nessun elemento malevolo rilevato)
Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)
Cartelle infette:
(Nessun elemento malevolo rilevato)
File infetti:
(Nessun elemento malevolo rilevato)
|
|
Rank: AiutAmico
Iscritto dal : 12/10/2006
Posts: 51
|
GMER 1.0.14.14536 - http://www.gmer.netRootkit scan 2008-08-29 17:52:40 Windows 5.1.2600 Service Pack 2 ---- Kernel code sections - GMER 1.0.14 ---- ? srescan.sys Impossibile trovare il file specificato. ! ---- Registry - GMER 1.0.14 ---- [...] ---- EOF - GMER 1.0.14 ----
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Vediamo se hai l 'MBR infettato. Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema Norman SinowalMBR Cleaner è un programma utilizzato per la rimozione del virus MBR Rootkit. Scarica Norman SinowalMBR Cleaner e salvalo sul desktop http://download.norman.no/public/Norman_Sinowal_Cleaner.exeAvvia il pc in modalità provvisoria. Doppio click sull'icona di Norman SinowalMBR Cleaner.exe che hai salvato sul desktop Comparirà una schermata: Clicca su Accept Altra schermata: Clicca su Start Scan Al termine della scansione,(abbi pazienza,sarà lunga) viene generato un log sul desktop chiamandolo NFix_2008-MM-GG_hh-mm-ss.log POSTALO QUI.Disistalla Gmer,non serve più. (mi sà che hai fatto la scansione sul registro invece che su "Rootkit".)
|
|
Rank: AiutAmico
Iscritto dal : 12/10/2006
Posts: 51
|
Grazie!
Ho tagliato il post di sopra per favorir la leggibilità del topic. Non capisco: parla di "rootkit scan" ma poi arriva subito la voce "Registry". Ho provato a rifarla, ma elenca sempre voci del registro. Cmq l'ho disinstallato.
Tra l'altro, anche andando su "Ripristino configurazione di Sistema" si riavvia (ma non su "Risorse del computer/Proprietà/Ripristino configurazione di sistema", quindi son riuscito a disattivarlo). Sembra si riavvi quando si azionan certi programmi Microsoft (prima ipotizzo fosse un qualcosa che partiva automaticamente all'avvio). Cmq Norman sta girando: dopo faccio sapere...
|
|
Rank: AiutAmico
Iscritto dal : 12/10/2006
Posts: 51
|
Norman SinowalMBR Cleaner
Copyright © 1990 - 2008, Norman ASA. Built 2008/05/13 16:21:18
Norman Scanner Engine Version: 5.92.04
Nvcbin.def Version: 5.92.00, Date: 2008/05/13 16:21:18, Variants: 0
Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Home 5.1.2600(Safe mode) Service Pack 2
Logged on user: DISES38\Administrator
Set registry value: HKCR\scrfile\shell\open\command\ = ""%1" %*" -> ""%1" /S"
Failed to set registry value (0x00000005): HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = -> ""
Removed registry value: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTools = 0x00000000
Scan started: 30/08/2008 10:08:34
Scanning bootsectors...
Unable to scan for SinowalMBR hooks
Number of sectors found: 0
Number of sectors scanned: 0
Number of sectors not scanned: 0
Number of infections found: 0
Number of infections removed: 0
Total scanning time: 0s 719ms
Scanning running processes and process memory...
Number of processes/threads found: 632
Number of processes/threads scanned: 632
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 20s
Scanning file system...
Scanning: C:\*.*
Running post-scan cleanup routine:
Failed to set registry value (0x00000005): HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = -> ""
Number of files found: 60017
Number of archives unpacked: 470
Number of files scanned: 59997
Number of files not scanned: 20
Number of files skipped due to exclude list: 0
Number of infected files found: 0
Number of infected files repaired/deleted: 0
Number of infections removed: 0
Total scanning time: 35m 49s
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Non mi ha convinto....... 1 - Scarica MBR:EXE direttamente nella Directory C:\ http://www2.gmer.net/mbr/mbr.exeRiavvia il Pc in modalità provvisoria . Da Start - Esegui - digita (o copia-incolla) C:\mbr.exe e clicca su OKPosta il log,e salvalo come MBR1 (devo sapere che questo è il primo log) Attenzione borisba,il file, deve per forza essere scaricato dove hai il S.O. Nel caso tuo in C:Lo puoi scaricare anche sul Desktop, ma poi lo devi "trascinare" obligatoriamente in C: La scansione dura pochi secondi. Disistalla Norman. Quando ti stanchi di provare,non farti problemi a dirmelo, purtroppo, non sapendo con precisione il perchè di questi riavvii,(può essere anche un problema hardware) si deve andare per tentativi.
|
|
Rank: AiutAmico
Iscritto dal : 12/10/2006
Posts: 51
|
r16 ha scritto:Non mi ha convinto....... 1 - Scarica MBR:EXE direttamente nella Directory C:\ http://www2.gmer.net/mbr/mbr.exeRiavvia il Pc in modalità provvisoria . Da Start - Esegui - digita (o copia-incolla) C:\mbr.exe e clicca su OKPosta il log,e salvalo come MBR1 (devo sapere che questo è il primo log) Attenzione borisba,il file, deve per forza essere scaricato dove hai il S.O. Nel caso tuo in C:Lo puoi scaricare anche sul Desktop, ma poi lo devi "trascinare" obligatoriamente in C: La scansione dura pochi secondi. Ovviamente io scarico sul pc da cui posto qui e poi metto su USB (il "portatile" non riesce a navigare). Cmq ho fatto come hai detto. Devo dire che la finestra s'è aperta e richiusa subito, cmq un file di nome "mbr.txt" (che poi ho rinominato "mbr1") è comparso in C: Commenta:Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.netdevice: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK r16 ha scritto:
Quando ti stanchi di provare,non farti problemi a dirmelo, purtroppo, non sapendo con precisione il perchè di questi riavvii,(può essere anche un problema hardware) si deve andare per tentativi.
Ma no figurati, anzi grazie della tua disponibilità. Io ora tornerò su Internet lunedì o martedì; se lo ritieni utile posso farmi dare il numero di telefono del tecnico che ha aggiustato il pc che qualcosa deve averci capito visto che c'ha messo le mani sopra e parzialmente il problema l'ha risolto...buon week end! Borisba
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
L'MBR, non ha problemi.
Certo borisba , se contatti quel tecnico, e ti fai spigare dove ha messo le mani è meglio.(sperando che ti dica la verità)
Più informazioni si ha, e meglio è.
In parte lo sò cosa ha fatto,(ti ha disistallato l'SP3) ma non è stato sufficiente.
Poi bisogna vedere se l'installazione del SP2, l'ha fatta correttamente.
Puoi cestinare MBR:EXE, log compreso, che si trova in C:.
|
|
Rank: AiutAmico
Iscritto dal : 12/10/2006
Posts: 51
|
Ho parlato col tecnico. Lui dice che il problema era il registro di sistema troppo incasinato, con programmi che entravan in conflitto tra di loro. Dice anche che credeva fosse risolto, e che cmq era dato soprattutto dall'autoupdate del sophos che partiva in automatico. M'ha quindi detto che dev'esser Sophos Update a entrar in conflitto con qualcos'altro (ie7, il driver della scheda di rete, il Sp2, una dll...) e di verificar se le cose funzionano disinstallandolo.
Già nel momento in cui ho rimosso Sophos Autoupdate m'è stato dato un messaggio di avviso, che in realtà non si poteva disinstallar il programma completamente. Poi ho eliminato i file e passato RegCleaner e RegSeeker. Tuttavia la chiave di registro:
"H_Key_local_machine\Software\Sophso\Autoupdate" non me la lasciava cancellare. Ho eliminato alcune sottochiavi, ma non mi lascia eliminare quella "Products", e neanche visualizzarla. Se cambio le autorizzazioni, alla fine mi dà un messaggio di errore e le autorizzazioni restan le stesse (cioè, nessun utente è autorizzato ad aprire quella chiave...).
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Prova a cambiarti il Nome utente ,e fatti assegnare i diritti di Administrator. Praticamente fagli credere di essere un nuovo amministratore. Poi prova a eliminarla normalmente. Se non ci riesci prova con questo Tooll: http://malwarebytes.org/RegASSASSIN.exeBasterà aprire l'editor di registro tramite start>esegui>regedit>ok portarsi nella chiave interessata cliccare col tasto destro su di essa,quindi su " copia chiave con nome" e incollare sul riquadro di reg assassin quindi cliccare su " delete" e confermare le successive finestre di avviso con ok. ********************************************************************************************************* Prova anche cosi: ti posizioni sulla chiave interessata. tasto destro del mouse e clicca su Autorizzazioni clicca su Aggiungi clicca su Avanzate clicca su Trova e, in basso seleziona, dall'elenco, Everyone conferma con OK e alla successiva richiesta, conferma, nuovamente con OKa questo punto, verrai rimandato alla scheda Autorizzazioniquindi prosegui in questo modo: spunta la voce Controllo completo (automaticamente verrà messa anche la spunta alla voce In lettura) conferma con OK verrai rimandato alla chiave interessata rimuovila. Affinché le modifiche apportate abbiano effetto, è necessario riavviare il Computer.
|
|
Rank: AiutAmico
Iscritto dal : 12/10/2006
Posts: 51
|
r16 ha scritto:Prova a cambiarti il Nome utente ,e fatti assegnare i diritti di Administrator.
Praticamente fagli credere di essere un nuovo amministratore.
Poi prova a eliminarla normalmente.
C'è un problema: se vado su "account utente" si riavvia. In concreto posso farlo senza passare da "Pannello di controllo/Account utente"? r16 ha scritto:Se non ci riesci prova con questo Tooll: http://malwarebytes.org/RegASSASSIN.exeBasterà aprire l'editor di registro tramite start>esegui>regedit>ok portarsi nella chiave interessata cliccare col tasto destro su di essa,quindi su " copia chiave con nome" e incollare sul riquadro di reg assassin quindi cliccare su " delete" e confermare le successive finestre di avviso con ok. Messaggio: "RegASSASSIN could NOT remove the registry key". Se invece provo a eliminar la sottochiave "Products", dice:"The registry key you have specified does not exist or is not visible to RegASSASSIN.This may be caused by a set of permission that does not allow RegASSASSIN to see it". ********************************************************************************************************* Commenta:
Prova anche cosi:
ti posizioni sulla chiave interessata.
tasto destro del mouse e clicca su Autorizzazioni
clicca su Aggiungi
clicca su Avanzate
clicca su Trova e, in basso seleziona, dall'elenco, Everyone
conferma con OK e alla successiva richiesta, conferma, nuovamente con OK
a questo punto, verrai rimandato alla scheda Autorizzazioni
quindi prosegui in questo modo:
spunta la voce Controllo completo (automaticamente verrà messa anche la spunta alla voce In lettura)
conferma con OK
verrai rimandato alla chiave interessata
rimuovila.
Affinché le modifiche apportate abbiano effetto, è necessario riavviare il Computer.
Mi dice: "Impossibile salvare le modifiche apportate alle autorizzazioni su products. Accesso negato". Ho lo stesso identico problema (e ne aveva parlato qui un paio di settimane fa) sul pc di casa, dove son impossibilitato a cancellare una chiave di registro e, quindi, non posso installare una qualsiasi versione di skype...
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
borisba ha scritto:[quote=r16]Prova a cambiarti il Nome utente ,e fatti assegnare i diritti di Administrator.
Praticamente fagli credere di essere un nuovo amministratore.
Poi prova a eliminarla normalmente.
C'è un problema: se vado su "account utente" si riavvia. In concreto posso farlo senza passare da "Pannello di controllo/Account utente"? [quote=r16] Porc....  E' il colmo....non ti lascia nemmeno cambiare account utente. Fai : Start >> Esegui >> copia e incolla la stringa: control userpasswords2 e clicca su "aggiungi". Già che sei li', controlla se c'è un'utenza con nome a caso.
|
|
Rank: AiutAmico
Iscritto dal : 12/10/2006
Posts: 51
|
Commenta:
Fai :
Start >> Esegui >> copia e incolla la stringa: control userpasswords2 e clicca su "aggiungi".
Già che sei li', controlla se c'è un'utenza con nome a caso.
No, c'era solo "administrator" e il mio account. Ho creato l'utente "phantom", dandogli i diritti di "administrator", per il quale mi ha richiesto la creazione di una password. Dopo di che, ho effettuato gli stessi tentativi fatti prima (prima cercando di cambiar le autorizzazioni o cancellare direttamente, poi di cancellare tramite RegASSASSIN) ma purtroppo anche con gli stessi risultati di prima.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Postami un nuovo log di HJT. Possibilmente aggiornato, altrimenti ,pazienza. Poi controlla questa chiave: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Windows\AppInit_DLLS = -> ""cliccando sopra la cartellina Windows a destra trovi AppInit_DLLS Trovo strani quei segni che ti ho segnato in rosso. Prova a eliminarli. Tra l'altro, la parola corretta dovrebbe essere AppInit_DLLs e non AppInit_DLLS (nota la differenza delle S-s) Anche questa chiave è molto sospetta: [ HKEY_LOCAL_MACHINE\System\ControlSet005\Services\MEMSWEEP2]
"ImagePath"="\??\C:\WINDOWS\system32\3.tmp" Quel MEMSWEEP2 dovrebbe far parte del software Sophos, se ce la fai, eliminalo. (dovrebbe eliminarlo Avenger comunque) Guarda poi nei Servizi, e se lo trovi lo Disabiliti. Adesso ti faccio uno script di Avenger. Scarica questo:Avenger, scompatta Avenger all'interno di una apposita cartella creata sul Desktop http://swandog46.geekstogo.com/avenger.zipAvvia AVENGER Clicca Ok Inserisci queste righe (fai capia-incolla) nel riquadro bianco: (quelle in neretto) Files to delete :
C:\WINDOWS\system32\3.tmpFolders to delete:
C:\FOUND.004
C:\FOUND.005
C:\FOUND.006
C:\FOUND.007
C:\FOUND.008
C:\FOUND.009
C:\FOUND.025Registry keys to delete :
HKEY_LOCAL_MACHINE\System\ControlSet005\Services\MEMSWEEP2Clicca su Execute Attendi.......... Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu. Al termine dell'operazione, posta qui il risultato di Avenger con un log aggiornato di hijackthis. ***************************************************************************************************************************** Facciamo il servizio completo: Scarica VIRIT : http://www.tgsoft.it/italy/download.htm lo aggiorni (cliccando sulla parabola in alto) e fai la scansione in Modalità Provvisoria (è molto importante). Posta anche il log. Fai anche una scansione in Modalità normale.
|
|
Rank: AiutAmico
Iscritto dal : 12/10/2006
Posts: 51
|
Grazie! r16 ha scritto:Postami un nuovo log di HJT. Possibilmente aggiornato, altrimenti ,pazienza.
Commenta:Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10.03.50, on 04/09/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programmi\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Acer\eManager\anbmServ.exe C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\DOCUME~1\federico\IMPOST~1\Temp\Directory temporanea 3 per HiJackThis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {B06300D0-CCDE-11d2-92D3-0000F87A4A55} - (no file) O9 - Extra button: (no name) - {BF80219A-CCDD-11d2-92D3-0000F87A4A55} - (no file) O9 - Extra button: (no name) - {FC09D8A3-C85A-11d2-92D0-0000F87A4A55} - (no file) O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe -- End of file - 3794 bytes Commenta:
Poi controlla questa chiave:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = -> ""
cliccando sopra la cartellina Windows a destra trovi AppInit_DLLS
Da Regedit, cliccando sulla cartella che dici, ho: Nome: ad (predefinito) Tipo: REG_SZ Dati: (valore non impostato) Commenta:
Trovo strani quei segni che ti ho segnato in rosso. Prova a eliminarli.
Tra l'altro, la parola corretta dovrebbe essere AppInit_DLLs e non AppInit_DLLS (nota la differenza delle S-s)
Sto sbagliando qualcosa? Devo far in modo diverso dall'andare su "regedit"? Commenta:
Anche questa chiave è molto sospetta:
[HKEY_LOCAL_MACHINE\System\ControlSet005\Services\MEMSWEEP2]
"ImagePath"="\??\C:\WINDOWS\system32\3.tmp"
Quel MEMSWEEP2 dovrebbe far parte del software Sophos, se ce la fai, eliminalo.
Ok, MEMSWEEP2 l'ho eliminato. Commenta:
Guarda poi nei Servizi, e se lo trovi lo Disabiliti.
Scusa l'ignoranza, ma dove li trovo? Commenta:Adesso ti faccio uno script di Avenger. Scarica questo:Avenger, scompatta Avenger all'interno di una apposita cartella creata sul Desktop http://swandog46.geekstogo.com/avenger.zipAvvia AVENGER Clicca Ok Inserisci queste righe (fai capia-incolla) nel riquadro bianco: (quelle in neretto) Files to delete :
C:\WINDOWS\system32\3.tmpFolders to delete:
C:\FOUND.004
C:\FOUND.005
C:\FOUND.006
C:\FOUND.007
C:\FOUND.008
C:\FOUND.009
C:\FOUND.025Registry keys to delete :
HKEY_LOCAL_MACHINE\System\ControlSet005\Services\MEMSWEEP2Clicca su Execute Attendi.......... Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu. Al termine dell'operazione, posta qui il risultato di Avenger con un log aggiornato di hijackthis. Mi dà errore: Commenta:
Error: Invalid script. A valid script must begin with a command directive. Aborting execution!
Commenta:Facciamo il servizio completo: Scarica VIRIT : http://www.tgsoft.it/italy/download.htm lo aggiorni (cliccando sulla parabola in alto) e fai la scansione in Modalità Provvisoria (è molto importante). Posta anche il log. Fai anche una scansione in Modalità normale. Ok, poi ti dico, però purtroppo questo programma non è riuscito ad aggiornarsi...
|
|
Rank: AiutAmico
Iscritto dal : 12/10/2006
Posts: 51
|
Ecco il log della scansione in modalità provvisoria: Commenta:
VirIT eXplorer Lite Log
[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
04/09/2008 - 11:06:26
[SCANSIONE DEL REGISTRO]
OK
[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
C:\Programmi\Windows Resource Kits\Tools\srvany.exe Infetto da Trojan.Win32.Agent.BBF
* * * RIMOSSO * * *
[D:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
D:\Programmi\TeXLive\xemtex\perl\site\lib\auto\Tk\Event\Event.dll Possibile variante da Trojan.Win32.OUT_NAME.I
[E:]
Chiavi Registro infette: 0.
Files Infetti: 2.
Files Sospetti: 0.
Files Analizzati: 280139.
Files Totali: 280139.
Chiavi Registro rimosse: 0.
Virus Rimossi: 1.
e quello della scansione successiva in modalità normale: Commenta:
[SCANSIONE DELLA MEMORIA]
OK
04/09/2008 - 12:24:01
[SCANSIONE DEL REGISTRO]
OK
[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 227802.
Files Totali: 227802.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Ehm...... naturalmente nessun miglioramento vero? Fixa queste voci di HJT: O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file) O9 - Extra button: (no name) - {B06300D0-CCDE-11d2-92D3-0000F87A4A55} - (no file) O9 - Extra button: (no name) - {BF80219A-CCDD-11d2-92D3-0000F87A4A55} - (no file) O9 - Extra button: (no name) - {FC09D8A3-C85A-11d2-92D0-0000F87A4A55} - (no file) Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223Per favore non usare software specifici per la pulizia del registro. ********************************************************************************************************* Virit ti ha levato un troyan. L'altro lo conosci? TeXLive si trova in un HD esterno o chiavettaUSB? Se non sei più che sicuro, eliminalo.
No, non stai sbagliando riguardo il modo di andare su regedit. Quella chiave; HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ AppInit_DLLS = -> ""la scritta in rosso non riguarda una chiave di sistema, ma di qualche software, che onestamente non sò quale.(Sophos?) ********************************************************************************************************* Almeno MEMSWEEP2 ti ha lasciato eliminarlo, è qualcosa. ********************************************************************************************************* Elimina a mano seguendo il percorso queste cartelle: C:\FOUND.004
C:\FOUND.005
C:\FOUND.006
C:\FOUND.007
C:\FOUND.008
C:\FOUND.009
C:\FOUND.025Se non le vedi, (ma dovresti vederle) visualizza i file e le cartelle nascoste: (Pannello di controllo-> Opzioni Cartella-> Visualizzazione) 1) Metti la spunta su: Visualizza file e cartelle nascoste 2) Togli la spunta: nascondi file protetti di sistema *********************************************************************************************************
|
|
Rank: AiutAmico
Iscritto dal : 12/10/2006
Posts: 51
|
Grazie! r16 ha scritto:Ehm...... naturalmente nessun miglioramento vero?
Purtroppo no... Commenta:
Fixa queste voci di HJT:
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O9 - Extra button: (no name) - {B06300D0-CCDE-11d2-92D3-0000F87A4A55} - (no file)
O9 - Extra button: (no name) - {BF80219A-CCDD-11d2-92D3-0000F87A4A55} - (no file)
O9 - Extra button: (no name) - {FC09D8A3-C85A-11d2-92D0-0000F87A4A55} - (no file)
Purtroppo i 3 "Extra button" non se ne vogliono andare... Fatto! Commenta:
L'altro lo conosci? TeXLive si trova in un HD esterno o chiavettaUSB? Se non sei più che sicuro, eliminalo.
Di Tex (editor che mi serve per lavoro) sono sicuro (TexLive ce l'ho in D:\programmi e fa parte del "pacchetto" - è anche nei programmi del menù di avvio-). Se poi un trojan ci si sia installato non lo so...
Commenta:
No, non stai sbagliando riguardo il modo di andare su regedit.
Quella chiave; HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = -> ""
la scritta in rosso non riguarda una chiave di sistema, ma di qualche software, che onestamente non sò quale.(Sophos?)
Ora ho trovato: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\InFileMapping\win.ini\Windows dentro cui ho visto: AppInit_DLLs però non ho trovato segni strani. Alla voce "dati" compare scritto: SYS:Microsoft\Windows NT\CurrentVersion\Windows Commenta:
Elimina a mano seguendo il percorso queste cartelle:
C:\FOUND.004
C:\FOUND.005
C:\FOUND.006
C:\FOUND.007
C:\FOUND.008
C:\FOUND.009
C:\FOUND.025
Se non le vedi, (ma dovresti vederle) visualizza i file e le cartelle nascoste:
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) Metti la spunta su: Visualizza file e cartelle nascoste
2) Togli la spunta: nascondi file protetti di sistema
Fatto! Cmq sempre uguale...
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Vediamo a quale chiave si riferiscono quei valori "Extra button" . - scaricati Registry Search Tool lo trovi più o meno a metà pagina. http://www.billsway.com/vbspage/- estrai il contenuto del file .zip sul desktop (RegSrch.vbs) - disabilita il caricamento all'avvio di VirIT (Per eliminare Virit all'Avvio: Nella schermata iniziale, clicca sulla sesta icona (Scheduler) e Togli la spunta da all'Avvio.) - riavvia - esegui il file RegSrch.vbs ed inserisci questa stringa (copia-incolla) {B06300D0-CCDE-11d2-92D3-0000F87A4A55} {BF80219A-CCDD-11d2-92D3-0000F87A4A55} {FC09D8A3-C85A-11d2-92D0-0000F87A4A55} - attendi il responso (file .txt) per alcuni secondi - copia qui tutto il testo Se non funziona con tutti e tre, fai una stringa alla volta. Riguardo la chiave HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\InFileMapping\win.ini\Windows Non è la stessa che ti ho digitato io: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = -> "" Lo vedi anche tu che i percorsi sono diversi. Io le provo tutte borisba. Scarica Norman Malware Cleaner http://download.norman.no/public/Norman_Malware_Cleaner.exe e salvalo sul desktop Avvia in MODALITA PROVVISORIA Si avvia si accetta la licenza si clicca Start Scan si attende la fine della scansione Viene generato un log sul desktop, postalo qui. In alcuni casi Norman Malware Cleaner potrebbe richiedere il riavvio del computer per rimuovere completamente l'infezione, in questo caso è raccomandata una seconda esecuzione del programma dopo aver riavviato il PC per garantire la completa rimozione di tutti i files infetti. ********************************************************************************************************* Dimenticavo i "Servizi": Start\Pannello di controllo\Strumenti di Amministrazione \Servizi. Controlla se vedi qualcosa relazionato a Sophos,(o qualsiasi voce che ritieni sospetta) tasto destro ,Proprietà,Tipo di avvio,sul menù a tendina, scegli:Disabilitato. Vorrei vedere anche il Task Manager, oppure copiami tutti i processi che trovi. Lo sò è un lavoraccio,ma vorrei vederli questi processi.Cosa importantissima:devi digitarli ESATTAMENTE come sono. Una lettera sbagliata, e mi mandi fuori pista.
|
|
Rank: AiutAmico
Iscritto dal : 12/10/2006
Posts: 51
|
r16 ha scritto:
- esegui il file RegSrch.vbs ed inserisci questa stringa (copia-incolla)
{B06300D0-CCDE-11d2-92D3-0000F87A4A55}
{BF80219A-CCDD-11d2-92D3-0000F87A4A55}
{FC09D8A3-C85A-11d2-92D0-0000F87A4A55}
- attendi il responso (file .txt) per alcuni secondi
- copia qui tutto il testo
Se non funziona con tutti e tre, fai una stringa alla volta.
Purtroppo non le "vede" ("instances of *nome* not found", in tutti e tre i casi). Commenta:
Riguardo la chiave HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\InFileMapping\win.ini\Windows
Non è la stessa che ti ho digitato io:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = -> ""
Lo vedi anche tu che i percorsi sono diversi.
Ma digitando "AppInit" su "cerca" è l'unica cosa che ho trovato (dentro HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows ho trovato solo una voce generica). Però ti anticipo che anche Norman "vede" la chiave che dici tu...  Eccolo! Commenta:
Norman Malware Cleaner
Copyright © 1990 - 2008, Norman ASA. Built 2008/09/03 13:52:47
Norman Scanner Engine Version: 5.93.01
Nvcbin.def Version: 5.93.00, Date: 2008/09/03 13:52:47, Variants: 2071440
Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Home 5.1.2600(Safe mode) Service Pack 2
Logged on user: DISES38\Administrator
Failed to set registry value (0x00000005): HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = -> ""
Failed to remove registry value (0x00000005): HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop -> NoChangingWallPaper = ""
Scan started: 05/09/2008 10:00:18
Scanning running processes and process memory...
Number of processes/threads found: 618
Number of processes/threads scanned: 618
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 19s
Scanning file system...
Scanning: C:\*.*
C:\pagefile.sys (Error opening file: Access denied)
C:\Documents and Settings\federico\Impostazioni locali\temp\~DFE4D.tmp (Error whilst scanning file: I/O Error (0x00000026))
C:\Recycled\Dc17.006\FILE0921.CHK/unknown0 (Error whilst scanning file: I/O Error (0x00220005))
C:\Recycled\Dc17.006\FILE0922.CHK/unknown0 (Error whilst scanning file: I/O Error (0x00220005))
C:\Recycled\Dc17.006\FILE0923.CHK/unknown0 (Error whilst scanning file: I/O Error (0x00220005))
C:\Recycled\Dc17.006\FILE0924.CHK/unknown0 (Error whilst scanning file: I/O Error (0x00220005))
Running post-scan cleanup routine:
Failed to set registry value (0x00000005): HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = -> ""
Failed to remove registry value (0x00000005): HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop -> NoChangingWallPaper = ""
Number of files found: 179511
Number of archives unpacked: 1447
Number of files scanned: 179468
Number of files not scanned: 43
Number of files skipped due to exclude list: 0
Number of infected files found: 0
Number of infected files repaired/deleted: 0
Number of infections removed: 0
Total scanning time: 51m 30s
r16 ha scritto:
Dimenticavo i "Servizi":
Start\Pannello di controllo\Strumenti di Amministrazione \Servizi.
Controlla se vedi qualcosa relazionato a Sophos,(o qualsiasi voce che ritieni sospetta) tasto destro ,Proprietà,Tipo di avvio,sul menù a tendina, scegli:Disabilitato.
Ovviamente parlo da "profano" ma non noto nulla di anomalo... r16 ha scritto:
Vorrei vedere anche il Task Manager, oppure copiami tutti i processi che trovi.
Processi attivi mentre avevo aperto, oltre ovviamente al task manager, un file di word: Commenta:
ALG.EXE
CTFMON.EXE
NVSVC32,EXE
MDM.EXE
anbmServ.exe
SPOOLSV.EXE
SVCHOST.EXE (3 volte: 2 volte con il nome utente “SYSTEM” e una volta con “SERVIZIO DI RETE”)
MsMpEng.exe
WINWORD.EXE
LSASS.EXE
SERVICES.EXE
WINLOGON.EXE
CSRSS.EXE
EXPLORER.EXE
SMSS.EXE
WSCNTFY.EXE
taskmgr.exe
System
Ciclo idle del sistema
|
|
|
Guest |
