Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

situazione post (?) rootkit HelpAssistant Opzioni
cerax
Inviato: Thursday, May 27, 2010 9:14:19 AM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
ciao,
sono un utente nuovo-nuovo ... spero possiate aiutarmi

avevo il PC che mi dava schermata blu in avvio, appena prima che finisse di caricarsi XP servicepack 2 (senza aggiornamenti automatici scaricati da internet)

potevo entrare solo in modalità provvisoria. E mi sono accorto della presenza di questa cavolo di cartella HelpAssistant e relativo utente
Prima di trovare il vostro ottimo forum, ho trovate da altre parti molte guide su come togleire questo "rootkit".

quindi ho scaricato mbr.exe
ho disabilitato l'utente
cancellato la cartella
fatto regedit e cancellato i file di registo che mi venivano fuori dalla ricerca "helpAssistant"
lanciato HelpAssistantFix.bat (come consigliato da un sito di AVG , ossia del mio Antivirus)

a questo punto l'uternte non si ripresentava più, ma la BSOD mi impediva sempre di avviare normalmente XP

Con Your_Uninstaller ho provato a disinstallare l'aggiornamento di Adobe Reader 9.3.2_CPSID_53951 (ma non so se ci sono riuscito). L'ho fatto perchè questo aggiornamento si era installato pochi giorni prima dei problemi e pensavo potesse essere una causa. Invece non è cambiato niente

Poi mi sono insospettito perchè ho visto che c'era anche un altro account "Administrator" con relativa cartella in Documents and Settings che si era creata da pochi giorni. Allora ho provato a disabilitare anche questo (ma non posso toglierlo da "membro di" perchè mi dice che è un "utente incorporato".
Comunque anche questo non ha portato a risultati.

Alla fine ho trovato il vostro forum. Per probelmi simili avevate consigliato di scaricare ComboFix e HijackThis.
Allora ho fatto partire la disinstallazione di AVG free 9.0 e rivviato il PC. Misono dimenticato di premere F8 per la modalità provvisoria.... ma come per magia il PC è partito perfettamente. TUTTO ERA OK !

Dopo aver fatto il giro del quartiere a fare capriole di felicità (una felicità seconda solo alla Champions dell'Inter Drool ) sono partito con le scansioni con ComboFix e HJT.
ComboFIX mi ha chiesto un riavvio del PC perchè aveva trovato "attività di rootkit" e ha eliminato 3 file
vi posto qui sotto i log.

So di aver scritto un casino di parole, ma spero che qualcuno abbia la voglia di leggere il tutto e farmi sapere se dai due log vi sembra che ci siano ancora problemi oppure se il mio PC è davvero guarito


grazie molte fin da adesso



ComboFix 10-05-25.03 - Alberto 26/05/2010 23.21.09.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.1279.1031 [GMT 1:00]
Eseguito da: c:\documents and settings\Alberto\Desktop\ComboFix.exe

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programmi\Internet Explorer\SETA2.tmp
c:\programmi\Internet Explorer\SETA3.tmp
c:\programmi\Internet Explorer\SETA5.tmp

.
((((((((((((((((((((((((( Files Creati Da 2010-04-26 al 2010-05-26 )))))))))))))))))))))))))))))))))))
.

2010-05-25 15:55 . 2010-05-25 13:19 77312 ----a-w- C:\mbr.exe
2010-05-25 15:55 . 2010-05-25 12:56 359656 ----a-w- C:\msicuu2.exe
2010-05-25 15:55 . 2010-05-25 12:49 5651144 ----a-w- C:\yusetup2010.exe
2010-05-25 02:20 . 2010-04-19 16:15 339 ----a-w- C:\HelpAssistantFix.bat
2010-05-25 02:12 . 2010-05-26 13:28 273 ----a-w- C:\HelpAssistantFix.zip
2010-05-25 02:12 . 2010-05-26 09:45 1402880 ----a-w- C:\HiJackThis.msi
2010-05-25 02:12 . 2010-05-26 08:33 388608 ----a-w- C:\HijackThis.exe
2010-05-24 21:36 . 2010-05-24 21:36 -------- d-----w- c:\documents and settings\Alberto\Dati applicazioni\URSoft
2010-05-24 21:36 . 2010-05-24 22:21 -------- d---a-w- c:\documents and settings\All Users\Dati applicazioni\TEMP
2010-05-24 21:36 . 2010-05-24 21:36 -------- d-----w- c:\programmi\Your Uninstaller 2010

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-25 02:37 . 2009-12-26 21:33 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\avg9
2010-05-18 00:14 . 2009-07-23 16:48 -------- d-----w- c:\documents and settings\Alberto\Dati applicazioni\Sports Interactive
2010-04-22 20:34 . 2010-04-22 20:34 242696 ----a-w- c:\documents and settings\All Users\Dati applicazioni\avg9\update\backup\avgtdix.sys
2010-04-22 20:31 . 2010-04-22 20:31 1689952 ----a-w- c:\documents and settings\All Users\Dati applicazioni\avg9\update\backup\avgupd.dll
2010-04-07 22:21 . 2009-12-13 15:02 20117 ----a-w- c:\documents and settings\Alberto\Dati applicazioni\mdbu.bin
2009-11-12 16:31 . 2009-11-24 12:20 1962544 ----a-w- c:\programmi\install_flash_player_ax.exe
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="c:\windows\system32\NVMCTRAY.DLL" [2003-05-02 49152]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HTpatch"="c:\windows\htpatch.exe" [2002-12-19 28672]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2003-05-02 4640768]
"nwiz"="nwiz.exe" [2003-05-02 323584]
"PWRISOVM.EXE"="c:\programmi\PowerISO\PWRISOVM.EXE" [2008-07-07 167936]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"CARPService"="carpserv.exe" [2001-12-22 4608]
"ConnMonitor"="c:\programmi\Alice Mobile Olicard 100\ConnMonitor.exe" [2009-06-18 401408]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\flexlm\\thinkflx.exe"=
"c:\\flexlm\\lmgrd.exe"=
"c:\\Programmi\\Sports Interactive\\Football Manager 2010\\fm.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"4241:TCP"= 4241:TCP:Services
"6982:TCP"= 6982:TCP:Services
"9711:TCP"= 9711:TCP:Services
"9712:TCP"= 9712:TCP:Services
"1743:TCP"= 1743:TCP:Services
"1986:TCP"= 1986:TCP:Services
"7412:TCP"= 7412:TCP:Services
"7413:TCP"= 7413:TCP:Services

R2 nvTUNEP;nVidia WDM TVTuner;c:\windows\system32\drivers\NVTUNEP.SYS [24/06/2009 22.25.59 18128]
R2 nvtvSND;nVidia WDM TVAudio Crossbar;c:\windows\system32\drivers\NVTVSND.SYS [24/06/2009 22.25.59 45072]
R3 SiS7012;Service for AC'97 Sample Driver (WDM);c:\windows\system32\drivers\sis7012.sys [24/06/2009 22.23.10 820197]
S3 pmx3gmdm;Olivetti USB Device for Legacy Serial Communication;c:\windows\system32\drivers\pmx3gmdm.sys [11/12/2009 12.14.02 103552]
S3 pmx3gnet;Olivetti USB-NDIS miniport;c:\windows\system32\drivers\pmx3gnet.sys [11/12/2009 12.14.19 117120]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uInternet Connection Wizard,ShellNext = hxxp://alicemobile.mobi/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
HKLM-Run-NWEReboot - (no file)
AddRemove-Kalender - c:\windows\Uninstall_tkexe -kalender
AddRemove-SiS7002 - c:\windows\UnSiSUSB.exe PCI\VEN_1039&DEV_7002
AddRemove-SiS7012 - c:\programmi\SiS7012\Uninst\uninst2k.exe PCI\VEN_1039&DEV_7012



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-26 23:26
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HTpatch = c:\windows\htpatch.exe?ows\CurrentVersion\Run???\???/??[???????[???[???????????????????[???[?B?????[$??????[????????????S??[????????m??[???w????(???{??w???w???????w???w???[????????d???b6?[%??[???[????"??[A??[???[.??wZ??[?3?[?3?[????st.I???????[????d???0=?[?K?[

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2010-05-26 23:27:35
ComboFix-quarantined-files.txt 2010-05-26 22:27

Pre-Run: 10.214.711.296 byte disponibili
Post-Run: 10.185.662.464 byte disponibili

- - End Of File - - 49AC0CC276E972B8940091F2DFD950EE



Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23.33.49, on 26/05/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://alicemobile.mobi/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG9\avgssie.dll (file missing)
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programmi\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [ConnMonitor] C:\Programmi\Alice Mobile Olicard 100\ConnMonitor.exe start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3255 bytes
Sponsor
Inviato: Thursday, May 27, 2010 9:14:19 AM

 
paolopa
Inviato: Thursday, May 27, 2010 9:37:09 AM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
sara' meglio che installi immediatamente un antivirus.
disinstalla adobe reader ed installa l ultima versione o ancora meglio(piu' leggero e meno attaccabile dai malware)questo software:
http://www.aiutamici.com/software?ID=11445 se opterai per quest ultimo non installare la ask toolbar.
prima di fare la ricerca hai visualizzato file e cartelle nascosti?
fai una scansione con questo:
Scarica ed installa MalwareBytes:
clicca qui per il download : http://www.aiutamici.com/software?id=80346
Prima di fare la scansione AGGIORNALO. (è molto importante)
Esegui una scansione completa del sistema.
se trova infezioni posta il log che ti rilascera'.
le pulizie del sistema le hai fatte?(temp,prefetch,ads ecc.ecc.)
devi aggiornare il sistema operativo.
se stai usando windows firewall devi optare per qualcos altro perchè in xp è un colabrodo.aggiorna internet explorer.
non ho capito bene una cosa:hai trovato un altro utente amministratore?
Fai:
Start\Esegui\ copia-incolla questa stringa:
control userpasswords2
Clicca ok.

Scrivimi qui, i nomi che trovi come account, in "Nome Utente".
cerax
Inviato: Thursday, May 27, 2010 10:35:09 AM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
grazie molte paolopa
grazie davvero anche solo per la velocità. Il probelma ce l'ho nel PC di casa, quindi stasera farò ciò che mi hai consigliato

prima di quale ricerca dovevo visaulizzare i file nascosti?

Acrobat Reader non lo vedo + nel pannello di controllo e nemmeno con YourUninstaller, ma ho ancora l'icona e mi apre i pdf. come possibile eliminarlo del tutto?
poi installerò quello che mi hai consigliato. (e non conoscevo)

Stasera a casa farò anche scansione con MalwareBytes.

la pulizia del sistema va bene con CCleaner? posso spuntare tutti i campi della prima scheda?

per l'aggiornamento XP metterò l'automatico.

cosa mi consigli come FireWall?

io sono registrato come Alberto.
Ma c'era un utente administrator che mi compariva quando facevo l'accesso in modalità provvisoria.
Prima non mi veniva mai chiesto all'avvio con quale utente volevo entrare. Quindi credo che anche questo sia stato "inventato" dal virus


grazie ancora
paolopa
Inviato: Thursday, May 27, 2010 11:19:05 AM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
solitamente le cartelle create dal rootkit sono nascoste,quindi magari prima abilita la visualizzazione di file e cartelle nascosti(pannello di controllo,opzioni cartella,visualizzazione,spunta"visualizzafile e cartelle nascosti" e leva la spunta a "nascondi file protetti dal sistema"clicca su "applica"e poi su "ok")poi fai start,cerca,digiti help assistant e vedi se trova qualcosa.processo inverso per rimettere le cose a posto.

guarda se ccleaner (clicca su strumenti)ti rileva il programma da eliminare,oppure puoi provare con questo:
http://www.aiutamici.com/software?ID=80254 c è anche la versione usb che non richiede installazione.

quando entri in mod.provvisoria è normale che ti chieda se vuoi entrare come administrator o come alberto,comunque fai quella prova che ti ho detto.

con ccleaner vai in opzioni,avanzate,e togli il segno di spunta a "cancella i file in windows temp solo se piu' vecchi di 24 ore"lascia il resto di default che tanto puliremo manualmente,ma sono operazioni che faremo assieme ad altre.

di firewall io mi trovo bene con outpost: http://software.aiutamici.com/software?ID=80361
ma se vai nella homepage,software,sicurezza,firewall,ne trovi altri con le schede e potrai scegliere quello che reputi il migliore per te.

fai la scansione con malwarebytes e fai sapere il risultato,ci aggiorniamo quando puoi,tanto oggi entrera' r16 che ne sa piu' di me,se ci sara' da eseguire script o qualcos altro te lo comunichera'.
r16
Inviato: Thursday, May 27, 2010 2:30:56 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
@cerax
Visto che sei capace di seguire un percorso di chiavi del registro, segui attentamente questo:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Arrivato alla cartella Run, ci clicchi una volta sopra.
Sulla pagina a destra, dovresti trovare questo:
HTpatch = c:\windows\htpatch.exe?ows\CurrentVersion\Run???\???/??[???????[???[???????????????????[???[?B?????[$??????[????????????S??[????????m??[???w????(???{??w???w???????w???w???[????????d???b6?[%??[???[????"??[A??[???[.??wZ??[?3?[?3?[????st.I???????[????d???0=?[?K?[

Cliccaci con il tasto destro sopra l'iconcina, e scegli "Elimina".
Riavvia il pc.

Se tieni RevoUnistaller, elimina Your Uninstaller 2010 (eliminalo proprio con Revo)
Elimina anche le cartelle in rosso: (seguendo il percorso)
C:\HiJackThis.msi
C:\HelpAssistantFix.bat
C:\HelpAssistantFix.zip

Poi, si deve sapere, se l'account HelpAssistant, è disattivato oppure no.
E si deve per forza eliminarlo, da "Amministratore".

@Paolopa:
Un controllo, per sicurezza, al MBR non guasta.
Ciao!
paolopa
Inviato: Thursday, May 27, 2010 5:06:33 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
@r16:il controllo all mbr l avrei fatto fare dopo mbam,ma tutto il resto.....pero' era mia intenzione cercare una tua bonifica di questo problema,per essere tranquillo e non dimenticare qualcosa.ne ho di strada da fare,tu controlla sempre,saremo tutti piu' tranquilli.ciao e buon tutto e grazie.
cerax
Inviato: Thursday, May 27, 2010 5:13:57 PM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
x R16

grazie dell'aiuto (e della fiducia)
stasera faccio e domani ti dico.

devo eliminare anche combofix.exe ?


x PaoloPa
già ieri sera ho rimesso AVG 9.0 e scaricato l'ultimo aggiornamento. E tutto funzionava bene.

l'utente Administrator devo riattivarlo allora?


stasera faccio tutto quanto mi avete detto e domani vi faccio il "report"
buona serata
paolopa
Inviato: Thursday, May 27, 2010 6:18:08 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
combofix per ora lascialo installato,poi lo eliminiamo con un disinstallatore apposito,assieme a tutte le pulizie che vanno fatte.
l utente administrator credo propio sia legittimo,se è quello che compare insieme a quello con il tuo nome quando entri in modalita' provvisoria e ti chiede come vuoi entrare,almeno se non ho capito male quanto hai scritto piu' sopra,comunque vedremo quando farai control userpasswords2 e ci dirai cosa trovi.
buon lavoro e a quando vuoi.
r16
Inviato: Thursday, May 27, 2010 10:01:03 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
paolopa ha scritto:
@r16: ne ho di strada da fare,tu controlla sempre,saremo tutti piu' tranquilli.ciao e buon tutto e grazie.

Non è che, perchè sei passato di grado (te lo meriti) ti abbandono....Shame on you
Interverrò solo in caso di necessità.
E spero poche volte.Drool
Ciao.
cerax
Inviato: Thursday, May 27, 2010 11:29:46 PM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
aggiornamento

control passwords2
ci sono solo io (alberto) nel gruppo Administaror. In "strumenti amministrazione" "gestione computer" ho disabilitato l'utente Administrator, lo riabilito?

OutPost installato.
continuano ad uscirmi finestre che mi chiedono se ogni determinato programma ha il diritto a iniziare una sessione internet. ma non è che capisco sempre bene cosa rispondere ... per esempio service.exe cos'è? Do sempre il consenso tranne se proprio mi insospettisco?

AVG intanto mi ha trovato subito: Trojan Dropper.Generic2.NAE (in due posti differenti)
e poi mi ha rilevato anche nella mia chiavetta USB I:\autorun.inf che se anche elimino ricompare. Formatterò tutta la chiavetta (giusto?)

con la ricerca (comprensiva di file nascosti) non ha trovato niente

RevoUnistallaler non vede Acrobar Reader e quindi ancora non sono riuscito a disinstallarlo completamente. Però ora mi accorgo che c'è AdobeActiveShare 1.2 che non ricordavo di aver installato. Ma serve a qualcosa?

eliminata la chiave di registro (che però si chiamava semplicemente C:\windows\htpatch.exe... ) con i 3 puntini finali e basta.

eliminate anche
C:\HiJackThis.msi
C:\HelpAssistantFix.bat
C:\HelpAssistantFix.zip

HelpAssistant lo avevo disabilitato e poi eliminato proprio del tutto.

Ora sto aspettando che MalwareBytes finisca la scansione, poi vi posterò il log.

Il resto mi sembra di averlofatto tutto come da istruzioni

grazie a tutti e due e buona notte

paolopa
Inviato: Friday, May 28, 2010 8:42:13 AM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
Administrator è un account che vien sempre creato (automaticamente) quando si installa il Sistema Operativo.
quello con il tuo nome è il tuo account personale: assicurati di avere pieni diritti di Administrator.
quindi dovresti riabilitare administrator,di modo che cliccando control userpasswords2 risultino sia administrator sia il tuo nome

questo per quanto riguarda service.exe: http://www.processlibrary.com/it/directory/files/services/
se leggi bene la scheda di outpost vedrai che ti spiega tutto,io il consenso lo do solo se sono io a iniziare un processo,se non so cos è guardo su internet,comunque vedrai che diminuiranno sempre piu' le richieste.

per la chiavetta si puo' bonificare se non vuoi formattarla,in ogni caso per ora non rimetterla nel pc,prima disabilitiamo l autoplay:
nel caso vuoi scansionare pendrive o hd esterni .....
Bisogna disattivare momentaneamente il riconoscimento automatico delle periferiche USB;
serve il programma TweakUI scaricabile in questa pagina (lo trovi sulla destra verso metà pagina) e installalo:
http://www.microsoft.com/windowsxp/downloads/powertoys/xppowertoys.mspx
Una volta installato, eseguilo e procedi con questi passaggi:

Espandi la sezione My Computer
Espandi la sottosezione Autoplay
Spostati in Types
Togli il segno di spunta a Enable Autoplay for removable drives
Clicca su Apply
Chiudi TweakUI

PS: Con Espandi intendo: clicca sul simbolo [+] di fianco alle voci che ti ho indicato
Da questo momento tutti gli apparati USB smetteranno di avviarsi automaticamente.
Inserisci le tue chiavette (o HDD) e fai un check delle stesse con il tuo antivirus. (fallo anche con Malwarebytes' Anti-MalwareMalwarebyte
Quando sei sicuro che tutto è a posto,e cioè l'antivirus ha eliminato il malware, puoi riabilitare l'avvio automatico, rifacendo lo stesso percorso che ti ho indicato.
E' chiaro, che se con questo procedimento, hai DISABILITATO le periferiche USB, facendo lo stesso procedimento AL CONTRARIO, le RIATTIVERAI.(io credo sia consigliabile tenerlo disabilitato e quando metti periferiche di cui non sei stracerto scansionarle)
In pratica, per Riattivarle, devi Mettere il segno di spunta a Enable Autoplay for removable drives
(spudoratamente e senza ritegno copiato da un post di r16)
ps:prima di ogni scansione con mbam(malwarebytes)aggiornalo sempre,rilascia piu' aggiornamenti nell arco della giornata,ed è importante.
guarda se in "tutti i programmi" è presente adobe reader
cerax
Inviato: Friday, May 28, 2010 8:53:24 AM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
buongiorno Paolopa,
riabiliterò Administrator.

ecco il risultato di MalwareBytes (ha eliminato 4 file)

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 4149

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

27/05/2010 1.42.07
mbam-log-2010-05-27 (01-42-07).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi esaminati: 172929
Tempo trascorso: 40 minuti, 11 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 2
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 2

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Worm.Palevo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Worm.Palevo) -> Quarantined and deleted successfully.

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
C:\WINDOWS\logfile32.txt (Malware.Trace) -> Delete on reboot.
C:\WINDOWS\system32\Instm.exe (Worm.Palevo) -> Delete on reboot.


ho trovato ora sul vostro forumo questo link per eliminare il problema di autorun.inf
http://www.aiutamici.com/software?ID=11519
andava bene anche questo? cmq farò come hai detto tu.

scusa l'ignoranza.. ma dove sarebbe "tutti i programmi" ?




paolopa
Inviato: Friday, May 28, 2010 9:58:49 AM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
si,andava bene anche quello:ti viene immesso un autorun.inf innocuo che impedisce l insediarsi di altri autorun maligni(questo vaccinando la chiavetta,vaccinando il pc invece viene disabilitato l autoplay per le periferiche,è un buon programma.)

tutti i programmi lo trovi come prima voce cliccando su start.


spegni e riaccendi il pc per eliminare l infezione rilevata da mbam.

Scarica MBR:EXE direttamente nella Directory C:\ (Devi scaricarlo obligatoriamente in C: )
http://www2.gmer.net/mbr/mbr.exe
Entra in Modalità provvisoria.
da Start - Esegui - digita C:\mbr.exe -f (fai il copia-incolla)e clicca su OK
La scansione dura pochi secondi.
Posta il log prodotto per il controllo. (lo trovi in C )
cerax
Inviato: Tuesday, June 01, 2010 11:04:28 PM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
RIECCOMI, ciao
ecco quanto ho fatto

Administrator riabilitato. Ora quando digito control userpassword2 mi esce il mio nome + Administator. Avevo cancellato anche la cartella Document and setting\Administrator: è un problema?

Anche la chiavetta ora è sistemata
Ho poi scaricato l’ultimo aggiornamento sia di AVG, sia di MalwareBytes e ho messo gli aggiornamenti automatici di XP. Me ne ha installati una marea. Ho anche installato InternetExplorer 8
Adobe Reader c’è sempre, anche sotto “tutti i programmi” . Come faccio a toglierlo?

Questo è il risultato di mbr.exe-f :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x04A891C1
malicious code @ sector 0x04A891C4 !
PE file found in sector at 0x04A891DA !

Aspetto, per favore, di sapere se devo ancora fare qualcosa oppure se posso essere tranquillo che è tutto a posto adesso

Grazie
ciao
paolopa
Inviato: Wednesday, June 02, 2010 8:15:31 AM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
hai scritto:Avevo cancellato anche la cartella Document and setting\Administrator: è un problema?
temo di si,hai cancellato una cartella di sistema....guarda se per caso fosse nel cestino e se c è ripristinala,farti fare un ripristino significherebbe,temo,reinstallare anche le infezioni.quando l hai cancellata?
per disinstallare adobe reader(non c è il suo disinstallatore in "tutti i programmi"?) ,se non c è alternative,te lo puo' eliminare r16(se non ci fosse lui andiamo poco distanti....)con uno script,visto che hai ancora installato combofix.
il report di gmer non mi convince del tutto(se non ricordo male,ma posso di certo sbagliarmi,manca questa frase:"original MBR restored successfully !")quindi anche qua,prima che ti faccio fare qualcosa di magari inutile,aspetta r16
c è ancora un po di lavoro da fare,tutte le pulizie del pc,ma è cosa davvero da poco.

r16
Inviato: Wednesday, June 02, 2010 2:46:28 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
paolopa ha scritto:
il report di gmer non mi convince del tutto(se non ricordo male,ma posso di certo sbagliarmi,manca questa frase:"original MBR restored successfully !")

Ma c'è questa:
Code:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Significa, che c'è qualche settore secondario del MBR, che è danneggiato. (copy of MBR has been found in sector 0x04A891C1
malicious code @ sector 0x04A891C4 !
PE file found in sector at 0x04A891DA !)
Ma il settore principale, è corretto. (user & kernel MBR OK )
In pratica, il rootkit, è defunto, ma purtroppo qualche piccolo danno, se lo è portato nella tomba.
In ogni caso, il pc dovrebbe funzionare bene lo stesso.
Ciao.



paolopa
Inviato: Wednesday, June 02, 2010 2:53:15 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
@r16:grazie infinite,preso e assimilato!!! :-) ciao e buon 2 giugno.
cerax
Inviato: Friday, June 04, 2010 9:46:16 AM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
avevo letto qui
http://www.grisoft.it/index.php?option=com_content&task=view&id=530&Itemid=110
che (come dice anche R16) la scitta user & kernel MBR OK indica che il tutto è neutralizzato.
meno male che l oconfermate anche voi

sotto "tutti i programmi" non c'è il "disinstallatore" di AdobeReader. Devo provare a reinstallarlo e poi disisntallarlo con REVO UNINSTALLER ?

per quanto riguarda la cartella ADministrator proverò a recuperarla dal cestino, perchè punti di riprsitno precedenti non ne avevo. Non so come mai ma quando ho cominciato ad avere problemi al PC mi son oaccorto che non avevo punti di ripristino vecchi e quindi non potevo tornare ad "una configurazione sicuramente funzionante"

ciao
paolopa
Inviato: Friday, June 04, 2010 10:04:15 AM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
io proverei come hai detto per quanto riguarda adobe,a meno che r16 non gli tiri il collo con uno script,visto che combo è ancora installato.poi ci sono tutte le pulizie da fare,ma prima risolvi sto adobereader.
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.