Pagina 1 di 1

Windows update bloccato, ancora!

MessaggioInviato: mar set 27, 2005 3:58 pm
da mmorabito
Salve a tutti!
La settimana scorsa ho beccato un virus, anzi due (colpa mia ho aperto l'email sbagliata!): win32/bagle.BI e win32/bagle.CI
Credo di averli cancellati con NOD32 in windows in modalità provvisoria ed ho anche seguito una procedura di rimozione manuale che ho trovato in rete.
+++++++++++++++++++
Istruzioni per l'eliminazione

L'euristica estesa di NOD32 è stata in grado di intercettare questa variante di Bagle ancora prima di aggiornare il database delle firme digitali. Per tutti gli utenti che non usassero NOD32, Future Time ha rilasciato/aggiornato un apposito programma di rimozione

http://www.nod32.it/cgi-bin/mapdl.pl?tool=BagleBB

Istruzioni per l'eliminazione manuale

Disattivare il ripristino automatico di configurazione in Windows XP/ME.

Da Start->Esegui, scrivere REGEDIT e premere Invio per accedere al Registro di sistema.
Eliminare sotto la colonna "Nome", la chiave "winshost.exe", nelle seguenti chiavi di Registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Cancellare la cartella “FirstRun” nella seguente chiave di Registro:

HKEY_CURRENT_USER\Software\FirstRun

Cambiare il valore “Start” come qui riportato nelle seguenti chiavi di Registro:

HKLM\SYSTEM\CurrentControlSet\Services\Alerter
Start = "dword:00000003"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = "dword:00000002"
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Start = "dword:00000002"

Chiudere l’editor del Registro di sistema.
Usando l’”Esplora” di Windows cercare il file HOSTS (senza estensione) all’interno di queste cartelle:

c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\

Se appare, cliccare due volte su questo file (HOSTS). Selezionare “Scegliere il programma da utilizzare dall’elenco”, quindi “Accetta”, e dopo selezionare NOTEPAD.
NON CONTRASSEGNARE "Usa sempre quest'applicazione per aprire questo tipo di file”
Cancellare tutte le stringhe che iniziano con un numero, salvo questa:

127.0.0.1 localhost

Salvare i cambiamenti effettuati ed uscire da Notepad
Riavviare il computer ed eseguire una scansione del disco utilizzando l’antivirus aggiornato per cancellare qualsiasi presenza residua del worm.
++++++++++++++++++++++++++

Apparentemente tutto risolto, ma... non funziona più windows update e molti dei siti internet che utilizzano script attivi o simili (perdonatemi l'imprecisione, non sono esperta!).
Nelle opzioni internet, nella scheda protezione, tutte queste cose risultano attivate.
Ha smesso di funzionare anche windows media player, ma questo non sarebbe un grosso problema... esistono altri software per i file multimediali!

Che faccio? Formatto? Io preferirei di no!

Ho fatto anche una scansione con HiJackThis e vi allego il log file.

+++++++++++++++++++++++++++++
Logfile of HijackThis v1.99.1
Scan saved at 23.20.50, on 26/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Novatel Wireless\MobiLink\iilserver.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programmi\ASUS\ASUS Live Update\ALU.exe
C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programmi\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Programmi\Babylon\Babylon.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmi\Logitech\Video\LogiTray.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
C:\Programmi\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Asus\Asus ChkMail\ChkMail.exe
C:\Programmi\Nikon\NkView6\NkvMon.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\Logitech\Video\FxSvr2.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Documents and Settings\ASUS6842\Desktop\Nuova cartella\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.repubblica.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com.tw
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programmi\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programmi\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Programmi\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmi\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmi\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programmi\Logitech\Video\ManifestEngine.exe boot
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programmi\Asus\Asus ChkMail\ChkMail.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programmi\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com.tw
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSIns ... icton.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 4458455053
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Sebring - c:\WINDOWS\System32\LgNotify.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: MobiLink IILServer - Novatel Wireless, Inc. - C:\Programmi\Novatel Wireless\MobiLink\iilserver.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe

+++++++++++++++++++++++++++

Ho consultato l'archivio dei messaggi, ma non ho trovato una situazione uguale alla mia (o non ho saputo trovare?)

Aspetto con ansia un vostro imput! Grazie in anticipo.

Marina

MessaggioInviato: mar set 27, 2005 4:31 pm
da Michael
Sei in Off-Section credo...

MessaggioInviato: mar set 27, 2005 4:47 pm
da mmorabito
Michael ha scritto:Sei in Off-Section credo...


Perdona l'ignoranza.... cioè?

MessaggioInviato: mar set 27, 2005 4:51 pm
da ba_61
Doveva essere postato alla sezione "Sicurezza".

MessaggioInviato: mar set 27, 2005 4:56 pm
da Michael
Credo che il titolo non sia aderente alla traccia...

PS: hai messo tu "http://www.asus.com.tw" come pagina iniziale, il resto non sembra sospetto...

MessaggioInviato: mar set 27, 2005 5:02 pm
da mmorabito
Perdono.
Io ho dato per scontato che fosse un problema delle impostazioni di windows.
Ora lo sposto alla sessione sicurezza.

Scusate!

Marina

MessaggioInviato: mar set 27, 2005 5:13 pm
da crazy.cat
Andiamo avanti qui
http://www.MegaLab.it/forum/viewtopic.php?t=16472
ed è nella sezione sicurezza.

I messaggi li spostiamo solo noi moderatori.

Chiudo