Pagina 1 di 1

[Help]Problema aggiornamento antivirus

MessaggioInviato: mar ott 26, 2010 10:59 pm
da Lamu
Ciao a Tutti,
scusate sono nuova e non sò se farò errori a postare il mio problema mi scuso in anticipo.
ho un problema da giorni non mi si aggiorna piu l'antivirus e non riesco a scaricarne altri... mi sono fatta passare un antivirus da un amico è andato, ma ha trovato un virus solo messo in quarantena ma il problema persiste...allora ho seguito delle cose scritte da voi, ho fatto la scansione con Gmer ho copiato sul blocco note quello che è venuto fuori ma non riesco a creare lo script da mettere su Avenger.
ho anche già disattivato tutto per partire con Avenger se potete aiutarmi a creare lo scripr x evitare di fare confusione vi ringrazio.
spero in una vostra risposta ci stò diventando matta.
grazie ancora

Re: [Help]Problema aggiornamento antivirus

MessaggioInviato: mer ott 27, 2010 12:14 am
da Lamu
Ciao scusate mi sono dimenticata di mettervi il log di quello che ho trovato con Gmer per poter fare lo script per Avenger... Ve lo posto rispondetemi please...grazie

GMER 1.0.15.15477 - http://www.gmer.net
Rootkit scan 2010-10-27 01:21:10
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: D:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\pftyipob.sys


---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\System32\svchost.exe[900] ntdll.dll!NtQueryInformationProcess 7C91D7FE 5 Bytes JMP 01ECADCD
.text C:\WINDOWS\System32\svchost.exe[900] kernel32.dll!Sleep 7C802446 5 Bytes JMP 01E60000
.text C:\WINDOWS\System32\svchost.exe[900] NETAPI32.dll!NetpwPathCanonicalize 5BC7A3A9 5 Bytes JMP 01ECAD64
.text C:\WINDOWS\system32\svchost.exe[948] ntdll.dll!NtQueryInformationProcess 7C91D7FE 5 Bytes JMP 00DEADCD
.text C:\WINDOWS\system32\svchost.exe[948] kernel32.dll!Sleep 7C802446 5 Bytes JMP 00DD0000
.text C:\WINDOWS\Explorer.EXE[1468] ntdll.dll!NtQueryDirectoryFile + 6 7C91D774 4 Bytes [90, 61, F4, 00]
.text C:\Programmi\Mozilla Firefox\firefox.exe[1664] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 004013F0 C:\Programmi\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] kernel32.dll!LoadResource 7C80A055 7 Bytes JMP 2806CEC0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] kernel32.dll!FindResourceExW 7C80AD28 7 Bytes JMP 2806CD20 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] kernel32.dll!FindResourceW 7C80BC6E 7 Bytes JMP 2806CCA0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] kernel32.dll!SizeofResource 7C80BD09 7 Bytes JMP 2806CF70 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] kernel32.dll!FindResourceA 7C80BF29 7 Bytes JMP 2806CDA0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] kernel32.dll!LockResource 7C80CD37 5 Bytes JMP 2806CFE0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] kernel32.dll!CreateEventA 7C8308B5 5 Bytes JMP 2806C900 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] kernel32.dll!FindResourceExA 7C835FA8 7 Bytes JMP 2806CE30 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] ADVAPI32.dll!CryptDeriveKey 77F59FFD 7 Bytes JMP 2806C410 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] ADVAPI32.dll!CryptDecrypt 77F5A129 7 Bytes JMP 2806C470 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] USER32.dll!GetWindowLongW 7E3988A6 7 Bytes JMP 28070F10 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] USER32.dll!PeekMessageW 7E39929B 5 Bytes JMP 2806EF10 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] USER32.dll!SetWindowPlacement 7E39DE46 5 Bytes JMP 28070480 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] USER32.dll!CreateDialogParamW 7E39EA3B 5 Bytes JMP 280705D0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] USER32.dll!LoadImageW 7E3A7B97 5 Bytes JMP 28070C60 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] USER32.dll!CreateWindowExW 7E3AD0A3 5 Bytes JMP 2806E4A0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] USER32.dll!SetWindowRgn 7E3AE528 7 Bytes JMP 28070520 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] USER32.dll!LoadIconW 7E3AE8BC 5 Bytes JMP 28070DE0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] USER32.dll!MessageBoxIndirectW 7E3E64D5 5 Bytes JMP 28070800 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] USER32.dll!TrackPopupMenuEx 7E3ECF62 5 Bytes JMP 2806F590 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] SHELL32.dll!Shell_NotifyIconW 7CA3A587 5 Bytes JMP 2806DC10 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] ole32.dll!CoCreateInstance 774CF1AC 5 Bytes JMP 2806D5C0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] ole32.dll!CoInitializeEx 774D1473 5 Bytes JMP 2806D240 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] ole32.dll!CoRegisterClassObject 774E79C0 5 Bytes JMP 2806D340 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] WININET.dll!HttpOpenRequestA 77192B01 5 Bytes JMP 28073F30 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] WININET.dll!InternetCloseHandle 77194D94 5 Bytes JMP 280741D0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] WININET.dll!HttpSendRequestA 771960A9 5 Bytes JMP 28074130 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Programmi\Windows Live\Messenger\msnmsgr.exe[1924] WININET.dll!InternetReadFile 771982F2 5 Bytes JMP 28074090 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.)
AttachedDevice \FileSystem\Ntfs \Ntfs amon.sys (Amon monitor/Eset )

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] bridlccn <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\bridlccn@DisplayName System Shell
Reg HKLM\SYSTEM\CurrentControlSet\Services\bridlccn@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\bridlccn@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\bridlccn@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\bridlccn@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\bridlccn@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\bridlccn@Description Consente a pi? utenti di connettersi in modo interattivo a un computer e la visualizzazione di desktop e applicazioni a computer remoti. Complemento di Desktop remoto (incluso Desktop remoto per amministratori), Cambio rapido utente, Assistenza remota e Terminal Server.
Reg HKLM\SYSTEM\CurrentControlSet\Services\bridlccn\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\bridlccn\Parameters@ServiceDll C:\WINDOWS\system32\srtadqd.dll
Reg HKLM\SYSTEM\ControlSet002\Services\bridlccn@DisplayName System Shell
Reg HKLM\SYSTEM\ControlSet002\Services\bridlccn@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\bridlccn@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\bridlccn@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\bridlccn@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\bridlccn@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\bridlccn@Description Consente a pi? utenti di connettersi in modo interattivo a un computer e la visualizzazione di desktop e applicazioni a computer remoti. Complemento di Desktop remoto (incluso Desktop remoto per amministratori), Cambio rapido utente, Assistenza remota e Terminal Server.
Reg HKLM\SYSTEM\ControlSet002\Services\bridlccn\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\bridlccn\Parameters@ServiceDll C:\WINDOWS\system32\srtadqd.dll

---- EOF - GMER 1.0.15 ----

Re: [Help]Problema aggiornamento antivirus

MessaggioInviato: mer ott 27, 2010 12:46 am
da Uomo_Senza_Sonno
Ciao e benvenuta su [MLI]

Potresti postare anche il log che genera mbr.exe? Da quel poco che ho visto (anche per l'ora) è probabile che non basterà un solo script di avenger per risolvere tutto... ma risolveremo, in un modo o nell'altro [;)]

Re: [Help]Problema aggiornamento antivirus

MessaggioInviato: mer ott 27, 2010 1:55 am
da Lamu
Ciao grazie mille della risposta e del benvenuto...
purtroppo non sono molto pratica come faccio a trovare il log di mbr.exe?????

Re: [Help]Problema aggiornamento antivirus

MessaggioInviato: mer ott 27, 2010 4:22 am
da crazy.cat
Lamu ha scritto:purtroppo non sono molto pratica come faccio a trovare il log di mbr.exe?????

Leggi post517158.html#p517158

Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php e salvalo sul desktop. Avvialo e nella casella bianca copia/incolla:

Files to delete:
C:\WINDOWS\system32\srtadqd.dll

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\bridlccn


POi un giro di scansione con avira rescue cd lo farei in ogni caso.
http://www.MegaLab.it/3591/avira-antivir-rescue-system

Re: [Help]Problema aggiornamento antivirus

MessaggioInviato: mer ott 27, 2010 5:02 am
da Lamu
Ecco Il Log mbr.exe ci sono riuscita :) ovviamente grazie a voi hehehehe ho già scaricato avanger...ditemi voi che devo fare
vi ringrazio per l'aiuto

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: ST3250823A rev.3.03 -> \Device\Ide\IdeDeviceP0T0L0-3

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01D1C4581
malicious code @ sector 0x01D1C4584 !
PE file found in sector at 0x01D1C459A !

Re: [Help]Problema aggiornamento antivirus

MessaggioInviato: mer ott 27, 2010 5:27 am
da Lamu

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\srtadqd.dll" deleted successfully.
Registry key "HKLM\SYSTEM\CurrentControlSet\Services\bridlccn" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Re: [Help]Problema aggiornamento antivirus

MessaggioInviato: mer ott 27, 2010 5:41 am
da Lamu
Fatto!!!!! ...Sembra che si sia sistemato tutto sono riuscita a aggiornare il mio antivirus e sopra ho postato il log che mi ha dato appena si è riavviato il pc dopo avanger.
[grazie] Grazie per l'aiuto che mi avete dato e per questo sito molto utile e chiaro [:)]

Re: [Help]Problema aggiornamento antivirus

MessaggioInviato: mer ott 27, 2010 7:00 am
da crazy.cat
Lamu ha scritto:copy of MBR has been found in sector 0x01D1C4581
malicious code @ sector 0x01D1C4584 !
PE file found in sector at 0x01D1C459A ![/memo]


Qualche problema potrebbe esserci, ma qui ti lascio nelle mani del nostro esperto del settore di boot, l'uomo senza sonno.

Re: [Help]Problema aggiornamento antivirus

MessaggioInviato: mer ott 27, 2010 7:17 am
da The Doctor
Ciao Lamu e benvenuta su MLI.

Consiglio: il titolo di una discussione è una cosa molto importante, sia per permettere una facile individuazione del problema e fornirti aiuto adeguato, sia per permettere a chi ha il tuo stesso problema di seguire la discussione e di risolvere a sua volta [;)]

Re: [Help]Problema aggiornamento antivirus

MessaggioInviato: mer ott 27, 2010 9:44 am
da Uomo_Senza_Sonno
Lamu ha scritto:user & kernel MBR OK
copy of MBR has been found in sector 0x01D1C4581
malicious code @ sector 0x01D1C4584 !
PE file found in sector at 0x01D1C459A !

Qualche pulizia è stata fatta, ora rimuoviamo completamente questi rimasugli che sono potenzialmente pericolosi. Segui questa guida e posta il settore 0 del tuo disco. Cosa importante è che apri il disco fisico e non la partizione. Dopo che fai lo screenshot posta l'immagine su http://www.imageshack.us e copia/incolla il link diretto nel tag img.