Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

anomalie e errori....

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

anomalie e errori....

Messaggioda anny85 » mar feb 13, 2007 11:05 am

Questa volta il pc infetto è di una amica!!!

PROBLEMI RISCONTRATI ALL'ACCENSIONE DEL COMPUTER:
-la barra Start, degli strumenti rimane bloccata e non cliccabile nessuna icona!
-esce la finestra di errore di Explore.exe;
-esce la finestra di errore di tosOBEX.exe;
-quando si preme CTRL-ALT-canc non riesce ad avviarsi il task manager, ma esce la finestra di errore anche per questo exe;
-si riesce a cliccare o raramente o solo momentaneamente sulle icone del desktop;
si riesce ad accedere ad internet, ma fatti due-tre click, puffff...sparisce la finestra del browser.


TENTATIVI DI RIPARAZIONE EFFETTUATI:
In modalità provvisoria (l'unica che funziona normalmente)
- si è avviato CCleaner-->pulizia che è durata tantissimo;
- si è avviato adwaver-->trovati tre oggetti critici-->eliminati;
- si è avviatol'antivirus AVG-->due oggetti infetti, ma nessun virus riscontrato-->corretto quel poco di infetto che ha trovato


Ora io mi chiedo:
1-cosa è successo??
2-farò la scansione con hijackthis, ma quali altri programmi e necessario prendermi per portarli dalla mia amica???
Avatar utente
anny85
Senior Member
Senior Member
 
Messaggi: 154
Iscritto il: sab feb 03, 2007 2:22 pm

Messaggioda crazy.cat » mar feb 13, 2007 12:39 pm

E' un portatile toshiba?

Scaricati questo programma, virit, lo installi sul tuo pc, lo aggiorni e poi ti copi tutta la cartella dove è installato il programma su un cdrom e lo porti sul pc della tua amica e fai la scansione
http://www.tgsoft.it/italy/index_ita.html

Controlla qui
http://www.MegaLab.it/2651
nel visualizzatore eventi se trovi qualche errore ripetuto che possa spiegare meglio il problema.

Anche con questo, a2 squared, puoi fare la stessa cosa di virit
http://www.emsisoft.com/en/software/free/

Sono tanti gli errori che potrebbe anche non essere virus.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda anny85 » mar feb 13, 2007 1:22 pm

ora sto scansionando in modalità provvisoria con a2squared....
Avatar utente
anny85
Senior Member
Senior Member
 
Messaggi: 154
Iscritto il: sab feb 03, 2007 2:22 pm


Messaggioda anny85 » mar feb 13, 2007 1:40 pm

1 file infetto-->adware.Casino.d-->eliminato
Avatar utente
anny85
Senior Member
Senior Member
 
Messaggi: 154
Iscritto il: sab feb 03, 2007 2:22 pm

Messaggioda anny85 » mar feb 13, 2007 2:08 pm

continuano a comparire alcune finestre di errore....

credo che alcune siano dipese da difetti dell'hardware....come si possono risolvere????

faccio lo stesso il log di hijackthis e ve lo mando???
Avatar utente
anny85
Senior Member
Senior Member
 
Messaggi: 154
Iscritto il: sab feb 03, 2007 2:22 pm

Messaggioda anny85 » mar feb 13, 2007 2:11 pm

come non detto...non posso farlo neanche in modalità provvisoria. Ogni volta che apro la cartella di hijackthis, sparisce tutto!
Avatar utente
anny85
Senior Member
Senior Member
 
Messaggi: 154
Iscritto il: sab feb 03, 2007 2:22 pm

Messaggioda crazy.cat » mar feb 13, 2007 2:13 pm

virit riesci a lanciarlo?

La reinstallazione del pc si avvicina.....
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda anny85 » mar feb 13, 2007 3:49 pm

non mi rimane che provare virit....v faccio sapere nel pomeriggio nel caso!
Avatar utente
anny85
Senior Member
Senior Member
 
Messaggi: 154
Iscritto il: sab feb 03, 2007 2:22 pm

Messaggioda anny85 » mar feb 13, 2007 7:23 pm

[^] ok virit ha trovato un virus nel registro.

Ora funziona tutto anche se l'antivirus AVG 7.5 continua a rilevare delle minacce,alcune delle quali non si possono nè correggere nè mettere in quarantena. come mai????
Avatar utente
anny85
Senior Member
Senior Member
 
Messaggi: 154
Iscritto il: sab feb 03, 2007 2:22 pm

Messaggioda crazy.cat » mar feb 13, 2007 7:56 pm

Quali minacce e dove?
Nome dei file infetti e dei virus che trova.

(non abbiamo ancora la sfera di cristallo per la rilevazione de problemi a distanza)
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda anny85 » mar feb 13, 2007 7:58 pm

windows\system32\CanonChecker.exe --> Cavallo di troia generic3.FB
Avatar utente
anny85
Senior Member
Senior Member
 
Messaggi: 154
Iscritto il: sab feb 03, 2007 2:22 pm

Messaggioda Amantide » mar feb 13, 2007 8:25 pm

Si tratta del LinkOptimizer mischiato al rootkit.

Mi dovresti postare i log della scansione con Gmer delle sezioni Autostart e Rootkit, altrimenti difficilmente veniamo fuori.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda anny85 » mar feb 13, 2007 8:32 pm

come mai l'icona di AVG nella barra degli sturmenti , rimane grigia e nera e non colorata???l'ho anche aggiornato!


ecco il log Gmer autostart:

GMER 1.0.12.12027 - http://www.gmer.net
Autostart scan 2007-02-14 19:28:29
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = c:\windows\system32\userinit.exe,,c:\windows\services.exe,"c:\windows\system32\canonchecker.exe",

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
acavwifi /*Accesso avanzato Wi-Fi*/@ = C:\WINDOWS\Downlo~1\6iopv\j0jhvz.exe /*file not found*/
ATKKeyboardService /*ATK Keyboard Service*/@ = C:\WINDOWS\ATKKBService.exe
Avg7Alrt /*AVG7 Alert Manager Server*/@ = C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
Avg7UpdSvc /*AVG7 Update Service*/@ = C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
AVGEMS /*AVG E-mail Scanner*/@ = C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
MDM /*Machine Debug Manager*/@ = "C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE"
NVSvc /*NVIDIA Display Driver Service*/@ = %SystemRoot%\system32\nvsvc32.exe
SoundMAX Agent Service (default) /*SoundMAX Agent Service*/@ = C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
STI Simulator /*STI Simulator*/@ = C:\WINDOWS\System32\PAStiSvc.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@SoundMAXPnPC:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe = C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
@SoundMAX"C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray = "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
@NvMediaCenterRUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit = RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
@NeroFilterCheckC:\WINDOWS\system32\NeroCheck.exe = C:\WINDOWS\system32\NeroCheck.exe
@RemoteControlC:\Programmi\CyberLink\PowerDVD\PDVDServ.exe = C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
@AVG7_CCC:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP = C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
@NvCplDaemonRUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
@BluetoothAuthenticationAgentrundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent = rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
@netyhbtr"c:\windows\system32\netyhbtr.exe" = "c:\windows\system32\netyhbtr.exe"
@RegistryMechanic /*file not found*/ = /*file not found*/
@UnlockerAssistant"C:\Programmi\Unlocker\UnlockerAssistant.exe" /*file not found*/ = "C:\Programmi\Unlocker\UnlockerAssistant.exe" /*file not found*/

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run@1 = C:\WINDOWS\winhp32.exe /*file not found*/

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@CTFMON.EXEC:\WINDOWS\system32\ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe
@E06IXLRD_486546"C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE" -m = "C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE" -m
@msnmsgr"C:\Programmi\MSN Messenger\msnmsgr.exe" /background = "C:\Programmi\MSN Messenger\msnmsgr.exe" /background

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{A70C977A-BF00-412C-90B7-034C51DA2439} /*NvCpl DesktopContext Class*/C:\WINDOWS\system32\nvcpl.dll = C:\WINDOWS\system32\nvcpl.dll
@{FFB699E0-306A-11d3-8BD1-00104B6F7516} /*Play on my TV helper*/C:\WINDOWS\system32\nvcpl.dll = C:\WINDOWS\system32\nvcpl.dll
@{1CDB2949-8F65-4355-8456-263E7C208A5D} /*Desktop Explorer*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A47} /*Desktop Explorer Menu*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A48} /*nView Desktop Context Menu*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{00020D75-0000-0000-C000-000000000046} /*Microsoft Office Outlook Desktop Icon Handler*/C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL = C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
@{0006F045-0000-0000-C000-000000000046} /*Microsoft Office Outlook Custom Icon Handler*/C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL = C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\OFFICE11\msohev.dll = C:\Programmi\Microsoft Office\OFFICE11\msohev.dll
@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} /*AVG7 Shell Extension*/C:\Programmi\Grisoft\AVG7\avgse.dll = C:\Programmi\Grisoft\AVG7\avgse.dll
@{9F97547E-460A-42C5-AE0C-81C61FFAEBC3} /*AVG7 Find Extension*/C:\Programmi\Grisoft\AVG7\avgse.dll = C:\Programmi\Grisoft\AVG7\avgse.dll
@{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} /*Messenger Sharing Folders*/C:\Programmi\MSN Messenger\fsshext.8.1.0178.00.dll = C:\Programmi\MSN Messenger\fsshext.8.1.0178.00.dll
@{A155339D-CCCD-4714-85EB-3754B804C9DF} /*a-squared Free Context Menu Shell Extension*/C:\PROGRA~1\A-SQUA~1\A2FREE~1.DLL = C:\PROGRA~1\A-SQUA~1\A2FREE~1.DLL
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
AVG7 Shell Extension@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = C:\Programmi\Grisoft\AVG7\avgse.dll
EPPShellEx@{509FE1AF-ADD5-49EC-BC55-7CF81FD16E78} = C:\Programmi\EPSON\Creativity Suite\Easy Photo Print\EPPShell.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
a2FreeContMenu@{A155339D-CCCD-4714-85EB-3754B804C9DF} = C:\PROGRA~1\A-SQUA~1\A2FREE~1.DLL
AVG7 Shell Extension@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = C:\Programmi\Grisoft\AVG7\avgse.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} = C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

HKCU\Control Panel\Desktop@SCRNSAVE.EXE = C:\WINDOWS\ASUS_A~1.SCR

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.google.it/ = http://www.google.it/
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Filter\text/xml@CLSID = C:\Programmi\File comuni\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
livecall@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
ms-itss@CLSID = C:\Programmi\File comuni\Microsoft Shared\Information Retrieval\msitss.dll
msnim@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mso-offdap@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
mso-offdap11@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll
wia@CLSID = C:\WINDOWS\system32\wiascr.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004@LibraryPath = %SystemRoot%\system32\wshbth.dll

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica >>>
Alice ti aiuta.lnk = Alice ti aiuta.lnk
Bluetooth Manager.lnk = Bluetooth Manager.lnk

---- EOF - GMER 1.0.12 ----
Avatar utente
anny85
Senior Member
Senior Member
 
Messaggi: 154
Iscritto il: sab feb 03, 2007 2:22 pm

Messaggioda anny85 » mar feb 13, 2007 8:38 pm

rootkit:

GMER 1.0.12.12027 - http://www.gmer.net
Rootkit scan 2007-02-14 19:33:12
Windows 5.1.2600 Service Pack 2


---- User code sections - GMER 1.0.12 ----

.text C:\Programmi\MSN Messenger\msnmsgr.exe[452] kernel32.dll!SetUnhandledExceptionFilter 7C810386 5 Bytes JMP 004DE392 C:\Programmi\MSN Messenger\msnmsgr.exe

---- Devices - GMER 1.0.12 ----

Device \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [F7B9485A] avgtdi.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [F7B9485A] avgtdi.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL [F7B9485A] avgtdi.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL [F7B9485A] avgtdi.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_INTERNAL_DEVICE_CONTROL [F7B9485A] avgtdi.sys

---- Files - GMER 1.0.12 ----

*******
---- EOF - GMER 1.0.12 ----

Edited by Amantide:
Ho eliminato la parte del log contenente i dati personali
[;)]
Avatar utente
anny85
Senior Member
Senior Member
 
Messaggi: 154
Iscritto il: sab feb 03, 2007 2:22 pm

Messaggioda Amantide » mar feb 13, 2007 10:19 pm

Si tratta dell'ultima variante di Rustock.
Esegui questo script per Avenger e al riavvio del pc postami il log con esito dell'operazione:

Files to delete:
c:\windows\system32\canonchecker.exe
C:\WINDOWS\Downlo~1\6iopv\j0jhvz.exe
c:\windows\system32\netyhbtr.exe
C:\WINDOWS\winhp32.exe

folders to delete:
C:\WINDOWS\Downlo~1\6iopv

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\acavwifi

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | netyhbtr
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run | 1


Poi segui la guida di questo post e ripristina il valore di Userinit.
Se Avenger non dovesse funzionare, allora prima ripristina Userinit e poi riprova.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 9 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising