Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

H*jackhis imballatissimo ,non parte e chiude browser

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Messaggioda Amantide » ven mar 16, 2007 8:25 pm

@ Asenath83

Cerca di postare il meno possibile perché il worm che hai a tua insaputa mette un link infetto nelle tue risposte sul forum.

Ora scarica AGVPFIX, riavvia ilpc in modalità provvisoria ed elimina con il suo aiuto tutti questi file:
C:\WINDOWS\system32\svcalflk.exe Object is locked skipped
C:\WINDOWS\system32\cdblejhs.exe Infected: Trojan-Downloader.Win32.VB.att skipped
C:\WINDOWS\system32\udcznvcw.exe Infected: Email-Worm.Win32.Zhelatin.bk skipped
C:\WINDOWS\system32\ma.exe.exe Infected: Email-Worm.Win32.Zhelatin.bk skipped
C:\WINDOWS\system32\pp.exe.exe Infected: Email-Worm.Win32.Zhelatin.bk skipped
C:\WINDOWS\system32\zu.exe.exe Infected: Email-Worm.Win32.Zhelatin.bk skipped
C:\WINDOWS\system32\rsvp32_2.dll Infected: Email-Worm.Win32.Zhelatin.al skipped
C:\WINDOWS\system32\via.exe Infected: Email-Worm.Win32.Zhelatin.bl skipped
C:\WINDOWS\system32\cdromdrv32.dll Infected: Trojan-Downloader.Win32.VB.apq skipped
C:\WINDOWS\system32\sm.exe Infected: Email-Worm.Win32.Zhelatin.bk skipped
C:\WINDOWS\system32\dd.exe Infected: Email-Worm.Win32.Zhelatin.bk skipped
C:\WINDOWS\default.htm Infected: not-virus:Hoax.Win32.Renos.hg skipped
C:\WINDOWS\pp.exe Infected: Email-Worm.Win32.Zhelatin.bl skipped
C:\WINDOWS\via.exe Infected: Email-Worm.Win32.Zhelatin.bl skipped

Eliminati questi file fai anche la scansione con il tuo antivirus ed Virit sempre dalla modalità provvisoria, dopo ritorna in modalità normale, rifai la scansione con Kaspersky online e posta qui il risultato.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Asenath83 » ven mar 16, 2007 8:26 pm

si era un virus, cancellato anche dal registro.
avevo anche il virus adirka, si rigenera sempre eppure ho il ripristino disattivato.
Avatar utente
Asenath83
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: mer mar 14, 2007 1:21 pm

Messaggioda Amantide » ven mar 16, 2007 8:41 pm

@ eternauta

Se riesci fai anche tu la scansione con Kaspersky online e posta qui il report.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo


Messaggioda Asenath83 » ven mar 16, 2007 11:13 pm

niente il pc nn mi fa finire la scansione, si riavvia ogni volta.
credo sia il caso di formattare :/
grazie comunque
Avatar utente
Asenath83
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: mer mar 14, 2007 1:21 pm

Messaggioda Amantide » sab mar 17, 2007 12:13 pm

Asenath83 ha scritto:niente il pc nn mi fa finire la scansione, si riavvia ogni volta.
credo sia il caso di formattare :/
grazie comunque

Ci sei riuscito almeno ad eliminare i file infetti indicati da kaspersky?
Un altra via d'uscita potrebbe essere quella di installare il trial di Kaspersky e provare a rimuovere il worm con il suo aiuto, lo riconosce benissimo.
Vedi anche se riesci a trovare ed eliminare questi file:
C:\WINDOWS\system32\alsys.exe
C:\WINDOWS\system32\wincom32.ini
C:\WINDOWS\system32\wincom32.sys
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda eternauta » sab mar 17, 2007 2:40 pm

Amantide ha scritto:Mentre esamino il log prova ad eseguire questo tool http://uploads.ejvindh.andymanchesta.com/Rustbfix.exe e postami il report che ti apparirà al riavvio.

E' veramente un periodo sfortunato mi sa che non ha trovato niente.


************************* Rustock.b-fix -- By ejvindh *************************
17/03/2007 13.27.13,29

No Rustock.b-rootkits found

******************************* End of Logfile ********************************
Avatar utente
eternauta
Neo Iscritto
Neo Iscritto
 
Messaggi: 16
Iscritto il: lun feb 05, 2007 7:13 pm

Messaggioda Asenath83 » sab mar 17, 2007 2:45 pm

Amantide ha scritto:
Asenath83 ha scritto:niente il pc nn mi fa finire la scansione, si riavvia ogni volta.
credo sia il caso di formattare :/
grazie comunque

Ci sei riuscito almeno ad eliminare i file infetti indicati da kaspersky?
Un altra via d'uscita potrebbe essere quella di installare il trial di Kaspersky e provare a rimuovere il worm con il suo aiuto, lo riconosce benissimo.
Vedi anche se riesci a trovare ed eliminare questi file:
C:\WINDOWS\system32\alsys.exe
C:\WINDOWS\system32\wincom32.ini
C:\WINDOWS\system32\wincom32.sys

riuscitA [:D]
i file li ho eliminati, ma l'infezione è così vasta che nn credo ci sia nulla da fare.
ho provato di tutto e la situazione è solo peggiorata perché il pc è estremamente vulnerabile.
proverò il trial
grazie [cry+]
Avatar utente
Asenath83
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: mer mar 14, 2007 1:21 pm

Messaggioda Amantide » sab mar 17, 2007 3:05 pm

eternauta ha scritto:E' veramente un periodo sfortunato mi sa che non ha trovato niente.

Fai anche tu la scansione con Kaspersky online e posta il report, già se riusciamo a capire di cosa si tratta sarà un grande passo avanti.
Magari scrivi anche i nomi dei processi attivi visibili nel task manager.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda wizard1993 » sab mar 17, 2007 3:22 pm

fai una cosa, disattiva il ripristino di configurazione di sistema e fai una scan con l'f-secure online
Avatar utente
wizard1993
Aficionado
Aficionado
 
Messaggi: 27
Iscritto il: mar mar 13, 2007 8:37 pm

Messaggioda eternauta » dom mar 18, 2007 11:25 pm

Amantide ha scritto:
eternauta ha scritto:E' veramente un periodo sfortunato mi sa che non ha trovato niente.

Fai anche tu la scansione con Kaspersky online e posta il report, già se riusciamo a capire di cosa si tratta sarà un grande passo avanti.
Magari scrivi anche i nomi dei processi attivi visibili nel task manager.

kaspersky non ha trovato molto :degli archivi che non ho mai aperto e qualcosa nel system volume information che non saprei come cancellare dimmi tu.
In task manager:
alg.exe
ati2evxx.exe
ati2evxx.exe
atiptaxx.exe
avgamsvr.exe
avgcc.exe
avgupsvc.exe
ciclo idle del sistema
CnxDsltb.exe
crss.exe
ctfmon.exe
eEBSvc.exe
Gammatray.exe
ieplore.exe
jusched.exe
Isass.exe
Magickey.exe
mdm.exe
MulMouse
NaturalColorLoad.exe
notepad.exe
OSD.exe
PRONoMgr.exe
realsched.exe
services.exe
SMax4.exe
sma4pnp.exe
smss.exe
spoolsv.exe
svchost.exe system
svchost.exe servizio di rete
svchost.exe system
svchost.exe servizio di rete
svchost.exe servizio locale
System
taskmgr.exe
winlogon.exe
wscntfy.exe
Avatar utente
eternauta
Neo Iscritto
Neo Iscritto
 
Messaggi: 16
Iscritto il: lun feb 05, 2007 7:13 pm

Messaggioda Amantide » dom mar 18, 2007 11:38 pm

Hai ragione, Kaspersky non ha trovato un granchè.

Mi devi fare un po' di chiarezza su questi processi, i loro nomi sono proprio cosi o avevi sbagliato a scivere?

crss.exe
ieplore.exe
Isass.exe


Non è che erano cosi?
csrss.exe
iexplore.exe
lsass.exe
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda eternauta » lun mar 19, 2007 1:31 am

Ho sbagliato nello scrivere erano proprio
csrss.exe
iexplore.exe
lsass.exe
Avatar utente
eternauta
Neo Iscritto
Neo Iscritto
 
Messaggi: 16
Iscritto il: lun feb 05, 2007 7:13 pm

Messaggioda Amantide » lun mar 19, 2007 1:38 pm

Seguendo nella stessa discussione 2 casi mi sono sviata un po' dalla causa principale.

Per riuscire ad individuare questo rootkit dobbiamo per forza usare qualche tool antirootkit, il problema è che quelli che ti indico io non funzionano sul tuo SO infetto.
Vedi se riesci a far funzionare almeno uno di questi antirootkit e rimuovere il rootkit che ti crea i problemi.
http://www.antirootkit.com/software/index.htm
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda eternauta » lun mar 19, 2007 4:42 pm

avg antirootkit mi segnala
C:windows\system32\lpt1 hidden file suspicious item

panda anti root tool kit segnala
file : zone
d:\file:zone identifier
d:\file\utility: zone identifier

Allego i risulatati di alcune scansioni in particolare noto se la prendano contro a347bus.sys che credo si un file di alcohol, non penso sia la strada giusta.
Ho provato tutti quelli che funzionavano o almeno si scaricavano.
Avatar utente
eternauta
Neo Iscritto
Neo Iscritto
 
Messaggi: 16
Iscritto il: lun feb 05, 2007 7:13 pm

Messaggioda Amantide » lun mar 19, 2007 6:16 pm

eternauta ha scritto:avg antirootkit mi segnala
C:windows\system32\lpt1 hidden file suspicious item

Questo fa parte del Gromozon e dev'essere eliminato. Riesci ad eliminarlo con aiuto di avg antirootkit? Altrimenti abilita la visualizzazione dei file nascosti e vedi se riesci a trovarlo ed eliminarlo con aiuto di AGVPFIX.
panda anti root tool kit segnala
file : zone
d:\file:zone identifier
d:\file\utility: zone identifier

Sinceramente non saprei di cosa si tratta. [boh]

***edit***

Se non riuscirai ad eliminare il file lpt1.*, vedi se riesci ad eseguire questo tool e postarmi il suo log.
Mi servirebbe anche il nome completo del file infetto, dopo lpt1. mancano altre 3 lettere dell'estensione.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda eternauta » lun mar 19, 2007 9:26 pm

il file si chiamava lpt1.vbv l'ho cancellato con agvpfix .
da Gmer non posso scaricare.
il virus c'è ancora, naturalmente.
Avatar utente
eternauta
Neo Iscritto
Neo Iscritto
 
Messaggi: 16
Iscritto il: lun feb 05, 2007 7:13 pm

Messaggioda Amantide » lun mar 19, 2007 9:33 pm

eternauta ha scritto:da Gmer non posso scaricare.

Prova con il file dell'allegato.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda eternauta » mar mar 20, 2007 2:58 pm

[cry+] Non ha trovato niente sono disperato.
Dammi qualche notizia che mi dia speranza.
Avatar utente
eternauta
Neo Iscritto
Neo Iscritto
 
Messaggi: 16
Iscritto il: lun feb 05, 2007 7:13 pm

Messaggioda Amantide » mar mar 20, 2007 3:14 pm

eternauta ha scritto:[cry+] Non ha trovato niente sono disperato.
Dammi qualche notizia che mi dia speranza.

E' proprio tosto 'sto virus che hai [acc2]

Vediamo un po'...
Apri il registro (Start--> Esegui--> digiti REGEDIT), trova la chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows e nella scheda a destra trova il valore AppInit_DLLs
Clicca sopra ed assicurati che lella riga Dati valori non ci sia scritto nulla.

I programmi continuano a non funzionare? Hai provato ad eseguire la scansione con Virit ed i 2 tool di rimozione di Gromozon dalla modalità provvisoria?
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Amantide » mer mar 21, 2007 7:13 pm

Ieri me ne sono accorta che nel tuo caso non avevo calcolato la causa primaria che bloccava i siti internet e le ricerche contenente le parole come Hijackthis, Gmer, ecc. delle prime versioni di Gromozon, vediamo se è la strada giusta.

Scarica questo tool (sperando che almeno questo funziona), fai la scansione ed elimina tutti gli ADS sospetti, soprattutto quelli nelle cartelle Temp.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

PrecedenteProssimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 11 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising