Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Problemi con risorse del computer

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Problemi con risorse del computer

Messaggioda zmaster » mer feb 14, 2007 3:57 pm

Grazie a tutti anticipatamente.
Ogni avvio del pc mi appare la finestra "Errore nell'esecuzione di temp2.exe" o qualcosa di simile. Ogni 10 secondi il lettore floppy prova a leggere anche se non ho inserito niente. Ho scoperto che se da risorse del computer apro una qualsiasi risorsa questa mi si apre in una'altra finestra. Come file nascosti trovo i tre file copy.exe, host.exe e autorun.inf che vengono ricreati ad ogni tentativo di lettura del lettore floppy.
Non ho antivirus.
Il contagio si ha tramite infezione delle periferiche di archiviazione come floppy, pen drive, hard disk e simili che contaminano ogni pc a cui vengono collegate (anche quelli della scuola???? ). Non penso tramite cd.
Grazie.
************

Edited by Amantide:

Cerchiamo di non postare gli indirizzi email sulle pagine del forum
[grazie]
Avatar utente
zmaster
Neo Iscritto
Neo Iscritto
 
Messaggi: 20
Iscritto il: mer feb 07, 2007 5:24 pm

Messaggioda kap » mer feb 14, 2007 4:11 pm

Innanzitutto benvenuto nel forum di cui io sono giullare di corte ...spero tu ti trovi bene [^]
Codice: Seleziona tutto
temp2.exe - Here is the scoop on irc.momma worm as it pertains to computer network security.
Acc..complimenti..bel virus. [sh]

Non sei il solo ad avere avuto questo problema

Fai una scansione con hijackthis e posta il log...dovrebbe bastare uno script di avenger per sistemare i bei file...senza stare ad eliminare direttamente le chiavi di registro [;)]

bai
In bocca al lupo per tutto ragazzi
Avatar utente
kap
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2876
Iscritto il: lun ott 09, 2006 11:10 am
Località: car el me car milan

Messaggioda zmaster » mer feb 14, 2007 4:50 pm

Logfile of HijackThis v1.99.1
Scan saved at 15.47.22, on 14/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\temp1.exe
C:\WINDOWS\system32\temp2.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Skype\Plugin Manager\SkypePM.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Alessandro\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [OPSE reminder] "C:\Programmi\ScanSoft\OmniPageSE2.0\EregIta\Ereg.exe" -r "C:\Programmi\ScanSoft\OmniPageSE2.0\EregIta\ereg.ini"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB6ED595-6155-40F9-89C6-771D07EBE8DA}: NameServer = 85.37.17.56 151.99.125.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
Avatar utente
zmaster
Neo Iscritto
Neo Iscritto
 
Messaggi: 20
Iscritto il: mer feb 07, 2007 5:24 pm


Messaggioda zmaster » mer feb 14, 2007 4:56 pm

!! ATTENZIONE !!
HO scoperto la causa di tutti questi casini:
TomTom (la marca di navigatori satellitari)
La TomTom ha recentemente ammesso di aver conteminato una partita di navigatori (una partita, che è più di uno scatolone...) con i virus sopra postati. L'articolo è qui : http://attivissimo.blogspot.com/2007/01 ... aggio.html
La TomTom si scusa e dice che è solo un disagio.
Il mio caso è che il mio amico che mi ha passato il trojan traite usb ha un navigatore TomTom, probabilmente infetto.
Sopra ho postato il log del programma (che ho ancora da capire a cosa serva...)
Grazie ancora
***********

Edited by Amantide:
Niente indirizzi email allo scoperto, grazie.
[;)]
Avatar utente
zmaster
Neo Iscritto
Neo Iscritto
 
Messaggi: 20
Iscritto il: mer feb 07, 2007 5:24 pm

Messaggioda kap » mer feb 14, 2007 5:04 pm

Ah...interessante..magari conserva una copia dei virus e tienila per King..fa la raccolta [:)]

...tornando al virus....proviamo a vedere se hijackthis basta..nel caso non fosse sufficiente proveremo con avenger [^]

fixa dalla finestra di hijackthis queste 3 voci
C:\WINDOWS\system32\temp1.exe
C:\WINDOWS\system32\temp2.exe
F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe

l'ultima in particolare perché ho letto di altri casi che hanno risolto eliminando appunto il svchost..che però è un processo di win [boh] ..fai il backup con hijackthis prima di fixare [sh]

tienici aggiornati....bai bai
In bocca al lupo per tutto ragazzi
Avatar utente
kap
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2876
Iscritto il: lun ott 09, 2006 11:10 am
Località: car el me car milan

Messaggioda zmaster » mer feb 14, 2007 5:16 pm

non riescoa capire come si fa il backup e nontrovo le voci che mi hai detto nella scansione con hijackthis
Avatar utente
zmaster
Neo Iscritto
Neo Iscritto
 
Messaggi: 20
Iscritto il: mer feb 07, 2007 5:24 pm

Messaggioda kap » mer feb 14, 2007 5:26 pm

Allora ricorriamo ad avenger....intanto proviamo ad eliminare i due temp, e se il problema persiste anche l'altra riga (non so come però [fischio] ghgh)

Puoi scaricare the avenger da qua: http://swandog46.geekstogo.com/avenger.zip
Esegui seleziona input script manually, lente di ingrandimento, copia lo script nella finestra, click done, semaforo verde e rispondi di sì. Il pc sarà riavviato. Una volta riavviato comparirà un log dentro al notepad, copialo e riportalo sul forum. Se non comparisse prova a cercarlo dentro la cartella c:\avenger.

Script da copiare:

Files to delete:
C:\WINDOWS\system32\temp1.exe
C:\WINDOWS\system32\temp2.exe




facci sapere


p.s: un grazie ad Amantide per avermi evitato di scrivere tutta la spiegazione relativa ad avenger [;)]
In bocca al lupo per tutto ragazzi
Avatar utente
kap
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2876
Iscritto il: lun ott 09, 2006 11:10 am
Località: car el me car milan

Messaggioda zmaster » mer feb 14, 2007 5:33 pm

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\pmlukfpd

*******************

Script file located at: \??\C:\Documents and Settings\xthwbbly.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\temp1.exe deleted successfully.
File C:\WINDOWS\system32\temp2.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Avatar utente
zmaster
Neo Iscritto
Neo Iscritto
 
Messaggi: 20
Iscritto il: mer feb 07, 2007 5:24 pm

Messaggioda zmaster » mer feb 14, 2007 5:34 pm

Chiedo scusa Amantide
Non avevo letto tutte le regole... [fischio]
Avatar utente
zmaster
Neo Iscritto
Neo Iscritto
 
Messaggi: 20
Iscritto il: mer feb 07, 2007 5:24 pm

Re: Problemi con risorse del computer

Messaggioda Amantide » mer feb 14, 2007 5:39 pm

zmaster ha scritto:Non ho antivirus.

E perché? Ti piace essere la cavia per i virus? [acc2]

Come prima cosa installa un antivirus e firewall.

Ora, oltre ai 2 file tempx, elimina anche questi file, puoi farlo anche con aiuto di Avenger visto che ci siamo:

Files to delete:
C:\WINDOWS\svchost.exe
C:\WINDOWS\xcopy.exe


Eliminato il file svchost.exe, SOLO QUELLO che si trova in C:\WINDOWS e non in C:\WINDOWS\system32, elimina anche i file copy.exe, host.exe autorun.inf da TUTTE le unità, compresi i dischi fissi, eventuali floppy che avevi usato ultimamente e le chiavette USB.

[EDIT]
Aggiunto anche il file xcopy.exe nello scripr, dimenticato prima [fischio]
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda kap » mer feb 14, 2007 5:47 pm

ah ecco dov'era la gabola! [acc2]



[prego] [prego]
In bocca al lupo per tutto ragazzi
Avatar utente
kap
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2876
Iscritto il: lun ott 09, 2006 11:10 am
Località: car el me car milan

Messaggioda Amantide » mer feb 14, 2007 5:49 pm

kap ha scritto:ah ecco dov'era la gabola! [acc2]



[prego] [prego]

[std]
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda zmaster » mer feb 14, 2007 8:56 pm

anche se eseguo gli script e elimino tutti i file ricompaiono al primo riavvio
se non ci sono idee ripristino windows e se proprio uso la partizione ghost
Avatar utente
zmaster
Neo Iscritto
Neo Iscritto
 
Messaggi: 20
Iscritto il: mer feb 07, 2007 5:24 pm

Messaggioda Amantide » mer feb 14, 2007 10:04 pm

Fai la scansione con Systemscan, trova il fil report.txt in c:\suspectfile comprimilo in un archivio ed allegalo qui.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda zmaster » gio feb 15, 2007 3:19 pm

Ecco il report
Avatar utente
zmaster
Neo Iscritto
Neo Iscritto
 
Messaggi: 20
Iscritto il: mer feb 07, 2007 5:24 pm

Ce l'ho fatta!!!!!!!!!!!

Messaggioda zmaster » gio feb 15, 2007 7:13 pm

HO TROVATO IL RIMEDIO!!!!!! [applauso+]
Basta eliminare con File Shredder i file aggiungendoli alla lista
C:\copy.exe
C:\host.exe
C:\autorun.inf
e tutti questi file di ogni supporto rimovibile che presumi infettato (deve essere collegato).
In più anche i file
C:\Windows\svchost.exe
C:\Windows\xcopy.exe
C:\Windows\autorun.inf
C:\Windows\system32\temp1.exe
C:\Windows\system32\temp2.exe
[^]
Grazie ancora a tutti per la collaborazione.
Segnalo la soluzione anche nella sezione "Cellulari, palmari..." al titolo TomTom infetti da virus
Avatar utente
zmaster
Neo Iscritto
Neo Iscritto
 
Messaggi: 20
Iscritto il: mer feb 07, 2007 5:24 pm

Messaggioda Amantide » gio feb 15, 2007 7:44 pm

Ehm... scusa [boxed]
Sono tutti i file che ti avevo detto di eliminare anche io [fischio]
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda zmaster » gio feb 15, 2007 9:06 pm

solo che col il programma che mi hai detto tu non si cancellavano....
fa lo stesso, non ti preoccupare [^]
ho usato norton antivirus per bloccare i file mettendoli in quarantena e poi File Shredder per eliminare definitivamente i file. Ho fatto di più, ho cancellato anche i file autorun.inf che facevano partire copy.exe ad ogni apertura di memorie.
Avatar utente
zmaster
Neo Iscritto
Neo Iscritto
 
Messaggi: 20
Iscritto il: mer feb 07, 2007 5:24 pm

Messaggioda Amantide » ven feb 16, 2007 12:39 pm

zmaster ha scritto:Ho fatto di più, ho cancellato anche i file autorun.inf che facevano partire copy.exe ad ogni apertura di memorie.

Amantide prima ha scritto:elimina anche i file copy.exe, host.exe autorun.inf da TUTTE le unità, compresi i dischi fissi, eventuali floppy che avevi usato ultimamente e le chiavette USB.

[std]
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising