Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

dominio non disponibile a causa di virus?

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

dominio non disponibile a causa di virus?

Messaggioda Roberto Comi » sab nov 21, 2009 9:41 am

Mi scuso se ho sbagliato la sezione, sono fresco di iscrizione.
Un aiuto molto serio servirebbe a me.
Premesso che questo forum mi ha fornito consigli magici per l'identificazione di un rootkit fastidioso,
sono riuscito a rimuoverlo.
Sistema Operativo Vista Business
ho 2 utenti e tutti e due con privilegi di amministratore, diciamo uno aziendale e uno privato.
Dalla disperazione dopo giorni che uno alla volta installo antivirus e utility (ho Symantec Aziendale installato)
ieri Malwarebytes' Anti-Malware con accesso da utente "privato" mi ha trovato 10 infezioni che ho poi fatto rimuovere.
Oplà riaccedo come utente aziendale e all'accesso mi dice dominio non disponibile e ciao non accedo più.
Premesso che posso sbagliare l'accesso anche se dubito ho un modo per risitemare l'accesso al dominio.
Ringraziando anticipatamente chi mi aiuta. [grazie]
Avatar utente
Roberto Comi
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: ven nov 20, 2009 9:47 pm

Re: dominio non disponibile

Messaggioda Al3x » sab nov 21, 2009 10:04 am

dacci più elementi per poter analizzare meglio il tuo problema.
Il computer è un portatile o un fisso che risiede in azienda? Nel caso si tratti di un laptop e tu lo stia usando in casa, il fatto che tu acceda con le credenziali di dominio avviene grazie al caching locale delle password e se per qualche motivo questa cache viene azzerata non potrai più accedere se scollegato dalla rete aziendale.
Quando accedi in locale (utente privato) ti funziona la rete?

P.S. ho diviso questo post dalla discussione nella sezione hardware e ne ho creato uno nuovo [^]
è primavera finalmente! [:)]
Avatar utente
Al3x
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 7411
Iscritto il: sab gen 10, 2009 12:51 pm
Località: http://127.0.0.1/

Re: dominio non disponibile

Messaggioda Roberto Comi » sab nov 21, 2009 10:24 am

Grazie 1000 !
Il computer è un portatile connesso in wirless da casa.
ma con un bel riavvio e accedendo con l'utente giusto (se uno come me è imbecille)
sono entrato.
Il problema che mi toglie il sonno è che ho regedit e task manager ancora bloccati.
Ma cosa più interessante per il forum è che da 2-3 giorni ho scaricato da qui un utility che ti riavvia la funzionalità del regedit etc. che in 0 secondi ti riavviava le funzionaltà, controllando poi il registro metteva a 0 la chiave e quindi tutto ok
Bene da ieri e dico solo ieri Drweb identifica questa utility (si chiama Utility.zip) come virus e non funziona più impedendo in qualsiasi modo l'accesso al registro da questo Utente (aziendale diciamo).
Ora sto eseguendo una scansione da questo utente e sta rilevando altri virus.
Se di Vs. interesse posso postare i log di Malewarebit.
Grazie dell'aiuto e della rapidità buon lavoro
Avatar utente
Roberto Comi
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: ven nov 20, 2009 9:47 pm


Re: dominio non disponibile

Messaggioda crazy.cat » sab nov 21, 2009 10:45 am

Una volta finito di fare pulizia di tutti i virus, se ancora hai dei problemi posta il log di hijackthis e combofix.
Poi vedremo come riattivare quello che è ancora bloccato.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: dominio non disponibile a causa di virus?

Messaggioda Roberto Comi » dom nov 22, 2009 8:57 am

Buongiorno Crazy.Cat
e' la ventesima volta che sono convinto di avere ripulito tutto Sigh! non e' cosi'
ComboFix non funziona in modalità normale, parte e si blocca per ore
in modalità provvisoria base (escluso Symantec, Defender, rete e internet) e' andato una volta sola regolarmante fino a che sono riuscito a leggere, Il sistema e' infetto Combofix deve riavviare. RIAVVIATO.
Mai piu' completato SCHERMO BLU DOPO L'AVVIO E 3 MINUTI DI SCANSIONE (mouse fermo e nessuna applicazione in moto ovviamente internet disattivata la wirless spenta)
Punti di ripristino disattivati già da giorni come suggerito nei Vs. forum.
Tolti i virus con Maleware LA VS. UTILITY PER LA RIATTIVAZIONE DEL REGEDIT ETC. ORA FUNZIONA EGREGIAMENTE COME ALL'INIZIO ED IN AGGIUNTA SE RIAVVIO RESTA ATTIVO TASK MANAGER E REGEDIT.
ma Maleware ogni volta ritrova un virus
Ora sta finendo una scansione di malewarebit se trova qualcosa vi posto anche quello.
Spero si posti così portate pazienza (giuro che ho cercato come fare ma ora su internet non amo starci quindi uso copia e incolla)
HijackThis LOG dopo Malewarebit in modalità normale:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8.58.23, on 22/11/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Symantec\Symantec Endpoint Protection\SmcGui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE= ... &pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,"C:\Program Files\Global Graphics\Jaws PDF Creator 5\PDFClient.exe",
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [PTHOSTTR] C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Append Link Target to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Append to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert Link Target to Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix:
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = melco.intranet
O17 - HKLM\Software\..\Telephony: DomainName = melco.intranet
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = melco.intranet
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: DeviceNP - C:\Windows\SYSTEM32\DeviceNP.dll
O23 - Service: ABBYY FineReader 9.0 - Servizio Gestione licenze (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - C:\Program Files\ABBYY FineReader 9.0\NetworkLicenseServer.exe
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: SW Distributed TS Coordinator Service (CoordinatorServiceHost) - Dassault Systèmes SolidWorks Corp. - C:\Program Files\SolidWorks Corp\SolidWorks\swScheduler\DTSCoordinatorService.exe
O23 - Service: FileMaker Server - FileMaker, Inc. - C:\Program Files\FileMaker\FileMaker Server\Common\service-wrapper\fmservicewrapper.exe
O23 - Service: Controllo/blocco dispositivi HP ProtectTools (FLCDLOCK) - Hewlett-Packard Ltd - C:\Windows\system32\flcdlock.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Program Files\Power Translator 12\LogoMedia TranslateDotNet Server.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Program Files\OpenVPN\bin\openvpnserv.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Symantec Auto-upgrade Agent (Smcinst) - Unknown owner - C:\Program Files\Symantec\Symantec Endpoint Protection\SmcLU\Setup\smcinst.exe (file missing)
O23 - Service: Client di gestione Symantec (SmcService) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe
O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\SNAC.EXE
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Common Files\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: SentinelSuperProNet Server (SuperProServer) - Rainbow Technologies - C:\Windows\system32\spnsrvnt.exe
O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe

--
End of file - 9686 bytes


Malewarebit log:

Malwarebytes' Anti-Malware 1.41
Versione del database: 3210
Windows 6.0.6002 Service Pack 2

22/11/2009 7.36.52
mbam-log-2009-11-22 (07-36-46).txt
Tipo di scansione: Scansione completa (C:\|E:\|)
Elementi scansionati: 386881
Tempo trascorso: 2 hour(s), 11 minute(s), 14 second(s)
Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1
Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)
Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)
Chiavi di registro infette:
(Nessun elemento malevolo rilevato)
Valori di registro infetti:
(Nessun elemento malevolo rilevato)
Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)
Cartelle infette:
(Nessun elemento malevolo rilevato)
File infetti:
C:\WINDOWS\System32\tdlcmd.dll (Rootkit.Agent) -> No action taken.


HO DATO IL COMANDO DI FISSARE I PROBLEMI LUI HA RIAVVIATO E POI HO LANCIATO hJAKHITS

GRAZIE PER L'AIUTO E LA DISPONIBILITA'
Avatar utente
Roberto Comi
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: ven nov 20, 2009 9:47 pm

Re: dominio non disponibile a causa di virus?

Messaggioda crazy.cat » dom nov 22, 2009 9:06 am

Hai installato tu questo programma Jaws PDF Creator 5?
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,"C:\Program Files\Global Graphics\Jaws PDF Creator 5\PDFClient.exe",
perché è piuttosto strana che ci sia una riga del genere.

Se è il rookit che penso io è decisamente una rogna.
Prova a fare una scansione con questo http://www.MegaLab.it/2894/kaspersky-virus-removal-tool.
Poi dopo il riavvio prova a fare una scansione con Gmer o rootrepeal e vedi se funzionano e se riscontrano delle voci in rosso. Poi posta il loro log.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: dominio non disponibile a causa di virus?

Messaggioda Roberto Comi » dom nov 22, 2009 11:16 pm

Grande Crazy.Cat NON MI SONO MAI SOGNATO DI INSTALLARE PDF CREATOR

ti trasmetto i log ottenuti come possibile, in provvisoria, normale con crash strani blocchi totali.
Tu hai visto giusto sulla rogna, vabbe' formattare c'e' sempre tempo ma non e' una tragedia.
Mi ha stupito che durante il Karpeskiy dopo 6 ore avevo deciso di preparare questa risposta
bene tutti i siti utilizzabili MegaLab no mi e' venuto da piangere tutti gli altri andavano.
E' possibile ?? in firefox ho aggiunto tutte le esclusioni possibili al Vs. Sito nulla da fare.
Grazie! per principio io stronco anche servizi essenziali ma sono curioso di capire dove come quando ti entra un virus
o almeno sapere cosa fa' o chi te lo ha regalato.

KASPERSKIY (sono 262 Mb di log)

Scan
----
Scanned: 1790504
Detected: 1
Untreated: 0
Start time: 22/11/2009 10.58.45
Duration: 08.26.22
Finish time: 22/11/2009 19.25.07


Detected
--------
Status Object
------ ------
deleted: Trojan program Packed.Win32.TDSS.z File: C:\WINDOWS\System32\tdlcmd.dll

ALLA FINE

22/11/2009 18.07.56 File: E:\Windows\winsxs\x86_winpe-smi-schema_31bf3856ad364e35_6.0.6000.16386_none_7eec3310ba635f22\schema.dat ok scanned
22/11/2009 18.07.56 File: c:\windows\system32\tdlcmd.dll detected Trojan program 'Packed.Win32.TDSS.z'


Statistics
----------
Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------
All objects 1608230 1 1 0 0 14438 3648 99 0
System memory 6638 0 0 0 0 0 2 0 0
Startup objects 891 0 0 0 0 0 64 0 0
Disk boot sectors 3 0 0 0 0 0 0 0 0
Documenti 31 0 0 0 0 6 0 0 0
Mail databases 1769 0 0 0 0 688 6 0 0
Computer 895240 1 1 0 0 8277 2079 51 0
Disco locale (C:) 703658 0 0 0 0 5467 1497 48 0
Unità DVD RW (D:) 0 0 0 0 0 0 0 0 0
HP_RECOVERY (E:) 0 0 0 0 0 0 0 0 0


Settings
--------
Parameter Value
--------- -----
Security Level Recommended
Action Prompt for action when the scan is complete
Run mode Manually
File types Scan all files
Scan only new and changed files No
Scan archives All
Scan embedded OLE objects All
Skip if object is larger than No
Skip if scan takes longer than No
Parse email formats No
Scan password-protected archives No
Enable iChecker technology No
Enable iSwift technology No
Show detected threats on "Detected" tab Yes
Rootkits search Yes
Deep rootkits search No
Use heuristic analyzer Yes


Quarantine
----------
Status Object Size Added
------ ------ ---- -----


Backup
------
Status Object Size
------ ------ ----


ROOTREPEAL

QUESTO SUBITO DOPO KASPERSKIY E GMER DOPO IL BLOCCO MEDESIMO A ROOTREPEAL

ROOTREPEAL CRASH REPORT
-------------------------
Windows Version: Windows Vista SP2
Exception Code: 0xc0000005
Exception Address: 0x0047d90f
Attempt to write to address: 0x00000008


HJACKHITS:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.58.23, on 22/11/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Safe mode

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\OpenOffice.org 3\program\swriter.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE= ... &pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,"C:\Program Files\Global Graphics\Jaws PDF Creator 5\PDFClient.exe",
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [PTHOSTTR] C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Append Link Target to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Append to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert Link Target to Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix:
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = melco.intranet
O17 - HKLM\Software\..\Telephony: DomainName = melco.intranet
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = melco.intranet
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: DeviceNP - C:\Windows\SYSTEM32\DeviceNP.dll
O23 - Service: ABBYY FineReader 9.0 - Servizio Gestione licenze (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - C:\Program Files\ABBYY FineReader 9.0\NetworkLicenseServer.exe
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: SW Distributed TS Coordinator Service (CoordinatorServiceHost) - Dassault Systèmes SolidWorks Corp. - C:\Program Files\SolidWorks Corp\SolidWorks\swScheduler\DTSCoordinatorService.exe
O23 - Service: FileMaker Server - FileMaker, Inc. - C:\Program Files\FileMaker\FileMaker Server\Common\service-wrapper\fmservicewrapper.exe
O23 - Service: Controllo/blocco dispositivi HP ProtectTools (FLCDLOCK) - Hewlett-Packard Ltd - C:\Windows\system32\flcdlock.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Program Files\Power Translator 12\LogoMedia TranslateDotNet Server.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Program Files\OpenVPN\bin\openvpnserv.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Symantec Auto-upgrade Agent (Smcinst) - Unknown owner - C:\Program Files\Symantec\Symantec Endpoint Protection\SmcLU\Setup\smcinst.exe (file missing)
O23 - Service: Client di gestione Symantec (SmcService) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe
O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\SNAC.EXE
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Common Files\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: SentinelSuperProNet Server (SuperProServer) - Rainbow Technologies - C:\Windows\system32\spnsrvnt.exe
O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe

--
End of file - 9203 bytes


GMER MODALITA PROVVISORIA

LOG:
GMER 1.0.15.15227 - http://www.gmer.net
Rootkit scan 2009-11-22 23:11:50
Windows 6.0.6002 Service Pack 2
Running: gmer.exe; Driver: C:\Users\tecnico\AppData\Local\Temp\uglyqfow.sys


---- Kernel code sections - GMER 1.0.15 ----

? C:\Windows\System32\Drivers\sptd.sys Impossibile accedere al file. Il file è utilizzato da un altro processo.
.text USBPORT.SYS!DllUnload 8C31141B 5 Bytes JMP 85DBC770

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [8809861E] \SystemRoot\System32\Drivers\sptd.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [88097AD4] \SystemRoot\System32\Drivers\sptd.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [88098748] \SystemRoot\System32\Drivers\sptd.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [88097B9C] \SystemRoot\System32\Drivers\sptd.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [88097C1A] \SystemRoot\System32\Drivers\sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [880AD29A] \SystemRoot\System32\Drivers\sptd.sys

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Windows\Explorer.EXE[1628] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [74897817] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1628] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [748EA86D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1628] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [7489BB22] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1628] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [7488F695] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1628] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [748975E9] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1628] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [7488E7CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1628] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM] [748C8395] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1628] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream] [7489DA60] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1628] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [7488FFFA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1628] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [7488FF61] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1628] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [748871CF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1628] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM] [7491CAE2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1628] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile] [748BC8D8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1628] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [7488D968] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1628] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [74886853] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1628] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [7488687E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1628] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [74892AD1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8521E1E8

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF dinamico/Microsoft Corporation)

Device \Driver\volmgr \Device\VolMgrControl 8521A1E8
Device \Driver\usbuhci \Device\USBPDO-0 85DE5790
Device \Driver\usbehci \Device\USBPDO-1 85DDD1E8
Device \Driver\usbuhci \Device\USBPDO-2 85DE5790
Device \Driver\usbuhci \Device\USBPDO-3 85DE5790
Device \Driver\usbuhci \Device\USBPDO-4 85DE5790
Device \Driver\usbehci \Device\USBPDO-5 85DDD1E8
Device \Driver\volmgr \Device\HarddiskVolume1 8521A1E8
Device \Driver\volmgr \Device\HarddiskVolume2 8521A1E8
Device \Driver\cdrom \Device\CdRom0 85DE1790
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 8521D1E8
Device \Driver\iaStor \Device\Ide\iaStor0 [882D06C8] \SystemRoot\system32\drivers\iastor.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}
Device \Driver\atapi \Device\Ide\IdePort0 8521D1E8
Device \Driver\atapi \Device\Ide\IdePort1 8521D1E8
Device \Driver\iaStor \Device\Ide\IAAStorageDevice-0 [882D06C8] \SystemRoot\system32\drivers\iastor.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}
Device \Driver\iScsiPrt \Device\RaidPort0 85D0A398
Device \Driver\usbuhci \Device\USBFDO-0 85DE5790
Device \Driver\usbehci \Device\USBFDO-1 85DDD1E8
Device \Driver\usbuhci \Device\USBFDO-2 85DE5790
Device \Driver\usbuhci \Device\USBFDO-3 85DE5790
Device \Driver\usbuhci \Device\USBFDO-4 85DE5790
Device \Driver\usbehci \Device\USBFDO-5 85DDD1E8

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0016411f4768
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001e37624b78
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xBD 0xAD 0xC7 0x55 ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0016411f4768 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001e37624b78 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xBD 0xAD 0xC7 0x55 ...

---- Files - GMER 1.0.15 ----

File C:\Windows\system32\drivers\iastor.sys suspicious modification

---- EOF - GMER 1.0.15 ----


GRAZIE DAVVERO
Avatar utente
Roberto Comi
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: ven nov 20, 2009 9:47 pm

Re: dominio non disponibile a causa di virus?

Messaggioda crazy.cat » lun nov 23, 2009 1:10 pm

I log dalla provvisoria non sono molto utili, potrebbero non essere stati caricati dei servizi o dei rootkit.

Fai analizzare questi due file sul sito www.virustotal.com e vedi se sono dei virus.
C:\Windows\system32\drivers\iastor.sys
C:\Program Files\Global Graphics\Jaws PDF Creator 5\PDFClient.exe

Se ti dicono che sono dei virus, rifai la scansione con hijackthis, selezioni la casella di questa riga e premi fix checked per rimuoverla.
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,"C:\Program Files\Global Graphics\Jaws PDF Creator 5\PDFClient.exe",

Speravo in molti più ritrovamenti da parte di kaspersky.

(il format è molto più vicino.)
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: dominio non disponibile a causa di virus?

Messaggioda Roberto Comi » lun nov 23, 2009 2:07 pm

Sono sincero,
il format non l'ho fatto per tentare goffamente di dare un contributo a questo magnifico forum e chi si adopera per esso ma con l'intenzione di non fare perdere del tempo ogni caso purtroppoo è a sè stante.
Non sono missionario ma a parte dei software originali installati non ho dati salienti che mi servono.
POSSO AVERE CONTAGIATO LA RETE ?
POSSO ESSERE STATO CONTAGIATO DALLA RETE
Vabbè tutto è possibile

L'ultima prova dopo avere passato microsoft "Strumento rimozione Maleware" sarà quella da te suggerita poi ciao ci rivediamo a macchina pulita
se utilizzo un backup di febbraio macchina pronta e pulita fatta dal mio edp corro rischi che ci siano virus caricati in memoria
grazie
Avatar utente
Roberto Comi
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: ven nov 20, 2009 9:47 pm

Re: dominio non disponibile a causa di virus?

Messaggioda crazy.cat » lun nov 23, 2009 3:23 pm

Roberto Comi ha scritto:il format non l'ho fatto per tentare goffamente di dare un contributo a questo magnifico forum e chi si adopera per esso ma con l'intenzione di non fare perdere del tempo ogni caso purtroppoo è a sè stante.

Non è una perdita di tempo, ma quando funziona poco o niente nel pc, il format è sempre la cosa migliore.

POSSO AVERE CONTAGIATO LA RETE ?
POSSO ESSERE STATO CONTAGIATO DALLA RETE

Può essere per tutti e due, dipende dal tipo di virus.

se utilizzo un backup di febbraio macchina pronta e pulita fatta dal mio edp corro rischi che ci siano virus caricati in memoria

Direi proprio di no.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: dominio non disponibile a causa di virus?

Messaggioda Roberto Comi » lun nov 23, 2009 10:00 pm

Un grazie grande sincero formatto con più tranquillità dopo che mi si era infettato il terzo dei 17 dischetti del primo win95 tanti anni fa.
Riassumo che nell'ambito della rete ho trovato che una utility di spyboot ti fa vedere anche la famosa dll che non compare ma non potendo cambiare gli attributi resta invisibile ovviamente con "visualizza file nascosti" attivata "tdlcmd.dll".
Non serve nemmeno come gli autorun fare la cartella con lo stesso nome ed estensione che di solito non viene sovrascritta.
Per puro divertimento cerco una soluzione in extremis poi domani con il massimo gusto finalmente tolgo quei 30 gb di programmi mai usati e tutte le code
di topolino dimenticate o mai rimosse.
La professionalità del sito sono certo che se usato si vede chiaramente (sabaro e domenica compresi).
Attingerò i consigli e le varie funzionalità sempre utili.
Roberto
Avatar utente
Roberto Comi
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: ven nov 20, 2009 9:47 pm

Re: dominio non disponibile a causa di virus?

Messaggioda Roberto Comi » mar nov 24, 2009 10:11 pm

Crazy.Cat,
eccomi di nuovo con la chiusura del problema
FORMATTATO E USATO UN BACKUP DI FEBBRAIO 2009 CON MACCHINA PULITA E PREPARATA PER IL LAVORO 2 ORE DI TEMPO E LA MACCHINA E' TORNATA AGLI ANTICHI SPLENDORI.
SE POSSO TI CHIEDO 2-3 COSE.
DEI ROOTKIT SYMANTEC ENDPOINT PROTECTION NON SA NEMMENO CHE LI ABBIANO FATTI COSA USARE POSSIBILMENTE FREE PIU' AFFIDABILE?
PER VISUALIZZARE IN VISTA LE DLL NASCOSTE (TIPO TDLCMD.DLL) CHE SONO DEI VIRUS CHE STRADA HO, SOLO UN SOFTWARE O E' UN PROBLEMA DI PREFERENZE DI VISUALIZZAZIONE.
HO VISTO CHE ANCHE FARE LA CARTELLA VUOTA CON LO STESSO NOME DEL "FILE VIRUS" CON AUTORUN.INF HA FUNZIONATO C'E' SU TUTTE LE PEN CHE POSSEGGO MA CON LE DLL MALEVOLE SE NE FREGA QUESTO ULTIMO CASO HAI QUALCUNO DEI TUOI PROVERBIALI TRUCCHI.
GRAZIE PER IL PREZIOSO AIUTO.

LO DICONO SEMPRE FATE DEI BACKUP HA ME HANNO SALVATO VITA E MACCHINA (CI E' VOLUTO PIU' TEMPO A FARE I WINDOWS UPDATE CHE FORMATTARE LA MACCHINA)
Avatar utente
Roberto Comi
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: ven nov 20, 2009 9:47 pm

Re: dominio non disponibile a causa di virus?

Messaggioda crazy.cat » mer nov 25, 2009 8:23 am

Roberto Comi ha scritto:DEI ROOTKIT SYMANTEC ENDPOINT PROTECTION NON SA NEMMENO CHE LI ABBIANO FATTI COSA USARE POSSIBILMENTE FREE PIU' AFFIDABILE?

Sei in azienda, non è che puoi usare degli antivirus freeware. Puoi usare programmi come gmer o rootrepeal per scoprirli (però quando sono già passati).
Dato che le dll nascoste sono spesso legate ai rootkit i due sw già detti ti mostrano pure quelle.

Per proteggere le penne usb
http://www.MegaLab.it/4100/ninja-proteg ... emoria-usb
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising