| Autore |
 Discussione  |
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
 Inserito il - 02/01/2008 : 14:24:52
|
Ciao a tutti, questa volta ho deciso di cercare aiuto prima di combinare qualcosa di sbagliato.
Come nel oggetto ogni 15-20 secondi esce messaggio di virus, da ieri notte al avvio Avast rileva vari *n, worm e altro. La scansione non ha risolto il problema ed eccomi qua a cercare mezzi più efficaci.
Leggendo vari post ho capito che la cosa migliore e postare log hijackthis, detto fatto.
hijackthis60.log
Aggiungo solo che al momento ho staccato il cavo della rete, non posso aprire Task Manager e cambiare impostazioni di firewall, volendo internet funziona.
Grazie a tutti per attenzione.
|
Modificato da - bilbobagins in Data 10/02/2008 22:34:40
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 02/01/2008 : 15:50:28
|
Ciao ho fatto anche scansione con Gmer, per ora posto solo autostart perche quello Rootkit ancora non ha finito, speriamo che servirà a qualcosa.
gmer autostart4.txt
poi ce una cosa stranissima ' qualcosa mi fa lavorare processore al 100% ma non posso vedere quale processo fa quel casino. mi sa che sono parecchio incasinato 
Aspetto con ansia, grazie. |
 |
|
|
Sibilla
Advanced Member
2059 Messaggi |
 Inserito il - 02/01/2008 : 23:08:32
|
L'hai installato tu, vero? W:\Programmi\NetRatingsNetSight\NetSight\NielsenOnline.exe
1) Scarica Avenger, CCleaner, Registry Search Tool
2) Prevx_Gromozon, Symantec_removal_tool_linkOpt, SpyBot.
Entra in modalità provvisoria - Visualizza file nascosti - Disattiva il ripristino configurazione di sistema (start - pannello di controllo - sistema - ripristino configurazione di sistema - spunta "disattiva ripristino configuraz. di sistema")
Lancia Hijackthis, clicca sul tasto "Do a system scan only", spunta le seguenti voci e clicca su "fix Checked"
O4 - HKLM\..\Run: [System] W:\WINDOWS\system32\kernelwind32.exe
O4 - HKLM\..\Run: [SystemSv12] W:\WINDOWS\system32\newmaxxsv234.exe
O4 - HKCU\..\Run: [main] W:\WINDOWS\System32\drivers\win32.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O20 - Winlogon Notify: botreg - W:\Documents and Settings\All Users.WINDOWS\Documenti\Settings\bot.dll
O23 - Service: FFI - Unknown owner - W:\WINDOWS\system32\svchost.exe:exm.exe
O23 - Service: Microsoft Inet Services - Unknown owner - W:\WINDOWS\system32\_svchost.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - w:\windows\system32\vhosts.exe
O23 - Service: Manutenzione collegamenti distribuiti client TrkWksupnphost (TrkWksupnphost) - Unknown owner - W:\WINDOWS\system32\L54A.tmp.exe
Esegui avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento. All'interno della finestra "Wiew/edit script", nel box bianco, copia/incolla tutto quello in rosso:
files to delete:
W:\WINDOWS\system32\kernelwind32.exe
W:\WINDOWS\system32\newmaxxsv234.exe
C:\Windows\xpupdate.exe
W:\WINDOWS\system32\dllgh8jkd1q6.exe
W:\WINDOWS\system32\dllgh8jkd1q7.exe
W:\WINDOWS\system32\dllgh8jkd1q5.exe
W:\WINDOWS\System32\drivers\win32.exe
W:\Documents and Settings\All Users.WINDOWS\Documenti\Settings\bot.dll
w:\windows\system32\vhosts.exe
W:\WINDOWS\system32\L54A.tmp.exe
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato secondo le regole del forum.
Clicca su "start" => "cerca" e trova il percorso dei file:
kdrrq
Systemkdrrq
Esegui Registry Search Tool e cercali anche nel registro (separatamente)
Esegui CCleaner e ripulisci sia i file temporanei e cookie che il registro.
Esegui le scansioni con i tool: Prevx_Gromozon e Symantec_removal_tool_linkOpt.
Esegui scansione con Spybot.
Posta un nuovo log di hjt
_____________
W:\WINDOWS\system32\_svchost.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CDC6872-12C5-4CEF-A0D3-B1361564CC70}: NameServer = 85.255.113.130,85.255.112.113 (UKRAINE - KHARKIVS'KA OBLAST' - KHARKIV )
O4 - HKLM\..\Run: [ImInstaller_IncrediMail] W:\DOCUME~1\Przemek\IMPOST~1\Temp\ImInstaller\IncrediMail\incredimail_install.ex e -startup -product IncrediMail
O4 - HKLM\..\Run: [zzz_ImInstaller_IncrediMail] W:\DOCUME~1\Przemek\IMPOST~1\Temp\ImInstaller\IncrediMail\incredimail_install.ex e -startup -product IncrediMail
..
Michaaaalllll
.. |
Modificato da - Sibilla in data 03/01/2008 00:34:13 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 03/01/2008 : 00:28:27
|
tutto ok Sibilla stai calma:
allo script bisogna aggiungere
files to delete:
W:\WINDOWS\system32\_svchost.exe
le voci 017 vanno fixate (se sei impossibilitato a conneterti rimettile dal backup di HJT)
fix anche delle:
O4 - HKLM\..\Run: [ImInstaller_IncrediMail] W:\DOCUME~1\Przemek\IMPOST~1\Temp\ImInstaller\IncrediMail\incredimail_install.ex e -startup -product IncrediMail
O4 - HKLM\..\Run: [zzz_ImInstaller_IncrediMail] W:\DOCUME~1\Przemek\IMPOST~1\Temp\ImInstaller\IncrediMail\incredimail_install.ex e -startup -product IncrediMail
|
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 05/02/2008 : 15:47:22
|
Ciao. Innanzitutto devo ringraziare Sibilla e Michal per aiuto e scusarsi con voi per la mia assenza, purtroppo ho avuto anche problemi di hardware e PC rimasto fermo per più di un mese. Oggi ho potuto rimettere tutto a posto e adesso provo a andare avanti secondo Vostri consigli.
Scusate e grazie ancora, spero che avrete ancora voglia di aiutarmi |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 05/02/2008 : 15:52:31
|
certo :)
hai il rapporto di avenger?
Allega anche un nuovo log di hjt (secondo le regole del forum....) |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 05/02/2008 : 16:02:25
|
Ciao, eccomi qua, sono arrivato al punto di avenger, come ha scritto Sibilla
Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato secondo le regole del forum.
Qui ce il report
avenger 5 02 2008.txt
Noto notevoli miglioramenti, vado avanti.
Grazie ancora  |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 05/02/2008 : 17:08:15
|
Che bello non essere soli - grazie.
Alcune cose non riesco a fare - Linkoptimizer non vuole avviarsi(o sono io a non capirlo)
Ecco nuovo log di hijackthis
hijackthis 05 02 20081.log
NielsenOnline e mio e mi serve
Comunque adesso le cose sono veramente migliorate e sono anche riuscito a ripristinare Task Manager sequendo la guida di Microsoft
Grazie. |
Modificato da - bilbobagins in data 05/02/2008 17:24:54 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 05/02/2008 : 18:09:36
|
fixa queste:
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CDC6872-12C5-4CEF-A0D3-B1361564CC70}: NameServer = 85.255.113.130,85.255.112.113
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.130 85.255.112.113
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.130 85.255.112.113
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.130 85.255.112.113
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - w:\windows\system32\vhosts.exe (file missing)
O23 - Service: Manutenzione collegamenti distribuiti client TrkWksupnphost (TrkWksupnphost) - Unknown owner - W:\WINDOWS\system32\L54A.tmp.exe (file missing)
Come ti aveva già scritto michal, nel caso dovessi aver problemi con la connessione esegui HJT, clicca su "view the list of backups" spunta le O17 e clicca su "restore".
Sai cosa potrebbe essere questo?:
O4 - HKCU\..\Run: [default] W:\Documents and Settings\Przemek\desktop.exe
Hai un pc fisso? E' il monitor? Boh.. cerco meglio se non lo sai.
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 05/02/2008 : 18:24:16
|
comunque fixare quelle voci non risolverà nessun problema.
Scarica SistemScan
Disconnettiti da internet => disattiva l'antivirus => esegui sistemscan => spunta tutte le opzioni => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi in C:\Suspectfile su freefilehosting.
Se hai problemi con il SeDebug, scarica SeDebug-Restore ed esegui l'applicazione. Riavvia e riprova con SystemScan
e fai una descrizione di tutti i malfunzionamenti presenti
 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 05/02/2008 : 18:41:09
|
Ciao, e un PC fisso, sistema operativo e montato su disco w, percorso W:\Documents and Settings\Przemek\desktop.exe
e desktop utente Przemek, cu disco C ce anche vecchio win che non uso ma la ci sono dati.
Ho provato eseguire SuperAntiSpyware - trova 4 worm ma non riesce a finire , errore irreversibile con la schermata blu
Suspectfile ha finito con la schermata blu e non so se ha finito, mi sembrava che arrivato alla voce Network settings , ho caricato log
La voce
O23 - Service: Manutenzione collegamenti distribuiti client TrkWksupnphost (TrkWksupnphost) - Unknown owner - W:\WINDOWS\system32\L54A.tmp.exe (file missing) torna sempre come nuova
adesso faccio quello che hai detto, purtroppo tutte queste operazioni durano un pochino - ce circa 350GB di roba sparsa di qua e di la
- grazie tantissime -
|
Modificato da - bilbobagins in data 05/02/2008 21:59:29 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 05/02/2008 : 19:35:04
|
Provando con HijackThis non si riesce a levare le voci
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - w:\windows\system32\vhosts.exe (file missing)
O23 - Service: Manutenzione collegamenti distribuiti client TrkWksupnphost (TrkWksupnphost) - Unknown owner - W:\WINDOWS\system32\L54A.tmp.exe (file missing)
 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 05/02/2008 : 19:53:21
|
Il tuo rapporto di systemscan lo trovi qui: systemscan1.txt
Citazione:
Messaggio inserito da bilbobagins
HijackThis non riesce a levare le voci .....
a volte si incollano, lo so
guardo il rapporto... 
edit: te lo anticipo: ci lavoreremo un po' (urrà...)
(W:\WINDOWS\system32\: dllgh8jkd1q2.exe, 2556253730.dat, max1d11643v.exe, J8dj3jg.dll, dllgh8jkd1q8.exe... e altri ancora....)
Non fare altre scansioni, non toccare nulla, non eliminare nulla...
Anzi si, una cosa potresti farla: analizza qualcuno di quei files su Virustotal e posta i risultati (potrei non riuscire a trovare il nome dell'infezione...).
Spero di riuscirti a postare la procedura entro... più tardi |
Modificato da - Sibilla in data 06/02/2008 00:55:14 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 05/02/2008 : 20:18:41
|
Suspectfile ha finito con la schermata blu e non so se ha finito, mi sembrava che arrivato a step 12/18 e ha lavorato qualche minuto poi
stop: 0x0000008e (0x0000005,0xedf68670,0xedaba8b0,0x00000000)
oirijshr556325b0.sys - Address edf68670 base at edf68000, datestamp 4779f18c
Io non ci capisco niente (ma questa non e una novità) purtroppo  
|
Modificato da - bilbobagins in data 05/02/2008 20:19:50 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 05/02/2008 : 20:52:10
|
File dllgh8jkd1q2.exe
AntiVir 7.6.0.62 2008.02.05 WORM/Zhelatin.Gen
AVG 7.5.0.516 2008.02.05 Downloader.Tibs
BitDefender 7.2 2008.02.05 GenPack:Trojan.Agent.AGOF
CAT-QuickHeal 9.00 2008.02.04 TrojanDownloader.Tibs.tn
ClamAV 0.92 2008.02.05 Trojan.Peed-87
eSafe 7.0.15.0 2008.01.28 Win32.Tibs.tn
Fortinet 3.14.0.0 2008.02.05 W32/Tibs.TN!tr.dldr
Trojan-Downloader.Win32.Tibs.tn
Kaspersky 7.0.0.125 2008.02.05 Trojan-Downloader.Win32.Tibs.tn
McAfee 5223 2008.02.05 Downloader.gen.a
Microsoft 1.3204 2008.02.05 Trojan:Win32/Tibs.gen!ldr
NOD32v2 2850 2008.02.05 probably a variant of Win32/Nuwar
Norman 5.80.02 2008.02.05 W32/DLoader.FDQL
Panda 9.0.0.4 2008.02.04 Adware/BraveSentry
Prevx1 V2 2008.02.05 Downloader.Tibs
Rising 20.29.22.00 2008.01.30 Trojan.DL.Win32.Tibs.jek
Sophos 4.26.0 2008.02.05 -
Sunbelt 2.2.907.0 2008.02.05 Trojan.FakeAlert
Symantec 10 2008.02.05 Downloader
TheHacker 6.2.9.209 2008.02.05 Trojan/Downloader.Tibs.tn
VBA32 3.12.6.0 2008.02.05 Trojan-Downloader.Win32.Tibs.tn
VirusBuster 4.3.26:9 2008.02.05 Trojan.Tibs.Gen!Pac.D
Webwasher-Gateway 6.6.2 2008.02.05 Worm.Zhelatin.Gen |
Modificato da - bilbobagins in data 05/02/2008 21:06:36 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 05/02/2008 : 21:15:31
|
File shift.exe.exe
AntiVir 7.6.0.62 2008.02.05 Worm/Zhelatin.ow
AVG 7.5.0.516 2008.02.05 I-Worm/Nuwar.L
BitDefender 7.2 2008.02.05 Trojan.Peed.ITU
CAT-QuickHeal 9.00 2008.02.04 Win32.Email-Worm.Zhelatin.uq
ClamAV 0.92 2008.02.05 Trojan.Dropper-3840
DrWeb 4.44.0.09170 2008.02.05 Trojan.Packed.336
eSafe 7.0.15.0 2008.01.28 Suspicious File
eTrust-Vet 31.3.5512 2008.02.05 Win32/Sintun!generic
Fortinet 3.14.0.0 2008.02.05 W32/PackTibs.L
F-Prot 4.4.2.54 2008.02.04 W32/Zhelatin.D.gen!Eldorado
F-Secure 6.70.13260.0 2008.02.05 Tibs.gen193
Kaspersky 7.0.0.125 2008.02.05 Email-Worm.Win32.Zhelatin.uq
McAfee 5223 2008.02.05 W32/Nuwar[No-Spam]MM
Microsoft 1.3204 2008.02.05 Backdoor:Win32/Nuwar.gen!B
NOD32v2 2850 2008.02.05 Win32/Nuwar.Gen
Norman 5.80.02 2008.02.05 Tibs.gen193
Sophos 4.26.0 2008.02.05 Mal/Dorf-J
ymantec 10 2008.02.05 Trojan.Peacomm.D
TheHacker 6.2.9.209 2008.02.05 W32/Zhelatin.gen
VirusBuster 4.3.26:9 2008.02.05 Trojan.DR.Zhelatin.BE.Gen
Webwasher-Gateway 6.6.2 2008.02.05 Worm.Zhelatin.ow |
|
|
|
Discussione |
|
Windows has detected spyware infection
Forum Bloccato
