| Autore |
 Discussione  |
|
martin
New Member
45 Messaggi |
 Inserito il - 15/03/2008 : 10:47:52
|
Salve a tutti, sono un nuovo utente ed ho un problema al PC. Sintomi: si apre continuamnete una finestra di update di HP e periodicamente internet explorer si chiude da solo.
Lo strumento per la rimozione malware di Windows Xp mi ha segnalato che nel sistema è presente questo backdoor:
Backdoor:Win32/Zonebac.gen!F
L'antivirus Avast non vede nulla.
Posto qui i logfile di Findawf e kaspersky:
htt*://[www].sendmefile[.com]/00616447
htt*://[www].sendmefile[.com]/00616456
Attendo eventuali istruzioni e ringrazio anticipatamente chi potrà darmi una mano!
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 15/03/2008 : 11:27:09
|
scarica Avenger e CCleaner
Disattiva il ripristino configurazione di sistema: start -> pannello di controllo -> sistema -> ripristino configurazione di sistema -> spunta "disattiva ripristino configuraz. di sistema"
esegui avenger e copia/incolla nel box bianco:
Citazione:
files to delete:
C:\WINDOWS\ime\IMJP8_1\imjpmig.exe
C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe
C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe
C:\WINDOWS\system32\IME\TINTLGNT\tintsetp.exe
C:\Programmi\TomTom HOME 2\HOMERunner.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\NeroCheck .exe
C:\Programmi\McAfee\Managed VirusScan\Agent\Splash .exe
C:\Programmi\Apoint2K\Apoint .exe
C:\Programmi\HPQ\Default Settings\cpqset .exe
C:\Programmi\HP\HP Software Update\HPWuSchd2 .exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier .exe
files to move:
C:\Programmi\Apoint2K\bak\Apoint.exe | C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\TomTom HOME 2\bak\HOMERunner.exe | C:\Programmi\TomTom HOME 2\HOMERunner.exe
C:\Programmi\Google\GoogleToolbarNotifier\bak\GoogleToolbarNotifier.exe | C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\HPQ\Default Settings\bak\cpqset.exe | C:\Programmi\HPQ\Default Settings\cpqset.exe
C:\Programmi\HPQ\Quick Launch Buttons\bak\EabServr.exe | C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\WINDOWS\ime\IMJP8_1\bak\IMJPMIG.EXE | C:\WINDOWS\ime\IMJP8_1\imjpmig.exe
C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe | C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programmi\File comuni\InstallShield\UpdateService\bak\issch.exe | C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\File comuni\InstallShield\UpdateService\bak\ISUSPM.exe | C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe
C:\Programmi\File comuni\Sonic\Update Manager\bak\sgtray.exe | C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe
C:\Programmi\McAfee\Managed VirusScan\Agent\bak\Splash.exe | C:\Programmi\McAfee\Managed VirusScan\Agent\Splash.exe
C:\WINDOWS\system32\IME\TINTLGNT\bak\TINTSETP.EXE | C:\WINDOWS\system32\IME\TINTLGNT\tintsetp.exe
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato
In "connessioni" elimina, se presente, la connessione "internet connection" e imposta la tua come predefinita.
esegui ccleaner e ripulisci i temp e i cookie (eseguilo 2 volte)
Fai una scansione su Kaspersky_virusscanner e posta il il rapporto (salvalo come file di testo) perchè questa non mi convince:
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier .exe
|
Modificato da - Sibilla in data 15/03/2008 12:07:04 |
 |
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 15/03/2008 : 11:29:54
|
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Copi e incolli nella finestra: "Imput script here" il SEGUENTE testo COSI' come l'ho scritto CON le diciture files to delete e files to move:
files to delete:
C:\WINDOWS\ime\IMJP8_1\imjpmig.exe
C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe
C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe
C:\WINDOWS\system32\IME\TINTLGNT\tintsetp.exe
C:\Programmi\TomTom HOME 2\HOMERunner.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\NeroCheck .exe
C:\Programmi\McAfee\Managed VirusScan\Agent\Splash .exe
C:\Programmi\Apoint2K\Apoint .exe
C:\Programmi\HPQ\Default Settings\cpqset .exe
C:\Programmi\HP\HP Software Update\HPWuSchd2 .exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier .exe
files to move:
C:\Programmi\Apoint2K\bak\Apoint.exe|C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\TomTom HOME 2\bak\HOMERunner.exe|C:\Programmi\TomTom HOME 2\HOMERunner.exe
C:\Programmi\Google\GoogleToolbarNotifier\bak\GoogleToolbarNotifier.exe|C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\HPQ\Default Settings\bak\cpqset.exe|C:\Programmi\HPQ\Default Settings\cpqset.exe
C:\Programmi\HPQ\Quick Launch Buttons\bak\EabServr.exe|C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\WINDOWS\ime\IMJP8_1\bak\IMJPMIG.EXE|C:\WINDOWS\ime\IMJP8_1\IMJPMIG.EXE
C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe|C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programmi\File comuni\InstallShield\UpdateService\bak\issch.exe|C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\File comuni\InstallShield\UpdateService\bak\ISUSPM.exe|C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe
C:\Programmi\File comuni\Sonic\Update Manager\bak\sgtray.exe|C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe
C:\Programmi\McAfee\Managed VirusScan\Agent\bak\Splash.exe|C:\Programmi\McAfee\Managed VirusScan\Agent\Splash.exe
C:\WINDOWS\system32\IME\TINTLGNT\bak\TINTSETP.EXE|C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE
Spunta "Automatically disable any rootkits found"
clicca sul pulsante Execute
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
Posta log di avenger
scaricati Ccleaner (htt*://[www].ccleaner[.com]/download/)
Lanciare il programma, eseguire l’operazione “avvia pulizia"
Eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato
 Postato insieme
x Sibilla:  |
Modificato da - Leleago in data 15/03/2008 16:03:40 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 15/03/2008 : 11:54:38
|
[OT]
Citazione:
Messaggio inserito da Leleago
Postato insieme
si  ...
Citazione:
Analizza cm ti ha detto sibilla il file di google
già.. solo dopo mi sono accorta che il rapporto già c'è ma comunque i file con lo spazio coincidono con quelli indicati nello script..
correggo lo script e li aggiungo..
X martin:
Ho aggiornato lo script ma dovresti cmq effettuare una nuova scansione.
Mi raccomando la pulizia con ccleaner. |
Modificato da - Sibilla in data 15/03/2008 12:10:05 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 15/03/2008 : 14:10:31
|
x lele:
hai fatto bene, così di sicuro non si sbaglia script |
|
|
|
martin
New Member
45 Messaggi |
Inserito il - 15/03/2008 : 15:24:23
|
Innanzitutto grazie 1000 per l'aiuto! Ho seguito i vostri consigli. Qui sotto posto i logfile di avenger e kaspersky
htt*://[www].sendmefile[.com]/00616556
htt*://[www].sendmefile[.com]/00616557
cosa ne pensate? grazie ancora.... |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 15/03/2008 : 15:38:44
|
controllo subito e ti faccio sapere
edit: ho una notizia buona e una cattiva...
la buona è che i files infetti sono stati eliminati..
la cattiva è che non sono stati trovati i files in sostituzione.
fammi una cortesia..
se vai qui:
C:\Programmi\Google\GoogleToolbarNotifier\bak\GoogleToolbarNotifier.exe <= questo file lo vedi? |
Modificato da - Sibilla in data 15/03/2008 15:49:27 |
|
|
|
martin
New Member
45 Messaggi |
Inserito il - 15/03/2008 : 16:11:45
|
in effetti non riesco ad aprire più nulla, nemmeno risorse del computer...
cosa mi consigli? |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 15/03/2008 : 16:19:09
|
ok, spiegami una cosa.. è successo dopo lo script, giusto?
Non c'è altro che hai toccato... qualche altra scansione... nulla?
Vai nella cartella di avenger e vedi se ti fa ripristinare il backup (dovrebbe funzionare cliccandoci sopra 2 volte)
edit: e no.. se non apri le cartelle non apri nemmeno il backup... asp che ci penso un po'..
edit2: apri il task manager.. mi elenchi i processi?
explorer è eseguito? |
Modificato da - Sibilla in data 15/03/2008 16:34:35 |
|
|
|
martin
New Member
45 Messaggi |
Inserito il - 15/03/2008 : 16:40:39
|
Citazione:
Messaggio inserito da Sibilla
ok, spiegami una cosa.. è successo dopo lo script, giusto?
Non c'è altro che hai toccato... qualche altra scansione... nulla?
Vai nella cartella di avenger e vedi se ti fa ripristinare il backup (dovrebbe funzionare cliccandoci sopra 2 volte)
edit: e no.. se non apri le cartelle non apri nemmeno il backup... asp che ci penso un po'..
edit2: apri il task manager.. mi elenchi i processi?
explorer è eseguito?
Si è successo dopo aver eseguito avenger.
Dal task manager risulta in esecuzione explorer e Picture Package |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 15/03/2008 : 16:44:09
|
| i info: hai 2 pc? quello con cui scrivi è lo stesso che stiamo riparando? |
|
|
|
martin
New Member
45 Messaggi |
Inserito il - 15/03/2008 : 16:45:48
|
| dimenticavo:l'unica cosa oltre le vostre indicazioni che ho fatto è stato di fare un'altra scansione con lo strumento rimozione malware di windows xp. |
|
|
|
martin
New Member
45 Messaggi |
Inserito il - 15/03/2008 : 16:47:05
|
| no, adesso ne ho solo uno. se è necessario posso procurarmelo ma non prima di lunedi. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 15/03/2008 : 16:49:03
|
ok, te lo chiedevo perchè questo è per il riconoscimento del touchpad:
Process File: apoint.exe
Process Name: Alps Pointing-device Driver
e se clicchi su risorse del computer con il tasto destro del mouse e selezioni "apri" o "esplora"??
|
|
|
|
martin
New Member
45 Messaggi |
Inserito il - 15/03/2008 : 16:53:20
|
| niente da fare! anche cliccando con il destro su apri o esplora non accade nulla. L'unico effetto è che scompaiono per alcuni secondi tutte le icone dal desktop... |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 15/03/2008 : 17:01:17
|
benedetta fretta! ho eliminato il mio post.. A-riscrivo tutto e scappo via.. 
ci sono da fare dei controlli
1)
con CTRL+ALT+CANC apri Task manager
scegli: file -> nuova operazione --> digita regedit -->invio
trova (se presenti) queste due chiavi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe
clic con destro su explorer.exe e scegli Elimina
fai lo stesso con iexplore.exe .
nel caso che non dovessero eliminare: clic con destro su explorer.exe, seleziona l'opzione autorizzazioni,
seleziona il tuo account e spunta la casella
controllo completo nella colonna consenti.
poi di nuovo clic con destro-->elimina.
fai lo stesso con iexplore.exe
Prendi nota, prima di eliminare le due chiavi, dei files riportati nella finestra a destra e postali (vanno eliminati)
---
2)
sempre dal registro, segui questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Seleziona la cartella Winlogon e idividua nella finestra di destra USERINIT
dovrebbe esserci scritto solo
c:\windows\system32\userinit.exe,
(virgola compresa)
Se diversi, dimmi i valori che vedi e il percorso (per il momento non eliminare nulla)
|
Modificato da - Sibilla in data 15/03/2008 17:08:28 |
|
|
|
Discussione |
|
Backdoor:Win32/Zonebac.gen!F
Forum Bloccato
