| Autore |
 Discussione  |
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
 Inserito il - 06/02/2010 : 05:53:36
|
Sorpresi di vedermi qui 
Allora, premetto che non sono un asso, ma questo mi sta facendo rincretinire, non sembra un virus ma piuttosto un errore software, il problema è il seguente:
XP Sp2 installato due giorni fa, aggiornato (da CD) a Sp3 ed installato IE 7, antivirus Avira PE, firewall nel router (ma ho pure provato a disattivarlo), nessun problema hardware, tutte le periferiche riconosciute, nessun problema software, quello che si installa funziona perfettamente, registrato la copia via Internet oggi ed è OK, antivirus che schizza ogni tanto nella navigazione (è li per quello?) ma nemmeno l'ombra di un qualsiasi difetto.
Ora, molti installer che scarico (da questo PC o da un altro) in formato "exe" (auto estraente e con avvio installazione automatica) tirano errore (vedi immagine), se invece prendo un comune programma (poco importa quale) con i classici file, lo metto in una cartella o da CD / DVD ed avvio l'installazione da "setup.exe" funziona, meglio, certi driver vengono in archivi auto-estraenti, avviandoli si estraggono in una cartella predeterminata o a scelta e quindi li si deve avviare dal classico "setup.exe", anche quelli funzionano, l'archivio di HiJackThis.exe si estrae e parte l'installer, quindi la cosa è molto "alla Windows" (non me ne vogliate..), nessun maledetto errore scritto da qualche parte che possa ricondurre ad una causa probabile (i file non sono corrotti, provato lo stesso file su XP Sp3 con IE 7 con Avira PE (stessa config SO + AV!!) nella VirtualBox sul portatile e si installa ).
Tutto questo sembra essere apparso in concomitanza con il Sp3, ho dovuto cambiare il disco di sistema (è il PC che usa prevalentemente mia moglie) e prima non avevo avuto il coraggio di aggiornare il Sp2, troppa roba sopra, ora grazie al decesso del disco ho fatto il tutto, premetto che ho già provato a piallare tutto e reinstallare, il problema si ripresenta identico.
Temendo in una qualche impostazione di sicurezza ho disattivato il firewall di Windows e messo le protezioni al minimo, nulla, identico, non cambia di una virgola il suo comportamento, la macchina ed il software sono stabilissimi, ma alcuni di quei benedetti "exe" non li digerisce 
Se volete fare una prova di uno dei tanti che non vuol partire (è un Freeware): JLC's Internet TV.
Link potenzialmente incerto, per i temerari aggiungere "?page=internet_tv.html" al fondo della stringa
7zip è un altro, e questi non penso proprio abbia adaware inclusi 
PS: Avira, in molti di questi installer "difettosi", trova un qualcosa, non so se è un "falso positivo" o un regalino del software stesso, in Internet-TV rileva questo TR/Spy.ZBot.13977.4 [trojan].
Ecco i compiti:
HiJackThis.log
errore stramaledetto (GIF, 52 Kb)
La qualità è scadente, ma si legge.
Grazie e buon lavoro 
|
Modificato da - death in Data 07/02/2010 18:08:14
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 07/02/2010 : 16:13:44
|
| Se non sbaglio Antivir PE dava i numeri di brutto, tirato via ed installato Panda sembra si sia risolto almeno in parte, ma gli installer fanno sempre i capricci, mia moglie ha però "scoperto" il terminale Dos per installare con l'opzione "/NCRC", mi sà che me lo schianta a breve.. |
 |
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
 Inserito il - 07/02/2010 : 18:07:51
|
Buona sera a tutti, ciao Yves, ti sposto nella mia sezione visto che sei infetto e ti lascio le istruzioni, facciamo una pulizia generale e poi se serve ti lascio le istruzioni manuali per manipolare il registro:
scarica Malwarebytes
1.1) lo installi
2.1) lo aggiorni
3.1) fai una scansione scegliendo la modalità completa
4.1) NON eliminare le eventuali minacce che rileva
5.1) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum
poi
scarica LopSD.exe
1.2) doppio click su Lop S&D.exe
2.2) scegli il linguaggio
3.2) seleziona l'opzione 1 (ricerca/search)
4.2) attendi la fine della scansione
5.2) Posta il report che troverai in c:\Lop SD con il nome lopR.txt
Posta i 2 report. Nel mentre tieni da parte i supporti usb e non utilizzarli su nessun pc, ci sono serie possibilità che siano infetti. |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 08/02/2010 : 07:22:19
|
Ciao Death, il primo non me lo lascia installare, provato in diverse maniere, ma e uguale, il secondo si e eseguito normalmente ed il report e qui htt*://pastebin.ca/1789830
Dimmi se posso usare l'altro senza dover installare.
ciao |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 08/02/2010 : 09:04:04
|
Ciao Yves, Lopsd ha trovato quello che cercavo, il grosso dobbiamo rimuoverlo in altro modo, segui la procedura:
1) riesegui Lopsd ed utilizza l'opzione 2 poi riavvia il pc e rieseguilo in modalità 1 e mi riposti il report
2) per malwarebytes, prova a fare in questo modo: controlla da task manager che non sia attivo sdra64.exe se lo trovi terminalo e prova a installarlo, altrimenti prova a rinominarlo in pippo.exe e lancia l'installazione.
3) se il punto 2 non sortisce effetti scarica ComboFix
Per evitare che il programma possa essere reso innocuo da qualche virus (Bagle, ad esempio), rinomina il file in fase di download (ad esempio cambiagli il nome in COMBO-FIX.EXE).
Riavvia il computer in modalità provvisoria (segui lo specchietto) se non riesci ad andarci eseguilo in normale e mi raccomando non forzare la safe mode da boot.ini
Citazione:
Windows XP e Windows 2003
Selezionare Start|Spegni computer.
Selezionare Riavvia dal menu a discesa e cliccare su OK. Windows sarà riavviato.
Premere ripetutamente F8 all'avvio del computer per visualizzare il menu delle Opzioni avanzate di Windows.
Su questo menu selezionare la prima opzione, "Modalità provvisoria", quindi Windows XP o Windows 2003.
Quando viene richiesto, effettuare l'accesso come amministratore locale.
Se hai delle icone di collegamento a programmi sul desktop, crea una cartella apposita e spostale al suo interno
Doppio click su combofix.exe (o nome nuovo) e segui le istruzioni passo a passo, ricordati di dare invio se richiesto dopo i vari passaggi
Quando avrà finito creerà il log C:\combofix.txt salvalo e postalo come gli altri report.
Nota bene : durante la scansione verranno creati dei file sul desktop e scompariranno le icone, potrebbe succedere che qualche programma ti chiede cosa fare per la rimozione dei drivers, in questo caso accossenti, si tratta probabilmente di drivers infetti.
Il programma creerà la cartella C:\QooBox ed all'interno della stessa verrà posizionato un backup dei files rimossi ed un file di backup del registro di windows chiamato Hiv-backup.
Disattiva l'antivirus e i programmi anti-spyware
Disconnetti il pc da internet
NON TOCCARE mouse e tastiera mentre combofix lavora
Poi esegui queste pulizie:
scarica Ccleaner
1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo (senza la toolbar aggiuntiva)
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte
4) NON utilizzare la sezione dedicata alla pulizia del registro
poi
scarica Atfcleaner
Avvia ATFCleaner.exe con un doppio click
1.1) seleziona la casella Select All
2.1) clicca sul pulsante Empty selected
3.1) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)
poi
vai qui e segui la procedura indicata (se non trovi l'icona del java nel pannello di controllo non preoccupartene, vuol dire che non stai utilizzando il java della sun)
|
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 09/02/2010 : 03:26:43
|
Boh, fa pazzie sto coso
Combofix nulla da fare, ma si e installato il Malwarebyte ed ho attualizzato e fatto la scansione al volo, ti posto i risultati, il LoopSD l'ho eseguito per primo, del processo "sdra64.exe" nemmeno l'ombra, anche con nomi simili.
LoopSD
Malwarebyte
Ciao.
[EDIT] Ci puoi credere che il pazzoide si è fatto un "Windows Update" e mi ha chiesto "candidamente" di riavviare! ed il più che mi fa imbestialire è che l'avevo disattivato di proposito onde evitare che facesse qualche macello "in automatico"  ..
Non voleva più caricare il sistema (si rilanciava in automatico..), l'ho spento per 5 mnt ed è ripartito, ho comunque dimenticato di segnalare che ora all'avvio si apre una finestra Dos (una volta sul desk) e dice che manca un file (penso strinato da "LoopSD"), non mi son segnato il nome, lo trascrivo al prossimo riavvio..
Ri-ciao |
Modificato da - Yves in data 09/02/2010 07:33:48 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 09/02/2010 : 08:59:57
|
| Buon giorno a tutti, ciao Yves, riesegui malwarebytes, rimuovi tutto quello che viene trovato infetto, riavvia il pc, poi posta un nuovo report di Lopsd in modalità 1 e un nuovo hijackthis e vediamo se l'infezione principale è sparita o si ricrea. |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 09/02/2010 : 19:35:27
|
Mhh, mi sa che sarà dura, il beduino è andato in ferie, l'aggiornamento di Windows Update deve aver truicidato leggermente il sistema perchè va in loop (in tutte le modalità), dopo avvio da Linux e vedo di cancellare i file rilevati, al registro non riesco ad accedervi, spero che estirpando un pò di robaccia si avvii, se si ripeto il MalwareBite e pulisco, altrimenti piallo ed eseguo i controlli appena installato, sono sicuro che è nascosto in qualche disco altrimenti non me la saprei spiegare
[EDIT] Dopo il trattamento di favore si è avviato
Eseguito MalwareByte, sgamato tutto cosa ha trovato, scaricato ed eseguito HiJackThis e scansione senza problemi, qui i repost:
Lop S&D
Trend Micro HijackThis v2.0.2
Ciao. |
Modificato da - Yves in data 09/02/2010 20:49:51 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 10/02/2010 : 09:24:01
|
Buon giorno, sorrido.. è un piacere pulire pc con te, sapevo che mi sarei divertito ..il report di hijackthis è pulito, lo userinit è finalmente pulito e non si vede altro, hai ancora una piccola infezione che ora rimuoviamo:
segui questa guida htt*://forum.zeusnews[.com]/viewtopic.php?t=45218 ed i vari passaggi, se con l'opzione 2 hai dei problemi, esegui l'opzione 4 ed il nome dell'infezione da inserire è jmwcvbb , posta il report rilasciato.
Poi esegui queste pulizie:
scarica Ccleaner
1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo (senza la toolbar aggiuntiva)
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte
4) NON utilizzare la sezione dedicata alla pulizia del registro
poi
scarica Atfcleaner
Avvia ATFCleaner.exe con un doppio click
1.1) seleziona la casella Select All
2.1) clicca sul pulsante Empty selected
3.1) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)
poi
vai qui e segui la procedura indicata (se non trovi l'icona del java nel pannello di controllo non preoccupartene, vuol dire che non stai utilizzando il java della sun)
Poi sarebbe opportuno rimuovere tutti i files di setup che ti davano problemi e riscaricarli, presta attenzione qualcuno potrebbe avere il cliente a bordo, sarebbe MOLTO opportuno fare una scansione delle varie pendrive usb o hard disk esterni, collegali al pc tenendo premuto il tasto SHIFT (disabiliterà l'autoplay) poi portati qui htt*://[www].bitdefender[.com]/scanner/online/free.html esegui una scansione completa del pc e delle periferiche, se ne hai molte, la seconda scansione eseguila solo sui supporti esterni. Su tutte le pen drive e hard disk esterni crea una cartella vuota autorun.inf e poi potresti munire il pc di questo efficiente tool htt*://research.pandasecurity[.com]/panda-usb-and-autorun-vaccine/ |
Modificato da - death in data 10/02/2010 09:28:30 |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 15/02/2010 : 06:57:19
|
Terminati i compiti
Navipromo -> htt*://pastebin.ca/1796980
Sembra tutto ok, a parte che quando ´tornata dalla radio ho afferrato al volo la sua chiavetta USB e controllato con il mio, la mia supposizione non era errata visto che si erano creati una serie di eseguibili con i nomi delle cartelle e file piu, naturalmente, l'autorun.inf di rito, sgamato tutto ed ora l¿ho immunizzata con il tools, comunque quando torna dalla radio faro il controllo sul mio PC, giusto per vedere se l'immunizzazione ´efficace o no, se vedo stranezze pulirò da Linux e poi la restituisco  .
Ora mi resta il dubbio se ´mia moglie che ha distrutto il PC della radio o se ´lui che ha distrutto il mio... Resterò nel dubbio, non vorrei scannassero il mio 51%
Grazie infinite per la disponibilità e competenza, alla prossima. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 15/02/2010 : 08:01:23
|
Buon giorno, riesegui Navipromo con l'opzione 4 come solito non ha eliminato nulla, per quanto concerne il discorso infettivo, presumo sia stato qualche pc in radio a infettare la pen drive di tua moglie e di conseguenza lei ha infettato il suo pc appena formattato, in un posto di lavoro simile la prima accortezza sarebbe disabilitare l'autoplay su tutti i supporti removibili e poi installare il tool che ti ho linkato per un controllo ad ogni inserimento.
Postami il report di Navipromo nuovo e un log di hijackthis aggiornato |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 15/02/2010 : 15:40:57
|
Navipromo non mi indica "opzione 4", solo 1 e 2, ma MSN non è installato su quel PC, ti passo il log HiJackThis.
Ciao.
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 15/02/2010 : 15:47:37
|
Buon giorno, disinstalla navilog, riavvia il pc e poi reinstallalo pulito, come da guida allegata se vedi l'opzione 4 deve comparire dopo la scelta della lingua. Appena ho un secondo ti controllo il log di hijackthis.
EDIT: il log va bene le voci relative allo userinit non sono presenti. |
Modificato da - death in data 15/02/2010 15:49:08 |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 19/02/2010 : 04:02:42
|
|
Nulla, ci ho provato una decina di volte (ieri ed oggi..) ma fa la stessa roba, mo rifaccio tutto da capo domani, ho un pò di grattacapi con l'auto ma cercherò di trovate il tempo (maledetta iniezione elettronica, chi l'ha inventata, e chi ha deciso di fare "masse fantasma" sugli impianti elettrici delle auto ...). |
|
|
| |
Discussione |
|
|
|
Windows XP Sp3, errori installer, files corrotti
Forum Bloccato
