| Autore |
 Discussione  |
|
|
Mariopo2
New Member
Città: Roma
45 Messaggi |
 Inserito il - 25/02/2007 : 13:13:56
|
Un saluto a tutti e come molti fanno chiedo aiuto per un caso che mi sta facendo impazzire.
Ringrazio in anticipo chi, eventualmente mi risponderà.
Ecco cosa mi accade:
Lanciando un eseguibile scaricato da Internet per provarlo (sono stato uno sciocco), il programma si è rivelato uno script che ha installato diversi virus (finchè era attivo l'antivirus ne venivano segnalati 7).
Lo script disabilita il task manager il regedit il ripristino di sistema e chissà cos'altro, l'antivirus non va.
Da criteri di gruppo riesco a riabilitare il task manager e il ripristino di sistema (che però non ha date di ripristino se non quella dopo il casino).
Cercando di capire cosa carica al boot, edito lo startup (con tuneup utilities) e vedo che lancia 2 eseguibili chiamati trojan horse svchost.exe, ho provveduto a cancellare un file con questo nome che era nella directory prefetch, ce ne anche un altro nella directory system, ma so che quello è di sistema.
In buona sostanza al riavvio vedo comparire una piccola finistrella grigia che dice avvio delle impostazioni personalizzate (o qualcosa di simile, non ricordo bene) tale finistrella compare per una frazione di secondo, e non mi è facile leggerne tutto il contenuto.
IL PC all'avvio non permette al mouse di essere attivo, il cursore si muove ma il sistema si comporta come se fosse in crash, ogni volta disabilita il task manager e rimette nello startup il nome dei 2 files scvhost.exe.
Leggendo qua e la ho provato con AVG anti spyware, ad aware e TG soft antivirus, da notare che ora riesco di nuovo a prendere il controllo del pc, ma ad ogni scansione trovo sempre gli stessi virus in particolare il backdoor ciadoor 13.
Norton antivirus non parte più.
Ovviamente parto sempre con la rete disabilitata.
Aggiungo che all'avvio mi apre sempre la cartella documenti.
Disponendo di un secondo disco, ho fatto il boot da questo e ho lanciato l'antivirus (aggiornato è norton 2006), e non ha rilevato alcun virus.
Come posso individuare lo script maligno?
Questo + il link dove ho scaricato il log di hijackthis.
hijackthis.txt
Un saluto
|
|
|
burrito
Advanced Member
Città: Genova
797 Messaggi |
Inserito il - 25/02/2007 : 15:11:32
|
Allora prima di tutto togli il norton e installati un altro antivirus (ci sono avast, antivir pe, avg che sono ottimi e gratuiti)...(questo dimostra ancora una volta che il norton non piglia pesci neanche da sveglio )
poi fixa:
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
Allora poi apri task manager, processi e termina il processo scvhost.exe (stai bene attento a terminare questo perche ne esistono altri simili con il nome di svchost.exe)
poi vai in C:\WINDOWS\system32 e cancella scvhost.exe (te lo ridico occhio a cancellare quello giusto senno non di parte piu il pc  )
Facci sapere |
 |
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 25/02/2007 : 15:18:22
|
Un po' di cultura:
svchost.exe in system32 è un processo legittimo di Win.
scvhost.exe (oppure svchosts.exe), sempre in system32, è tipico del *no agobot.
Visto che per adesso la licenza del Norton l'hai pagata (spero...) ti consiglio di affiancare Bitdefender:
htt*://download.bitdefender[.com]/resources/files/Download/en/bitdefender_free_v8.exe (link diretto)
Questo è un ottimo antivirus on-demand che copre le pecche del Norton.
Installandolo e facendo la scansione dovrebbe già eliminarti il problema. Ti servirà anche in futuro per avere maggiore protezione.
Bye
X burrito: Non ho mai capito perchè Symantech scopre metà dei virus mondiali, e poi ti rifila quel cavolo di programma
|
Modificato da - Floatman in data 25/02/2007 15:28:27 |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 25/02/2007 : 16:24:35
|
un'altra voce da fixare è questa:
O8 - Extra context menu item: &Webshots Photo Search - res://C:\Programmi\Webshots\WSToolbar4IE.dll/MENUSEARCH.HTM
ti consiglio di installarti cm antispyware anche spyware terminator ([www].spywareterminator[.com]) |
Modificato da - Leleago in data 25/02/2007 16:27:30 |
|
|
|
burrito
Advanced Member
Città: Genova
797 Messaggi |
Inserito il - 25/02/2007 : 20:23:10
|
No lele non è da fixare quella voce (occhio a farti controllare i log dal sito di hijackthis, a volte ti segna dannose voci che non lo sono
Invece concordo pienamente su spyware termiator |
|
|
|
Mariopo2
New Member
Città: Roma
45 Messaggi |
Inserito il - 25/02/2007 : 21:22:53
|
Ragazzi, intanto ringrazio per i vostri interventi .
Ho provato a fare tutto cio che mi avete suggerito, risultato?
Ad ogni riavvio si ricreano i backdoor ciador13 e ritrovo scvhost nella dir prefetch, ritrovo il richiamo al "trojan horse scvhost" sullo startup...
Come antispyware sto usando AVG, proverò anche spyware terminator.
Ho già provato Ad aware e giant, stessi risultati.
sono giorni che ci combatto e mi sta sfinendo.
Ciao
|
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 25/02/2007 : 23:37:37
|
elimina tutte le voci con codice 017 e 018
posta un nuovo log di Hijackthis. |
|
|
|
Mariopo2
New Member
Città: Roma
45 Messaggi |
Inserito il - 26/02/2007 : 19:19:21
|
Allora, ho fixato tutti i 017 e 018 con Hijackthis.
Ho riavviato e questo è quello che è successo:
Il puntatore del mouse va direttamente sulla cartella documenti posta sul desktop, clicca una volta sola (prima la apriva)
AVG antispyware rileva 9 volte il bakdoor.Ciadoor.13 in C:\Windows\sytem32\wsock32.sys(scelgo sempre il comando "pulisci".
Ho eseguito una ricerca di scvhost, e lo trovo (come al solito ormai) nella dir c:\windows\prefetch.
Utilizzando lo startup manager di tuneup utilities trovo (ormai consuetamente) il richiamo a trojan horse scvhost (2 righe)
ovviamente cancello, ma al riavvio li ritrovo.
Ho uplodato il nuovo log, ci sono di nuovo i richiami a scvhost (li avevo fixati)
Grazie
Citazione:
Messaggio inserito da michal
elimina tutte le voci con codice 017 e 018
posta un nuovo log di Hijackthis.
|
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 27/02/2007 : 00:38:01
|
Se te la senti questo è un sistema di rimozione manuale
Fai clic su Start > Esegui digita regedit ok
fai una copia del registro: da file\esporta e salva con nome
Vai alle seguenti sottochiavi clicanndo su + ed aprendo l'ultima cartella del percorso
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\OLE
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa\
Elimina il seguente valore nel riquadro di destra:
"SVCHOST" = "scvhost.exe"
|
|
|
|
Mariopo2
New Member
Città: Roma
45 Messaggi |
Inserito il - 27/02/2007 : 08:41:21
|
Ci provo stasera, poi ti faccio sapere.
Sperando che non mi abbia inibito il regedit, ma credo sia così, mi sembra che per riabilitarlo devo andare su criteri di gruppo.
Ciao e grazie ancora
Citazione:
Messaggio inserito da michal
Se te la senti questo è un sistema di rimozione manuale
Fai clic su Start > Esegui digita regedit ok
fai una copia del registro: da file\esporta e salva con nome
Vai alle seguenti sottochiavi clicanndo su + ed aprendo l'ultima cartella del percorso
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\OLE
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa\
Elimina il seguente valore nel riquadro di destra:
"SVCHOST" = "scvhost.exe"
|
|
|
|
Mariopo2
New Member
Città: Roma
45 Messaggi |
Inserito il - 27/02/2007 : 18:54:52
|
Dunque, ho fatto come mi hai suggerito, non trovo nulla.
Allora ho pensato di effettuare una ricerca in regedit immettendo il nome scvhost, ecco cosa ne è scaturito:
HKEY_CURRENT_USER\Software\GIANTCompany\AntiSpyware\Alerts\9824CF8C-F113-48D1-8988-07576E
filepath e registry value il richiamo a scvhost in c:\windows\system32\scvhost.exe
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603
nei 3 campi a destra trovo nome: 000 tipo REG_SZ, DAti scvhost.exe lo stesso in 001 e 002
lo trovo come scvhost.exe-2c8d7cba.pf
poi lo trovo in:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
in system32 come scvhost.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
qui lo trovo come genereic host process così definito:
c:\windows\system32\scvhost.exe
poi lo trovo in:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Sempre come generic host process
poi ancora in :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
come shell col nome dat di explorer.exe c:\windows\system32\scvhost.exe
HKEY_USERS\S-1-5-21-527237240-1343024091-1060284298-1003\Software\GIANTCompany\AntiSpyware\Alerts\9824CF8C-F113-48D1-8988-07576E
in registry value come c:\windows etc etc
Chiaramente non ho fatto nulla, attendo una conferma da te.
Grazie
|
Modificato da - Mariopo2 in data 27/02/2007 18:58:07 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 28/02/2007 : 01:00:19
|
lascia stare tutto com'è, riposta un log con HJT,
scarica GMER htt*://[www].gmer.net/ scopatta, sempre sul desktop il file gmer.zip.
esegui gmer.exe
Clicca sul Tab "Rootkit"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Esegui gmer.exe
Clicca sul Tab "Autostart"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Copia in questa discussione entrambi i log
secondo le regole
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255 |
Modificato da - michal in data 28/02/2007 01:04:46 |
|
|
|
Mariopo2
New Member
Città: Roma
45 Messaggi |
Inserito il - 28/02/2007 : 13:33:08
|
Fatto!
il rootkit è qui:
gmer rootkit1.txt
l'autostart è qui:
gmer autostart.txt
e l'ultima rev di hijackthis è qui:
hijackthis.txt
Cosa dire ancora, la situazione seppure precaria, dopo i tanti tentativi ha dato un piccolo frutto, infatti almeno ora riesco ad essere abbastanza padrone della macchina (scvhost permettendo).
Grazie |
|
|
|
Mariopo2
New Member
Città: Roma
45 Messaggi |
Inserito il - 05/03/2007 : 23:30:28
|
Ragazzi, lo so che sono un po pressante, ma sono in completa tela di braghe.....
Nessuno ha qualche idea?
Grazie e scusate..
|
|
|
| |
Discussione |
|
Trojan horse svchorse, Help ME!
Forum Bloccato
