| Autore |
 Discussione  |
|
|
S_a_s_u_k_e
New Member
45 Messaggi |
 Inserito il - 20/08/2007 : 10:38:15
|
Ragazzi salve a tutti....sono nuovo del forum..
Ogni qualvolta cerco di far partire hijackthis.exe il programma inizialmente parte..ma appena si apre "qualcosa" lo richiude subito..e la schermata passa al desktop.[.com]e mai?
volevo fare una scansione di hijack per mostrarvi alcune cose che penso non vanno nel mio PC...
prendendo il task manager ad esempio ci sono un bel po di processi che ritengo sconosciuti...
modukuwa.exe !!! il più misterioso
inetinfo.exe
ctfmon.exe
gvfcfhrt.bmp!!!
apparte i primi 3 chesono exe..ma che sono comunque sospetti...il 4° quello di estensione bmb mi da parechi dubbi....
in questigiorni ho eseguito scansioni di ogni tipo...inizialmente scansione profonda di Nod32...poi ho cambiato antivirus (causa scaduta licenza) e ho preso Active virus shield e scansione anche con questo
e niente...
poi non contento di cio serie di scansioni di:
VirIT....Spybot..a-squared...SUPERantispyware...AVG antispyware e spyware terminator..a raffica...e quello che ho trovato sono state solo tracce che (sempre le stesse) ho eliminato per ben 6 volte..perchè sempre le stesse non so..però è così..erano uguali con ogni programma...
ma niente su quei 4 pocessi...che dal taskmanager posso eliminare quando voglio..non mi dice accesso negato..
e una volta arrestati col TASK non ricompaiono +(eccezion fatta per inetinfo.exe che riappare dopo qualche ora)
hijackthis fa la scansione normalmente quando levo dal taskmanager quel maledettissimo processo con estensione .bmb...ho appena fatto la prova..però prima avevo arrestato anche ctfmon.exe
ora vi allego il log in formato txt...
HIjackthis1.txt
purtroppo mancano però queii 2 processi...
help please....grazie
|
Modificato da - S_a_s_u_k_e in Data 26/08/2007 20:09:57
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 20/08/2007 : 13:43:30
|
per ora fixa ed elimina l'eseguibile
O4 - HKLM\..\Run: [krrmda.exe] C:\Documents and Settings\La Rosa\Impostazioni locali\Temp\krrmda.exe
trova anche questi due ed eliminali(potrebbero trovarsi nella cartella C:windows\system32, oppure utilizza la funzione cerca)
modukuwa.exe
gvfcfhrt.bmb
inetinfo.exe e ctfmon.exe al momento li lasciamo perdere perche corrispondono a file legittimi di XP (ma potrebbero essere infetti o semplicemente utilizzati dal maleware)
posta un log di gmer rootkit ed autostart. |
 |
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 21/08/2007 : 19:02:00
|
come fare 
scarica GMER htt*://[www].gmer.net/ scopatta sul desktop il file gmer.zip.
esegui gmer.exe
Clicca sul Tab "Rootkit"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Esegui gmer.exe
Clicca sul Tab "Autostart"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Copia in questa discussione entrambi i log
secondo le regole
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255 |
Modificato da - aris73 in data 21/08/2007 19:02:40 |
|
|
|
S_a_s_u_k_e
New Member
45 Messaggi |
Inserito il - 26/08/2007 : 20:07:34
|
| scusate..sono stato in vacanza..adesso scarica Gmer e posto il log secondo le regole |
|
|
|
S_a_s_u_k_e
New Member
45 Messaggi |
|
|
S_a_s_u_k_e
New Member
45 Messaggi |
Inserito il - 26/08/2007 : 21:30:41
|
Citazione:
Messaggio inserito da michal
per ora fixa ed elimina l'eseguibile
O4 - HKLM\..\Run: [krrmda.exe] C:\Documents and Settings\La Rosa\Impostazioni locali\Temp\krrmda.exe
trova anche questi due ed eliminali(potrebbero trovarsi nella cartella C:windows\system32, oppure utilizza la funzione cerca)
modukuwa.exe
gvfcfhrt.bmb
inetinfo.exe e ctfmon.exe al momento li lasciamo perdere perche corrispondono a file legittimi di XP (ma potrebbero essere infetti o semplicemente utilizzati dal maleware)
posta un log di gmer rootkit ed autostart.
ho provato ad eliminare modukuwa e gvfcfhrt.bmp...ma mi dice accesso negato...ho utilizzato anche l'unlocker...ma niente! |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 27/08/2007 : 01:07:05
|
questa è la chiave incriminata:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe[No-Spam]Debugger = "c:\windows\system32\gvfcfhrt.bmp"
si tratta di una versione "B" di linkoptimizer
disabilita il ripristino di configurazione di sistema
start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli
files to delete:
c:\windows\system32\gvfcfhrt.bmp
registry key to delete:
HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
nello script puoi aggiungere (in files to delete) anche il file modukuwa se ne conosci il percorso.
scaricati Ccleaner htt*://[www].ccleaner[.com]/download/
Lanciare il programma, clic su “opzioni-->avanzate togliere la spunta a "cancella file in Windows temp solo se più vecchi di 48 ore, eseguire l’operazione “analizza-->avvia” due volte.
Eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato
|
|
|
|
S_a_s_u_k_e
New Member
45 Messaggi |
Inserito il - 02/09/2007 : 20:48:33
|
Michal ho fato come hai detto..ma praticamente oramai quel file di estensione bmp serve praticamente a far riavviare il PC normalmente...cioè che faacendo quello che mi hai detto..e riavviando il processo explorer.exe non si avviava...e ciò causava come ben sai l'eliminazione del desktop e della barra si start...eheh quindi...ho dovuto ricercare sto file tra i file eliminati..e lo rimeso al suo posto Soft Perfect File Recovery..e così rifunziona tutto..per quanto riguarda la chiave...andando nel log di Avenger..vabe ora lo posto che è piccolo..in confronto a gmer o hijack...
Beginning to process script file:
File c:\windows\system32\gvfcfhrt.bmp deleted successfully.
File registry key to delete: not found!
Deletion of file registry key to delete: failed!
Could not process line:
registry key to delete:
Status: 0xc0000034
non la trova sta chiave...
cmq ora è tutto come prima! mi sa che lo formatto..che è da molto |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 03/09/2007 : 00:07:13
|
riposta il log di Gmer, non vorrei che avessi rimesso il virus in funzione.
Controlla in "proprietà" le caratteristiche (data di creazione , produttore versione ecc..) del file gvfcfhrt.bmp per me è un file fasullo.
Explorer l'hai fatto ripartire da esegui o dal taskmanager? |
|
|
|
S_a_s_u_k_e
New Member
45 Messaggi |
Inserito il - 03/09/2007 : 09:07:20
|
explorer ho tentato di farlo ripartire dall'unico modo in cui si poteva fare...cioè dal taskmanager...dato che la barra di start non c'era...
appena lo facevo ripartire dal percorso
C:\Windows\explorer.exe
crashava in un certo senso e mi diceva che tale file non c'era..e che era possibile cercarlo con l'opzione trova....
però nella cartella WINDOWS exploreer c'era..allora mi son detto...andiamo a vedere il log di avenger..e, dato che l'unico cambiamento era stato l'eliminazione di quel file, ho pensato bene di riprenderlo col programma detto prima e rimetterlo a suo posto..un bel riavvio di sistema e tutto come prima.
Quindi mi sa che quel file ormai faccia parte el sistema e del suo "corretto" funzionamento..
Per quanto riguarda gmer..il log è praticamente uguale per quel file...quindi è esattamente come prima...
Per le proprietà: Proprietà di riepilogo non disponibili per questo file di origine....ecco ke mi dice nella finestra di riepilogo
Comunque dato che ero già in fase di formattarlo (o perlomno ero nell'idea ) mi sa che formatto tutto...dato che 7 anni è quasi un record..salvo i miei file..e via..
Grazie Michal |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 03/09/2007 : 12:40:12
|
se cambi idea fammelo sapere,il sistema di mettere le cose a posto c'è.
Explorer non partirà sino a quando non viene eliminata la chiave di registro, il file gvfcfhrt.bmp come sospettavo è fasullo. |
|
|
| |
Discussione |
|
Hijackthis
Forum Bloccato
