| Autore |
 Discussione  |
|
anghelvs
Advanced Member
.jpg)
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 13/03/2008 : 01:20:37
|
allora al riavvio è tornato il solito problema col device sempre di cmd.exe...questo è il log,non credo sia andato a buonfine però avenger66.txt
inoltre non capisco perchè ogni volta che eseguo avenger al riavvio l'exe scompare e lo devo riscompattare..mha |
Modificato da - anghelvs in data 13/03/2008 01:21:54 |
 |
|
|
Sibilla
Advanced Member
2059 Messaggi |
 Inserito il - 13/03/2008 : 01:29:12
|
no, in parte è andato bene.. le altre chiavi te le avevo inserite io.
oggi riprenderemo le ricerche, c'è qualcosa che non va.... mi sa che cominciamo anche a fare qualche scansione.. vedremo..
ciao ...  |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 13/03/2008 : 07:24:30
|
buongiorno,
vediamo di riordinare le idee..
riguardo il problema di cmd, dovresti dirmi di quale si tratta, esattamente. Se è quello dovuto ad avenger (il file zip non è stato trovato.. ecc ecc - che non implica altri errori) o se è quello che avevi anche prima (dovuto al firewall, se non erro). Dovresti anche dirmi se ricevi ancora l'errore di device DH4\dr 10, cioè il messaggio x cui hai aperto la discussione... (forse è questo l'errore che hai ancora)
1) Nel caso in cui gli errori siano quelli iniziali, fai queste tre scansioni:
scarica SmitfraudFix, navilog1.zip_il mafioso e Sophos-anti-rootkit
Disconnetti il pc da internet e disattiva il firewall
Esegui SmitfraudFix (da modalità normale), seleziona l'opzione 1 (Search) e premi invio. Ti verra' visualizzato un file di testo (dovresti trovarlo C:\rapport.txt) Posta questo rapporto.
(NB: process.exe da alcuni antivirus viene rilevato come virus, ovviamente non lo e')
Esegui Navilog1, ti guiderà lui. Al menù di scelta seleziona la lingua e poi l'opzione 1 (non scegliere le altre).
Ad un certo punto uscirà una scritta "Analysis ... Terminate", premi un tasto come richiesto e si aprirà un file di testo (il rapporto della scansione). Devi postarlo
Esegui Sophos-anti-rootkit e poi systemscan.
Esporta una copia del registro in formato txt (me la mandi tramite pm).
Riattiva il firewall e controlla i processi.
2) nel caso ci sia solo l'errore dovuto ad avenger (cmd), allora riavviando il pc stamattina non hai avuto problemi.. La procedura potresti anche non eseguirla.
Citazione:
inoltre non capisco perchè ogni volta che eseguo avenger al riavvio l'exe scompare e lo devo riscompattare
che cosa intendi dire, scusa? mi sono persa un exe da qualche parte.. 
|
Modificato da - Sibilla in data 13/03/2008 07:43:29 |
|
|
|
anghelvs
Advanced Member
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 13/03/2008 : 10:47:24
|
allora,il problema di cui parlavo(cmd.exe) era sempre l'errore del device\hdx\drx(ho messo x xkè i numeri cambiano).Oggi al riavvio,è unscito nuovamente l'errore del device\hd\dr causato da MOM.exe(che dovrebbe essere della sk.ati)inoltre in onlinearmor tra i programmi eseguiti(o in esecuzione non ho ancora capito)risultano programmi che ieri non avevo visto(e che suppongo non ci fossero)con nomi un po 'strani'..tipo urbkvtjyvbx.exe,e un'altro che si chiama SteelWerX Who I Am application.
EDIT:dimenticavo l'exe di cui parlavo è quello di avenger che scompare dopo il riavvio. |
Modificato da - anghelvs in data 13/03/2008 10:52:26 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 13/03/2008 : 11:21:55
|
il pc dei misteri.
Quello che e' strano e' che systemscan piu' di indicare 17 hidden non indichi altro... solitamente vede tutto.. come ha visto, per intenderci, i due files che abbiamo spostato nella cartella pluto.
esegui tutta la procedura indicata, preferisco fare qualche scansione....
a dopo, ciao
|
|
|
|
anghelvs
Advanced Member
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 13/03/2008 : 11:33:00
|
scansioni fatte....
fixnavi2.txtnavilog
rapportsmf.txtSmitfraudfix
reportsusp.txtsystemscan
Sophos-anti-rootkit non ha trovato nulla...
in pvt ti mando il reg
Grazie |
Modificato da - anghelvs in data 13/03/2008 11:33:32 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 13/03/2008 : 13:35:55
|
nuovo avenger (non mio):
Citazione:
drivers to disable:
mchInjDrv
drivers to delete:
mchInjDrv
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hyxhjace
files to delete:
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\tmp.txt
C:\gwyenasa.bat
C:\WINDOWS\TEMP\mc21.tmp
C:\WINDOWS\lnwbnsne.txt
c:\windows\system32\drivers\ixwjudkc.sys
C:\WINDOWS\ojvjxbvi
NON spuntare "Automatically disable any rootkits found" |
|
|
|
anghelvs
Advanced Member
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 13/03/2008 : 13:36:34
|
| Forse ho scoperto qualcosa...nella lista dei programmi di onlinearmor ho trovato alcuni programmi(quelli di cui parlavo nel post precedente,ovvero urbkvtjyvbx.exe,jntbolhpqgg.exe ecc..)che fanno riferimento ad una chiave col nome di nsy14.tmp.Date uno sguardo qui htt*://spywaredlls.prevx[.com]/RRIDGG21262142/NSL801.TMP.html |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 13/03/2008 : 13:46:14
|
...e questa chiave la trovi nel registro?
edit: esegui anche una scansione con Panda AntiRootkit.
usa ccleaner e fai pulizia nel registro (salva copia di backup).
|
Modificato da - Sibilla in data 13/03/2008 13:50:34 |
|
|
|
anghelvs
Advanced Member
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 13/03/2008 : 15:50:48
|
i file risultano essere nella cartella temp dell'user...
più precisamente documents and settings\user\impostazioni locali\Temp\nsy14.tmp\.......(ci sono più .exe)
inoltre ci sono altri file con nomi strani nella cartella dirver.
----avevamo già usato all'inzio del problema panda,ma riprovo tranquillamente.eseguo un deepscan...per sicurezza |
Modificato da - anghelvs in data 13/03/2008 16:03:51 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 13/03/2008 : 16:08:51
|
Panda non lo ricordo... cmq questo e' panda antiRootkit..
E avenger? non l'hai eseguito?
EDIT: ..Temp\nsy14.tmp
..ah ecco.. capito..si, l'ho vista nel rapporto. uhmm non ricordo esattamente quale sia di systemscan comunque puo' anche essere ok come cartella... devo fare qualche ricerca.
edit: ho scaricato ora il reg. vedo se lo trovo li' dentro. |
Modificato da - Sibilla in data 13/03/2008 16:56:47 |
|
|
|
anghelvs
Advanced Member
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 13/03/2008 : 17:46:48
|
| panda non ha trovato nulla...eseguo avenger |
|
|
|
anghelvs
Advanced Member
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 13/03/2008 : 18:01:16
|
Allora è uscita una schermata blue,con scritto:Stop:C000021a.Errore inreversibile di sistema.Processo di sistema Windows Logon Proces terminato in modo inatteso con stato di 0x00000402
Mi devo iniziare a preoccupare?Comunque questo è il log di avenger....avenger67.txt
 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 14/03/2008 : 03:17:39
|
allora.. per sicurezza è stato ripristinato il file tmp.reg (ripulito di una voce infetta) ma il pc era anche stato riavviato e l'errore Windows Logon Proces non si era ripresentato.
Dalla copia del registro che mi ha inviato anghelvs stamattina si vedeva un processo in
HKLM\SOFTWARE\...\CurrentVersion\Run => "hyxhjace"="C:\\gwyenasa.bat.
avenger non lo aveva eliminato... Stasera lo ha cercato e non c'era..
Sempre dal registro, c'erano delle voci (che nemmeno sono state trovate):
[HKEY_USERS\S-1-5-21-1993962763...\ShellNoRoam\MUICache]
"C:\\gwyenasa.bat"="gwyenasa"
"C:\\tkbepovp.bat"="tkbepovp"
"C:\\syorhmly.bat"="syorhmly"
Ha riavviato ancora una volta e non ci sono stati problemi (in concomitanza di un registro "pulito").
A parte eventuali problemi hardware, sull'errore "STOP 0x0000008e..." abbiamo trovato questo virus HaxDoor
ora si cerca in quella direzione, più che altro per capire cosa sono tutti questi processi e valori che compaiono e scompaiono... (vedi HaxDoor)
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 14/03/2008 : 07:48:40
|
htt*://[www].notrace.it/trojan-virus-porte.htm
htt*://[www].notrace.it/BackDoor-trojan-virus.htm
"Port 443 must be opened on the firewall. When a browser uses htt*s it is talking on port 443 and not 80. / Some firewalls have the standard list of ports, including 443... / Your firewall only allows web access from the Internet via port 443." OK..
sull'altra ho qualche difficoltà.. (4504) ricontrollo con calma..
se trovi qualche evento, postalo... e fammi sapere se all'avvio sono usciti errori
edit: Il servizio Compatibilità di Cambio rapido utente è ora in modalità esecuzione. NOTA: servivio FASTUSERSWITCHINGCOMPATIBILITY -> "Consente la gestione delle applicazioni che richiedono assistenza in un ambiente con più utenti"
mah, fai qualche controllo... fai un incrocio tra l'orario e il tuo accesso al pc |
Modificato da - Sibilla in data 14/03/2008 10:29:40 |
|
|
|
Discussione |
|
errore device\harddisk4\dr 10
Forum Bloccato
