| Autore |
 Discussione  |
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
 Inserito il - 09/01/2009 : 18:08:21
|
Buona sera, leggi sopra  . Spero in tarda serata di poter spulciare il report con calma. Ci aggiorniamo domattina. |
 |
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 09/01/2009 : 18:13:51
|
report di avenger
htt*://wikisend[.com]/download/534928/avenger2-1810.txt
certo e' tosto eh? |
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 09/01/2009 : 18:17:59
|
ok grazie
solo non ho capito cosa devo leggere sopra
grazie ancora tante
vi ricordo che continuo ad avere ad ogni riavvio
un messaggio di avviso come segue:
Protezione esecuzione programmi - Microsoft windows
per facilitare la protezionedel computer il programma e' stato chiuso
nome: generic host process for win32 services
autore: microsoft corporation
se chiudo il messaggio lui mi chiede di inviare la segnalazione a microsoft che ha richiesto la chiusura di generic host process
sia che invio sia che non invio
riappare subito dopo come all'inizio
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 09/01/2009 : 18:19:46
|
| Buona sera di nuovo, e anche le chiavi di registro dei servizi hanno abbandonato il tuo pc, ci aggiorniamo domani per il resto, mi aspetta la spulciatura del report, quessta volta è completo, la rimozione dell'infezione ha sbloccato il pc. |
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 09/01/2009 : 18:23:18
|
buona sera anche a te (voi)
intanto ti ringrazio per l'aiuto e per aver rimosso la prima parte dell'infezione,
ci aggiorniamo a domani per cercare la rimozione completa
rimane fastidioso il messaggio per facilitare la protezione generic host process e' stato chiuso...
speriamo non si moltiplichino nella notte...eheheh
buona serata!
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 09/01/2009 : 20:12:09
|
Buona sera, continuiamo con le pulizie, segui la procedura:
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
C:\WINDOWS\system32\csrcs.exe
C:\WINDOWS\system32\svchost.exe:ext.exe
C:\WINDOWS\system32\autorun.inf
C:\WINDOWS\system32\drivers\TDSSmqlt.sys
C:\WINDOWS\system32\drivers\TDSSmqlt.sys
C:\WINDOWS\system32\TDSSoiqh.dll
C:\WINDOWS\system32\TDSSosvd.dat
C:\WINDOWS\system32\TDSSbrsr.dll
C:\WINDOWS\system32\TDSSriqp.dll
C:\WINDOWS\system32\TDSSxfum.dll
C:\WINDOWS\system32\TDSSlxwp.dll
C:\WINDOWS\system32\TDSSnmxh.log
C:\WINDOWS\system32\TDSSsihc.dll
C:\WINDOWS\system32\TDSSrhym.log
C:\WINDOWS\system32\TDSStkdu.log
C:\WINDOWS\temp\gxx9.tmp
C:\WINDOWS\temp\BN7.tmp
C:\WINDOWS\temp\BN4.tmp
C:\WINDOWS\temp\BN5.tmp
C:\WINDOWS\temp\BN6.tmp
C:\WINDOWS\temp\BN3.tmp
C:\WINDOWS\temp\BN2.tmp
C:\WINDOWS\temp\BNA.tmp
C:\WINDOWS\temp\BNC.tmp
C:\WINDOWS\temp\iymA.tmp
registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset003\services\TDSSserv.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys
registry values to delete:
HKLM\SOFTWARE\Microsoft\windows\currentversion\policies\explorer\run | csrcs
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Dopo aver riavviato, lancia hijackthis, clicca su "do a system scan only" quando ti si apre il log a destra in basso clicca sul pulsante "config" verifica che ci sia il flag o segno di spunta sulla casellina "make backups before fixing items" poi clicca su back e metti il segno di spunta sulla casellina di fianco a queste voci (vedi sotto) poi clicca su fix checked.
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
O2 - BHO: (no name) - {243da1dd-edd2-459f-adf3-d66b05644208} - C:\WINDOWS\system32\geBqNgge.dll (file missing)
poi esegui queste pulizie
scarica Ccleaner
1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo (senza la toolbar aggiuntiva)
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte
poi
scarica Atfcleaner
Avvia ATFCleaner.exe con un doppio click
1.1) seleziona la casella Select All
2.1) clicca sul pulsante Empty selected
3.1) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)
poi
vai qui e segui la procedura indicata
Riavvia il pc, poi esegui questa scansione on-line
scansione on line con Kaspersky
1. Clicca su Kaspersky Online Scanner
2. Clicca su Accept
3. Partirà un Update
4. Vai nella colonna di sinistra dov'è scritto Scan e scegli my computer
5. Al termine della scansione in fondo a destra trovi la voce View Scan Report. Cliccaci sopra e poi clicca su Save "Save Report As" e salvalo sul desktop.
La scansione richiede il java della sun e l'accettazione del controllo activex
Per effettuare la scansione, portati sulla pagina di kaspersky, devi avere solo quella pagina aperta, disattiva il tuo antivirus, lancia la scansione, dopo che avrà caricato tutti i files del database e comincerà a scansionare puoi anche disconnettere il pc da internet e lasciarlo lavorare.
Posta il report di avenger e quello della scansione di kaspersky.
Nota: un altro come te e mi prendo 15 giorni di ferie
|
Modificato da - death in data 09/01/2009 20:21:08 |
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 14/01/2009 : 18:56:30
|
eccomi
scusate il ritardo ma sono stato poco bene
ho eseguito tutte le istruzioni
di seguito i risultati
che non sembrano molto incoraggianti (per un non esperto come me...)
sembra che sono ancora pieno...
htt*://wikisend[.com]/download/476898/avenger.txt
htt*://wikisend[.com]/download/812086/karsperky.html
attendo istruzioni
grazie
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 14/01/2009 : 20:18:47
|
Buona sera e benritrovato, avevo immaginato che avessi avuto problemi, non mi eri sembrato il tipo di utente che sparisce, spero la tua salute sia migliorata e tu stia bene, ti do una bella notizia e due semi-brutte, cominciamo dalla bella, di files riferiti a systemscan me ne era scappato 1, gli altri non potevo vederli ma li rimuoviamo ora, adesso le semi-brutte notizie, tutti i files che vedi infetti nel rapporto di kaspersky sono i tuoi archivi della posta elettronica, se te li faccio eliminare, non ti resta nulla, non so quante mail hai negli archivi della posta ricevuta e inviata, questa è una scelta aziendale/logistica che devi fare tu, l'ultima notizia semi-brutta hai il file svchost.exe infetto, non per altro è il file che gestisce tutte le attività di connessione, ora respira a fondo e cominciamo lo show:
riesegui avenger e nella finestra copia/incolla il testo in rosso:
files to delete:
C:\Documents and Settings\Federico\otxrpycx.exe
C:\Documents and Settings\Federico\vqaudmae.exe
C:\WINDOWS\system32\vmtyre.dll
C:\WINDOWS\system32\vmtyre32.dll
C:\WINDOWS\Temp\BN3.tmp
C:\Documents and Settings\Federico\hscmbomo.exe
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Riavviato il pc, da start >>> cerca nella finestra inserisci svchost.exe , nelle "altre opzioni avanzate" metti il segno di spunta alla casellina "cerca nei file e nelle cartelle nascoste" , dovresti trovare il file in una cartella c:\windows\servicepackfiles\i386 , selezionalo e copialo in una cartella che avrai creato in c:\, tipo c:\pippo , poi, riavvia in modalità provvisoria secondo questo specchietto:
Citazione:
Windows XP e Windows 2003
Selezionare Start|Spegni computer.
Selezionare Riavvia dal menu a discesa e cliccare su OK. Windows sarà riavviato.
Premere ripetutamente F8 all'avvio del computer per visualizzare il menu delle Opzioni avanzate di Windows.
Su questo menu selezionare la prima opzione, "Modalità provvisoria", quindi Windows XP o Windows 2003.
Quando viene richiesto, effettuare l'accesso come amministratore locale.
rimuovi il cavo di rete, dovrebbe essere disabilitata ma preferisco essere sicuro, rimuovi il cavo dal router o dalla borchia della connessione
seleziona il file svchost.exe nella cartella c:\pippo, tasto destro del mouse, copia, apri la cartella c:\windows\system32 e in un punto libero fai "incolla" accetta la sostituzione del file esistente.
Rifai la scansione con kaspersky on line e ripostami il report. |
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 14/01/2009 : 20:47:30
|
ciao Maestro
ho fatto la prima parte e ok, poi te la posto
il file che mi dici svchost nella cartella 386 non ce l'ho..
probabilmente l'ho deletato qualche giorno fa prima di apparire sul forum...
adesso ne ho un casino, ma sono o su impostazioni locali/temp o su prefetch, o su system32 (normale) o su system32|dllcache (sospetto)
oltre ada verne un casino anche su
c/windows/pchealth/errorrep/userdumps
ps: tra le applet che abbiamo tolto ho tolto anche quello della security dell'impianto di videosorveglianza: i.e. o la reinstallo o tolgo la videosorveglianza all'azienda....sono messo male...
forse ti conviene prendere 1 gg di ferie (invece di 15) ti pago tutto io e mi vieni a sistemare la WS personally....
dai proviamo...
ps: le mail dell'azienda possono essere 25-30 mila....anchje se in questa WS dovrebbero essere poche (tipo 3-4mila)
se dovessi cancellarle sarebbe la fine....
e inizio ad aver paura di dover scannare anche il server ecc...
pls aiutami (anche in pvt se serve)
grazie mille
ciao
(ps: ci aggiorniamo a domani che vado via...)
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 14/01/2009 : 21:07:30
|
Buona sera di nuovo, io non so quali file si riferissero alla video-sorveglianza, quello che ti ho rimosso era tutto infetto, ed i files che ho rimosso non avevano riscontri sul web, li esamino uno alla volta prima di rimuoverli,mi spiace che ci siano finiti in mezzo anche quei files, sapevo che era un macello operare su un server, ora il pc è pulito e puoi gestirlo come vuoi, resta il problema del svchost, ti aggiungo il link per scaricare il mio, anche se è del service pack 3. Per quanto concerne le mail, non so quale posizione hai tu in azienda, se dirigi tu o meno da solo, sappi solo che probabilmente hai un buon 10% di mail infette in quegli archivi, e ripulirle una ad una è una impresa faraonica oltrechè un pochetto costosa.
htt*://wikisend[.com]/download/760756/svchost.exe
Ora, scarica il mio file nella cartella c:\pippo, poi riavvia in modalità provvisoria, portati in c:\windows\system32, visualizza i files nascosti seguendo questo specchietto:
Citazione:
Windows XP
Tasto destro su Start–>Esplora–>Menù Strumenti–>Opzioni Cartella–>Visualizzazione
-Mettere la spunta a ‘Visualizza tutti i files’ o “Visualizza cartelle e files nascosti”
-Togliere la spunta a ‘Non visualizzare cartelle e files di sistema’ o “Nascondi i files protetti di sistema”
seleziona il file svchost e rinominalo in svchost_old, poi seleziona il mio file nella cartella c:\pippo, copia e incolla in c:\windows\system32.
Se per caso hai il cd originale di xp, non eseguire questa procedura e fammelo sapere.
|
Modificato da - death in data 14/01/2009 21:09:17 |
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 15/01/2009 : 10:43:07
|
BUONGIORNO
STO PER CAMBIARE IL SVCHOST
DICI CHE NON CI SONO PROBELMI ANCHE SE IL TUO E' SERVICE PACK 3?
IO HO COME SAI IL SP2
IL CD ORIGINALE NON LO HO PERCHE' LA MACCHINA (DELL) E' STATA COMPERATA CON LICENZA ORIGINALE, DI VISTA E DI XP DOWNGRADE, MA I CD DI RIRPISTINO TE LI DANNO SOLO DI VISTA, SICCHE NON HO UN RECOVERY CD DI XP
UNICA COSA IMPORTANTE E' CHE NON SI BLOCCHI LA MACCHINA O SIMILE...
ATTENDO CONFERMA PER CAMBIO FILE
GRAZIE ANCORA |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 15/01/2009 : 11:13:50
|
| Buon giorno, qui ci sono poche scelte da fare, o tentiamo con il mio o ti procuri un file svchost di un xp pro come il tuo con il sp2, non posso garantirti a priori che non succeda un qualche blocco, presumo che se dovesse succedere possiamo ripristinare il file originario dalla modalità provvisoria. |
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 15/01/2009 : 11:43:23
|
eccomi
forse ho trovato un svchost sp2 (anche se taroccato)
adesso provo a scnasionarlo con kaspersky online per vedere se e' infetto pure questo
se non e' infetto provo a sostituirlo col mio
ps: ho ancora due svchost.exe
uno e' in system32 (normale anche se infetto...giusto? ossia la posizione e' quella giusta ma il file sara' infetto...)
l'altro e' in system32/dllcache
dici che quest'ultimo lo posso lasciare o lo devo cancellare prima di sostituire quello principale? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 15/01/2009 : 11:50:21
|
| Facciamo un tentativo, stavo vedendo ora una cosa, non è detto che quello della cache sia infetto, copia quello in dllcache in c:\windows\system32 poi riavvia e rifai la scansione con kaspersky anche solo della cartella c:\windows. |
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 15/01/2009 : 12:01:33
|
in realta' ci avevo pensato
e infatti ho fatto la scansione di entrambi
solo che con la scansione online del singolo file
non vede infetto ne' il nuovo, ne' i due vecchi (sia su ddlcache sia su system32)
ma noi sappiamo che almeno uno di loro e' infetto giusto?
che dici di fare? la scansione del singolo file magari non e' affidabile?
devo rifare la procedura con lo scan delle aree o dell'intero pc? |
|
|
|
Discussione |
|
TDSS e trojan Vundo
Forum Bloccato
