| Autore |
 Discussione  |
|
verastato
Average Member
82 Messaggi |
 Inserito il - 16/01/2009 : 11:44:06
|
sto eseguendo avenger
appena pronto ti posto il report
ti confermo che
svchost si riscrive e/o si modifica da solo (anche a pc non connesso in rete)
ti confermo che appena si connette in rete riappare vmtyre.dll in system32 (a pc disconnesso non appare da solo...)
in arrivo il report di avenger |
 |
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 16/01/2009 : 11:48:29
|
report
htt*://wikisend[.com]/download/561536/avenger.txt
alcune voci di registro che ho trovato con svchost
vedi se ne trovi qualcuna sospetta...
htt*://wikisend[.com]/download/504170/voci-registro.txt
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 16/01/2009 : 12:04:28
|
Buon giorno, c'e' qualcosa che non mi torna per nulla, ora scarica Registry Search Tool nel campo di ricerca inserisci vmtyre.dll e poi ripeti solo con vmtyre , poi sempre visualizzando i files nascosti vedi se esiste questo file C:\WINDOWS\system32\svchost.exe:ext.exe , poi ripostami un nuovo system scan voglio capire come mai le cartelle infette in temp vengano date inesistenti da avenger.
Registry searc, ti rilascerà 2 files di testo, 1 per ogni ricerca, salvali e caricali sul web come un report. |
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 16/01/2009 : 12:49:23
|
registry search non trova nessuno dei due tipi di vmtyre (ne semplice ne' dll)
devo dire che li avevo tolti io prima manualmente (prima di postarti/leggerti)
ma il pc e' stato riavviato diverse volte, quindi per adesso diciamo che non ne ha riscritte (o non ne trova)...
per \system32\svchost.exe:ext.exe
non c'e'
c'e' solo:
svchost.exe
(sopra e sotto rispettivamente subst.exe e svcpack.dll)
systemscan eccolo qua
htt*://wikisend[.com]/download/478222/report-systemscan.txt
d'altronde avevo capito che era rognoso...se non era per te non avrei fatto nulla, visto che online non si trova niente e che nessun antivirus riesce a risolvere...penso e spero che prima o poi individiuamo l'applicazione che riscrive svchost (penso che da lui dipenda anche il ripristino - scaricando da rete o internet di vmtyre.dll che si va ad insinuare poi in system32 ... concordi?)
possibile che non si possa "bloccare" l'accesso ai siti - o alle risorse di rete - che non gli specifichiamo noi? possibile che un pc o un browser vada su siti del quale non hai traccia (notrace!!!)
attendo una tua
grazie ancora
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 16/01/2009 : 13:59:03
|
| Dunque, premesso che vedro' dopocena di ripreparti avenger, la dll è scomparsa, in compenso le cartelle infette ci sono e non capisco perchè avenger non le abbia rimosse, una cosa simpatica, il file svchost nella cartella pippo è stato infettato, ora mi è chiaro anche perchè gli antivirus non riescono a rimuoverlo, l'infezione utilizza un ads per modificare il file legittimo, quindi faremo esattamente il giro al contrario, prima rimuoviamo i 2 servizi che caricano l'infezione poi passiamo al resto. Non ti garantisco una risposta per domani mattina. Tieni quel pc disconnesso e non in rete con gli altri. |
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 16/01/2009 : 14:37:58
|
solo una precisazione che per te puo' essere importante
il file infetto e' solo svchost2 che era quello che prima era in system32
in pratica io ho fatto una cartella pippo
ci ho messo dentro un svchost non infetto (e che ancora e' non infetto almeno secondo kaspersky) poi per spostare quello infetto l'ho rinominato svchost2 e l'ho messo in pippo
poi ho copiato quello sano e l'ho messo in system32
che poi e' stato reinfettato (perche' e' stato proprio sostituito e rimpiazzato con uno infetto piu' vecchio vedi versione che usa il virus e' la 2180 mentre quella che uso io e' la 5512)
mentre quello originale e' ancora svchost (versione 5512)in pippo e non e' infettato
di infettato in pippo c'e' solo svchost2 (rinominato da me) ed e' versione 2180
spero di essermi spiegato
magari per te e' un dettaglio importante...
a presto
e grazie
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 16/01/2009 : 21:50:00
|
Buona sera, arrivo anche da te, se facevo prima la tua discussione forse mi innervosivo meno, ora, ho visto un paio di discussioni in rete troncate nel bel mezzo del niente con lo stesso cliente tuo, una considerazione, se si inietta in qualche file, le mie capacità tecniche e di conoscenza informatica si fermano qui, non ho ne i mezzi ne la capacità per mettermi ad aprire tutte le dll del tuo pc e se anche ci riuscissi per me sarebbe arabo, questo solo per essere sinceri ed onesti, io non sono dio e conosco i miei limiti, a differenza di altri forum prima di demolirti il pc preferisco fermarmi, detto questo, vediamo se così lo staniamo:
premesso che la dll io non la vedo più nel report, e sapevo che con registry search non trovavi nulla, l'unica chiave di registro te l'ho fatta rimuovere con avenger, segui questa procedura:
lancia hijackthis, clicca sul tasto "open the misc tool section" poi clicca su "open ads spy" poi su "scan" seleziona tutto quello che trova, selaziona tutti i files trovati e poi clicca su "remove selected" , ti chiederà di riavviare, fallo.
Poi da start >>>> esegui >>>> digita services.msc cerca questi 2 servizi:
fci
icf
se li trovi, li selezioni, tasto destro del mouse "proprietà" poi selezioni "disabilitato"
poi
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso
registry keys to delete:
HKLM\system\currentcontrolset\services\FCI
HKLM\system\currentcontrolset\services\ICF
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Sono poco fiducioso ma proviamo. |
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 18/01/2009 : 12:41:06
|
buongiorno
ho provato a seguire le indicazioni
ma purtroppo senza successo
avenger elimina fci e ifc ma poi riappaiono
li disabilito ma poi ritornano in automatico
ho provato aon avenger anche a eliminare vmtyre ma si ripristina nel registro
Registry key "HKLM\system\currentcontrolset\services\FCI" deleted successfully.
Registry key "HKLM\system\currentcontrolset\services\ICF" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vmtyre" deleted successfully.
tutto sembra tornare come prima ogni volta...
penso proprio se si riscarichi da internet o dalla rete
ovviament epenso che gia' saprai che sia ifc che fci
puntano a
C:\WINDOWS\system32\svchost.exe:ext.exe
non so piu' cosa fare, e se anche le tue competenze (ottime!) di fermano qui...penso proprio che non ci sia nulla da fare....
ci rassegnamo?
pensi che devo reinstallare?
sigh sigh...
non potro' nemmeno reinstallare xp perche' il cd di ripristino e' solo per vista...
un grazie comunque per quello che hai fatto (o potrai fare)
una buona domenica a tutti
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 18/01/2009 : 16:17:27
|
Buon giorno, 2 considerazioni, hai delle cartelle che si creano ad ogni avvio e cambiano nome, quindi, domani appena sei in ufficio mi fai una scansione con systemscan, non spegni il pc e non lo riavvii, ti dò il nome delle cartelle e controlli i files all'interno, seconda considerazione, è dall'inizio discussione che ti dico che quel pc non deve essere collegato alla rete, ora vediamo quelle cartelle e poi ti dico, poi proviamo a cambiare il file host da fuori con una versione di linux live.
In quanto ai 2 servizi sapevo che puntavano al file se no non te li facevo eliminare, tontolone si ma non fino a questo punto  .
Spero solo non ci sia qualche file che io non vedo che ricrea la dll infetta e inietta l'ads nel svchost. |
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 19/01/2009 : 10:02:16
|
BUONGIORNO
HAI RAGIONE PER IL FATTO DELLA RETE E DI INTERNET
MA IO CON QUESTA WS CI LAVORO E NON RIESCO A TENERLA DISCONNESSA SE NON PER UN PERIODO DI TEMPO LIMITATO...
TRA L'ALTRO ANCHE PER POSTARE SYSTEMSCAN, COPIARE E INCOLLARE SCRIPT DI AVENGER ECC O PER POSTARE SUL FORUM DI SOLITO MI DEVO CONNETTERE CON QUESTO PC
IMMAGINO CHE TU DICA CHE DEVO FARE TUTTO CON ALTRO PC E POI SALVARE OGNI VOLTA SU SUPPORTO (ES. CHIAVE USB O SCHEDA SD ECC) TUTTE QUESTE OPERAZIONI....PER PORTARLE DA UN PC ALL'ALTRO...GIUSTO?
SAREBBE FATTIBILE SE FOSSE PER UN PERIODO DI TEMPO LIMITATO...ALTRIMENTI E' DIFFICILE PERCHE' DOVREI PERDERE UN GIORNO DI LAVORO E SOPRATUTTO SENZA LA SICUREZZA DI POTER RISOLVERE...
POI SE TOCCA FARLO LO FAREMO....SIGH SIGH
COMUNQUE SE VUOI ALLORA IO FACCIO E POSTO SYSTEM SCAN, E NON RIAVVIO LA MACCHINA....OK?
UN SALUTO
GRAZIE
|
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 19/01/2009 : 10:03:44
|
DIMENTICAVO: ANCHE L'ALTRO PC E' INFETTATO SICURAMENTE...
QUINDI NON SO SE E' POSSIBILE TRASFERIRE FILES ECC.
DA UN PC ALL'ALTRO SENZA RISCHIARE DI INFETTARLO COMUNQUE
ANCHE SE NON CONNESSO ALLA RETE O A INTERNET
CIAO
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 19/01/2009 : 10:12:55
|
Buon giorno, facciamo systemscan, poi ti dico le cartelle che devi aprirmi, sono sempre piu' convinto che sia la tua rete interna a infettarlo appena si collega, qui veramente devi staccare tutto e fermare l'ufficio e ripulirli tutti con calma.
Aspetto systemscan e non riavviare il pc mi raccomando.
Una cortesia, come da regolamento, non scrivere in maiuscolo, ho 12 decimi per occhio fino ad ora ci vedo benissimo. |
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 19/01/2009 : 12:14:11
|
scusa per il maiuscolo...
systemscan eccolo qua
htt*://wikisend[.com]/download/566688/report.txt
penso che l'infezione arrivi da internet piu che dalla rete perche' ho provat anche a spegnere tutti gli altri pc giorni fa...
ad ogni modo riproviamo
grazie ancora dell'aiuto
a presto
ps: per il momento certo solo di non riavviare mai...poi se mi devo scollegare devo organizzarmi...ok?
|
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 19/01/2009 : 12:20:04
|
stavo pensando:
se installassimo tipo zonealarm
non riusciremmo a fermare il download che il virus fa di se stesso? bloccandogli l'accesso ad internet?
solo un'idea...eh?
non mi mandare a quel paese!
ehehehehe
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 19/01/2009 : 12:48:06
|
Dunque....scegli con cosa devo frustarti...di cuoio..gatto a 9 code...immagino che qualcuno su quel pc abbia installato in questi ultimi giorni qualcosa relativo a msn vero? 
Allora, riassunto, il file svchost.exe con l'ìnfezione non si è piu' ricreato, stessa cosa per i 2 servizi, io non li vedo, in compenso è tornata la dll, ma quella mi preoccupa meno, ora per prima cosa, con molta calma apri questa cartella:
C:\DOCUME~1\Federico\IMPOST~1\Temp\WER3d87.dir00
aprila e fagli una foto (tasto stamp o ctrl+stamp) apri paint e fai incolla e salvi l'immagine e la posti come un report normale.
Poi visto che sei infetto da Navipromo direi di levarlo prima che faccia altri danni, quindi segui questa procedura:
scarica Navilog
scaricalo sul sul desktop e installalo.
1) riavvia il computer in modalità provvisoria
Citazione:
Windows XP e Windows 2003
Selezionare Start|Spegni computer.
Selezionare Riavvia dal menu a discesa e cliccare su OK. Windows sarà riavviato.
Premere ripetutamente F8 all'avvio del computer per visualizzare il menu delle Opzioni avanzate di Windows.
Su questo menu selezionare la prima opzione, "Modalità provvisoria", quindi Windows XP o Windows 2003.
Quando viene richiesto, effettuare l'accesso come amministratore locale.
2) esegui Navilog1
3) scegli l'opzione 1, farà la ricerca sul pc, quando ha terminato rilancia Navilog1
4) scegli l'opzione 2 (Automatic Cleaning) e dai l'ok (eseguirà la pulizia dei files infetti trovati)
5) Riavvia il pc in modalità normale esegui navilog, scegli la lingua e, al menù di scelta, seleziona l'opzione 1 (non scegliere le altre).
Ad un certo punto uscirà una scritta "Analysis ... Terminate", premi un tasto come richiesto e si aprirà un file di testo (il rapporto della scansione).
nota: lo trovi anche in c:\ con il nome fixnavi
6) Posta il log della scansione.
Nel mentre vedi di non prendere altro, poi vorrei sapere quanti pc ci sono collegati in rete a questo..solo per farmi un'idea della situazione. |
|
|
|
Discussione |
|
TDSS e trojan Vundo
Forum Bloccato
