| Autore |
 Discussione  |
|
|
bianco23
New Member
40 Messaggi |
 Inserito il - 24/11/2006 : 12:38:06
|
Combatto da una settimana con un file che mi ritrovo nella cartella di windows (Compaqhelper.exe) che viene riconosciuto da
sophos antivirus come Troj/Small-DIV (htt*://[www].sophos[.com]/security/analyses/trojsmalldiv.html) e che non riesco ad
eliminare neanche da modalità provvisoria.
Ho usato sia l'utility della Prevx per la rimozione di Gromozon (in effetti aveva rilevato la presenza e ha notificato la
rimozione) che quella della Norton.
Sono intervenuto manualmente sul registro di windows, cancellando l'appendice malevola posta dopo userinit.exe e le entrate
sotto HKCU\Software\Microsoft\RAS Autodial\
HKLM\SOFTWARE\Microsoft\RAS AutoDial\ come inidcato dalla Sophos, poi ho provato a rimuoverlo usando 5 altri diversi
antivirus: AVG, Avast, NOD32, Antivir, Karspersky (di questi solo il primo lo riconosce come *no).
Ho usato anche SpywareDoctor e VirIt lite explorer: quest'ultimo mi ha rimosso dal registro altri due malware, ma non
riconosce Compaqhelper.exe come *no.
Dalle proprietà avanzate del file (programma-avanzate) leggo: Impostazioni PIF di windows
File personalizzato di inizializzazione MSDOS
Nome autoexec: %systemroot%\system32\autoexec.nt
Nome config: %sistemroot%\system32\config.nt
Ne deduco che lo carica tra i servizi dos, visto che è inaccessibile anche da modalità provvisoria.
Ho fatto diversi log (HijackThis, GMER Rootkit, GMER Autostart e autoruns ) che posto per i competenti che sapranno
aiutarmi a debellare definitivamente il problema:
Gmer rootkit: htt*://freefilehosting.net/?id=rdj1m67Z/A==
GMER autostart: htt*://[www].freefilehosting.net/file/?id=rdj1m67Y9g==
HijackThis: htt*://[www].freefilehosting.net/file/?id=rdj1m67Y8w==
Autoruns: htt*://[www].freefilehosting.net/file/?id=rdj1m67Y/A==
Grazie a chi mi potrà aiutare
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 25/11/2006 : 19:25:37
|
il log di rootkit non é completo  devi selezionare tutte le voci tranne show all |
 |
|
|
bianco23
New Member
40 Messaggi |
Inserito il - 26/11/2006 : 09:29:29
|
Citazione:
Messaggio inserito da aris73
il log di rootkit non é completo devi selezionare tutte le voci tranne show all
Grazie per aver risposto.
Nel frattempo ho installato bit defender (che ha eliminato un certo Magnet (<System>=>HKEY_CLASSES_ROOT\MAGNET Detected: magne2t
<System>=>HKEY_CLASSES_ROOT\MAGNET Deleted) e trojan remover che non ha rilevato nulla.
Allego l'intero rootkit di GMER, quello di rootkit reveal (a347scsi.sys? ho un raid, c'entra nulla?)e quello di sophos antirootkit che è stato l'unico sinora a rilevare la stranezza di una miriade di files .exe nella cartella windows NT.
GMER: htt*://[www].freefilehosting.net/file/?id=rdj0kq/Q/A==
Rootkit reveal: htt*://[www].freefilehosting.net/file/?id=rdj0kqjZ9Q==
Sophos antirootkit (file pdf)htt*://[www].freefilehosting.net/file/?id=rdj0kqjZ9w==
Grazie ancora e attendo fiducioso perché sto rischiando un esaurimento nervoso... |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 26/11/2006 : 20:03:55
|
fixa la voce 020 in hijack, utilizzi per caso un server proxy...??
inoltre le voci ADS sono relative all'installazione di Karspersky antivirus o ad alcune sue componenti
dopodiché scarica dalla mia firma a-squared e avg antispyware aggiornali e falli scansionare da provvisoria ed elimina tutto quello che trovano dopo mi posti i risultati e in base alle tue risposte procediamo
ciao  |
|
|
|
bianco23
New Member
40 Messaggi |
Inserito il - 27/11/2006 : 10:53:08
|
La voce 020 in Hijack non c'é più (l'avrà cancellata Bit defender?)
Ti posto il nuovo log di hijack e di gmer.
hijackthis 27.11.06.log: htt*://[www].freefilehosting.net/file/?id=rdj0kqXc/A==
GMER 27.11.06.txt: htt*://[www].freefilehosting.net/file/?id=rdj0kqXf9Q==
Dimmi se devo fixare qualcosa prima di procedere con a-sqared e avg (sto usando antimalware, va bene lo stesso?) prima di rientrare in internet dal pc infetto.
Ho una connessione dial-up e non uso un server proxy, però durante l'ultima connessione a un certo punto durante la navigazione Bit defender mi ha chiesto se autorizzavo la connessione a un localhost 127.0.0.1 (cito a memoria). Ora me lo richiede subito appena avvio explorer
Ieri sera non riuscivo a scaricare gli aggiornamenti di AVG e la connessone sembrava bloccata. Oggi per riavviare ho dovuto disinstallare NOD antivirus da modalità provvisoria. Per questo sto cercando di evitare di entrare in internet dal pc infetto e ora ti scrivo dal portatile.
Grazie ancora e attendo istruzioni per poter procedere
Citazione:
Messaggio inserito da aris73
fixa la voce 020 in hijack, utilizzi per caso un server proxy...??
inoltre le voci ADS sono relative all'installazione di Karspersky antivirus o ad alcune sue componenti
dopodiché scarica dalla mia firma a-squared e avg antispyware aggiornali e falli scansionare da provvisoria ed elimina tutto quello che trovano dopo mi posti i risultati e in base alle tue risposte procediamo
ciao
|
|
|
|
bianco23
New Member
40 Messaggi |
Inserito il - 27/11/2006 : 16:55:17
|
Ho provato ad eseguire senza successo alcuni tools antispyware della AVG da modalità provvisoria.
Eseguendo hijackthis sempre da modalità provvisoria ho notato la presenza di una chiave che non c'é nel log che ti ho postato questa mattina e non so se è malevola:
O4 - HKLM\..\RunOnce: [RemoverPostRebootAction] reg ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f
Infine trojan remover mi ha notificato, dopo una scansione da modalità provvisoria le due seguenti incongruenze:
The windows registry attempts to run this program at boot time:
%SystemRoot%\System32\logon.scr
an executable file with this hame has not been found
The program is loaded by the following registry key
HKEY_CURRENT_USER\Control Panel\Desktop\"SCRNSAVE.EXE"
This file is called by an NT/XP service:
C:\WINDOWS\system32\drivers\cinemsup.sys
an executable file with this hame has not been found
The program is loaded by the following registry key
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cinemsup\"ImagePath"
corro dei rischi ad eliminarle?Citazione:
Messaggio inserito da aris73
fixa la voce 020 in hijack, utilizzi per caso un server proxy...??
inoltre le voci ADS sono relative all'installazione di Karspersky antivirus o ad alcune sue componenti
dopodiché scarica dalla mia firma a-squared e avg antispyware aggiornali e falli scansionare da provvisoria ed elimina tutto quello che trovano dopo mi posti i risultati e in base alle tue risposte procediamo
ciao
|
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 28/11/2006 : 19:57:47
|
fixa
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = Inwind
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = Inwind
O4 - Startup: CountDown.lnk = ?
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O23 - Service: AEYOXVWJJMN - Sysinternals - [www].sysinternals[.com] - C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\AEYOXVWJJMN.exe
dopodiché procedi con le scansioni con i programmi aggiornati e da provvisoria
ciao |
|
|
|
bianco23
New Member
40 Messaggi |
Inserito il - 04/12/2006 : 20:38:43
|
Ho incasinato il file di registro cercando di disinstallare bit defender e sono stato costretto a formattare tutto.
Grazie comunque e alla prossima (spero non per problemi di questo genere...)
Citazione:
Messaggio inserito da aris73
fixa
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = Inwind
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = Inwind
O4 - Startup: CountDown.lnk = ?
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O23 - Service: AEYOXVWJJMN - Sysinternals - [www].sysinternals[.com] - C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\AEYOXVWJJMN.exe
dopodiché procedi con le scansioni con i programmi aggiornati e da provvisoria
ciao
|
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 05/12/2006 : 17:42:03
|
peccato, mi dispiace... alla prossima
ciao |
|
|
| |
Discussione |
|
Compaqhelper.exe (Troj/Small-DIV) ineliminabile
Forum Bloccato
