| Autore |
 Discussione  |
|
marlo
Senior Member
201 Messaggi |
 Inserito il - 07/05/2007 : 15:48:20
|
Ciao il problema fondamentale è che su questo pc non riesco a far funzionare nessun firewall, compreso quello di windows.
Forse un virus?
Allego un log:
htt*://depositfiles[.com]/files/837607
Inoltre vorrei snellire un po il sistema da processi inutili grazie.
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 07/05/2007 : 18:11:21
|
hai un pò un manicomio
intanto cominciamo a fixare
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = htt*://gw.aliceadsl.it/minisearch
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
04 - HKLM\..\Run: [gwiz] C:\WINDOWS\System32\ntsystem.exe
O4 - HKLM\..\Run: [MS System Call Function] MSSCF32.exe
O4 - HKLM\..\RunServices: [MS System Call Function] MSSCF32.exe
O4 - HKCU\..\Run: [MS System Call Function] MSSCF32.exe
O4 - Startup: PowerReg Scheduler V3.exe
O9 - Extra button: Alice - {3D097352-C30F-49B0-B980-EBF5633C44E6} - htt*://gw.aliceadsl.it/alice (file missing) (HKCU)
O9 - Extra button: Umail - {772AD04F-7171-4DB9-8FBA-CF9C193C1298} - htt*://[www].umail.it (file missing) (HKCU)
021 - SSODL: mtklefa - {B49D94EB-65FD-4520-7EA9-D205E1E114A9} - (no file)
O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe (file missing)
023 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe (file missing)
poi fai analizzare questo file C:\WINDOWS\msidev32.exe su [www].virustotal[.com]
dopodiché scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli
files to delete:
C:\WINDOWS\System32\ntsystem.exe
C:\WINDOWS\system\icrss.exe
C:\WINDOWS\System32\mousecrm.exe
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
dammi i responsi, ma fai conto che non abbiamo mica finito
ciao |
 |
|
|
marlo
Senior Member
201 Messaggi |
Inserito il - 07/05/2007 : 22:37:29
|
Ciao grazie per la risposta.
Ho fixato quello che mi hai detto.
C:\WINDOWS\msidev32.exe non l'ho trovato in windows con [www].virustotal[.com]
ho eliminato C:\WINDOWS\System32\ntsystem.exe - C:\WINDOWS\system\icrss.exe - C:\WINDOWS\System32\mousecrm.exe con avenger.
Questo il nuovo log:
hijackthis6.log |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 07/05/2007 : 22:51:45
|
sono ancora da fixare
O4 - HKCU\..\Run: [MS System Call Function] MSSCF32.exe
O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe (file missing)
O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe (file missing)
inoltre quel file,non devi trovarlo con virustotal, ma devi farlo anlizzare e mentre ci sei fai analizzare anche questo C:\WINDOWS\msidev32.exe
inoltre scarica virit, lo aggiorni e fai fare una scansione da provvisoria
Modalità provvisoria
1° metodo all'avvio premere più volte tasto F8
2° metodo start-->esegui--> msconfig--> ok--> boot.ini-->spunta casella SAFEBOOT--> applica ( per ritornare in modalità normale stesso percorso e togliere la spunta)
ciao |
|
|
|
marlo
Senior Member
201 Messaggi |
Inserito il - 07/05/2007 : 23:00:35
|
Ho fixato gli altri.
Risultato dell'analisi di virustotal:
STATUS: QUEUED - Your file "msidev32.exe" is queued in position: 20. Estimated start time is between 3 and 5 minutes.
Antivirus Version Update Result
Aditional Information
VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
Adesso vado a fare la scansione da provissoria con virit e faccio sapere grazie. |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 07/05/2007 : 23:09:30
|
| non si legge il risultato, dovrebbe uscirti un responso con l'identificazione del file da perte di tutti gli antivirus |
|
|
|
marlo
Senior Member
201 Messaggi |
Inserito il - 08/05/2007 : 00:47:52
|
Allora ho rifatto l'analisi:
STATUS: FINISHED Complete scanning result of "msidev32.exe", received in VirusTotal at 05.08.2007, 00:28:47 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.5.8.0 05.07.2007 Win32/IRCBot.worm.variant
AntiVir 7.4.0.15 05.07.2007 HEUR/Crypted
Authentium 4.93.8 05.07.2007 W32/Sdbot.UJK
Avast 4.7.997.0 05.07.2007 Win32:Sdbot-3986
AVG 7.5.0.467 05.07.2007 IRC/BackDoor.SdBot2.HNM
BitDefender 7.2 05.07.2007 Backdoor.Sdbot.XD
CAT-QuickHeal 9.00 05.07.2007 no virus found
ClamAV devel-20070416 05.07.2007 no virus found
DrWeb 4.33 05.07.2007 no virus found
eSafe 7.0.15.0 05.07.2007 no virus found
eTrust-Vet 30.7.3616 05.07.2007 no virus found
Ewido 4.0 05.07.2007 Backdoor.SdBot.xd
FileAdvisor 1 05.08.2007 no virus found
Fortinet 2.85.0.0 05.07.2007 no virus found
F-Prot 4.3.2.48 05.07.2007 W32/Sdbot.UJK
F-Secure 6.70.13030.0 05.07.2007 Backdoor.Win32.SdBot.xd
Ikarus T3.1.1.7 05.07.2007 no virus found
Kaspersky 4.0.2.24 05.08.2007 Backdoor.Win32.SdBot.xd
McAfee 5025 05.07.2007 no virus found
Microsoft 1.2503 05.07.2007 no virus found
NOD32v2 2248 05.07.2007 no virus found
Norman 5.80.02 05.07.2007 Spybot.AYGH
Panda 9.0.0.4 05.07.2007 W32/SdBot.HOP.worm
Prevx1 V2 05.08.2007 no virus found
Sophos 4.17.0 05.07.2007 no virus found
Sunbelt 2.2.907.0 05.05.2007 no virus found
Symantec 10 05.07.2007 W32.Spybot.Worm
TheHacker 6.1.6.108 05.06.2007 no virus found
VBA32 3.11.4 05.07.2007 no virus found
VirusBuster 4.3.7:9 05.07.2007 no virus found
Webwasher-Gateway 6.0.1 05.08.2007 Heuristic.Crypted
Aditional Information
File size: 598016 bytes
MD5: f23c975e6af6d44ef68e7c6bbb82df7d
SHA1: 2ddac7efe3cea885f65b5652df416ebef03a90d6
packers: Armadillo
Ho fatto la scansione con virit in provvisoria e mi ha eliminato due file.
Questi:
O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe (file missing)
O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe (file missing)
li ho fixati sia in modalità normale che provvisoria, ma ritornano sempre.
Nuovo log:
hijackthis8.log
Buonanotte a domani Grazie |
|
|
|
Bartoloni Davy
Senior Member
Città: Cuneo
Nota:
92 Messaggi |
Inserito il - 08/05/2007 : 10:22:57
|
beh, quelle voci tornano perche' sono servizi... quindi, basta che li stoppi o li cancelli.. probabilmente , la gestione servizi di windows non li vede.. quindi devi indagare con gmer e scovarli nell'elenco servizi.. .controlla anche nella cartella windows\system32\drivers e sottocartelle. probabilmente se controlli le date.. negli ultimi tempi, devono essere stati aggiunti dei file .sys (per far avviare sti benedetti servizi)
poi.. come sempre e' meglio fare una scansione rootkit... (gmer)
con molta probabilita' il file .SYS incriminato e' stealthato (rootkit) e quindi dovresti scoprire come si chiama...
controlla (se hai un windows pe.. o linux live) se in documents and settings hai un utente sconosciuto con nome random nascosto...
cancellerei anche il contenuto della cartella temp, nelle impostazioni locali del tuo utente...
|
|
|
|
marlo
Senior Member
201 Messaggi |
Inserito il - 16/05/2007 : 17:40:38
|
| Ciao sono tornato, grazie per la risposta, ma dell'ultimo intervento non ci ho capito molto, potremmo riprendere dal mio ultimo post grazie. |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 16/05/2007 : 19:35:04
|
| devi eliminarlo "msidev32.exe" non é nulla di buono |
|
|
|
marlo
Senior Member
201 Messaggi |
 Inserito il - 16/05/2007 : 20:03:45
|
Ciao grazie per la risposta, adesso la mia situazione è questa:
hijackthis.log
Questo:
O23 - Service: SERVICE (WINDOWS) - Unknown owner - C:\WINDOWS\msidev32.exe (file missing)
ho provato a cancellarlo molte volte sia in modalità normale che provvisoria, ma non sene va consigli?
Grazie ancora |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 16/05/2007 : 20:08:18
|
Scarica il tool dal seguente link: htt*://[www].nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP
Avviare il programma,clicca su Start
Attendere che si apra una finestra
Clicca sul disco C:\
Scorrere l'albero fino a: C:\WINDOWS\msidev32.exe
e lo selezioni
Una volta selezionato si avrà questo messaggio. "[Nome file] selected for cleaning. Do you want to continue?"
Clicca su Yes
Una finestra avviserà dell'operazione conclusa. |
|
|
|
marlo
Senior Member
201 Messaggi |
Inserito il - 16/05/2007 : 20:16:34
|
Ho fatto come mi hai detto ma con AGVPFIX non riesco a trovare C:\WINDOWS\msidev32.exe
|
Modificato da - marlo in data 16/05/2007 20:23:49 |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 16/05/2007 : 21:03:08
|
se hai inviato il file a virustotal vuol dire che lo visualizzi..?
prova con killbox da provvisoria |
|
|
|
marlo
Senior Member
201 Messaggi |
Inserito il - 17/05/2007 : 19:21:10
|
Ho provato anche con killbox ma non lo trova.
Quando l'ho inviato a virustotal nel log di HijackThis non figurava (file missing)
E' diventato (file missing) in seguito all'eliminazione di:
O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe (file missing)
O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe (file missing)
Adesso non riesco ad individuarlo.
log aggiornato:
hijackthis3.log
Oggi sono riuscito ad istallare zonealarm senza che il pc si sia piantato |
Modificato da - marlo in data 17/05/2007 20:04:57 |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 17/05/2007 : 20:07:38
|
apri hijack e fixa:
O4 - HKLM\..\RunServices: [MSN Update] dllconfg.exe
O4 - HKCU\..\Run: [MSN Update] dllconfg.exe
O4 - Startup: PowerReg Scheduler V3.exe
O21 - SSODL: BIHFFCFI - {30880D40-1EF1-0BC6-533A-37F269C340D5} - C:\WINDOWS\System32\Ccfommoh.dll
O23 - Service: SERVICE (WINDOWS) - Unknown owner - C:\WINDOWS\msidev32.exe (file missing)
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli
files to delete:
C:\WINDOWS\System32\Ccfommoh.dll
C:\WINDOWS\msidev32.exe
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
elimina manualmente dllconfg.exe, PowerReg Scheduler V3.exe
vai su start, esegui e digita: sc delete msidev32 e clicca su ok  |
|
|
|
Discussione |
|
C'è qualche problema???
Forum Bloccato
