| Autore |
 Discussione  |
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
 Inserito il - 24/07/2007 : 23:55:27
|
Yves ti ha dato la soluzione più logica, con Thunderbird le cose cambiano di parecchio: i *ni per outlook in genere non fungono.
Se puoi recuperare il tuo archivio mail ti consiglio di adottare questa soluzione altrimenti bisognerà andare avanti un pò alla volta: decidi tu. |
 |
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 25/07/2007 : 00:51:44
|
Citazione:
Messaggio inserito da cicillo40
Ho già il mio capo che è un po' scettico e non crede a questo tipo di approccio per risolvere i problemi. Lui non crede all'utilizzo degli antisywere come ad-aware e spybot e sistemi tipo Hijackthis (non mi ha ancora spiegato perchè); secondo lui c'è solo la formattazione per risolvere problemi di virus...
Lo sai perchè? Perchè trovano dei bravissimi tecnici, che probabilmente hanno hanno anche l'ottimo "patentino Europeo", dove gli hanno insegnato che scrivendo "=" in una cella di Finto_Lotus si possono fare grandi cose (non sanno bene quali...) e cose ancora più imponenti si possono fare mettendo le freccette alle tabelle di Finto_SQL (e qui siamo nel buio più assoluto...)
Mettiti nei panni del tecnico: prendo in mano un pc che non conosco, magari pieno di applicazioni aziendali che conosco ancora meno. Se mi cerco i file virali ci metto almeno due ore (il tempo è variabile al massimo e il tecnico medio ce ne mette quattro, con tutti i ciarlatani che ci sono...), oppure in mezz'ora reinstallo XP.
Tu che faresti?
Comunque l'idea di Thunderbird è ottima 
P.S: Scusate lo sfogo contro i tecnici, effettivamente c'è anche gente molto preparata... meno di quanto serve  |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 25/07/2007 : 01:10:59
|
Flotty ha centrato in pieno il problema, non potendo operare direttamente sulla macchina "alla nostra maniera" difficilmente il problema potrà essere risolto in poco tempo (salvo format)
Però se vincessimo insieme questa sfida........che soddisfazione per tutti.
Andiamo avanti e vediamo che succede. |
Modificato da - michal in data 03/08/2007 00:00:45 |
|
|
|
cicillo40
Senior Member
Città: Italia
241 Messaggi |
Inserito il - 25/07/2007 : 18:13:55
|
Provo a postare il file log di Hjithis quando ho in esecuzione il problema della e-mail che non vuole andare in posta inviata. (Explorer dice che si è generato un errore nell'invio e dice di vedere nel riquadro , ma il riquadro è vuoto).
htt*://freefilehosting.net/download/NDczOA==
Ciao |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 25/07/2007 : 21:33:57
|
fixa
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:[No-Spam]MSITStore:C:\WINDOWS\start.chm::/start.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Microsoft® JavaScript® Console - {BD369B39-AF18-4886-8B59-CDC1B0D69B6D} - (no file)
O9 - Extra 'Tools' menuitem: JavaScript Console - {BD369B39-AF18-4886-8B59-CDC1B0D69B6D} - (no file)
O9 - Extra button: Microsoft® JavaScript® Console - {BD369B39-AF18-4886-8B59-CDC1B0D69B6D} - (no file) (HKCU)
09 - Extra 'Tools' menuitem: JavaScript Console - {BD369B39-AF18-4886-8B59-CDC1B0D69B6D} - (no file) (HKCU)
scarica GMER htt*://[www].gmer.net/
scopatta, sempre sul desktop il file gmer.zip.
esegui gmer.exe
Clicca sul Tab "Rootkit"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Esegui gmer.exe
Clicca sul Tab "Autostart"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Copia in questa discussione entrambi i log
secondo le regole htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255
|
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 25/07/2007 : 22:07:44
|
Ah sì è... allora il tuo capo vuole renderti le cose difficili.
Bene, allora facciamo vedere di che pasta siamo fatti 
Seguimi con attenzione, e se non capisci chiedi, stiamo risolvendo il problema con le nostre manine come si faceva una volta:
1) Disattiva il ripristino di configurazione
2) Vai su Start > Esegui... scrivi "regedit" e fa una copia del registro di configurazione (basta HKLM), non ti servirà mai ma è sempre buona norma... (da regedit, vai su File > Esporta, su opzioni di esportazione seleziona "Tutto" e salvalo dove vuoi)
3) Avvia il sistema in modalità provvisoria
4) Vai su Start > Esegui... e digita ancora regedit e invio.
Cerca HKLM\Software\Microsoft\Internet Explorer\Main
A questo punto avrai un po' di voci varie (ovviamente parliamo della parte destra del regedit); cerca la voce in questione, o qualcosa che ci si avvicina molto (dato il nome non dovresti avere problemi).
Praticamente devi cercare "Start Page" con una dicitura simile: mk:[No-Spam]MSITStore:C:\WINDOWS\start.chm::/start.html
Quando l'hai trovata, liquida la chiave
5) Riavvia il sistema in modalità normale e passa HijackThis; vedi se trova ancora questa voce:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:[No-Spam]MSITStore:C:\WINDOWS\start.chm::/start.html
Se non la trova, aspetta un giorno e poi riattiva il ripristino e manda il tuo capo a fan...
Altrimenti ci risentiamo 
Fatti sentire in ogni caso... e informa il tuo capo che esistono anche Kaspersky o F-Secure oltre al Norton (se si deve spendere, almeno lo si faccia bene)
[edit] mentre lavavo i piatti non ho seguito la risposta di aris 
Se puoi usare il suo metodo sarebbe ovviamente molto più comodo... |
Modificato da - Floatman in data 25/07/2007 22:19:42 |
|
|
|
cicillo40
Senior Member
Città: Italia
241 Messaggi |
Inserito il - 26/07/2007 : 14:43:50
|
Bene, grazie della collaborazione: inizio come suggerito da aris73 con GMER e approvato da Floatman
il log del rootkit è il seguente:
htt*://freefilehosting.net/download/NDk1MA==
Il log di autostart è il seguente:
htt*://freefilehosting.net/download/NDk1Mw==
(Su quest'ultimo mi perdonerete ho tolto i vari IP), anche se non credo servissero a molto.
Grazie infinite
Ciao
|
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 27/07/2007 : 00:39:51
|
vedi che succede l'inghippo forse partiva da qui:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:[No-Spam]MSITStore:C:\WINDOWS\start.chm::/start.html
Trojan.Win32.StartPage.AR
se puoi far girare Virit...potresti risolvere.
|
|
|
|
cicillo40
Senior Member
Città: Italia
241 Messaggi |
Inserito il - 27/07/2007 : 08:52:20
|
Allora posto il risultato di VIRIT che come hai pronosticato sembrava aver tolto il problema.
htt*://freefilehosting.net/download/NTIyMQ==
Però la posta elettronica continua a dare i soliti problemi e anche Hajthis continua a mostrarmi il: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:[No-Spam]MSITStore:C:\WINDOWS\start.chm::/start.html anche in modalità provvisoria.
Ora sto facendo fare la scansione a VIRIT nuovamente ma in modalità provvisoria, ormai le voglio provare tutte.
Cosa mi dite???
|
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 27/07/2007 : 11:53:39
|
il problema è sicuramente partito da li.
se virit non funge, puoi provare i programmi consigliati nella guida rimozione maleware che trovi nella mia firma.
controlla se nella cartella: C:\Documents and Settings\user\Preferiti\
c'è qualcosa di strano.
Posta il contenuto del file host:
C:\Windows\System32\drivers\etc\Hosts aprire il file hosts con blocco note; |
|
|
|
cicillo40
Senior Member
Città: Italia
241 Messaggi |
Inserito il - 27/07/2007 : 16:08:44
|
Ciao
Ho fatto le semplici verifiche che mi hai detto tipo C:\Documents and Settings\user\Preferiti\ e non ho visto cose strane, anche se devo dire che non sapevo bene cosa cercare, li ci sono alcuni indirizzi dei preferiti di explorer. Poi qui posto il file Host trovato nella directory indicata
htt*://freefilehosting.net/download/NTM0MQ==
Poi ho visto con Hajthis e la striga fatidica esiste sempre, allora ho provato ad andare sul registro senza cancellare niente e ho trovato uno start page, ma accanto non c'è il discorso [no spam] ecc.ecc.
Per quanto riguarda gli strumenti della rimozione dei malware indicati, praticamente li ho fatti tutti (tranne un paio di antispyware) però sicuramente ad-aware e sptbot (magari non li ho fatti ora ma li ho fatti all'inizio dell'avventura).
Cosa mi puoi indicare a questo punto??
|
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 27/07/2007 : 18:16:52
|
File host pulito...
Potresti dirmi in questa chiave: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page che valori hai? |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 27/07/2007 : 20:19:10
|
| é un rompicapo interessante, fai una scansione on line con kaspersky e dimmi cosa ti trova htt*://[www].kaspersky.it/Servizi/Virusscan.asp |
|
|
|
cicillo40
Senior Member
Città: Italia
241 Messaggi |
Inserito il - 30/07/2007 : 08:29:11
|
Buongiorno
Rieccomi qua:
Devo subito puntualizzare ad ARIS73 che l'altro giorno ho sbagliato a visualizzare la chiave di registro, non avevo preso la HKLM, ma un'altra presente nel registro. Stamani ho verificato la chiave indicatami e ho veroificto che la parte dati è la seguente: mk:[No-Spam]MSITSore:c:\WINDOWS\start.chm::\start.html.
Nel contempo ho avviato anche la scansione con Kasperky appena ho il log lo posto.
Grazie ancora
|
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 30/07/2007 : 13:26:02
|
elimina il valore della chiave manualmente.
apri la cartella main clic destro su start page modifica e cancella quello che trovi in dati valori (mk:[No-Spam]MSITStore:C:\WINDOWS\start.chm::/start.html
ATTENZIONE A NON ELIMINARE LA CHIAVE. |
|
|
|
Discussione |
|
e-mail a raffica, sicura infezione in atto!
Forum Bloccato
