| Autore |
 Discussione  |
|
|
IT9BLB
New Member
40 Messaggi |
 Inserito il - 22/09/2007 : 10:39:29
|
Ho due PC connessi a internet per mezzo del modem Wi-Fi fornito con Alice. Una macchina usa Windows 2000-PRO e l'altra Windows 2000 Server.
Da circa una settimana, entrambe sono al limite dell'impossibilità di utilizzo a causa di un impressionante rallentamento. Su quella "Server"
non riesco più ad aprire Explorer per andare in internet.
Ho fatto girare su entrambe Ad-Aware, Spybot e A-squared senza esito.
Ho sottoposto quella con 2000-PRO, normalmente protetta con Antivir, a scansione con antivirus AVG, Karspesky e Avast: nessun risultato.
Una indicazione forse utile: distaccando il PC dalla connessione alla rete, questo torna a funzionare perfettamente.
Attenendomi alle indicazioni fornite dall'amministratore, sottopongo il log generato da Hijack sul PC con Win2000-PRO, dal link: htt*://depositfiles[.com]/files/1842408 nella speranza che qualcuno possa darmi una mano a risolvere il problema.
Grazie in anticipo,
Giuseppe
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 23/09/2007 : 18:05:19
|
l'unica voce di un possibile trojan è legata ad Update.exe
se non sai a cosa si riferisce
controlla il contenuto della cartella {C6FE279D-067B-1040-0811-031121000027}
data di creazione ed a che programma appartiene.
se sconosciuta fixa:
O4 - HKCU\..\Policies\Explorer\Run: [{C6FE279D-067B-1040-0811-031121000027}] "D:\Programmi\File comuni\{C6FE279D-067B-1040-0811-031121000027}\Update.exe" mc-110-12-0000904
ed elimina la cartella. |
 |
|
|
IT9BLB
New Member
40 Messaggi |
Inserito il - 24/09/2007 : 18:12:50
|
Citazione:
Messaggio inserito da michal
l'unica voce di un possibile trojan è legata ad Update.exe
se non sai a cosa si riferisce
controlla il contenuto della cartella {C6FE279D-067B-1040-0811-031121000027}
data di creazione ed a che programma appartiene.
se sconosciuta fixa:
O4 - HKCU\..\Policies\Explorer\Run: [{C6FE279D-067B-1040-0811-031121000027}] "D:\Programmi\File comuni\{C6FE279D-067B-1040-0811-031121000027}\Update.exe" mc-110-12-0000904
ed elimina la cartella.
Ciao Michal, ho fatto quanto mi hai suggerito ma la situazione
permane invariata. Se posso fornirti altri elementi che possano
indicare qualcosa, dimmi pure....
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/09/2007 : 19:31:09
|
nella cartella D:\Programmi\File comuni\{C6FE279D-067B-1040-0811-031121000027 c'è solo l'update.exe?
ho trovato questo: htt*://[www].sophos[.com]/security/analyses/trojmdropblr.html |
Modificato da - Sibilla in data 24/09/2007 21:14:11 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 24/09/2007 : 19:56:35
|
scarica GMER htt*://[www].gmer.net/ scopatta, sempre sul desktop il file gmer.zip.
esegui gmer.exe
Clicca sul Tab "Rootkit"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Esegui gmer.exe
Clicca sul Tab "Autostart"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Copia in questa discussione entrambi i log
secondo le regole |
|
|
|
IT9BLB
New Member
40 Messaggi |
Inserito il - 25/09/2007 : 01:31:52
|
Citazione:
Messaggio inserito da michal
scarica GMER htt*://[www].gmer.net/ scopatta, sempre sul desktop il file gmer.zip.
esegui gmer.exe
Clicca sul Tab "Rootkit"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Ecco il log: htt*://depositfiles[.com]/files/1868458
Esegui gmer.exe
Clicca sul Tab "Autostart"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Ecco il log: htt*://depositfiles[.com]/files/1868486
Copia in questa discussione entrambi i log
secondo le regole
Per Sibilla: nella cartella D:\Programmi\File comuni\{C6FE279D-067B-1040-0811-031121000027 non c'era nemmeno l'update.exe, era vuota. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 25/09/2007 : 02:04:46
|
Citazione:
Messaggio inserito da IT9BLB
Per Sibilla: nella cartella D:\Programmi\File comuni\{C6FE279D-067B-1040-0811-031121000027 non c'era nemmeno l'update.exe, era vuota.
a volte succede che nel desiderare troppo una cosa.. poi quella cosa si avvera.. 
:) comunque si vedrà meglio con i log di gmer: se c'è qualcosa uscirà, mc-110-12-0000904.exe compreso.. :) se c'è :) |
Modificato da - Sibilla in data 25/09/2007 02:22:24 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 25/09/2007 : 13:55:24
|
dai log non si rileva nulla di anomalo. Forse stiamo indagando sulla macchina sbagliata ed i problemi sono sul server,qualche dettaglio sulla configurazione della rete sarebbe d'aiuto.
Controlla nel task Manager quale applicazione occupa la maggior parte delle risorse. |
|
|
|
IT9BLB
New Member
40 Messaggi |
Inserito il - 25/09/2007 : 18:52:31
|
Citazione:
Messaggio inserito da michal
dai log non si rileva nulla di anomalo. Forse stiamo indagando sulla macchina sbagliata ed i problemi sono sul server,qualche dettaglio sulla configurazione della rete sarebbe d'aiuto.
Controlla nel task Manager quale applicazione occupa la maggior parte delle risorse.
Controllando con Task-Manager, SERVICES.EXE è sempre al 98/99% della CPU !!
Non si tratta di una vera rete: la macchina di cui ho allegato i log è connessa al modem ADSL, fornito con Alice, per mezzo di cavo ethernet; quella che gira sotto Windows 2000_Server è invece connessa per mezzo della "penna" USB wireless. Le due macchine hanno un loro IP fisso assegnato e utilizzano il modem per uscire entrambe su internet.
Un elemento che credo significativo è che il PC WIN2000-PRO, disconnesso dal cavo di rete, riacquista tutta la sua normale velocità di esecuzione con qualsiasi programma si usi.
Se tale macchina è connessa al modem, pur provando a spegnere del tutto l'altra, si verifica il fortissimo rallentamento di qualsiasi operazione locale e/o su internet.
Attualmente, su quello con 2000_Server, non parte più Internet Explorer e ho grosse difficoltà a spostarci file visto che stenta a riconoscere pure i pen-drive.
Allego i due log: htt*://depositfiles[.com]/files/1876810 e
htt*://depositfiles[.com]/files/1876840
|
Modificato da - IT9BLB in data 25/09/2007 21:09:26 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 25/09/2007 : 21:19:04
|
fai una scansione con Virit e posta il log.
htt*://[www].tgsoft.it/italy/index_ita.html |
Modificato da - michal in data 25/09/2007 21:20:17 |
|
|
|
IT9BLB
New Member
40 Messaggi |
Inserito il - 26/09/2007 : 19:50:25
|
Citazione:
Messaggio inserito da michal
fai una scansione con Virit e posta il log.
htt*://[www].tgsoft.it/italy/index_ita.html
Date le dimensioni ridottissime, lo metto direttamente qui:
VirIT eXplorer Lite Log
[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
25/09/2007 - 22:09:37
[SCANSIONE DEL REGISTRO]
OK
[A:]
BOOT SECTOR: OK
[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
[D:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
D:\Programmi\Avi2Dvd\Programs\BeSplit\BeSplit.exe Possibile variante da Trojan.Win32.Agent.IU
[E:]
[F:]
Chiavi Registro infette: 0.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 140642.
Files Totali: 140642.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.
|
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 27/09/2007 : 01:19:38
|
questo programma Besplit è sospetto, se non sai di cosa si tratta(probabile malipolatore di codec audio video) elimina:
D:\Programmi\Avi2Dvd\Programs\BeSplit\BeSplit.exe
Più che pericoloso direi che è un "illustre sconosciuto"
A questo punto fai tutta la procedura rimozione maleware sino al punto 6:
htt*://[www].notrace.it/eliminare-malware.htm
per tutti e due i pc e posta i log dei programmi.
|
|
|
| |
Discussione |
|
PC lentissimi.....
Forum Bloccato
