Ciao a tutti.
Problema.
Ho 4 pc in rete, dei quali uno funge da server.
Sistema Win XP 2 protetto da kaspersky
2 gg fa l’ho avviato.
Tutto regolare.
Ho lanciato thunderbird ma il download della posta s’è bloccato talché ho resettato il pc.
Al riavvio è apparsa la maschera con la possibilità di modalità provvisoria, modalità ordinaria o ultima configurazione funzionate.
Ho provato in tutti i modi, più volte, ma niente.
Avviato con live, ok.
Poi un amico lo ha fatto ripartire con il disco di avvio di win xp, reinstallando il sistema operativo ma senza cancellare i programmi, quindi non dalla funzione che appare tra le opzioni appena riavviato con il cd, bensì lanciando l’installazione competa e scegliendo poi un opzione particolare, dopo alcuni passaggi della reinstallazione.
Il pc, infatti, è ripartito ed i programmi c’erano tutti.
Solo che era tornato allo stato del 30 luglio 2009.
Anche i file, cioè i documenti, creati dopo tale data erano stati cancellati.
Addirittura un programma che avevo disinstallato un paio di mesi fa è riapparso.
Si tratta di win fax, nel quale appaiono i fax inviati e ricevuti sino al 30 luglio 2009.
Le e-mail hanno subito la stessa sorte, quelle post 30 luglio 2009 sono scomparse.
(Kaspersky, tornato indietro di oltre un anno, rileva che la chiave è scaduta quindi non funziona. Ho provato a reinstallarlo ma nel frattempo il mio amico aveva messo Avira talché Kaspersky ha chiesto di toglierlo, ma io non l’ho fatto, quindi ora ho solo Avira).
Avendo il back up di tutti i dati su di un disco esterno li ho ricopiati, in parte, sul server.
Dopo di che, però, tutto il contenuto della cartella sul disco esterno è sparita, sia i file che avevo ricopiato sul server che altri ancora non ricopiati (che fortunatamente ho sui back up di altri pc).
Sul disco esterno ho 2 file di acronis ma nessuno del 30 luglio 2009.
Oggi mi è capitato quanto segue:
Ho fatto una ricerca sul disco fisso e su quello esterno J per cercare file maggiori di 1 gb ed è apparsa una Finestra dal nome
> password obbligatoria
con la seguente dicitura
“L’archivio di back-up è protetto da password. Per accedere al back-up immettere la password.”
ed una casella bianca nella quale immetterla.
Non avendo una password da immettere ho tentato di chiudere la finestra mentre ancora era in corso la ricerca (con 4 o 5 file trovati), ma la finestra non si chiudeva. Solo interrompendo la ricerca su J (mentre quella su Castagnoli era stata portata a termine) è stato possibile chiudere la finestra.
Nel corso della ricerca, prima che la finestra apparisse, erano stati trovati 4 o 5 file maggiori di 1 gb
Ho lanciato nuovamente la ricerca su J ed è subito riapparsa la maschera con la richiesta di password e, senza immetterla, non consentiva la ricerca.
Ho chiuso e rilanciato la ricerca, è apparsa subito la finestra con richiesta password che impediva la ricerca dei file secondo le specifiche da me richieste, ho annullato la finestra che s’è chiusa senza riapparire e la ricerca è iniziata ed è stata portata a termine.
La ricerca di file su C non ha comportato l’apertura della finestra.
In questo momento non riscontro anomalie ma, ovviamente, vorrei evitare di trovarmi il pc resettato a qualche anno fa e, comunque, che i dati vengano eliminati da non si sa bene cosa.
Ho quindi proceduto come da istruzioni, talchè allego il log di Hijacktis, fatto dopo che Avira e Malware bytes avevano rilevato alcune anomalie.
Avira 3 file, tutti sul disco esterno,ora rimossi.
Malware 4 file (3 volte Lupen-Pen-Drive\astlog.exe HackTool.Asterisk ed 1 volta avilog1\gnc.exe -Trojan.Dropper-) sul disco fisso, in quarantina e rimossi (l’ho interrotto dopo oltre 19 ore di scansione, dopo che aveva ampiamente terminato il disco del server ma mentre ancora esaminava il disco esterno. L’ho fatto per non aspettare atre 10 ore. Ovviamente il disco esterno non verrà utilizzato se non previa scansione completa con Malware).
Ho i file di log di tutt’e 2 le operazioni.
L’unica cosa che non ho fatto è stato disabilitare il ripristino di sistema prima delel scansioni.
Allego il log di Hijacktis ed attendo vostre.
Grazie.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:52, on 02/09/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\firebird\firebird_2_0\bin\fbguard.exe
C:\Programmi\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\Scanner\FileUtility\SFUSVC.exe
C:\Programmi\Scanner\FileUtility\nsCatCom.exe
C:\WINDOWS\system32\WFXSVC.EXE
C:\WINDOWS\Explorer.EXE
C:\Programmi\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\PROGRA~1\WinFax\WFXSWTCH.exe
C:\WINDOWS\system32\wfxsnt40.exe
C:\Programmi\Acronis\TrueImageHome\TrueImageMonito r.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\Programmi\Hewlett-Packard\HP Deskjet 1280\Toolbox\mpm.exe
C:\Programmi\Acronis\TrueImageHome\TimounterMonito r.exe
C:\Programmi\Java\jre1.5.0_07\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Eraser\eraser.exe
C:\Programmi\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Programmi\Scanner\FileUtility\NsCatCom.exe
C:\Programmi\firebird\firebird_2_0\bin\fbserver.ex e
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Carmine Vaccaro\Impostazioni locali\Temp\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [IAAnotif] "C:\Programmi\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [WFXSwtch] C:\PROGRA~1\WinFax\WFXSWTCH.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programmi\Acronis\TrueImageHome\TrueImageMonito r.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [HPWS myPrintMileage Agent] C:\Programmi\Hewlett-Packard\HP Deskjet 1280\Toolbox\mpm.exe
O4 - HKLM\..\Run: [PC Suite for Smartphones] "C:\Programmi\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programmi\Acronis\TrueImageHome\TimounterMonito r.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [bit4id csp store register (M)] RUNDLL32.EXE "C:\WINDOWS\system32\bit4upki-store.dll",RegisterMyPhysicalStore
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programmi\File comuni\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [Eraser] C:\Programmi\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [mRouterConfig] "C:\Programmi\Intuwave\Shared\mRouterRuntime\mRout erConfig.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Carmine Vaccaro\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Handy Backup] C:\Programmi\Novosoft\Handy Backup\hbagent.exe -logon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Controller.LNK = C:\Programmi\WinFax\WFXCTL32.EXE
O4 - Global Startup: ROL Suite.lnk = C:\Programmi\ROLSC Suite\RolSuite.exe
O4 - Global Startup: ROLSC ServiziPT.lnk = C:\Programmi\ROLSC Server\Bin\RolSCServiziPT.exe
O4 - Global Startup: Scanner File Utility.lnk = ?
O4 - Global Startup: updspl.lnk = C:\Programmi\PDF4free\updspl\UpdSpl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Legal System - {f9a46429-9823-4f52-ae83-c6ab1c2fbbb6} - C:\Lexteam\Polis\Polis.js (HKCU)
O9 - Extra 'Tools' menuitem: Legal System - {f9a46429-9823-4f52-ae83-c6ab1c2fbbb6} - C:\Lexteam\Polis\Polis.js (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1283262579890
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D126644-E7DB-4123-B86D-4B0E3E2905D3}: NameServer = 212.216.112.222,212.216.162.172
O20 - AppInit_DLLs: izlatx.dll
O20 - Winlogon Notify: hblogon - C:\WINDOWS\SYSTEM32\hblogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - FirebirdSQL Project - C:\Programmi\firebird\firebird_2_0\bin\fbguard.exe
O23 - Service: Firebird Super Server 2.0.1 - DefaultInstance (FirebirdServerDefaultInstance) - FirebirdSQL Project - C:\Programmi\firebird\firebird_2_0\bin\fbserver.ex e
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programmi\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: SFUSVC - KYOCERA MITA CORPORATION - C:\Programmi\Scanner\FileUtility\SFUSVC.exe
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS\system32\WFXSVC.EXE
O24 - Desktop Component 0: Privacy Protection - (no file)
--
End of file - 8728 bytes
Rispondi quotando
