Pagina 1 di 2 1 2 ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 13
  1. #1

    Aiuto! problema Win32:Trojan-gen {other}

    Salve, ho un problema con un trojan sul mio laptop. Posto qui dopo aver provato a seguire i consigli trovati su vari forum e non essere riuscito a risolvere il problema.
    La mia configurazione è Windows XP - avast antivirus - zonealarm.

    Facendo una scansione all'avvio Avast Antivirus mi ha rilevato un virus: si tratta di Win32:Trojan-gen {other} trovato nel file C:\9468562.
    Dopo aver spostato tale file nel cestino di Avast ho provveduto a cancellarlo.

    Le anomalie che avevo notato e che mi avevano spinto a fare una scansione all'avvio con l'antivirus sono però rimaste: quando mi collego ad internet Avast Antivirus viene arrestato. Inoltre mi sono accorto ora che se clicco su un file .txt non viene lanciato il notepad per visualizzarlo (appare per un attimo la clessidra al posto del cursore e poi non succede niente).

    Non so se possano essere cause o conseguenze, ma i primi problemi che ho notato e mi hanno fatto insospettire sono stati con windows movie maker: subito dopo averlo lanciato mi dava un errore e veniva chiuso. Riprovando, mi è stato segnalato anche un errore di drwtsn32.exe
    Può darsi che la causa siano gli ultimi aggiornamenti a windows xp che ho fatto subito dopo: windows media player 11 soprattutto. (visto che ora mi segnala degli aggiornamenti da installare per la protezione proprio di windows media player ma che non ho ancora scaricato per paura che vengano corrotti dal trojan... li devo installare cmq?)

    Ho rieseguito una scansione all'avio con Avast Antivirus ma non mi ha rilevato più nulla. Quindi ho cancellato tutta la fuffa temporanea con CCleaner e ATF-Cleaner, ho installato a-Squared (aggiornandolo) ed eseguito una scansione con lo stesso: qui sotto trovate il log generato.

    a-squared Free - Version 3.0
    Last update: 23/10/2007 1.32.26

    Impostazioni scansione:

    Oggetti: Memoria, Tracce, Cookies, C:\, E:\
    Archivio scansioni: On
    Scientifico: On
    ADS Scan: On

    Scansione avviata: 23/10/2007 1.39.18

    Value: HKEY_CLASSES_ROOT\CLSID\{0AF8185C-26D7-4607-A005-7D586B750C38}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Blubster
    Value: HKEY_CLASSES_ROOT\CLSID\{5BF31631-3D94-4267-B6F4-0CE18B008928}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Blubster
    Value: HKEY_CLASSES_ROOT\CLSID\{D322CFB6-5195-4EDA-87CA-6D624CCF2751}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Blubster
    Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0AF8185 C-26D7-4607-A005-7D586B750C38}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Blubster
    Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5BF3163 1-3D94-4267-B6F4-0CE18B008928}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Blubster
    Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D322CFB 6-5195-4EDA-87CA-6D624CCF2751}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Blubster
    C:\Programmi\Toshiba Connect\InstID.exe rilevati: Dialer
    C:\Programmi\Toshiba Connect\Interdialer.exe rilevati: Dialer



    Infine ho fatto una scansione con HiJackThis, sotto trovate il log.

    Ovviamente ho disalibitato il ripristino configurazione di sistema (lo tengo sempre disabilitato).

    Che devo fare adesso? qualcuno può darmi una mano?
    I problemi di cui parlavo sopra rimangono...

    Che danni può causare questo trojan?

  2. #2
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12.04.13, on 23/10/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16544)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
    C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
    C:\Programmi\Alwil Software\Avast4\ashServ.exe
    C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\AGRSMMSG.exe
    C:\Programmi\Toshiba\Toshiba Applet\thotkey.exe
    C:\WINDOWS\system32\TPSMain.exe
    C:\Programmi\TOSHIBA\TME3\TMERzCtl.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programmi\TOSHIBA\TOSHIBA Controls\TFncKy.exe
    C:\Programmi\Synaptics\SynTP\Toshiba.exe
    C:\WINDOWS\system32\thpsrv.exe
    C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe
    C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Programmi\Roland\VSC32\vsc32cnf.exe
    C:\Programmi\Roland\VSC32\vscvol.exe
    C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 4.exe
    C:\WINDOWS\vsnpstd.exe
    C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
    C:\Programmi\a-squared Free\a2service.exe
    C:\WINDOWS\system32\TPSBattM.exe
    C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programmi\Toshiba\TOSHIBA Applet\TAPPSRV.exe
    C:\WINDOWS\system32\ThpSrv.exe
    C:\Programmi\TOSHIBA\TME3\Tmesrv31.exe
    C:\Programmi\TOSHIBA\TME3\TMEEJME.EXE
    C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
    C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\alg.exe
    C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
    C:\Documents and Settings\Edoardo\Desktop\programmi sicurezza\HijackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.corriere.it/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,
    O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [THotkey] C:\Programmi\Toshiba\Toshiba Applet\thotkey.exe
    O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
    O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Programmi\TOSHIBA\TME3\TMERzCtl.EXE /Service
    O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
    O4 - HKLM\..\Run: [ThpSrv] c:\WINDOWS\system32\thpsrv /logon
    O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe"
    O4 - HKLM\..\Run: [IntelWireless] "C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [vsc32cnf.exe] C:\Programmi\Roland\VSC32\vsc32cnf.exe
    O4 - HKLM\..\Run: [vscvol.exe] C:\Programmi\Roland\VSC32\vscvol.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 4.exe
    O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
    O4 - HKCU\..\Run: [main] C:\WINDOWS\system32\drivers\system.exe
    O4 - HKCU\..\Run: [default] C:\Documents and Settings\Edoardo\winmain.exe
    O4 - HKCU\..\RunOnce: [sysinit] C:\WINDOWS\system32\drivers\system.exe
    O4 - HKCU\..\RunOnce: [winmz] C:\Documents and Settings\Edoardo\winmain.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
    O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1164133755093
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2CFFA93D-6FF4-4301-B5FA-7610C34D3A89}: NameServer = 208.67.222.222,208.67.220.220
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
    O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
    O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programmi\Toshiba\TOSHIBA Applet\TAPPSRV.exe
    O23 - Service: TOSHIBA HDD Protection (Thpsrv) - TOSHIBA Corporation - C:\WINDOWS\system32\ThpSrv.exe
    O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programmi\TOSHIBA\TME3\Tmesrv31.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    --
    End of file - 9724 bytes

  3. #3
    Utente di HTML.it L'avatar di Deifobe
    Registrato dal
    Oct 2007
    Messaggi
    6,072
    Cominciamo da qui..
    Scarica Avenger
    Dal taskmanager termina "ntos.exe", se presente (se si, dimmelo nella prossima risposta)
    Visualizza file nascosti (da una cartella: strumenti - opzioni cartella - visualizzazione - spunta "visualizza cartelle e file nascosti)
    Disattiva ripristino configurazione sistema (start - pannello di controllo - sistema - ripristino configurazione di sistema - spunta "disattiva ripristino...")
    Fixa queste voci:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32,C:\WINDOWS\system32\ntos.exe,
    O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKCU\..\Run: [default] C:\Documents and Settings\Edoardo\winmain.exe
    O4 - HKCU\..\Run: [main] C:\WINDOWS\system32\drivers\system.exe
    O4 - HKCU\..\RunOnce: [sysinit] C:\WINDOWS\system32\drivers\system.exe
    O4 - HKCU\..\RunOnce: [winmz] C:\Documents and Settings\Edoardo\winmain.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2CFFA93D-6FF4-4301-B5FA-7610C34D3A89}: NameServer = 208.67.222.222,208.67.220.220

    Lancia Avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento.
    All'interno della finestra "Wiew/edit script", nel box bianco, copia/incolla:

    files to delelete:
    C:\WINDOWS\system32\drivers\system.exe
    C:\WINDOWS\system32\ntos.exe
    Clicca sul pulsante "Done", poi sul semaforo verde, rispondi Yes.
    Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.

    Ri-attiva ripristino configurazione sistema
    Nascondi i file nascosti

    Posta il report rilasciato di avenger e quello di hijackthis.

  4. #4
    Innanzitutto grazie per la risposta... ma ho dei problemi.

    Allora, oltre alle operazioni già descritte nei miei post precedenti, ho eseguito le seguenti cose consigliatemi su alcuni forum e ora mi trovo ancora di più nella cacca (scrivo da un altro pc):

    1) eseguito ESET ADS REVEALER e ripulito qualche file (penso niente che riguardasse il problema attuale, erano per lo più file grafici e cmq pochi)

    2) NON ho eseguito ElistarA perché avast antivirus ha trovato il trojan Win32:Small-CPR nel file d'installazione

    3) A-squared free lo avevo già lanciato prima di iniziare questo thread (nel primo post trovate i risultati che mi ha dato - pochi -)

    4) ho eseguito Panda anti-rootkit e mi ha trovato 4 rootkit UNKNOWN nei seguenti file:
    C:\WINDOWS\system32\wsnpoem\audio.dll
    C:\WINDOWS\system32\wsnpoem\video.dll
    C:\WINDOWS\system32\wsnpoem\0001175B.uf
    C:\WINDOWS\system32\ntos.exe
    quindi ho dato il comando per rimuovere i rootkit.

    Ho riavviato e... sorpresa! dopo aver digitato la password di utente windows per l'avvio, mi avvia windows per una frazione di secondo (mi compare per un attimo lo sfondo desktop) dopodiché mi disconnette subito in modo automatico.
    Stessa cosa in modalità provvisoria (anche entrando con administrator)...

    Quindi adesso non posso entrare in windows (e ovviamente non posso lanciare hijackthis, che cmq avevo già lanciato prima di iniziare questo thread ed avevo anche postato i risultati nei primi due post).

    Tramite Ultimate Boot CD che mi sono creato da un altro pc, ho recuperato e rimesso al loro posto i file ntos.exe e quelli della cartella wsnpoem, sperando che almeno così mi facesse entrare in windows... ma niente!

    AIUTOOOOOOOOOOO!

  5. #5
    Utente di HTML.it L'avatar di Deifobe
    Registrato dal
    Oct 2007
    Messaggi
    6,072
    Come non detto. Sono tutti collegati a ntos.
    Fai una cosa, riesci ad entrare nel Dos da modalità provvisoria?
    Entra, arriva a c:\windows\system32
    digita dir/p e dai invio (scorrerai una pagina alla volta - dai invio x vedere la successiva)
    vedi se trovi qualche file che inizia con ntos e dei numeri, se non erro
    se si, digita: rename file.estensione ntos.exe
    ciao

    edit 1 ops.. l'avevi già fatto..
    edit 2 hai solo inserito nuovamente il file ntos e gli altri se ho capito bene.. quindi la copia di cui parlavo è sempre li' nel pc, giusto? Prova a vedere se entri nel dos e fai quello che ti ho detto. Dovessi trovarlo, prima dgt rename ntos.exe xnatos.exe (o come vuoi tu), dopo rinomini l'altro in ntos.
    Altra cosa.. se hai eseguito Panda vuol dire che non sei arrivato a fare null'altro di quanto scritto sopra, giusto? TU non hai fixato nulla.....?
    edit 3 io non saprei come fare.. ma forse è possibile inserire un punto di ripristino precedentemente creato. Magari se qualcuno più esperto sa come impostarlo si potrebbe tentare questa strada..

  6. #6
    Utente di HTML.it L'avatar di Deifobe
    Registrato dal
    Oct 2007
    Messaggi
    6,072
    Mi è venuto il dubbio di aver dato x scontato qualcosa..
    Per entrare in modalità provvisoria devi premere ripetutamente f8 non appena avii il pc. Scegli modalità ms-dos o promt dei comandi, non ricordo quali dei due esce.
    Quando si aprirà la finestra del promt, digita direttamente cd\ e dopo cd c:\windows\system32 . E' qui che devi vedere se esiste quel file scorrendo il contenuto della cartella con dir/p . Il file dovrebbe essere ntos.exe.000 (ho trovato dove l'avevo visto ieri..).
    Quando hai finito, per chiudere la finestra digita exit => ctrl+alt+canc => e dal taskmanager riavvia il sistema. Eventualmente, stampa queste indicazioni.

  7. #7
    Ok, dopo una nottata in bianco sono riuscito a risolvere parte dei problemi.

    Ho capito che panda anti-rootkit (sua madre...) aveva eliminato delle chiavi di registro, per quello windows mi disconnetteva appena loggato. Le ho ripristinate accedendo al registro da Ultimate boot cd e ora per lo meno windows va.

    quindi ho fixato le seguenti voci con hijackthis:

    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,
    O4 - HKCU\..\Run: [main] C:\WINDOWS\system32\drivers\system.exe
    O4 - HKCU\..\Run: [default] C:\Documents and Settings\Edoardo\winmain.exe
    O4 - HKCU\..\RunOnce: [sysinit] C:\WINDOWS\system32\drivers\system.exe
    O4 - HKCU\..\RunOnce: [winmz] C:\Documents and Settings\Edoardo\winmain.exe

    adesso sto eseguendo una scansione con kaspersky online... vi terrò aggiornati. Per adesso grazie deifobe

  8. #8
    scansione con Kaspersky online eseguita.
    Il log della scansione è disponibile a questo indirizzo: http://www.zshare.net/download/4417038071726a/
    La maggior parte sono email infette nella mia casella di posta spam, quindi niente di preoccupante. Per il resto sapete dirmi o consigliarmi qualcosa? E che significa "object is loaded"? (è 'na cosa "buona" o "cattiva"?)

    Al seguente indirizzo invece trovate l'ultima scansione fatta con HiJackThis:
    http://www.zshare.net/download/4417005a038d6e/
    che mi dite di questo?

    Avendo disinstallato Avast Antivirus, quale antivirus free mi consigliereste? E devo disinstallare Kaspersky Online prima di installare un antivirus o non ci sono problemi di conflitto?

  9. #9
    errata corrige: ovviamente intendevo "object is locked" e non loaded... so' fuso...

  10. #10
    Utente di HTML.it L'avatar di Deifobe
    Registrato dal
    Oct 2007
    Messaggi
    6,072
    Visualizza estensioni per i tipi di file conosciuti.
    Disattiva Ripristino configurazione di sistema.
    Modifica il file hosts: c:\windows\system32\drivers\etc => apri il file hosts senza estensione
    se presente, deseleziona la casella “Utilizzare sempre questa opzione per aprire questo programma" => scegli di aprirlo con blocco note
    Elimina tutte le voci (per te utili) dal file, come quelle riferite a siti per la sicurezza, msn o che..
    chiudi il blocco note - salva le modifiche quando richiesto.

    Le voci le hai ancora: (controlla nel taskmanager e termina processi)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) inutile
    O4 - HKCU\..\Run: [default] C:\Documents and Settings\Edoardo\winmain.exe
    O4 - HKCU\..\Run: [main] C:\WINDOWS\system32\drivers\system.exe
    O4 - HKCU\..\RunOnce: [sysinit] C:\WINDOWS\system32\drivers\system.exe
    O4 - HKCU\..\RunOnce: [winmz] C:\Documents and Settings\Edoardo\winmain.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2CFFA93D-6FF4-4301-B5FA-7610C34D3A89}: NameServer = 208.67.222.222,208.67.220.220

    il file da eliminare
    C:\WINDOWS\system32\drivers\system.exe

    Riattiva ripristino configurazione sistema e nascondi estensioni tipi di file conosciuti.
    Appena riesco, vedo l'esatta collocazione di winmain (non sto sto sul mio pc ora).
    Se non funziona, temo che dovrai cercare nel registro alti valori riferiti a quei files.
    Te l'avevo indicata ma non l'hai tolta: 208.67.222.222,208.67.220.220 ...America... Eliminala
    La voce riferita a msn è inutile.

    scappo.. ciao

    ps.. finito il tutto, rilancia hjt e controlla nel log: se le ritrovi tutte li', scarica Gmer e posta i report rootkit e autostart.

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.