Precedente :: Successivo |
Autore |
Messaggio |
Spinnaker Mortale devoto


Registrato: 20/09/06 14:04 Messaggi: 9
|
Inviato: 20 Set 2006 14:26 Oggetto: Problema: si disattiva il security cc e si cancellano gli av |
|
|
ciao a tutti
ho un problemone, si disattiva il security control center (lo riattivo a mano dai servizi, ma al riavvio e' ancora disattivato) e l'installazione degli antivirus come AVG, SpyBot, Kasper, Bitdefender, ecc (ne ho provati molti) si arresta in quanto il sistema ne cancella gli eseguibili (per AVG il file avgansvr.exe, per esempio).
Inoltre il sistema (Windows XP Prof. SP2) non si avvia in modalita' provvisoria ma si blocca.
Ho staccato il disco fisso e l'ho connesso come secondario su una seconda macchina e ho lanciato uno scan con AVG: ha trovato un file infettato con trojanHorse Proxy.FTE, eliminato il file e riattaccato il disco al pc.
Non e' cambiato nulla, il sistema continua a cancellarmi gli eseguibili degli antivirus.
Allego il log di HijackThis.
Logfile of HijackThis v1.99.1
Scan saved at 14:10:26, on 20/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\DESKTO~1\TLDL.EXE
C:\Programmi\PeerGuardian2\pg2.exe
C:\Programmi\HACE\Mmm\Mmm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Delux\PS2 Keyboard English Edition 2.0\kb_2k.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Documents and Settings\Paperinik\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O4 - HKLM\..\Run: [Desktop Lock Loader] C:\PROGRA~1\DESKTO~1\TLDL.EXE /BOOT
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [PeerGuardian] C:\Programmi\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [Mmm] "C:\Programmi\HACE\Mmm\Mmm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Startup: PS2 Keyboard English Edition 2.0.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: PS2 Keyboard English Edition 2.0.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &MSN Search - res://C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll/search.htm
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0001.1119\it-it\msntabres.dll/230?95ce3bd55aa24d7ba3491c1fffd3a4dd
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0001.1119\it-it\msntabres.dll/229?95ce3bd55aa24d7ba3491c1fffd3a4dd
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122288641359
O17 - HKLM\System\CCS\Services\Tcpip\..\{96E0F038-829A-46BB-BEE6-F9FD13A8FA24}: NameServer = 213.205.32.70,195.130.224.18
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
Costruisco un monumento a chi mi riesce a dare una mano, un GRAZIE anticipato.
Bye,
Spinnaker |
|
Top |
|
 |
holifay Dio maturo


Registrato: 08/03/05 10:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 20 Set 2006 15:05 Oggetto: |
|
|
Ciao e benvenuto
dal log non vedo nulla
Scarica GMER (www.gmer.net) e fai due scansioni, una dal tab Rootkit e l´altra dal tab Autostart con l´opzione Show all attivata.
Poi copi i risultati e li incolli qui |
|
Top |
|
 |
Spinnaker Mortale devoto


Registrato: 20/09/06 14:04 Messaggi: 9
|
Inviato: 20 Set 2006 15:13 Oggetto: |
|
|
grazie...... purtroppo ci si sente solo nel momento del bisogno.....
il log e' chilometrico posso mandare uno zip?
Spinnaker |
|
Top |
|
 |
Spinnaker Mortale devoto


Registrato: 20/09/06 14:04 Messaggi: 9
|
Inviato: 20 Set 2006 15:16 Oggetto: |
|
|
intanto che lo genera.... ho scoperto che all'inizio tendeva ad aprire finestre di iexplore.exe che puntavano a vari siti tutti non pingabili ad una pagina mul2.php.
Spinnaker |
|
Top |
|
 |
holifay Dio maturo


Registrato: 08/03/05 10:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 20 Set 2006 15:18 Oggetto: |
|
|
non puoi mandare uno zip, ma puoi allegarlo su www.mytempdir.com  |
|
Top |
|
 |
Smjert Dio maturo


Registrato: 01/04/06 18:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 20 Set 2006 15:24 Oggetto: |
|
|
Aspettando Holifay (per ora non vedo niente di strano nel tuo log, anche se hai un sacco di voci, ma nn vuol dire niente) sai cos'è questo file? C:\Programmi\HACE\Mmm\Mmm.exe
è qualcosa che hai installato tu? (perchè ho letto che potrebbe essere un malware).
Poi dato che non riesci a far partire gli antivirus ti consiglio di fare una scansione online con Panda e Kaspersky (scegli Kaspersky Online Scanner).
PS: OOPS c'ho messo 3 ore a scrivere e avevate già fatto una bella chiaccherata sorry XD |
|
Top |
|
 |
Spinnaker Mortale devoto


Registrato: 20/09/06 14:04 Messaggi: 9
|
Inviato: 20 Set 2006 15:31 Oggetto: |
|
|
ciao, MMM e' una utility che gestisce il menu contestuale, e ti permette di controllare le voci che escono col tasto destro del topolino..... la uso da un paio di anni senza problemi. |
|
Top |
|
 |
Smjert Dio maturo


Registrato: 01/04/06 18:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 20 Set 2006 15:34 Oggetto: |
|
|
Ok chiedo scusa ma mi sono confuso (dicono fosse il Map Maker di Winsnap)
Vi lascio... |
|
Top |
|
 |
Spinnaker Mortale devoto


Registrato: 20/09/06 14:04 Messaggi: 9
|
Inviato: 20 Set 2006 15:38 Oggetto: |
|
|
eccomi, il file generato da gmer e' qui:
http://www.mytempdir.com/940852 |
|
Top |
|
 |
Spinnaker Mortale devoto


Registrato: 20/09/06 14:04 Messaggi: 9
|
Inviato: 20 Set 2006 15:44 Oggetto: |
|
|
ci deve essere qualche servizio, magari ellegato ai file tipo svchost, che monitorizza e fa danni, e' strano anche il fatto che cancella gli eseguibili degli antivirus.... |
|
Top |
|
 |
holifay Dio maturo


Registrato: 08/03/05 10:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 20 Set 2006 17:28 Oggetto: |
|
|
Ciao, ho potuto guardarlo un po´ di fretta, spero basti così a risolvere
scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in rosso
files to delete:
C:\WINDOWS\system32\hldrrr.exe
registry keys to delete:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\hldrrr
folders to delete:
C:\Documents and Settings\Paperinik
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
Una volta riavviato il pc,collegati e posta il contenuto del file C:\Avenger.txt e i nuovi log di GMER. Per favore, seleziona show all solo per il tab autostart, non quello rootkit
Ciao 
L'ultima modifica di holifay il 20 Set 2006 17:29, modificato 1 volta |
|
Top |
|
 |
Spinnaker Mortale devoto


Registrato: 20/09/06 14:04 Messaggi: 9
|
Inviato: 20 Set 2006 17:29 Oggetto: |
|
|
hai scaricato il log dal sito? |
|
Top |
|
 |
holifay Dio maturo


Registrato: 08/03/05 10:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 20 Set 2006 17:30 Oggetto: |
|
|
sì, leggi sopra |
|
Top |
|
 |
Spinnaker Mortale devoto


Registrato: 20/09/06 14:04 Messaggi: 9
|
Inviato: 20 Set 2006 17:42 Oggetto: |
|
|
se cancello la directory
"C:\Documents and Settings\Paperinik "
non mi sego tutti i documenti, il desktop e compagnia bella? |
|
Top |
|
 |
Spinnaker Mortale devoto


Registrato: 20/09/06 14:04 Messaggi: 9
|
Inviato: 20 Set 2006 18:06 Oggetto: |
|
|
c'e' qualcosa che continua a disabilitare i servizi del "centro sicurezza pc", "il firewall" e "aggiornamenti automatici". |
|
Top |
|
 |
holifay Dio maturo


Registrato: 08/03/05 10:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 21 Set 2006 14:11 Oggetto: |
|
|
Paperinik era il tuo nome utente nel PC? Mi devi scusare, ma proprio non mi è venuto in mente
Pensavo ad un utente fake, come quelli creati da gromozon, dato che al suo interno c´era un rootkit che nascondeva la chiave di avvio di un trojan. Se hai cancellato la cartella avrai perso in effetti il tuo desktop e le impostazioni personalizzzate dei programmi.... sorry
Per favore, posta di nuovo i due log di GMER, con l´opzione show all attivata solo per il tab Autostart |
|
Top |
|
 |
|