Olimpo Informatico

[malinedo]

help...
il computer giorni fa mi rilevava con AGV un trojan horse (psw.agent.cjk).
lo rilevava nella cartella System Volume Information di C:\.
io vado nella cartella e non riesco ad aprirla: cartella vuota...
io credo che ci sia ancora ... il computer continua a ricevere ed inviare Byte... tanti tanti giga..

aiutatemi

grazie
linda

[Smjert]

Per cancellare i file che ci sono nel system restore devi andare sulla barra di avvio->Start->Impostazioni->Pannello di Controllo->Sistema-> scheda Ripristino configurazione di sistema->metti la spunta a disattiva ripristino ecc..
Riavvia il pc.
Fai lo stesso procedimento ma stavolta togli la spunta.
(Se vuoi che controlliamo meglio scarica HijackThis, decomprimilo in una cartella tutta sua, ad esempio c:\HijackThis, avvialo e premi Do a system scan and save a log file dopodichè posta il contenuto del log).

[malinedo]

ho provato il primo metodo, ma nella cartella sistema non ho l'opzione disabilita... ho scaricato il programmino, ho cliccato su DO A SYSTEM SCAN AND SAVE A LOG FILE, e mi si è aperta una schermata dove non so che pulsante schiacciare...scan e fix checked a sinistra e info ecc a destra...
allora ho scaricato il programma, ho creato una cartella in c che si chiama hijckthis, e poi??
grazie
linda

[chemicalbit]

[malinedo]

il sistema operativo e Windows Xp professional, ma non ho l'opzione (che sia perchè non sono amministratore?).
L'altra procedura non so terminarla..

sono un po'imbranata, ma se mi aiutate ce la posso fare..
grazie
linda

[chemicalbit]

[malinedo]

allora fatto spunta e poi non spunta, come amministratore.
ma il computer continua a ricevere byte...
mi spiegherebbe gentilmente come fare l'altra procedura con hijckthis.
grazie infinite

[malinedo]

Logfile of HijackThis v1.99.1
Scan saved at 11.38.30, on 19/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = MORBIOLI.locale
O17 - HKLM\Software\..\Telephony: DomainName = MORBIOLI.locale
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = MORBIOLI.locale
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = MORBIOLI.locale
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

[Smjert]

Dal log non vedo niente di strano... (l'hai fatto da amministratore vero?)

Cosa intendi per "il computer continua a ricevere ed inviare Byte... tanti tanti giga.."? da dove lo vedi tutto cio?

C:\WINDOWS\system32\wuauclt.exe questo processo riguarda i Windows Update, probabilmente è lui che manda e riceve "byte" e quel processo potrebbe essere avviato dal "Servizio trasferimento intelligente in background".
Per vedere se hai attivato quel servizio vai sulla barra di avvio->Start->Esegui-> digita services.msc, poi dai invio.
Scorri la lista e trova quel servizio.. guarda se è avviato e se il tipo di avvio è automatico o manuale (conviene metterlo manuale... per farlo clicca sopra ll voce con il destro->Proprietà, c'è una casella di testo che si chiama Tipo di avvio, li scegli Manuale.

[malinedo]

l'ho rifatto per sicurezza da amministratore...
poi ho controllato e c'è già impostaz manuale in servizio intellig...


Logfile of HijackThis v1.99.1
Scan saved at 12.29.39, on 19/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = MORBIOLI.locale
O17 - HKLM\Software\..\Telephony: DomainName = MORBIOLI.locale
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = MORBIOLI.locale
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = MORBIOLI.locale
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

[Smjert]

Ma era avviato?
Ripeto da dove vedi che il tuo pc invia e riceve tanti "byte"??

[malinedo]

scusi, non avevo capito..
lo vedo in basso a dx dalla connessione rete locale Lan...
si parla di giga...

grazieeeeee

[malinedo]

[SverX]

[malinedo]

salve a tutti: due domande:
fare reboot significa fare f8 quando faccio riavvio?

se si io ho già provato: ma non mi lascia fare niente... e se dopo le vostre spiegazioni ci riesco cosa significa aprire un promt dei comandi?

uffi...
grazie

[chemicalbit]

No, reebot è solo un riavvio.

Poi -al pari di quando accendi il PC- puoi
o farlo partire normalmente
o premere F8 (o F5) e scegliere se avviare in modalità provvisoria, modalità normale o altre possibilità.

Non me ne intendo, ma per "netstat -na" presumo che ti serva il supporto di rete.
Avvia quindi in modalità normale (senza premere F8 o simili all'accensione) con l'unica cura di fare "netstat -na" per prima cosa (senza aver lanciato prima altri programmi che potrebbero "falsare" il risultato. in questo modo vediamo com'è la situazione dopo un normale avvio)

[malinedo]

ok fatto promt dei comandi, come faccio ora ad incollare qui ciò che dice?
grazie.
sono la peggiore....

[Smjert]

Clicchi in alto a sinistra sulla barra blu (dove c'è l'icona con la finestrina con scritto c:\) e ti viene fuori il menu vai su Modifica->Segna, seleziona il testo, ritorna su Modifica->Copia e incolli qua.

[malinedo]

Microsoft Windows XP [Versione 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\quattro>netstat -ne
Statistiche interfaccia

Ricevuti Trasmessi

Byte 324470 460180
Pacchetti unicast 858 854
Pacchetti non-unicast 35 32
Scarto 0 0
Errori 0 0
Protocolli sconosciuti 0

C:\Documents and Settings\quattro>

[Smjert]

Il comando che ti ha chiesto di digitare SverX è netstat -na non -ne