Precedente :: Successivo |
Autore |
Messaggio |
Gavilan Moderatore Salotto delle Muse


Registrato: 19/12/06 00:09 Messaggi: 4094 Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
Inviato: 20 Feb 2007 12:40 Oggetto: |
|
|
Non so se ti servirà granchè:
Qui come Value Data mi dà
Citazione: | E:\WINNT\system32\userinit.exe, |
|
|
Top |
|
 |
Orange Dio maturo

Registrato: 18/02/07 13:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 20 Feb 2007 18:09 Oggetto: |
|
|
Gavilan ha scritto: | Non so se ti servirà granchè:
Qui come Value Data mi dà
Citazione: | E:\WINNT\system32\userinit.exe, |
|
infatti è pulito....
ultimamente va "di moda" un rootkit che non si rivela con HiJack e crea problemi con memoria( e tu infatti hai questo problema)
ma hai passato Gromozon Rootkit Removal Tool ?
ti dò anche altro: Trojan.Linkoptimizer Removal Tool http://securityresponse.symantec.com/avcenter/FixLinkopt.exe
falli girare tutti e due. e posta i risultati |
|
Top |
|
 |
andrea1975 Dio maturo


Registrato: 07/12/06 18:58 Messaggi: 4052
|
Inviato: 20 Feb 2007 18:59 Oggetto: |
|
|
Ancora problemi con quel pc buttalo! l'altro giorno l'ho solo sfiorato e si è spento  |
|
Top |
|
 |
Gavilan Moderatore Salotto delle Muse


Registrato: 19/12/06 00:09 Messaggi: 4094 Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
Inviato: 21 Feb 2007 00:18 Oggetto: |
|
|
@ andrea1975: grazie del conforto...
@ orange: domani faccio i compiti, grazie per la pazienza!
Eccomi:
gromozon non ha trovato nulla
l'altro ce l'avevo già, ma bisogna farlo andare in modalità provvisoria e, ci ho provato ancora, in modalità provvisoria il mio pc non ci va più
Comunque va meglio da quando abbiamo iniziato a 'curarlo', forse un giorno potrà anche guarire... |
|
Top |
|
 |
andrea1975 Dio maturo


Registrato: 07/12/06 18:58 Messaggi: 4052
|
Inviato: 21 Feb 2007 15:41 Oggetto: |
|
|
Gavilan ha scritto: | @ andrea1975: grazie del conforto... |
Beh tutte le volte che ci ho messo le mani in quel pc e lo ho sistemato sensa sapere cosa facevo poi arrvava tua sorella con la barba e lo virussava subito! Adesso la mia buona sorte è finita!  |
|
Top |
|
 |
Orange Dio maturo

Registrato: 18/02/07 13:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 21 Feb 2007 17:48 Oggetto: |
|
|
Citazione: | Orange ha scritto:
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - E:\WINNT\System32\msasvc.exe (file missing)
Questo lo fixo ma lo ricrea ogni volta...
|
MEA CULPA
riavvia HiJack fixa qulla voce
Poi, Da START\ESEGUI digita:
sc stop Microsoft authenticate service (e dai l'OK)
sc delete Microsoft authenticate service (e dai l'OK)
poi fammi sapere. |
|
Top |
|
 |
Smjert Dio maturo


Registrato: 01/04/06 18:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 21 Feb 2007 17:58 Oggetto: |
|
|
Attenzione che nella linea di comando non puoi scrivere il nome esteso del servizio, ma devi scrivere l'abbreviazione (quella tra parentesi).
Quindi i comandi sarebbero:
sc stop MsaSvc
sc delete MsaSvc |
|
Top |
|
 |
Gavilan Moderatore Salotto delle Muse


Registrato: 19/12/06 00:09 Messaggi: 4094 Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
Inviato: 22 Feb 2007 16:15 Oggetto: |
|
|
Non me li prende quei comandi da Run!
Dice che non trova il file sc o uno dei suoi componenti... ma per cosa sta 'sc'? |
|
Top |
|
 |
Smjert Dio maturo


Registrato: 01/04/06 18:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 22 Feb 2007 17:57 Oggetto: |
|
|
ah già.. giustamente.. avessi guardato i log!
Hai Windows 2000 e sc non è presente (serve per gestire i servizi di Windows XP che si avviano al boot del sistema operativo..).
Prova a dare il comando msconfig e vedere se nella scheda Servizi ci sono quei due.. se no bisogna intervenire manualmente nel registro di sistema. |
|
Top |
|
 |
Gavilan Moderatore Salotto delle Muse


Registrato: 19/12/06 00:09 Messaggi: 4094 Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
Inviato: 22 Feb 2007 18:00 Oggetto: |
|
|
Non piglia nenache msconfig... dà lo stesso errore |
|
Top |
|
 |
Orange Dio maturo

Registrato: 18/02/07 13:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 22 Feb 2007 18:06 Oggetto: |
|
|
Smjert ha scritto: | ah già.. giustamente.. avessi guardato i log!
Hai Windows 2000 e sc non è presente . |
CHE FIGURAA...!
Dò sempre per scontato che gli altri usano l'XP....
@ Smjert
vedo che te ne intendi molto... Citazione: | avessi guardato i log! |
ho sbagliato qualcosa?? |
|
Top |
|
 |
Smjert Dio maturo


Registrato: 01/04/06 18:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 22 Feb 2007 18:13 Oggetto: |
|
|
Niente.. allora bisogna fare manualmente:
Dai il comando regedit, ti si apre l'editor di registro.
Naviga fino a questa chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion, poi seleziona una per volta (se ci sono) le chiavi Run, RunOnce, RunOnceEx, RunServices, RunServicesOnce e guarda i valori che hanno nella parte a destra, se c'è il riferimento a quel file cancella il valore.
Fai la stessa cosa con HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion.
Una volta che l'hai trovato e l'hai cancellato riavvia il pc, poi controlla con HijackThis se c'è ancora.. se è presente forse hai il LinkOptimzer.
In questo caso:
Scarica sul desktop questi due tool camuffati:
Prevx
http://www.prevx.com/gromozon.asp
Symantec
http://www.mytempdir.com/1213520
Fai partire prima il tool Prevx e fagli fare una scansione, alla fine ti chiederà di riavviare il pc, tu accetta.
Quando ha finito di riavviare il pc tu riavvialo di nuovo in Modalità Provvisoria (quando ti fa il calcolo della memoria, ti segna gli hd collegati ecc premi continuamente F8 finchè non appare un menu, da lì scegli con le freccie la modalità).
Da lì scompatta l'archivio e fai partire il tool Symantec facendogli fare una scansione.
Quando ha finito riavvia il pc in Modalità Normale.
Posta un nuovo log di HijackThis, il log del tool Prevx (Gromozon_Removal.log) e del tool Symantec (FixLinkOpt.log)
L'ultima modifica di Smjert il 22 Feb 2007 18:15, modificato 1 volta |
|
Top |
|
 |
Smjert Dio maturo


Registrato: 01/04/06 18:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 22 Feb 2007 18:14 Oggetto: |
|
|
Orange ha scritto: | Citazione: | avessi guardato i log! |
ho sbagliato qualcosa?? |
No ma non stavo "riprendendo" te, era un'esclamazione rivolta a me stesso. |
|
Top |
|
 |
Gavilan Moderatore Salotto delle Muse


Registrato: 19/12/06 00:09 Messaggi: 4094 Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
Inviato: 23 Feb 2007 11:09 Oggetto: |
|
|
Citazione: | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion |
Non c'è nessun Run*... Le chiavi che ci sono qui dentro sono: CommonFilesDir, DevicePath, IEAKUpdateUrl, MediaPath, MediaPathUnexpanded, PC_AccessoriesName, ProductID, ProgramFilesDir, ProgramFilesPath, SM_AccessoriesName, SM_ConfigureProgramsName, WallPaperDir.
Citazione: | HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion.
|
Qui c'è solo Default...
gromozon l'avevo già fatto andare e non ha trovato nulla, comynque ecco il log:
Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: E:\WINNT
Scanning: E:\Program Files\Common Files
Trojan.Gromozon does not exist - your system is clean. |
|
Top |
|
 |
Orange Dio maturo

Registrato: 18/02/07 13:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 23 Feb 2007 13:33 Oggetto: |
|
|
Gavilan ha scritto: | Citazione: | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion |
Non c'è nessun Run*... Le chiavi che ci sono qui dentro sono: CommonFilesDir, DevicePath, IEAKUpdateUrl, MediaPath, MediaPathUnexpanded, PC_AccessoriesName, ProductID, ProgramFilesDir, ProgramFilesPath, SM_AccessoriesName, SM_ConfigureProgramsName, WallPaperDir. |
devi vedere nella finestra a sinistra( cioè sotto Current version) |
|
Top |
|
 |
Gavilan Moderatore Salotto delle Muse


Registrato: 19/12/06 00:09 Messaggi: 4094 Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
Inviato: 23 Feb 2007 14:31 Oggetto: |
|
|
Ooooops!
Citazione: | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion, |
Dunque, Run: adapterdirectcd, avast, avgnt, countryselection, createcd50, devicediscovery, hpcomponentmanager, hpsoftwareupdate, hpdjtaskbarutility, multimediakeyboard, nerocheck, nvcpldaemon, recshave, syncronizationmanager, viritlitemonitor, zonelabsclient.
Gli altri Run non hanno niente.
Citazione: | HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion |
Qui Run ha (nella finestra a dx) internat.exe. Nella finestra di sinistra non dà sotto cartelle.
Gli altri Run non hanno nulla  |
|
Top |
|
 |
Smjert Dio maturo


Registrato: 01/04/06 18:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 23 Feb 2007 15:57 Oggetto: |
|
|
D'accordo, ora guarda qua HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services e qua HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services dove molto probabilmente troverai quella chiave.
Segnami il percorso completo, compresa la chiave.
Guarda anche qua HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root, qua la chiave sarà LEGACY_nomechiave. |
|
Top |
|
 |
Gavilan Moderatore Salotto delle Muse


Registrato: 19/12/06 00:09 Messaggi: 4094 Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
Inviato: 24 Feb 2007 00:06 Oggetto: |
|
|
Oh caspita, sono tantissimi!
Te li scrivo domani, così me li detta qualcuno... |
|
Top |
|
 |
Smjert Dio maturo


Registrato: 01/04/06 18:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 24 Feb 2007 00:24 Oggetto: |
|
|
No ma non devi farmi la lista di tutte le chiavi! ci mancherebbe altro!
Devi fare la lista delle chiavi che nel nome hanno MsaSvc.
Ad esempio per le chiavi Legacy dovresti trovare qualcosa come LEGACY_MsaSvc.
Mentre nei Services potrebbe esserci direttamente MsaSvc o unqualcosa+MsaSvc. |
|
Top |
|
 |
Gavilan Moderatore Salotto delle Muse


Registrato: 19/12/06 00:09 Messaggi: 4094 Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
Inviato: 24 Feb 2007 11:45 Oggetto: |
|
|
Citazione: | HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services |
qui c'è MsaSvc. Come sotto cartelle ha Enum, Parameters e Security. Come chiavi (intendo nella finestra a destra, sono chiavi, no? ): description, displayname, errorcontrol, imagepath, objectname, start, type.
Citazione: | HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services |
questo non ce l'ho, ho controlset001 e 002. Se ti serve il 002 ha come sotto cartelle parameters e security e come chiavi le stesse che ho scritto per lo 001.
Citazione: | HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root |
Sì, c'è LEGACY_MSASVC e ha la sottocartella 0000, come chiave: nextistance. |
|
Top |
|
 |
|