| Precedente :: Successivo |
| Autore |
Messaggio |
mlibero
Eroe
Registrato: 13/06/07 11:33
Messaggi: 51
|
 Inviato: 23 Set 2007 10:15 Oggetto: aiuto-winsiriavvia |
 |
|
ciao,
ho antivir, comodo, non vado in siti pericolosi, ma c'è qualcosa che mi ha beccato per l'ennesima volta.
dopo un po che sono connesso, solo se sono connesso, appare una piccola finestra che dice:
il sistema sta per essere arrestato ecc......
l'arresto è stato iniziato da NT AUTHORITY\SYSTEM
salvate ecc....
ho fatto la scansione con antivir ma mi risulta un solo file pericoloso, ma non lo classifica tra i virus e non so come eliminarlo.
per scrivervi sto usando una live linux.
mlibero |
|
| Top |
|
 |
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
|
| Top |
|
|
mlibero
Eroe
Registrato: 13/06/07 11:33
Messaggi: 51
|
| Inviato: 23 Set 2007 19:09 Oggetto: |
|
|
ciao,
ho seguito la procedura e da modalità provvisoria ho avviato stinger.exe,
ha trovato ed eliminato tre virus, al riavvio però il problema è tornato, allora da modalità normale ho lanciato stinger.exe, non ha trovato alcun virus.
stavo usando opera browser, allora ho pensato di usare firefox, il problema non si è verificato.
allora ho provato ad riusare opera e dopo 15 minuti ancora non è successo niente.
non so cosa pensare.
mlibero |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 23 Set 2007 19:43 Oggetto: |
|
|
non ho capito bene se hai risolto o meno... 
un'altro malware che potrebbe dare questi sintomi e Rustock
scarica e fai girare questo tool, vediamo che succede.. |
|
| Top |
|
|
mlibero
Eroe
Registrato: 13/06/07 11:33
Messaggi: 51
|
| Inviato: 23 Set 2007 19:56 Oggetto: |
|
|
la risposta è
| Codice: | ************************* Rustock.b-fix v. 1.01 -- By ejvindh *************************
23/09/2007 19.50.55,43
No Rustock.b-rootkits found
******************************* End of Logfile ********************************
|
comunque adesso va bene, spero non torni. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 24 Set 2007 05:57 Oggetto: |
|
|
Siccome io e S.Tommaso la pensiamo uguale... 
Fai questa scansione con SystemScan e posta i logs su http://www.freefilehosting.net come indicato qui. |
|
| Top |
|
|
mlibero
Eroe
Registrato: 13/06/07 11:33
Messaggi: 51
|
| Inviato: 24 Set 2007 19:57 Oggetto: |
|
|
è ritornato il riavviamento di win. 
ho seguito la procedura che mi hai indicato, ti posto il link
http://www.freefilehosting.net/download/MjQwODU=
24_09_2007_12_41_report.zip
sto usando linux perchè appena mi connetto con win parte il riavvio dopo 60 secondi.
spero possiate aiutarmi.
mlibero |
|
| Top |
|
|
tecnico24
Eroe in grazia degli dei
Registrato: 18/05/07 09:23
Messaggi: 105
|
| Inviato: 24 Set 2007 21:57 Oggetto: |
|
|
ciao,fai una scansione con questo tool:
www.nanoscan.com
e posta il relativo logfile. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 24 Set 2007 22:22 Oggetto: |
|
|
| mlibero ha scritto: | è ritornato il riavviamento di win.
ho seguito la procedura che mi hai indicato, ti posto il link |
Ok, prima di fare qualsiasi altra cosa, aspetta che finiamo di dargli un'occhiata. 
Al momento, altri scan (anche online) sono da considerare inutili. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 24 Set 2007 23:21 Oggetto: |
|
|
Scarica questo e scompattalo in una sua cartella non temporanea e non sul desktop
Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
| Citazione: | Files to delete:
C:\WINDOWS\system32\TFTP3204
C:\WINDOWS\system32\TFTP2644
C:\WINDOWS\system32\lkcbvfd.exe
C:\WINDOWS\system32\TFTP2820
C:\WINDOWS\system32\hlpibfo.exe
C:\WINDOWS\system32\TFTP3796
C:\WINDOWS\system32\TFTP3376
C:\WINDOWS\system32\dsoxqma.exe
C:\WINDOWS\system32\TFTP3740
C:\WINDOWS\system32\KGyGaAvL.sys
C:\WINDOWS\system32\TFTP2656
C:\WINDOWS\system32\TFTP332
C:\WINDOWS\System32\A0380mon.exe
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | A0380mon |
Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato.
Stavo pensando, visto che l'hai avviato da una Live Linux, cerca i files che ti ho indicato e rinominali (giusto per andare sul tranquillo). |
|
| Top |
|
|
mlibero
Eroe
Registrato: 13/06/07 11:33
Messaggi: 51
|
| Inviato: 25 Set 2007 11:15 Oggetto: |
|
|
antivir non mi permette di installare avenger, me lo segnala come virus,
che faccio, disattivo antivir? |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 25 Set 2007 11:37 Oggetto: |
|
|
Strano, è la prima volta che sento una cosa simile. 
Disconnettiti da internet, disattiva l'antivirus e avvia avenger con le istruzioni che ti ho postato. |
|
| Top |
|
|
mlibero
Eroe
Registrato: 13/06/07 11:33
Messaggi: 51
|
| Inviato: 25 Set 2007 16:46 Oggetto: |
|
|
ciao, questo scherzo non lo fa sempre, alcune volte non succede niente, altre volte subito appena connesso, ho installato spyware doctor e dopo la scansione e eliminazione file infetti, non stava succedendo più, poi, appena connesso sul sito di zeusnews forum, è tornato.
ho seguito le tue indicazioni ed il risultato è questo
| Codice: | Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\cparyw^o
*******************
Script file located at: \??\C:\Documents and Settings\hpcgvjgb.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\system32\TFTP3204 deleted successfully.
File C:\WINDOWS\system32\TFTP2644 deleted successfully.
File C:\WINDOWS\system32\lkcbvfd.exe not found!
Deletion of file C:\WINDOWS\system32\lkcbvfd.exe failed!
Could not process line:
C:\WINDOWS\system32\lkcbvfd.exe
Status: 0xc0000034
File C:\WINDOWS\system32\TFTP2820 deleted successfully.
File C:\WINDOWS\system32\hlpibfo.exe deleted successfully.
File C:\WINDOWS\system32\TFTP3796 deleted successfully.
File C:\WINDOWS\system32\TFTP3376 deleted successfully.
File C:\WINDOWS\system32\dsoxqma.exe deleted successfully.
File C:\WINDOWS\system32\TFTP3740 deleted successfully.
File C:\WINDOWS\system32\KGyGaAvL.sys deleted successfully.
File C:\WINDOWS\system32\TFTP2656 deleted successfully.
File C:\WINDOWS\system32\TFTP332 deleted successfully.
File C:\WINDOWS\System32\A0380mon.exe deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|A0380mon deleted successfully.
Completed script processing.
*******************
Finished! Terminate. |
mlibero |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 25 Set 2007 21:55 Oggetto: |
|
|
Il pc come va ora?
Posta un log aggiornato di hijackthis. |
|
| Top |
|
|
mlibero
Eroe
Registrato: 13/06/07 11:33
Messaggi: 51
|
| Inviato: 26 Set 2007 10:23 Oggetto: |
|
|
ciao, non va bene.
alle volte si riavvia altre volte no, mi era venuto un dubbio, uso peerguardian, mi blocca zeusnews pr cui ho dovuto dare accesso al sito, a quel punto è comparsa la finestra del riavvio, ma ora però non sta succedendo, non ho ancora capito quando questo, virus?, si attiva.
ti posto il log di hijackthis
| Codice: | Logfile of HijackThis v1.99.1
Scan saved at 10.15.58, on 26/09/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\File comuni\InstallShield\UpdateService\isuspm.exe
C:\Programmi\Comodo\Firewall\CPF.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
C:\Programmi\Spyware Doctor\SDTrayApp.exe
C:\Programmi\PeerGuardian2\pg2.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\System32\oodag.exe
C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
C:\Programmi\Spyware Doctor\svcntaux.exe
C:\Programmi\Spyware Doctor\swdsvc.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Documents and Settings\crol\Documenti\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programmi\File comuni\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSPM] "C:\Programmi\File comuni\InstallShield\UpdateService\isuspm.exe" -scheduler
O4 - HKLM\..\Run: [DHTray] C:\WINDOWS\System32\DHTray.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\System32\oodtray.exe
O4 - HKLM\..\Run: [SDTray] "C:\Programmi\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [PeerGuardian] C:\Programmi\PeerGuardian2\pg2.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1186385450184
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\swdsvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
|
ciao |
|
| Top |
|
|
mlibero
Eroe
Registrato: 13/06/07 11:33
Messaggi: 51
|
| Inviato: 26 Set 2007 11:49 Oggetto: |
|
|
ciao,
sto impazzendo, penso che l'unica soluzione sia riformattare per l'ennesima volta e dire definitivamente addio a windows per quello che riguarda internet, purtroppo non posso farne a meno per altri programmi.
pensavo che questo, virus o cosa, intervenisse solo navigando sul web, infatti adoperavo emule senza problemi, questa mattina, appena avviato emule e nient'altro, è riapparsa la schermata del riavvio.
mlibero |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 27 Set 2007 08:19 Oggetto: |
|
|
Noto solo ora che non hai installato il service pack2 di Windows. 
Purtroppo, senza il SP2, non credo proprio che potremo risolvere i problemi di infezione.
Quindi, prima di continuare, il mio consiglio è: scarica e installa il service pack 2 prima possibile, mi raccomando!!!  |
|
| Top |
|
|
mlibero
Eroe
Registrato: 13/06/07 11:33
Messaggi: 51
|
| Inviato: 28 Set 2007 14:06 Oggetto: |
 |
|
problema risolto, spero.
il virus era win32-blaster.worm, ho scaricato fixblast per cercarlo, ma non ha trovato niente, ho scaricato WindowsXP-KB823980-x86-ITA, installato e poi ho installato gli aggiornamenti critici da windows-update.
fino ad ora va tutto bene, e incrocio le dita. 
ciao e grazie per l'aiuto |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
