Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
XP e trojan
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
toto200
Dio minore
Dio minore


Registrato: 28/11/05 17:43
Messaggi: 664
Residenza: europa
MessaggioInviato: 24 Lug 2006 11:19    Oggetto: XP e trojan Rispondi citando
Buongiorno a tutti,
un mio amico che per comodità chiamerò Picoune (lui abita in una frazione di Savine le Lac che ha questo nome, nel Brianconnaise - Hautes Alpes in Francia) ha un PC con XP che ha cominciato a fare i capricci: secondo lui ha un virus, per cui ha chiesto il mio aiuto. Io (che abito a 200km da lì) tutti i week end sono su quel lago a fare winsurf con lui.
Ha un'alice adsl che non riesce più a far funzionare, e tutti i programmi dopo qualche minuto che girano fanno riavviare la macchina (avast e chk disk compresi). Tra l'altro Avast, dopo aver rilevato un trojan in skype ed aver (detto di aver)lo eliminato, non funziona nemmeno più perchè va in errore all'avvio.
Lui vorrebbe evitare di formattare tutto perchè ha dati non salvati sull'HD.
Ho provato a vedere che cos'avesse evitando che partissero processi non indispensabili, ho disinstallato skype, fatto un po' di pulizia del registry con ccleaner (che tra l'altro non è riuscito ad eliminare alcune voci di skype) ma non è servito.
Ho perciò eseguito hijackthis sperando che fosse un buon modo di partire con le verifiche di quanto presente in memoria: allego il log.
Picoune si registrerà quanto prima da un internet cafè di Savine le Lac e proseguirà di persona, se e quando le cose si avvieranno su una strada percorribile, nel suo pellegrinaggio verso la (speriamo) disinfezione. Per adesso lo fa attraverso di me. Le "cosette" potranno essere eseguite con l'ausilio di una chiavetta USB facendo una "passeggiata" da Picoune all'internet cafè di Savine le Lac.
Chiederei quindi cortesemente, se fosse possibile, di avere più istruzioni possibile IN CONTEMPORANEA: io le collezionerò e gliele passerò sabato, postando dal mio PC i risultati lunedì. Poi fino al sabato successivo difficilmente si potranno eseguire altri interventi ...
Grazie anticipate e saluti 8)


Logfile of HijackThis v1.99.1
Scan saved at 12.44.24, on 23/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\ati2sgag.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\sgbxcoms.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\DOCUME~1\Utente\IMPOST~1\Temp\Directory temporanea 2 per hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.aliceadsl.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O8 - Extra context menu item: &Download with FreeDAccelerator! - C:\Programmi\Free Download Accelerator 2\FreeDAccelerator.htm
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .TIF: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin5.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: sgbx_device - Sagem - C:\WINDOWS\system32\sgbxcoms.exe
Top
Profilo Invia messaggio privato
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
MessaggioInviato: 24 Lug 2006 16:57    Oggetto: Rispondi citando
Ma... non vedo molto.

Questa voce è da eliminare
Citazione:
R3 - URLSearchHook: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)


ma non so se è la causa del problema... anzi non credo. Il servizio sgbxcoms.exe è per caso di un telefonino Sagem come sembrerebbe?


Digli si fare una scansione con RKR e posta il log. Non bisogna usare il PC finchè non ha finito.

Ciao
Top
Profilo Invia messaggio privato
toto200
Dio minore
Dio minore


Registrato: 28/11/05 17:43
Messaggi: 664
Residenza: europa
MessaggioInviato: 24 Lug 2006 18:25    Oggetto: Rispondi
holifay ha scritto:
Il servizio sgbxcoms.exe è per caso di un telefonino Sagem come sembrerebbe?
penso di sì: l'alice adsl francese fornisce un pacchetto dati-telefono che comprende un sacco di roba (tra l'altro a prezzi decisamente inferiori di quelli praticati in Italia), e Picoune dovrebbe avere ciò. E' stato un casino configurare il tutto (ci siamo messi in 2 ed abbiamo lavorato per due mezze giornate) ma alla fine siamo riusciti a mandare su internete due PC in rete wifi. Il telefono gracchiava, ogni tanto il modem faceva le bizze, si riusciva solo a fare telefonate (e non a riceverle) ma i PC funzionavano ... fino a qualche tempo fa ...

holifay ha scritto:
Digli di fare una scansione ...
ho già il rootkitrevealer sulla chiavetta USB: sabato farò la scansione e lunedì posterò il risultato.
P.S. Ho provato a lanciarlo sul mio PC:
* a parte che a me ha dato "no discrepancy found" (o qualcosa del genere) con la finestra di log vuota, ma immagino sia una cosa positiva,
* è abbastanza lungo (spero che il PC di Picoune resista fino alla fine dello scan senza riavviarsi ...).
Per adesso comunque grazie e saluti 8)
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi