| Precedente :: Successivo |
| Autore |
Messaggio |
leen15
Mortale pio
Registrato: 21/01/08 12:25
Messaggi: 28
|
 Inviato: 21 Gen 2008 12:49 Oggetto: Problema con svchost e connessioni 'strane' |
 |
|
Ciao a tutti sono un nuovo iscritto, ho aperto questa disc perchè mi sembra ke in questo forum ci siano un sacco di espertoni e visto ke io non so + dove sbattere la testa chiedo aiuto a voi! 
Il problema è questo, appena acceso il pc vedo tramite il programma DUMeter che ho 400kb/sec in download anke se non ho aperto alcun programma..
Allora apro tcpview e noto ke il processo svchost.exe (ke se non sbaglio è quello ke gestisce la maggiorparte delle connessioni) provoca questo traffico in download dai siti + disparati e che cambiano circa ogni paio di ore mi sembra.
I siti sono apparentemente normali, adesso per esempio è collegato a questi:
svchost.exe:980 TCP pc-nuovo.homenet.telecomitalia.it:4805
dedicated49.tchmachines.com:http ESTABLISHED
svchost.exe:980 TCP pc-nuovo.homenet.telecomitalia.it:4806 theplanet.com:http ESTABLISHED
svchost.exe:980 TCP pc-nuovo.homenet.telecomitalia.it:4807 193.71.135.165:http ESTABLISHED
Id del processo cambia ad ogni connessione, i siti vanno da webmail, a .edu a siti di ditte + disparate..
Ho fatto la scansione con Norton Antivirus, con TrendMicro online, ho installato Ashampoo firewall, ma niente, nessun traffico sospetto.
Non posso terminare per ovvi motivi il processo svchost, ho provato a sospenderlo da procexp ma dopo un po mi va in crash il sistema senza motivo..
Ho fatto la scansione con SystemScan di SuspectFile ke ho visto ke consigliate, mi ha fatto 2 report stralunghi ke però non mi sembra evidenzino niente di strano..
Ho cercato su google ma niente, nessuno parla di traffici strani di svchost, ne dei siti a cui si collega..
Le porte ke si apre sono in successione circa dalla 2500 alla 6000, se gliene chiudi una passa a quella dopo, e il traffico va dai 20 kb/sec anke ai 500kb/sec.. 
Il sistema è winxp pro sp2, norton antivirus 2004, Ashampoo firewall, connessione tramite router con alice 20 mega.
Sono disperato, le ho provate tutte.
Vi ringrazio in anticipo per l'aiuto che spero saprete darmi!  |
|
| Top |
|
 |
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 21 Gen 2008 13:05 Oggetto: |
|
|
Ciao leen15, 
Facciamo un passo alla volta.
Segui le istruzioni di questo topic per postare il log di hijackthis.
PS: se vuoi, puoi presentarti qui |
|
| Top |
|
|
leen15
Mortale pio
Registrato: 21/01/08 12:25
Messaggi: 28
|
| Inviato: 21 Gen 2008 13:20 Oggetto: |
|
|
| bdoriano ha scritto: | Ciao leen15,
Facciamo un passo alla volta.
Segui le istruzioni di questo topic per postare il log di hijackthis.
PS: se vuoi, puoi presentarti qui |
Eccolo:
Logfile of HijackThis v1.99.1
Scan saved at 12.17.16, on 21/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\ASUS\AI Booster\OverClk.exe
C:\Programmi\Microsoft IntelliPoint\point32.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\Programmi\DU Meter\DUMeter.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
C:\Programmi\Ray Adams\ATI Tray Tools\atitray.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Microsoft ActiveSync\wcescomm.exe
C:\Programmi\PeerGuardian2\pg2.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Empire\HyperMediaCenter\DTVR\Scheduled.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programmi\RealVNC\VNC4\WinVNC4.exe
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\Programmi\Logitech\SetPoint\SetPoint.exe
C:\Programmi\Empire Multimedia\USB2.0 Pen DVB-T Device Utilities\EMRCtl.exe
C:\Programmi\Skype\Plugin Manager\skypePM.exe
C:\Programmi\File comuni\Logitech\khalshared\KHALMNPR.EXE
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Programmi\DynClient\DynClient.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\eMule\emule.exe
C:\Documents and Settings\Luca\Desktop\TcpView\Tcpview.exe
C:\Programmi\Microsoft ActiveSync\WCESMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programmi\RhinoSoft.com\Serv-U\ServUTray.exe
C:\Programmi\RhinoSoft.com\Serv-U\ServUDaemon.exe
C:\Programmi\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\WINDOWS\notepad.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\Luca\Desktop\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.it
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programmi\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programmi\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programmi\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Launch Ai Booster] "C:\Programmi\ASUS\AI Booster\OverClk.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [DU Meter] C:\Programmi\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [PPCTabletServer] C:\Programmi\PPC Tablet\MFCServer.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programmi\Agnitum\Outpost Firewall 1.0\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Programmi\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programmi\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [PeerGuardian] C:\Programmi\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [Center Agent] C:\Programmi\Empire\HyperMediaCenter\DTVR\Scheduled.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ServUTrayIcon] C:\Programmi\RhinoSoft.com\Serv-U\ServUTray.exe
O4 - HKCU\..\RunOnce: [MPlayer2_FixUp] C:\WINDOWS\inf\unregmp2.exe /Fixups
O4 - Startup: Collegamento a DynClient.lnk = C:\Programmi\DynClient\DynClient.exe
O4 - Startup: SpeedFan.lnk = C:\Programmi\SpeedFan\speedfan.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Remote Control.lnk = C:\Programmi\Empire Multimedia\USB2.0 Pen DVB-T Device Utilities\EMRCtl.exe
O8 - Extra context menu item: Add to filterlist (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferito portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\programmi\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programmi\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programmi\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programmi\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programmi\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programmi\ashampoo\ashampoo firewall\spi.dll
O14 - IERESET.INF: START_PAGE_URL=www.google.it
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O18 - Protocol: vw-wi - {0F3C833F-FB28-40EA-8CB9-6A55B996C3F6} - (no file)
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
O20 - Winlogon Notify: scredir32 - C:\WINDOWS\SYSTEM32\scredir32.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: Serv-U FTP Server (Serv-U) - Rhino Software, Inc. +1(262) 560-9627 - C:\Programmi\RhinoSoft.com\Serv-U\ServUDaemon.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programmi\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
Un po lunghetto...  |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 21 Gen 2008 17:11 Oggetto: |
|
|
Vedo alcune voci strane:
| Citazione: | O2 - BHO: (no name) - AutorunsDisabled - (no file)
O18 - Protocol: vw-wi - {0F3C833F-FB28-40EA-8CB9-6A55B996C3F6} - (no file)
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
O20 - Winlogon Notify: scredir32 - C:\WINDOWS\SYSTEM32\scredir32.dll |
Segui le istruzioni di questo topic per postare il log di combofix. |
|
| Top |
|
|
leen15
Mortale pio
Registrato: 21/01/08 12:25
Messaggi: 28
|
| Inviato: 21 Gen 2008 17:19 Oggetto: |
|
|
| bdoriano ha scritto: | Vedo alcune voci strane:
| Citazione: | O2 - BHO: (no name) - AutorunsDisabled - (no file)
O18 - Protocol: vw-wi - {0F3C833F-FB28-40EA-8CB9-6A55B996C3F6} - (no file)
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
O20 - Winlogon Notify: scredir32 - C:\WINDOWS\SYSTEM32\scredir32.dll |
Segui le istruzioni di questo topic per postare il log di combofix. |
ehm, non va 
Mi dice " ComboFix non è un applicazione di win32 valida. "
l'ho scaricato dal primo link, l'altro non va.. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 21 Gen 2008 17:25 Oggetto: |
|
|
Disabilita il tuo antivirus e ritenta.  |
|
| Top |
|
|
leen15
Mortale pio
Registrato: 21/01/08 12:25
Messaggi: 28
|
| Inviato: 21 Gen 2008 17:27 Oggetto: |
|
|
L'ho scaricato da un'altra parte googlando ma mi da un errore
http://img251.imageshack.us/my.php?image=errorehp7.jpg |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 21 Gen 2008 17:34 Oggetto: |
|
|
Tieni conto che i siti ufficiali da cui scaricare Combofix sono solo i 2 indicati.
Che io sappia, non ne esistono altri.
Riprova più tardi, forse lo stanno aggiornando. |
|
| Top |
|
|
leen15
Mortale pio
Registrato: 21/01/08 12:25
Messaggi: 28
|
| Inviato: 21 Gen 2008 17:41 Oggetto: |
|
|
| bdoriano ha scritto: | Tieni conto che i siti ufficiali da cui scaricare Combofix sono solo i 2 indicati.
Che io sappia, non ne esistono altri.
Riprova più tardi, forse lo stanno aggiornando. |
Adesso sono riuscito a scaricarlo dal primo link "ufficiale", ma il risultato è il medesimo, l'errore ke ho postato sopra.
Ke fò? |
|
| Top |
|
|
leen15
Mortale pio
Registrato: 21/01/08 12:25
Messaggi: 28
|
| Inviato: 22 Gen 2008 09:43 Oggetto: |
|
|
Ciao scusate se chiedo ancora ma cosa devo fare?
senza questo combofix non riuscite ad aiutarmi? |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
|
| Top |
|
|
leen15
Mortale pio
Registrato: 21/01/08 12:25
Messaggi: 28
|
| Inviato: 22 Gen 2008 10:33 Oggetto: |
|
|
Ma cosa fa la seconda parte di GMER? la prima l'ha fatta senza problemi, durante la seconda mi ha segato la connessione e adesso non riesco + a collegarmi.. (sto lavorando con vnc!) |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 22 Gen 2008 10:44 Oggetto: |
|
|
Analizza la memoria alla ricerca di programmi rootkit.
Sinceramente, non so se la modalità di ricerca possa interferire con programmi di controllo remoto come VNC. 
Di solito lo uso direttamente sul pc incriminato.
Non riesci a farlo avviare, scollegarti e ricollegarti dopo una mezz'oretta circa? |
|
| Top |
|
|
leen15
Mortale pio
Registrato: 21/01/08 12:25
Messaggi: 28
|
| Inviato: 22 Gen 2008 10:45 Oggetto: |
|
|
Sono riuscito a ricollegarmi, a quanto pare ha fatto riavviare il pc per qualke strano motivo.. adesso ho provato a far ripartire la seconda parte, aspettiamo e vediamo  |
|
| Top |
|
|
leen15
Mortale pio
Registrato: 21/01/08 12:25
Messaggi: 28
|
| Inviato: 22 Gen 2008 11:29 Oggetto: |
|
|
ecco fatto:
autostart:
http://www.freefilehosting.net/download/3al5l
rootkit:
http://www.freefilehosting.net/download/3al5m |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 22 Gen 2008 13:47 Oggetto: |
|
|
| Intanto ho aggiornato i links per combofix, vuoi riprovare a scaricarlo? |
|
| Top |
|
|
leen15
Mortale pio
Registrato: 21/01/08 12:25
Messaggi: 28
|
| Inviato: 22 Gen 2008 15:34 Oggetto: |
|
|
| bdoriano ha scritto: | | Intanto ho aggiornato i links per combofix, vuoi riprovare a scaricarlo? |
Ok adesso si avvia, pigio 1 e faccio invio, si chiude la finestra e l'icona del programma sparisce, nessun combofix.txt in c!  |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 22 Gen 2008 20:47 Oggetto: |
|
|
Che cosa curiosa....
Scarica avenger e scompattalo in una sua cartella non temporanea e non sul desktop
Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
| Citazione: | files to delete:
C:\WINDOWS\system32\xxywurp.dll
registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxywurp
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2423041F-8B96-4280-95DC-709250944B8D}
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {2423041F-8B96-4280-95DC-709250944B8D} |
Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger con un log aggiornato di hijackthis.
Ritenta l'avvio di combofix... |
|
| Top |
|
|
leen15
Mortale pio
Registrato: 21/01/08 12:25
Messaggi: 28
|
| Inviato: 23 Gen 2008 09:55 Oggetto: |
|
|
| bdoriano ha scritto: | Che cosa curiosa....
Scarica avenger e scompattalo in una sua cartella non temporanea e non sul desktop
Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
| Citazione: | files to delete:
C:\WINDOWS\system32\xxywurp.dll
registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxywurp
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2423041F-8B96-4280-95DC-709250944B8D}
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {2423041F-8B96-4280-95DC-709250944B8D} |
Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger con un log aggiornato di hijackthis.
Ritenta l'avvio di combofix... |
Oltre a tutto questo gli eseguibili di tutti programmi si sono cancellati, il sistema è instabile e ogni volta ke apro una finestra di explorer o si riavvia o si blocca tutto.
Ho deciso amaramente di formattare e reinstallare un sistema pulito.
Se mi potete consigliare (anke se è una scelta difficile ) se installare xp, vista, oppure un qualke linux e poi su questo se mai una VM con l'xp ke sopra gli va sempre su tutto.
E' un pc con i controca22i, lo uso come server ed ho bisogno ke sia efficiente, quindi assieme vorrei metterci su un antivirus con le palle e un firewall con altrettanti attributi, non voglio + avere di questi problemi, ed escludo a priori norton ke oltre ad essere un macigno ha lasciato ke tutto questo accadesse.
So ke sono OT però per favore aiutatemi, stasera parte il format c: . |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 23 Gen 2008 10:14 Oggetto: |
 |
|
Ciao leen15,
prima di consigliarti qualsiasi altra cosa, volevo sapere se avevi provato a eseguire le istruzioni precedenti:
| Citazione: | Scarica avenger e scompattalo in una sua cartella non temporanea e non sul desktop
Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
| Citazione: | files to delete:
C:\WINDOWS\system32\xxywurp.dll
registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxywurp
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2423041F-8B96-4280-95DC-709250944B8D}
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {2423041F-8B96-4280-95DC-709250944B8D} |
Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger con un log aggiornato di hijackthis. |
Per cominciare, il file da eliminare è quel C:\WINDOWS\system32\xxywurp.dll. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
