Olimpo Informatico

max444 · Mortale devoto Registrato: 25/01/09 16:15 Messaggi: 11

Sono nuovo del forum,mi sono appena scritto,ma sono un vecchio iscritto alle notizie di Zeus,che leggo sempre con molto piacere,otre che raccogliere le stesse col mio aggregatore e farne una gradita collezione.Dopo questa piccola presentazione mi è doveroso porgere i saluti allo Staff ed ai forumisti tutti.

Passo ad uno dei miei problemi;

Da lunedi 5 Gennaio aggiornamenti automatici di Window non riesce ad istallare l'aggiornamento per la protezione per il visualizzatore di Microsoft Office Power Point,trattasi di solo Viewer,perchè nel mio pc uso open-office.L'aggiornamento è evidenziato con KB956500,e l'errore che mi dà è 0x4397, il tentativo d'istallazione avviene tutti i giorni dal 5 gennaio ed anche più volte al giorno ma nulla da fare.
Devo fare una premessa:
Il 21 agosto non và a buon fine l'aggiornamento Service Pack 3,per mia volontà,e da allora lo tengo scaricato nel mio pc senza istallarlo,nessun problema nel fare cio',se non lo scudo giallo sempre presente nella mia barra delle applicazioni.Ho il sospetto che a volerlo istallare adesso mi darebbe problemi,perchè penso che ci sia qualcosa di sospetto nel mio pc.
Il motivo di cio',lo deduco dal fatto che in continuazione si formano punti di ripristino del sistema,con cadenza giornaliera,in relazione allo scaricamento di una applicazione che si chiama Software Distribution Service 3.0,che considero fantomatica,perchè non si sà bene di che si tratti,da dove viene,e se si installa veramente sul pc.
IL tutto nasce in seguito allo scaricamento di un programma per vedere le partite di calcio abbastanza infetto,cio' mi costrinse a fare le scansioni con più programmi di pulizia,e questi mi portarono via il software incriminato,forse il 1° errore di percorso,ed in più un antivirus agisce sui punti di ripristino dietro mio ordine,altro mio errore,dopo di che mi creo un punto di ripristino a mano, a pulizia avvenuta o ritenuta tale,ed in più uso un programma zippato che crea punti di ripristino con un click altro mio errore che forse hanno incasinato qualcosa.Da allora ogni qualvolta che cerco di spegnere il pc cliccando su spegni,noto che è presente anche lo scudo di istallazione aggiornamenti,che cerca di aggiornare qualcosa ma non ci riesce.

Cosa è quel qualcosa?molti penseranno all'aggiornamento KB956500 di cui all'oggetto del post,invece penso sia in relazione col fatidico Software Distribution Service 3.0,che ha fatto tante vittime di pc al suo comparire,e di cui si sà veramente poco.Per me è un attacco di qualche tipo portato al pc tramite i punto di ripristino,infatti ho 2 file sospetti nel pc,uno di vecchia data ed uno risalendo alla sventura di aver scaricato per la 2° volta il programma per il calcio nel pc,ma questo lo discutero' nella sezione apposita.
Qui' chiedo cosa mi si consiglia per porre fine agli insuccessi di aggiornamento di cui all'oggetto.E se conoscete il famoso Software Distribution Service 3.0.Grazie e resto in attesa.Max

bdoriano

Ciao max444 e benvenuto, Ciao

Segui le istruzioni di questo topic per postare il log di hijackthis.

max444 · Mortale devoto Registrato: 25/01/09 16:15 Messaggi: 11

max444 · Mortale devoto Registrato: 25/01/09 16:15 Messaggi: 11

Ho un po' di novità,posto la scansione di uno dei 2 file sospetti,ovvero Yguasky:

Scansionato oggi con vari antivirus ho avuto il seguente risultato:

File yguasky.ex_ in data 2009.01.25 con Risultato: 11/39 (28.21%)

a-squared 4.0.0.73 2009.01.25 Trojan.Win32.Skintrim.D!IK

Avast 4.8.1281.0 2009.01.24 Win32:SkiMorph

BitDefender 7.2 2009.01.25 Adware.NaviPromo.Gen.3

GData 19 2009.01.25 Adware.NaviPromo.Gen.3

Ikarus T3.1.1.45.0 2009.01.25 Trojan.Win32.Skintrim.D

K7AntiVirus 7.10.604 2009.01.24 Trojan.Win32.Malware.1

Microsoft 1.4205 2009.01.25 Trojan:Win32/Skintrim.gen!D

NOD32 3798 2009.01.25
Win32/Kryptik.EY variante

nProtect 2009.1.8.0 2009.01.23 Adware.NaviPromo.Gen.3

Panda 9.5.1.2 2009.01.25 Generic Trojan

Prevx1 V2 2009.01.25 Fraudulent Security Program

bdoriano

Si, hai il virus navipromo. Razz

Disabilita il ripristino di sistema
Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
Segui queste istruzioni per usare Navilog.
Segui le istruzioni di questo messaggio per rimuovere gli ADS con HiJackThis.
Segui le istruzioni di questo topic per usare MBAM.
scarica e installa la versione Free di SuperAntispyware.
esegui una scansione completa del sistema
Segui le istruzioni di questo topic per postare il log di HiJackThis.
Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
- Carica il log di MBAM su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
- Carica il log di SuperAntiSpyware su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
- Carica il log di HiJackThis su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.

Il moderatore di sezione sposterà la discussione nella sezione PSV.

max444 · Mortale devoto Registrato: 25/01/09 16:15 Messaggi: 11

Search Navipromo version 3.7.1 began on 26/01/2009 at 1.42.18,01

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programmi\navilog1

Updated on 02.01.2009 at 19h00 by IL-MAFIOSO

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.06GHz )
BIOS : Default System BIOS
USER : romeo ( Administrator )
BOOT : Normal boot

Antivirus : McAfee VirusScan (Not Activated)
Firewall : McAfee Personal Firewall (Activated)

C:\ (Local Disk) - NTFS - Total:72 Go (Free:13 Go)
D:\ (Local Disk) - FAT32 - Total:73 Go (Free:47 Go)
E:\ (CD or DVD)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)
J:\ (CD or DVD)
K:\ (CD or DVD)

Search done in normal mode

*** Searching for installed Software ***

Favorit

*** Search folders in "C:\WINDOWS" ***

*** Search folders in "C:\Programmi" ***

*** Search folders in "C:\Documents and Settings\All Users\menuav~1\progra~1" ***

*** Search folders in "C:\Documents and Settings\All Users\menuav~1" ***

*** Search folders in "c:\docume~1\alluse~1\datiap~1" ***

*** Search folders in "C:\Documents and Settings\romeo\datiap~1" ***

*** Search folders in "C:\Documents and Settings\romeo\impost~1\datiap~1" ***

*** Search folders in "C:\Documents and Settings\romeo\menuav~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Documents and Settings\romeo\impost~1\datiap~1" *

*** Search files ***

*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"yguasky"="\"c:\\documents and settings\\romeo\\impostazioni locali\\dati applicazioni\\yguasky.exe\" yguasky"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"qcnqegju"="\"c:\\documents and settings\\romeo\\impostazioni locali\\dati applicazioni\\qcnqegju.exe\" qcnqegju"

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :

2)Heuristic Search :

* In "C:\WINDOWS\system32" :

* In "C:\Documents and Settings\romeo\impost~1\datiap~1" :

agaqm.dat found !
agaqm_nav.dat found !
agaqm_navps.dat found !
agaqm_navup.dat found !
qcnqegju.dat found !
qcnqegju_nav.dat found !
qcnqegju_navps.dat found !
wqwaqsc.dat found !
wqwaqsc_nav.dat found !
wqwaqsc_navps.dat found !
yguasky.ex_ found !
yguasky.dat found !
yguasky_nav.dat found !
yguasky_navps.dat found !
yguasky_navup.dat found !

3)Certificates Search :

Egroup certificate found !
Electronic-Group certificate found !
Montorgueil certificate not found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :

*** Search completed on 26/01/2009 at 1.46.59,29 ***

max444 · Mortale devoto Registrato: 25/01/09 16:15 Messaggi: 11

Ho fatto tutto come scritto ma penso che non sia andato a buon fine,dal log di HijackThis tutto come prima mi sembra.

http://freefilehosting.net/download/44d90

Il mio antivirus McAfee ha preso Novilog1 come un virus,ed io ho detto lascia passare,quando ho fatto la scansione con Novilog 1 l'antivirus era disattivato e non ero connesso ad internet,ho postato il log,e mi sembra che quelli sono i file incriminati,ma penso che stanno sempre li.
Malwarebytes non mi ha trovato nulla,per cui il log non serve.Superantispy mi ha trovato un Vundo,l'ha messo in quarantena,e poi ho capito che si trattava del programma Novilog1,questo è il log:

SUPERAntiSpyware Scan Log

Generated 01/26/2009 at 03:11 AM

Application Version : 4.23.1006

Core Rules Database Version : 3729
Trace Rules Database Version: 1699

Scan type : Complete Scan
Total Scan Time : 00:18:27

Memory items scanned : 479
Memory threats detected : 0
Registry items scanned : 5117
Registry threats detected : 0
File items scanned : 20850
File threats detected : 1

Adware.Vundo/Variant-MSFake
C:\PROGRAMMI\NAVILOG1\REG.EXE

Prima di fare il tutto avevo ripristinato alla data del 18 gennaio,e mi erano tornate le icone sulla barra delle applicazioni vicino all'orologio,tutto sembrava normale,in più mi era tornato una home gataway,che prima non avevo,poi è sparito da risorse di rete dopo un riavvio,anche perchè il ripristino non è stato completato,tutto è tornato come adesso,ovvero mi mancano alcune icone+ la linguetta che allarga e stringe la barra,compreso lo scudo di window,sempre presente, per l'aggiornamento dell SP3,non ci capisco più nulla,è tardi e sono un po stanco.Ci sentiamo domani e vedremo come fare,dimenticavo nel fare il riavvio che mi ha chiesto superantispy,si è verificato un errore che ho segnalato a microsoft.Adesso rimetto ripristino sistema a posto e faccio un punto di ripristino.Ciao a domani

max444 · Mortale devoto Registrato: 25/01/09 16:15 Messaggi: 11

Attendo cortesemente di sapere dove si puo'continuare questa discussione,e gentilmente chi puo'dirmi in poche parole cosa è novilog1,nel senso segnala solamente infezioni o le elimina anche?.Grazie

chemicalbit · Dio maturo Registrato: 01/04/05 18:59 Messaggi: 18597 Residenza: Milano

max444 · Mortale devoto Registrato: 25/01/09 16:15 Messaggi: 11

max444 · Mortale devoto Registrato: 25/01/09 16:15 Messaggi: 11

Aggiornamento.

Ho visto che la discussione è stata spostata qui',in pronto soccorso,O.K.

Le novità sono:

Microsoft ha calcato la mano inviandomi un doppione di aggiornamento sempre per il Viewer Power Point,la prima era KB956500,la seconda KB949041,penso si tratti dello stesso aggiornamento,a secondo se si ha il SP2 o SP3,ma microsoft è andata nel pallone e non sà che Service Pacth è nel mio pc.Cio'mi ha spazientito,per cui pur lasciando aggiornamenti Automatici,ho nascosto i 2 aggiornamenti che non si istallano nel mio pc,risolvendo la questione dello scudetto attaccato al pulsante spegni,e forse risolvero'cosi'anche la questione in ripristino di sistema con l'interminabile formazione di punti di ripristino sotto il nome di Software Distribution 3.0 ?,microsoft ha scambiato la mia semplice Rete Lan per una rete Aziendale.
Ho voluto chiarire cio'in quando per tali cose non c'entrano gli eventuali Virus,Novipromo che dovrei avere sul pc,di cui parlero'dopo.

Per il fatto che mi erano sparite le icone dall'area di notifica,nemmeno centravano i virus,la cosa era dipesa da me perchè avevo modificato alcune configurazioni di rete nella sezione "Impostazioni componenti di window".

Chiarito cio'passiamo alla parte virus nel pc.

Non c'è ombra di dubbio di averne preso almeno 4 in successione,parlo dei Novipromo,di cui la scansione di Novilog1 ha messo in evidenza.
A tal riguardo devo chiarire che pur essendoci tali virus,questi non mi danno oggi alcun fastidio,quando presi il primo mi si apriva di tutto nel mio pc,ma con vari antivirus feci in modo di eliminarne buona parte,logico che parte di essi sono rimasti nel registro,ed in Dati applicazioni come da scansione,sono tutti visibili,tranne qcnqegju.exe l'ultimo preso,che nonostante rilevato sia da Novilog1 che da HijckThis,non riesco a scovarlo nel pc.
Adesso se considero che come problemi ho solo quello misterioso dell'orologio del pc e relativa segnalazione oraria,di cui parlero'in qualche altra sezione del forum,devo dedurne che tali virus ci sono,ma sono come devitalizzati dalle mie manovre precedenti.
Per cui chiedo ai competenti del forum se è il caso di mettere in atto ugualmente una pulizia massiccia contro i residui di tali virus devitalizzati,e se si,in che modo effettuarla,ovvero affidandosi a programmi tipo il Mafioso o altri,o eliminandoli manualmente a partire dal Registro di Sistema,dove sicuramente si sono insediati.
Mi scuso del mio modo di esporre le cose,che potrebbe sembrare prolisso ai più superficiali esponenti della presente epoca,ma la precisione non ha mia danneggiato nessuno,la sua assenza,invece,riempie le aule dei tribunali.Nella speranza di ricevere adeguata risposta,pongo i miei più cordiali saluti,ai Forumisti competenti o meno,ed al Professionale Staff.Max