Accedi per seguire   
Seguaci 0
carolo

Il Mio Log Per Un Controllo

54 messaggi in questa discussione

Ciao.

Disinstalla:

Spyware Terminator=superfluo, non necessario

AVG 10= Scadente Antivirus, nonche' deludente

Skype Toolbars= superfluo

Rilancia Hijackthis:

Do a System Scan Only

spunta la casellina fianco di ogni singola voce che ti indicherò sotto

● una volta spuntate le voci:

chiudi tutte le applicazioni aperte

chiudi tutte le pagine del browser aperte

● in Hijackthis fixa le voci cliccando su Fix checked

Queste le voci da fixare:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.10.20:81/staffbadge/

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL

O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE

O4 - HKLM\..\Run: [TVT Scheduler Proxy] c:\Programmi\File comuni\Lenovo\Scheduler\scheduler_proxy.exe

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PDF4 Registry Controller] "C:\Programmi\ScanSoft\PDF Professional 4.0\RegistryController.exe"

O4 - HKLM\..\Run: [scanSoft PDF Professional 4-reminder] "C:\Programmi\ScanSoft\PDF Professional 4.0\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Dati applicazioni\ScanSoft\PDF Professional\4\Ereg\Ereg.ini

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe

O4 - HKLM\..\Run: [Message Center Plus] C:\Programmi\LENOVO\Message Center Plus\MCPLaunch.exe /start

O4 - HKLM\..\Run: [soundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [LPMailChecker] C:\PROGRA~1\THINKV~1\PrdCtr\LPMLCHK.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\sea30\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {2DAD3559-2923-4935-AD49-B673D2539944} - http://www-307.ibm.com/pc/support/acpir.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209018918796

Poi:

start esegui e digita:

sc delete PsaSrv service

Infine:

Scarica KidoKiller: http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.3.3.zip

Scompattalo sul Desktop ed esegui il programma KidoKiller

● attendi pazientemente il termine della scansione ed allegalo

riavvia il sistema

Scarica Avira AntiVir Personal - Free Antivirus:

http://www.free-av.com/it/download/index.html

● installalo, seguendo pedissequamente questa semplice videoguida: http://www.free-av.com/it/pages/20/installazione_di_avira_antivir_personal__free_antivirus.html

● esegui una Scansione Completa del sistema

Dunque, invia qui i log di:

Hijackthis

KidoKiller

Avira

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao FDAC,

Spyware Terminator non me lo disinstalla perchè dice che non trova il file "unins000.dat"

AVG 10 anche se scadente è l'antivirus scelto dall'azienda

Skype Toolbars non c'è tra le applicazioni installate, come si disinstalla?

Posso continuare ugualmente?

fixando "R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.10.20:81/staffbadge/"

potrò rimetterlo successivamente come pagina di apertura?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao. Ok.

Se quella pagina iniziale ti serve, non fixarla.

Ma le altre si pero'.

Poi procediamo con le pulizie.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Dovrebbe essere o sul Desktop, o nel disco C:

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Nessuna traccia del log di KK comunque ho rimandato una scansione che non ha rilevato o corretto nulla.

AVG continua a trovarmi questi:

Virus rilevato Win32/Virut;"c:\WINDOWS\system32\searchindexer.exe";"L'oggetto è stato inserito nella White List (file di sistema/importante che non deve essere rimosso)";"20/12/2010, 8.46.19";"file";"C:\Documents and Settings\sea30\Desktop\KK.exe"

Virus identificato I-Worm/Generic.CKH;"c:\WINDOWS\system32\mxdfth.dll";"Infetto";"17/12/2010, 18.00.01";"file";"C:\WINDOWS\system32\svchost.exe"

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Se sei infetto dal Virut, poco c'è da fare.

Salva i dati più importanti che hai, e formatta il PC.

Altrimenti, prima, prova a cambiare Antivirus:

Per disinstallare AVG:

cessane l'esecuzione dalla Traybar (vicino all'orologio)

● clicca su Start - Pannello di Controllo - Installazione Applicazioni e disinstalla AVG

Poi:

Scarica AVG Remover:

32 bit: http://download.avg.com/filedir/util/support/avg_remover_stf_x86_2011_1165.exe

64 bit: http://download.avg.com/filedir/util/support/avg_remover_stf_x64_2011_1165.exe

● scegli la versione compatibile con il tuo Sistema Operativo, 32 Bit o 64 Bit

● posiziona il file sul Desktop

● doppio click sul tool per eseguirlo

● quando ha finito, riavvia il sistema

Scarica Avira AntiVir Personal - Free Antivirus:

http://www.free-av.com/it/download/index.html

● installalo, seguendo pedissequamente questa semplice videoguida: http://www.free-av.com/it/pages/20/installazione_di_avira_antivir_personal__free_antivirus.html

● esegui una Scansione Completa del sistema

allega il Report che verrà rilasciato al termine della scansione

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ti chiedo solo 3 cose prima di rimuovere AVG:

  1. Perchè del VIRUT mi dice "L'oggetto è stato inserito nella White List (file di sistema/importante che non deve essere rimosso)" ?
  2. Perchè VIRUT è associato al processo di Kido removing tool?
  3. Antivir è in grado di rimuovere il VIRUT?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Perdona l'intrusione, FDAC.

Carolo, prima di pensare di formattarlo, prova a "uccidere" virut con gli opportuni Removal Tool.

Symantec propone questa procedura per usare il suo Removal Tool.

Scaricala, stampala, metti il removal tool in una penna USB e usa il removal tool con il cavo di rete/wireless scollegato.

Oppure, il tool di AVG.

Leggi e stampa la procedura prima di continuare.

Se questi tool funzionano, dovresti trovare "pulito" da virut il tuo sistema.

NON disinstallare l'antivirus prima di usare uno di questi tool.

Segui dettagliatamente le istruzioni!, annotandone prima il nome.

In alternativa, scarica e masterizza il Rescue Disk di BitDefender. Riavviando il pc e partendo dal CD, potrai usare un sistema che ti consente di collegarti ad internet, di scaricare le definizioni di bitdefender più recenti e di fare una scansione completa del sistema.

Non cancellare i file, rinominali o spostali!

Una volta "pulita" la situazione, spegni il pc, scollegalo da internet (wireless o cavo), riaccendilo in "windows" e usa i removal tool di Virut.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Pike.

L'intrusione è lecita thumbsup5.gif

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ho seguito la procedura symantec lanciando il tool in modalità provvisoria ma sembra che non trovi nessun virut.

Potrebbe essere un falso positivo?

allego il log

FixVirut.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Certo che potrebbe.

Cerca di fare una copia del file che secondo il tuo antivirus è infettato e caricalo su VirusTotal. Se un consistente numero di sistemi lo classifica come "infetto", allora non è un falso positivo.

Se ci sono discordanze sul virus rilevato (e visitando i siti dei produttori antivirus sei in grado i trovare le "equivalenze" tra i vari nomi), potrebbe essere un altro indizio di falso positivo.

E nel caso lo sia, credo che AVG dovrebbe prendere un pedatone nel sedere ed uscire dal tuo pc...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao carolo, brutta bestia virut, vero? Il problema piu' grave sai qual'e' ? Che non lo elimini neanche formattando, quindi vediamo di abbatterlo, ammesso che come dice pike non sia un falso positivo.

Scarica Sysclean Package e mettilo in una cartella chiamata sysclean da te creata e situata anche sul desktop, scarica la firma di aggiornamento ed estrai i contenuti all'interno della suddetta cartella.

Ora disabilita il ripristino configurazione di sistema come spiegato qui'

Riavvia in modalita' provvisoria.

Ora doppio click sul file sysclean.com, nella schermata successiva assicurati che la voce Automatically clean infected files, sia spuntata, a questo punto click su scan.

Al termine della scansione verra' rilasciato un log: Postalo :thumbsup5::ciao4:

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao a tutti,

mi sento un caso clinico!

Prima di mettere in atto la procedura di Mr 4011 vi comunico che il tool AVG ha trovato e pulito

C:\WINDOWS\system32\searchindexer.exe

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Uff!

Vi riporto un estratto del log di sysclean (tutto è 2 Mb) anche se ho dovuto interrompere la scansione dopo aver cliccato un migliaio di volte "ok" (nonostante la voce "Automatically clean infected files" fosse spuntata). Praticamente è impossibile ultimare la scansione.......

-------------------------------------------------------------------

Copyright © 1990 - 2006 Trend Micro Inc.

Report Date : 12/21/2010 14:40:54

VSAPI Engine Version : 9.120-1004

VSCANTM Version : 3.00-1018 (Official Build)

VSGetVirusPatternInformation is invoked

Virus Pattern Version : 713 (544357/544357 Patterns) (2010/12/20) (771300)

Command Line: C:\Documents and Settings\sea30\Desktop\Sysclean\VSCANTM.BIN /NBPM /S /CLEANALL /LD /LC /LCF /NM /NB /DCEGENCLEAN /HIDEDCECONSOLE /C /ACTIVEACTION=5 /VSBKENC+ /BK /LR C:\WINDOWS\system32\*.* /P=C:\Documents and Settings\sea30\Desktop\Sysclean\lpt$vpn.713

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\actsetup\actconn.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\actsetup\actdone.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\actsetup\activ.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\actsetup\activerr.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\actsetup\activsvc.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\actsetup\actlan.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\actsetup\adeskerr.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\actsetup\adrdyreg.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\actsetup\apolicy.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\actsetup\aprvcyms.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\actsetup\areg1.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\actsetup\aregdial.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\actsetup\aregdone.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\actshell.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\dtsgnup.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\error\cnncterr.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\error\dialtone.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\error\hndshake.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\error\isp2busy.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\error\noanswer.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\error\pberr.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\error\pulse.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\error\toobusy.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\html\dslmain\dslmain.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\html\dslmain\dsl_a.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\html\dslmain\dsl_b.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\html\iconnect\icntlast.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\html\iconnect\iconnect.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\html\isptype\isptype.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\html\mouse\mouse.htm

Success Clean [ HTML_IFRAME.LCA](10468) from C:\WINDOWS\system32\oobe\html\mouse\mouse_a.htm

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

La situazione attuale è questa.

1) nessuna traccia di VIRUT

2) rilevato e rimosso il seguente rootkit :

File "C:\WINDOWS\System32\DLA\DLAIFS_M.SYS" Infezione "HookIRP, \FileSystem\Cdfs IRP_MJ_FILE_SYSTEM_CONTROL -> DLAIFS_M.SYS+0x912"

3) Ad ogni riavvio viene rilevato e rimosso il solito "C:\WINDOWS\system32\mxdfth.dll";"Virus identificato I-Worm/Generic.CKH";"Spostato in Quarantena virus"

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Carolo, hai sottoposto il file "C:\WINDOWS\system32\mxdfth.dll" a VirusTotal?

Sembra che il nome I-Worm/Generic.CKH stia per "Conficker".

O Kido.

FDAC ti ha fatto usare un removal tool, che non ha segnalato la presenza.

Ti suggeriso di provare con il tool Symantec, Eset, Sophos.

Non usarli per forza tutti. Se con i primi 2 non viene rilevato nulla in tutto il pc, evita il terzo.

Purtroppo conficker si diffonde sia via rete locale che via chiavette USB. Ergo domandati se ci sono altri PC in linea da controllare.

Via rete e via USB si diffonde se non è presente l'opportuna patch, che viene scaricata tramite WindowsUpdate.

Approfitto della cortesia dell'Università degli studi di Udine che pubblica un interessante vademecum su come proteggersi al meglio da Conficker.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

i risultati per il file mxdfth.gz

ntivirusVersionLast UpdateResultAhnLab-V32010.12.22.002010.12.21Win32/Conficker.worm.167324AntiVir7.11.0.1392010.12.22Worm/Conficker.LAntiy-AVL2.0.3.72010.12.22Worm/Win32.Kido.genAvast4.8.1351.02010.12.22Win32:ConfiAvast55.0.677.02010.12.22Win32:ConfiAVG9.0.0.8512010.12.22I-Worm/Generic.CKHBitDefender7.22010.12.22Win32.Worm.Downadup.GenCAT-QuickHeal11.002010.12.22Trojan.Agent.ATVClamAV0.96.4.02010.12.22Worm.Kido-99Command5.2.11.52010.12.22W32/Conficker!GenericComodo71482010.12.22NetWorm.Win32.Kido.ADrWeb5.0.2.033002010.12.22Win32.HLLW.Shadow.basedEmsisoft5.1.0.12010.12.22Net-Worm.Win32.Kido!IKeSafe7.0.17.02010.12.21-eTrust-Vet36.1.80542010.12.22Win32/ConfickerF-Prot4.6.2.1172010.12.21W32/Conficker!GenericF-Secure9.0.16160.02010.12.22Worm:W32/Downadup.gen!AFortinet4.2.254.02010.12.21-GData212010.12.22Win32.Worm.Downadup.GenIkarusT3.1.1.90.02010.12.22Net-Worm.Win32.KidoJiangmin13.0.9002010.12.22Worm/Kido.sK7AntiVirus9.74.33082010.12.21EmailWormKaspersky7.0.0.1252010.12.22Net-Worm.Win32.Kido.ihMcAfee5.400.0.11582010.12.22W32/Conficker.worm.gen.aMcAfee-GW-Edition2010.1C2010.12.22Heuristic.BehavesLike.Win32.Worm.AMicrosoft1.64022010.12.22Worm:Win32/Conficker.BNOD3257242010.12.22a variant of Win32/Conficker.AANorman6.06.122010.12.21W32/Conficker.CNnProtect2010-12-22.012010.12.22-Panda10.0.2.72010.12.21W32/Conficker.C.wormPCTools7.0.3.52010.12.22Net-Worm.Kido!sd6Prevx3.02010.12.22High Risk WormRising22.79.01.042010.12.22Hack.Exploit.Win32.MS08-067.ixSophos4.60.02010.12.22Mal/Conficker-ASUPERAntiSpyware4.40.0.10062010.12.22-Symantec20101.3.0.1032010.12.22W32.Downadup.BTheHacker6.7.0.1.1042010.12.21W32/Kido.ihTrendMicro9.120.0.10042010.12.22WORM_DOWNAD.ADTrendMicro-HouseCall9.120.0.10042010.12.22WORM_DOWNAD.ADVBA323.12.14.22010.12.21Worm.Win32.kido.110VIPRE77562010.12.22Worm.Win32.Downad.Gen (v)ViRobot2010.12.22.42142010.12.22Worm.Win32.Conficker.73000VirusBuster13.6.106.02010.12.21Worm.Kido!zd+WRPb6v+c

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Tana per Conficker.

Scarica i tool, stacca il cavo di rete e gli hard disk USB.

Usa il primo.

E se non viene "cancellato", continua con gli altri 2.

Aggiorna Windows tramite WindowsUpdate. Se non puoi farlo, indica che Sistema operativo, architettura (32 o 64 bit) e SP Installato.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Scusa Carolo ma non e' per caso che sei connesso ad una lan aziendale?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Scusa Carolo ma non e' per caso che sei connesso ad una lan aziendale?

Ipotesi sensata, Mr 4011.

Però mi ha fatto gelare il sangue come scenario...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

innocent.gif.......ipotesi corretta!

Scusatemi se ho trascurato questo "piccolo particolare"

sorry1.gif

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

:censored: :censored: :censored: :censored: :censored: :censored: :censored:

Carolo, mannaggia alla miseria, avete un problema *serio* che va affrontato in modo estremamente serio.

Si tratta di spegnere tutto (ogni pc e ogni server Windows, anche quello che gestisce le cose più improbabili e collegato in rete) a parte un computer, pulirlo da conficker installare la patch (e magari fare anche un corposo WindowsUpdate, visto che la vulnerabilità risale al 2008) riavviare e accendere il successivo.

E ripetere sino ad averlo fatto per tutti i pc della lan.

Dopo aver fatto il necessario terrorismo psicologico, andiamo oltre.

L'approccio di cui sopra è necessario ed indispensabile nel caso in cui non facciate regolarmente da 6 mesi WindowsUpdate dappertutto.

Le macchine che sono certamente aggiornate non hanno bisogno del trattamento di cui sopra, ma sarebbe opportuno far girare il tool di rimozione.

Giusto per essere certi al 100% che non ci sono altri ospiti.

E visto che è una operazione lunga, potrebbe essere furbo usare tool di pulizia multiminaccia come ad esempio Stinger di McAfee.

Non dimenticare che se pulisci un pc ed installi la patch mentre un altro pc infetto sulla lan è acceso, la pulizia va a carte e quarantotto!

Credo che tu abbia trovato la tua attività per le feste natalizie.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ops.gif Carissimo Carolo tu stai giocando a ping pong con questo malware, e' inutile, perdere tempo, a cercare di pulire il tuo pc, perche' appena lo riavvi il problema si ripresenta.

L'unico movimento sensato e' quello di portarsi alla fonte, cercare di contattare l'amministratore di sistema eseguire le varie operazioni e con un'attenta analisi cercare di risalire al servizio che carica il maledettissimo worm ;).gif

Mi dispiace sei incappato nelle fauci di una brutta bestia sad.gif

Leggi qui' quanti danni ha fatto

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

blink1.gif saranno una trentina di macchine!

Ci ripensiamo nell'anno nuovo.

Grazie per l'assistenza (e per la pazienza), vi faccio i miei migliori auguri!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0