| Autore |
 Discussione  |
|
carlito72
Junior Member
65 Messaggi |
 Inserito il - 01/09/2008 : 21:13:04
|
ciao a tutti,
ho un'agenzia che si occupa di modelle (...) e l'altro giorno siamo stati infettati da antivirus desktop. ho rimosso il virus con malawarebytes e ho anche fatto una scansione con avg.
il problema è che il computer sembra, anche a virus cancellato, rubare tutta la banda disponibile a tutti i computer dell'agenzia (anche a se stesso). Disabilitando la scheda di rete e lavorando solo via wireless funziona meglio, ma non molto di più.
So già che è un guaio serio, però abbiamo talmente tante informazioni in quel computer che formattare sarebbe un dramma.
Grazie a tutti coloro che mi risponderanno anticipatamente.
matteo
|
|
|
erjvvj
Advanced Member
265 Messaggi |
Inserito il - 01/09/2008 : 21:26:04
|
Ciao benvenuto.
Segui la procedura per postare i log htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255
Scarica il programma Hijack This e posta il relativo log. |
 |
|
|
carlito72
Junior Member
65 Messaggi |
Inserito il - 01/09/2008 : 21:47:52
|
Citazione:
Messaggio inserito da erjvvj
Ciao benvenuto.
Segui la procedura per postare i log htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255
Scarica il programma Hijack This e posta il relativo log.
sapevo che mi prendevo subito un cazziatone...:-)
faccio subito quanto specificato, in fondo sono solo le nove e quarantasei e sono in ufficio....è un problema molto serio perchè è il principale computer dell'agenzia e formattarlo porterebbe via uno storico di informazioni importante, anche dopo backup.
la banda è satura anche via wireless, appena provato. blocca lui e gli altri computer.
provvedo e posto, grazie mille |
Modificato da - carlito72 in data 02/09/2008 10:26:23 |
|
|
|
carlito72
Junior Member
65 Messaggi |
Inserito il - 01/09/2008 : 21:56:22
|
ecco fatto, grazie mille anticipatamente.
htt*://[www].sendmefile[.com]/00646240 |
|
|
|
erjvvj
Advanced Member
265 Messaggi |
Inserito il - 01/09/2008 : 22:19:47
|
Un bel rootkit.
intanto fixa queste voci in modalità provvisoria:
-HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
-4 - HKCU\..\Run: [XPizeSettings] "C:\WINDOWS\XPize\XPizeSettings.exe"
-Startup: Desktoptopia.lnk = C:\Programmi\Desktoptopia\Desktoptopia.exe
-O16 - DPF: {4D054067-DE3A-48F9-B19B-BCD229B9AE8D} (PrinterHelpEtcActiveX Control) - htt*://[www].samsungdp[.com]/printerhelp/ActiveX/DrPrinter .cab
-O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
-O20 - Winlogon Notify: bhnqoou - bhnqoou.dll (file missing)
-O20 - AppInit_DLLs: karina.datavgrsstx.dll
Poi effettua una scansione su htt*://[www].kaspersky[.com]/virusscanner e scarica da qui htt*://[www].sophos.it/products/free-tools/sophos-anti-rootkit.html e esegui la scansione.
Infine posta il log Hijack.
|
Modificato da - erjvvj in data 01/09/2008 22:23:55 |
|
|
|
carlito72
Junior Member
65 Messaggi |
Inserito il - 01/09/2008 : 22:50:37
|
Citazione:
Messaggio inserito da erjvvj
Un bel rootkit.
intanto fixa queste voci in modalit� provvisoria:
-HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
-4 - HKCU\..\Run: [XPizeSettings] "C:\WINDOWS\XPize\XPizeSettings.exe"
-Startup: Desktoptopia.lnk = C:\Programmi\Desktoptopia\Desktoptopia.exe
-O16 - DPF: {4D054067-DE3A-48F9-B19B-BCD229B9AE8D} (PrinterHelpEtcActiveX Control) - htt*://[www].samsungdp[.com]/printerhelp/ActiveX/DrPrinter .cab
-O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
-O20 - Winlogon Notify: bhnqoou - bhnqoou.dll (file missing)
-O20 - AppInit_DLLs: karina.datavgrsstx.dll
Poi effettua una scansione su htt*://[www].kaspersky[.com]/virusscanner e scarica da qui htt*://[www].sophos.it/products/free-tools/sophos-anti-rootkit.html e esegui la scansione.
Infine posta il log Hijack.
mmm grazie mille della risposta però devi parlare come a un uzbeko davanti a un menu di una pizzeria vegetariana, perchè non sono molto lesto. "fixare" intendi cancellare? e il rootkit come lo apro? dal dos ma con che comando? grazie mille, scusatemi ma non sono un grande esperto di computer. |
|
|
|
erjvvj
Advanced Member
265 Messaggi |
Inserito il - 01/09/2008 : 23:07:39
|
Sposta Hijack This in C: e dagli una cartella solo per lui.
Spunta le voci che ti ho scritto in MODALITA' PROVVISORIA e premi FIX (htt*://[www].notrace.it/hijackthis-guida.htm)
Il rootkit è un virus (htt*://[www].notrace.it/sicurezza-rootkit.htm) quindi niente comando in DOS. La sua funzione principale è quella di nascondere i malware presenti nel sistema e ai programmi antivirus.
Effettua una scansione del sistema da qui htt*://[www].kaspersky[.com]/virusscanner ed elimina eventuali infezioni annotandole.
Scarica ( Download >Esegui>) questo programma htt*://[www].sophos.it/products/free-tools/sophos-anti-rootkit.html ed esegui la scansione.
Posta il log Hijack.
Tutto chiaro?
|
|
|
|
carlito72
Junior Member
65 Messaggi |
Inserito il - 02/09/2008 : 00:04:12
|
domattina vado in ufficio verso le otto e comincio a provare, ovviamente i problemi verranno facendo la cosa ma cerco di risolvere da solo fin quando mi è possibile, altrimenti ti posterò i guai.
intanto cerco di ringraziarti nel modo più sentito, ti sono grato per quanto stai facendo.
post scriptum sui fix:
- desktoptia posso semplicemente disinstallarlo, è un (bel) programma che scarica desktop screenshots e li varia ogni tot. minuti.
- xpize è un programma che tenta di rendere il pc nell'interfaccia più simile a un computer di zio steve.
- avg è ovviamente l'antivirus montato oggi
- samsung è la stampante di rete |
Modificato da - carlito72 in data 02/09/2008 00:18:14 |
|
|
|
erjvvj
Advanced Member
265 Messaggi |
Inserito il - 02/09/2008 : 00:27:17
|
Quelle sono le chiavi infette nel registro che devi fixare .
Cancellando il programma non cancelli la chiave.
Comunque dopo che hai fatto quelle operazioni posta il log che gli diamo un occhiata.
|
|
|
|
carlito72
Junior Member
65 Messaggi |
Inserito il - 02/09/2008 : 00:31:03
|
| yes domattina faccio tutto e posto il prima possibile il log dell'idrovora di banda. grazie ancora buonanotte. |
|
|
|
carlito72
Junior Member
65 Messaggi |
Inserito il - 02/09/2008 : 11:11:16
|
ciao buongiorno...
la situazione non è molto buona...
dunque. attivando in modalità provvisoria non ha trovato le chiavi di registro xpizesettings.exe e desktopia.exe
ho fissato le altre voci.
poi ho riavviato ma nello scaricare java per kasperski antivirus la banda in uscita era tale che si disconnetteva continuamente dalla rete rendendo impossibile lo scaricamento.
quindi niente kasperski al momento.
ho scaricato sophos e ho riavviato (tutto in modalità normale, anzi, selettiva perchè non avevo avuto indicazioni a riguardo) e sorpresa, al riavvio è rispuntato antivirus desktop 2008 che malaware sembrava in apparenza aver rimosso.
ecco il log dopo l'ultimo purtroppo inutile lavoro che ha comunque riportato alla vista antivirus desktop
htt*://[www].sendmefile[.com]/00646294 |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 02/09/2008 : 18:27:51
|
| Carlito72, aspetta la conferma di Erjvvj prima di farlo, ma se hai un programma che uppa una quantità di roba del genere non penso siano solo mail di spam, dopo conferma installa ZoneAlarm, questo dovrebbe poter bloccare il traffico e consentire solo quello che necessiti (ed autorizzi), se funziona ti darà un pò di respiro in attesa di poter debellare completamente il resto. |
|
|
|
carlito72
Junior Member
65 Messaggi |
Inserito il - 02/09/2008 : 19:30:39
|
ciao yves, posto che sono talmente stanco che ho letto il tuo disclaimer 20 volte prima di capire che non era indirizzato specificatamente a me :-) sono riuscito a scaricare kasperski, ha fatto uno scan e ha trovato 12 file infetti, però da quanto ho capito non li elimina, si limita a constatarli. erjvvj mi aveva detto di "eliminare le eventuali infezioni annotandole" ma non essendo esperto non so dove trovarle anche se me le ha segnalate kasperski. antivirus xp 08 è li felice e utilizza tutta la banda dell'agenzia. ora intanto provo a scaricare zone alarm perlomeno per provare a lavorare in questi giorni, vorrei piangere ma piangere proprio di brutto.
grazie mille intanto.
e aspetto erjvvj |
Modificato da - carlito72 in data 02/09/2008 19:31:51 |
|
|
|
erjvvj
Advanced Member
265 Messaggi |
Inserito il - 02/09/2008 : 19:35:16
|
Ciao,
installa il firewall che ti ha cosigliato Yves.
Disattiva lo screensaver e scarica CCleaner htt*://[www].ccleaner[.com]/
Sophos cosa ha rilevato?
Con CCleaner pulisci ed elimina file temporanei(1°tasto) poi premi il 2°tasto >Registro>Trova problemi>Elimina selezionati
In modalità provvisoria entra in C:\Programmi\ ed elimina:
-rhceuuj0epb7.exe
-Desktoptopia.exe
In Hijack esegui scansione e fixa queste voci (modalità provvisoria):
-O4 - HKLM\..\Run: [phc710] C:\WINDOWS\vphc700.exe
-O4 - HKLM\..\Run: [NSCSysTrayUI] C:\Programmi\Samsung\NetworkScan\NSCSysTrayUI.exe /HIDEUI
-O4 - HKLM\..\Run: [lphcauuj0epb7] C:\WINDOWS\system32\lphcauuj0epb7.exe
-O4 - HKLM\..\Run: [SMrhceuuj0epb7] C:\Programmi\rhceuuj0epb7\rhceuuj0epb7.exe
-O4 - HKCU\..\Run: [XPizeSettings] "C:\WINDOWS\XPize\XPizeSettings.exe"
-O4 - Startup: Desktoptopia.lnk = C:\Programmi\Desktoptopia\Desktoptopia.exe
-O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
-O20 - Winlogon Notify: bhnqoou - C:\WINDOWS\SYSTEM32\bhnqoou.dll
-O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
-O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
-O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
|
|
|
|
erjvvj
Advanced Member
265 Messaggi |
Inserito il - 02/09/2008 : 19:41:33
|
Hai disinstallato il norton di recente?
All avvio del sitema ti compare qualche schermata o finestra strana?
Hai attivato la cifratura WEP per il wireless che hai installato ( password di 10 caratteri che ti viene richiesta prima che ogni computer possa accedere alla rete)?
Fatto quanto scritto prima posta il LOG hijack |
Modificato da - erjvvj in data 02/09/2008 19:51:32 |
|
|
|
carlito72
Junior Member
65 Messaggi |
Inserito il - 02/09/2008 : 20:03:01
|
Citazione:
Messaggio inserito da erjvvj
Hai disinstallato il norton di recente?
All avvio del sitema ti compare qualche schermata o finestra strana?
Hai attivato la cifratura WEP per il wireless che hai installato ( password di 10 caratteri che ti viene richiesta prima che ogni computer possa accedere alla rete)?
Fatto quanto scritto prima posta il LOG hijack
ciao,
- ho installato zonealarm ma non intendendomene a tutti gli avvisi meno quelli ovvi tipo google desktop ho risposto "nega" e non riesco a gestire le cose, se mi date il via libera uso lo scan antivirus di zone alarm anche
- ho disintallato xpize e desktoptia senza risultati
- all'avvio mi dà una schermata di zero,due secondi con un messaggio di avviso virus, è sempre il mattacchione di antivirus xp 08 che si realizza e si sente felice così
- non ho mai avuto norton
- ho una cifratura di 10 cifre, esatto con la rete wireless, ma in ogni caso ora la rete wireless è disattivata, sto andando via etheret.
oggi ho incasinato un pò tutto, ho fatto sophos (aveva rilevato dei virus ma non ha risolto niente, cerco di postare semmai il log dal computer infetto se mi si connette)
poi ho usato kaskperski che ha rilevato virus ma non sono riuscito a toglierli perchè non sono capace. ora provo a fare le cose che mi hai scritto nel post sotto e ti faccio sapere.
grazie per il momento di tutto. |
|
|
|
Discussione |
|
problema banda usurpata (virus desktop 08)
Forum Bloccato
