| Autore |
 Discussione  |
|
maxrub
Advanced Member
430 Messaggi |
 Inserito il - 24/03/2009 : 10:58:11
|
Buongiorno, per un controllo sul pc ecco il log di kijackthis:
htt*://freefilehosting.net/download/468bj
durante la scansione con kijackthis mi si è aperto l'avviso di avira antivir, ha trovato in C:\WINDOWS\system\svhost.exe il Trojan TR/cRYPT.xpack.Gen, ho dato 'deny access' e kijackthis è andato avanti, poi si è nuovamente interrotto per lo stesso motivo, con un altro 'deny access' kijackthis ha completato la scansione.
Grazie. Massimo
|
Modificato da - death in Data 25/03/2009 09:09:14
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 24/03/2009 : 11:03:28
|
Buon giorno, bentrovato di nuovo, passiamo a systemscan che facciamo prima, segui la procedura:
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop.
|
 |
|
|
maxrub
Advanced Member
430 Messaggi |
Inserito il - 24/03/2009 : 11:36:25
|
Systemscan:
htt*://freefilehosting.net/download/468c5 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/03/2009 : 09:08:46
|
Buon giorno, segui la procedura:
scarica Avenger
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
C:\WINDOWS\system\svhost.exe
registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system\svhost.exe
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Al successivo riavvio, da start esegui digita services.msc nel tabellino che si apre cerca questo servizio "MSNETDED" - Network Monitor service, lo selezioni, tasto destro del mouse, proprietà, nel tabellino che si apre, lo interrompi poi lo elimini. |
|
|
|
maxrub
Advanced Member
430 Messaggi |
Inserito il - 25/03/2009 : 12:00:01
|
Avenger:
htt*://freefilehosting.net/download/4696i
|
|
|
|
maxrub
Advanced Member
430 Messaggi |
Inserito il - 25/03/2009 : 12:05:49
|
| MSNETDED non c'è, c'è una voce 'Network Monitor service' con descrizione 'intrusion detection' |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/03/2009 : 12:23:39
|
| Buon giorno, mi riposti un nuovo systemscan per cortesia, così verifico che il servizio sia ancora presente. |
|
|
|
maxrub
Advanced Member
430 Messaggi |
Inserito il - 25/03/2009 : 15:38:40
|
buon pomeriggio, ecco systemscan:
htt*://freefilehosting.net/download/469a7 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/03/2009 : 20:03:21
|
Buona sera, il servizio da rimuovere è questo:
038) "MSNETDED" - Network Monitor service
---> STAT = (NOT RUNNING) Started automatically
---> FILE = \C:\WINDOWS\system\svhost.exe\
---> TYPE = OWN_SERVICE
poi
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
folders to delete:
C:\Programmi\Toshiba\Desktop Document Manager\bak
C:\WINDOWS\system32\bak
C:\WINDOWS\system32\spool\drivers\w32x86\3\bak
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Poi riesegui combofix in modalità provvisoria come facemmo all'inizio della discussione originaria, mi raccomando non toccare mouse e tastiera mentre combofix lavora.
poi esegui queste pulizie:
scarica Ccleaner
1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo (senza la toolbar aggiuntiva)
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte
4) NON utilizzare la sezione dedicata alla pulizia del registro
poi
scarica Atfcleaner
Avvia ATFCleaner.exe con un doppio click
1.1) seleziona la casella Select All
2.1) clicca sul pulsante Empty selected
3.1) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)
poi
vai qui e segui la procedura indicata (se non trovi l'icona del java nel pannello di controllo non preoccupartene, vuol dire che non stai utilizzando il java della sun)
|
|
|
|
maxrub
Advanced Member
430 Messaggi |
Inserito il - 26/03/2009 : 11:13:11
|
Buon giorno anche a te
ok, un paio di domande:
per rimuovere
038) "MSNETDED" - Network Monitor service
---> STAT = (NOT RUNNING) Started automatically
---> FILE = \C:\WINDOWS\system\svhost.exe\
---> TYPE = OWN_SERVICE
come devo fare?
riguardo combofix mi ricordo che in modalità provvisoria non riuscivo ad entrare allora mi hai detto di farlo girare in modalitgà 'normale', faccio così? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 26/03/2009 : 12:20:03
|
Buon giorno, riprova ad entrare in modalità provvisoria se non funziona ti mando un file per ripristinarla, per eliminare il servizio segui le istruzioni che ti avevo già lasciato
Citazione:
Al successivo riavvio, da start esegui digita services.msc nel tabellino che si apre cerca questo servizio "MSNETDED" - Network Monitor service, lo selezioni, tasto destro del mouse, proprietà, nel tabellino che si apre, lo interrompi poi lo elimini
Per la provvisoria htt*://[www].didierstevens[.com]/files/data/SafeBoot.zip scarica il file relativo al tuo sistema operativo, cioè xp sp2, lo estrai sul desktop, doppio click per eseguirlo, accetti le modifiche al registro e riavvia il pc. |
|
|
|
maxrub
Advanced Member
430 Messaggi |
Inserito il - 26/03/2009 : 16:27:46
|
Ciao, purtroppo il file "MSNETDED" non lo trova proprio in services.msc, ti invio il download di ciò che trovo
htt*://wikisend[.com]/download/502524/ss.csv
ed una immagine dello schermo:
htt*://wikisend[.com]/download/485544/Immagine.bmp
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 26/03/2009 : 20:50:22
|
Buona sera, il servizio è questo Network Monitor service , rimuovilo pure.
|
|
|
|
maxrub
Advanced Member
430 Messaggi |
Inserito il - 27/03/2009 : 16:50:07
|
| Ciao, ok ho aperto services.msc, nel tabellino di Network Monitor service ho disabilitato l'avvio ed ho disabilitato la connessione, ma per eliminarlo non ho trovato il modo |
Modificato da - maxrub in data 27/03/2009 16:56:35 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 27/03/2009 : 20:48:23
|
Buona sera, segui queste istruzioni:
da start esegui digitate cmd si aprirà l'editor del dos, digitate cd\ e troverete il cursore dopo c:\
dalla riga digitare in successione:
sc delete Network Monitor service (invio)
Riavvia il pc, poi riesegui le pulizie e dovremmo aver finito se non hai altri problemi.
|
|
|
|
maxrub
Advanced Member
430 Messaggi |
Inserito il - 28/03/2009 : 18:30:23
|
|
ciao, lunedì mattina in ufficio eseguirò. Grazie |
|
|
|
Discussione |
|
svhost.exe
Forum Bloccato
