NoTrace Security Forum

NoTrace Security Forum
Home | Discussioni Attive | Discussioni Recenti | Segnalibro | Msg privati | Utenti | Download | cerca | faq | RSS | Security Chat
Nome Utente:
 Password:
Salva Password
Password Dimenticata?

 Tutti i Forum
 Off-Topic
 Altre Discussioni
 problema urgentissimo		  Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
I seguenti utenti stanno leggendo questo Forum Qui c'è:
Pagina Precedente | Pagina Successiva
Autore Discussione Precedente Discussione Discussione Successiva
Pagina: di 5

rikkkardo
Average Member

Città: e


79 Messaggi

Inserito il - 06/11/2005 : 19:03:43  Mostra Profilo
però da quando ho messo il firewall l'hard disk carica molto e il pc è abbastanza lento
Torna all'inizio della Pagina

n/a
deleted



1470 Messaggi
Inserito il - 06/11/2005 : 19:31:31  Mostra Profilo
mi ero dimenticata del prob. sul task. fai così
Naviga fino a questa chiave
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
se nel pannello di Dx c'è una chiave DisableTaskMgr deve avere valore 0, altrimenti creala con valore 0(clik col Dx e nuovo valore Dword)

Oppure fai così
start- Esegui digita gpedit.msc e invio
vai poi in:
Configurazione Utente - Modelli Amministrativi - Sistema - Opzioni CTRL+ALT+CANC - Rimuovi Task Manager
e metti Disattiva (il Task Manager Viene attivato)

per i link controllo può darsi che col copia incolla abbia dimenticato qualcosa.Non devi installare il FW se prima non togli i trojan.dopo che hai pulito installi i softw. per la protezione.
Torna all'inizio della Pagina

n/a
deleted



1470 Messaggi
Inserito il - 06/11/2005 : 19:34:27  Mostra Profilo
ecco i link giusti ho sbagliato io
disabilita ripristino
htt*://sicurezza.html.it/articoli/articoli.asp?idcatarticoli=14&Idarticoli=23&npagina=1
modalità provvisoria
htt*://sicurezza.html.it/articoli/articoli.asp?idcatarticoli=14&Idarticoli=23&npagina=2
prova
Torna all'inizio della Pagina

n/a
deleted

Città: Nascosta


1310 Messaggi
Inserito il - 06/11/2005 : 19:59:50  Mostra Profilo
Scarica BitDefender Free Edition 7.2, aggiornalo tutto completamente e visualizza i files nascosti e scansiona che intanto quel worm lì viene debilitato.....poi eventualmente riposti un altro log senza tutta quella "influenza" che hai e fixiamo....provare per credere. Ciauz Ciauz
Torna all'inizio della Pagina

rikkkardo
Average Member

Città: e


79 Messaggi
Inserito il - 06/11/2005 : 20:07:49  Mostra Profilo
il problema è ke in modalità provvisoria se apro il taske termino il processo di C:\WINDOWS\System32\wuapi.exe
C:\WINDOWS\System32\winjava.exe
rikompaiono dopo 2 secondi e nn riesco a eliminarli:|
Torna all'inizio della Pagina

n/a
deleted

Città: Nascosta


1310 Messaggi
Inserito il - 06/11/2005 : 20:32:31  Mostra Profilo
Io ti ho dato un consiglio se poi tu vuoi sgranarti prima con i log per poi non venirne fuori perchè il tuo worm continua a rigenerarti le chiavi vedi un pò tu... tanto il pc è tuo! Ciauz Ciauz
Torna all'inizio della Pagina

n/a
deleted



1470 Messaggi
Inserito il - 06/11/2005 : 20:37:56  Mostra Profilo
Citazione:
Messaggio inserito da rikkkardo

il problema è ke in modalità provvisoria se apro il taske termino il processo di C:\WINDOWS\System32\wuapi.exe
C:\WINDOWS\System32\winjava.exe
rikompaiono dopo 2 secondi e nn riesco a eliminarli:|

lancia prima regedit e trova questa chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run=service.exe
se esiste cancellala e riprova con task manager.(intendo service.exe e non tutta la chiave oppure se esiste come quella che ti ho scritto sopra ci deve essere un'altra senza = service.exe allora la puoi cancellare)
quei due file vengono lanciati da un altro processo. Sei sicuro che mentre sei in task manager e termini i processi indicati rimani ancora lì e ri ricreano?????

Conferma subito
Modificato da - n/a in data 06/11/2005 20:40:37
Torna all'inizio della Pagina

n/a
deleted



1470 Messaggi
Inserito il - 06/11/2005 : 20:44:03  Mostra Profilo
Citazione:
Messaggio inserito da EcNx82.CYpTO

Io ti ho dato un consiglio se poi tu vuoi sgranarti prima con i log per poi non venirne fuori perchè il tuo worm continua a rigenerarti le chiavi vedi un pò tu... tanto il pc è tuo! Ciauz Ciauz

Bit defender in provvisoria non funzia
Torna all'inizio della Pagina

rikkkardo
Average Member

Città: e


79 Messaggi
Inserito il - 06/11/2005 : 20:48:43  Mostra Profilo
si si ricreano subito cmq bid difender qualkosa mi ha tolto ma nn quei 2 processi:|
Torna all'inizio della Pagina

n/a
deleted



1470 Messaggi
Inserito il - 06/11/2005 : 20:52:04  Mostra Profilo
con task chiudi il processo C:\WINDOWS\system32\services.exe. ti scomparirà il desk ma è normale
Dovrebbero essere lanciati da lì
Torna all'inizio della Pagina

rikkkardo
Average Member

Città: e


79 Messaggi
Inserito il - 06/11/2005 : 21:27:23  Mostra Profilo
quando provo a kiudere services mi dice impossibile terminare il processo -processo di ssitema critico impossibile terminarlo
Torna all'inizio della Pagina

Yves
Moderatore


Città: Buenos Aires


6097 Messaggi
Inserito il - 06/11/2005 : 21:54:41  Mostra Profilo
Scusa, hai provato già in primo luogo a installare la patch contro Sasser?

htt*://[www].microsoft[.com]/italy/technet/security/bulletin/ms04-011.mspx
Qui c'è un pò di info sulla rimozione:

htt*://[www].ilsoftware.it/av.asp?ID=104

anche se quelle che ti hanno dato qui non sono di certo da poco..

Ciao.
Modificato da - Yves in data 06/11/2005 21:58:01
Torna all'inizio della Pagina

n/a
deleted



1470 Messaggi
Inserito il - 06/11/2005 : 22:49:06  Mostra Profilo
Ho trovato il colpevole è W32/Codbot-AC una bella gatta da pelare.
Sophos te lo può togliere ma è a pagamento.Aggiorniamoci a domani che vediamo cosa riesco a trovare
Torna all'inizio della Pagina

n/a
deleted



1470 Messaggi
Inserito il - 06/11/2005 : 23:01:58  Mostra Profilo
Mi è venuta un'idea facciamo una prova dal dos. riavvia in provvisoria

Start - esegui e digita cmd. ti compare la finestra relativa al prompt del dos.
digita ora cd\ e batti invio. Ora sei in C:\
digita cd Windows e invio. adesso sei nella cartella Windows
digita cd System32 e invio. adesso sei nella cartella System32

digita del/q [spazio] wuapi.exe

Se accetta il comando siamo a cavallo ripeti l'operazione anche per l'altro file e segui le altre operazioni da fare,in caso contrario ci aggiorniamo a domani. E' nuovo questo virus (appena uscito) e ci sono poche info e sopratutto tools.

Prova e ci sentiamo domani
Torna all'inizio della Pagina

n/a
deleted



1470 Messaggi
Inserito il - 07/11/2005 : 11:48:12  Mostra Profilo
Hai preso un bel signorino tosto[.com]inciamo da capo e togliamo questo.
C:\WINDOWS\System32\winjava.exe.
Fai così:

1) Avvia in modalità provvisoria e Disattiva il rispristino di configurazione

Poi devi visualizzare i file e le cartelle nascoste di sistema così:

Start - Impostazioni - pannello di controllo - opzioni cartella - visualizzazione ,metti la spunta nella casella "visualizza file e cartelle nascoste" e togli la spunta dalla casella "nascondi file di sistema" e della casella "Nascondi le estensioni per i tipi di file conosciuti" clikka su applica e rispondi di SI al messaggio ed esci

poi fai questo

2) Start - Esegui e digita services.msc ti compare una form con tutti i servizi abilitati. se è presente questo servizio lo devi fermare
Enables Java Support (Java) se lo trovi (ci deve essere per forza) fai clik sopra il servizio e in alto a destra ti compare il nome del servizio e sotto in azzurro lo stato del servizio Arresta / Avvia. clikka su arresta. Fai doppio clik sul servizio e ti compare una form per default sei già nella linguetta "Generale" e al centro c'è un box con la freccetta a Dx con Tipo avvio.
clikka sulla linguetta e seleziona disabilitato. chiudi services

adesso lancia explorer e vai quì C:\WINDOWS\System32 cerca winjava.exe se te lo permette cancellalo lo stesso vale per wuapi.exe

3) Apri HJK (Hijacthis) clicca su Scan e seleziona le voci che ti metto quì sotto

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\vturp.dll
O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\pmkjj.dll
O4 - HKLM\..\Run: [Microsoft Windows 128bit Subsystem] C:\WINDOWS\System32\system12.exe
O4 - HKLM\..\Run: [Compaq Service Drivers] amsn.exe
O4 - HKLM\..\Run: [Microsoft Update 32] wininit.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Compaq Service Drivers] amsn.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] wininit.exe
O4 - HKCU\..\Run: [Compaq Service Drivers] amsn.exe
O20 - Winlogon Notify: pmkjj - C:\WINDOWS\System32\pmkjj.dll
O20 - Winlogon Notify: vturp - C:\WINDOWS\SYSTEM32\vturp.dll
O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe
O23 - Service: Defragmentation Management Handler (FAT Defragmentation) - Unknown owner - C:\WINDOWS\System32\dfrgfat32.exe (file missing)
O23 - Service: Enables Java Support (Java) - Unknown owner - C:\WINDOWS\System32\winjava.exe
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe
O23 - Service: NetBIOS Helper Service (NetBIOS Helper) - Unknown owner - C:\WINDOWS\System32\nbthlp.exe (file missing)
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe
quando le hai selezionate clikka su Fix.

Svuota il cestino.

Ora clikka su Start-esegui nella form che appare digita regedit e invio
Naviga in regedit fino a queste chiavi :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

guarda nel pannello di destra se c'è una chiave che richiama questi file
C:\WINDOWS\System32\wuapi.exe
C:\WINDOWS\System32\winjava.exe
se c'è fai clik sopra col dx e sul menù a tendina clikka "Elimina"

controlla anche queste chiavi se hanno delle chiamate ai 2 file
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
se le hanno eliminale

riavvia il sistema

Caricato il sistema per fare una scansione On Line devi attivare gli ActiveX.
Start - Pannello di controllo - Opzioni Internet - Protezione e fai clik sul pulsante "Livello predefinito"
vai a questo link
htt*://housecall.trendmicro[.com]/ e fai una scansione on line
oppure quì
htt*://[www].kaspersky[.com]/service?chapter=161739400

Finita la scansione posta un log di HJK
Nota : se il punto 2 non ti permette di fare quello descritto continua col 3

finita la scansione disattiva gli ActiveX per le istruzioni vai quì
htt*://sicurezza.html.it/articoli/articoli.asp?idcatarticoli=14&Idarticoli=16&npagina=2

ciao e fammi sapere
Torna all'inizio della Pagina
Pagina: di 5 Discussione Precedente Discussione Discussione Successiva  
Pagina Precedente | Pagina Successiva

 Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
Vai a:
NoTrace Security Forum
 © Nazzareno Schettino
RSS NEWS 		Torna all'inizio della Pagina
Pagina generata in 0,2 secondi. TargatoNA | SuperDeeJay | Snitz Forums 2000