| Autore |
 Discussione  |
|
n/a
deleted
1470 Messaggi |
 Inserito il - 20/01/2006 : 09:27:46
|
Ciao ucla,sospettavo una cosa del genere,alcuni file te li ha rimossi altri invece no. procediamo così.scarica
Ewindo e inoltre scarica anche questo Killboxpoi visualizza file e cartelle nascosti (start-impostazioni-pannello di controllo-opzioni cartella, e clicca su "visualizzazione". Seleziona "visualizza file e cartelle nascosti", "visualizza il contenuto delle cartelle di sistema" e deselezionate "nascondi file protetti e di sistema". Clicca su OK (con KillBox non sarebbero necessarie ma ti servono dopo)
Salva killbox.exe sul desktop e dopo lancialo. Seleziona l'opzione "Delete on Reboot" scrivi C:\WINDOWS\system32\mssearchnet.exe nello spazio bianco da riempire, premi il pulsante "Delete File" (è un cerchio rosso con una X bianca a fianco del box dove hai scritto il percorso del file)
Ripeti l'operazione anche con questo C:\ASDF.EXE
Alla richiesta di riavvio rispondi si
Riavvia in modalità normale, vai nel registro di sistema (start-esegui-digita regedit e nella finestra che ti compare clicca sull + delle voci di Sx fino a questa chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Quando sei su run clicca sulla cartella e nel pannello di Dx cerca la voce: kernel32.dll se la trovi clicca col Dx del mouse e dal menù che ti appare scegli elimina.(se non c'è meglio)
Lancia ora Ewindo e fai una scansione,poi lancia CCleaner e dai una bella pulita ai file temporanei di Win e IE,cookies e svuota il cestino. Ripeti l'operazione che hai appena postato e vediamo cosa ti trova, Poi posta un nuovo log. mi sono basata sull'ultimo log che hai postato. |
 |
|
|
ucla
Junior Member
50 Messaggi |
Inserito il - 21/01/2006 : 01:34:34
|
buonanotte alexsandra,
trovato kernell32.dll ed eliminato
ewido ha trovato 6 file infetti cancellati
fatto scansioni con antivir ad aware e spy boot ok non ha rilevato nulla
20/01/2006,23.11.50 ---------------------------------------------------------
20/01/2006,23.11.50 [INIT] The AVGuard Service is starting.
20/01/2006,23.11.51 [INIT] Keyfile contains a valid license. The AVGuard service will run as a fully functional version!
20/01/2006,23.11.55 [INFO] Start Filter Device.
20/01/2006,23.11.55 AntiVirService Version: 6.32.00.12 AVE Version 6.33.0.77 VDF Version: 6.33.0.144
20/01/2006,23.11.55 AVGuard has been started successfully!
20/01/2006,23.12.00 WARNING: Is the Trojan horse TR/Dldr.Zlob.DQ!
C:\WINDOWS\SYSTEM32\LDA78B.TMP
20/01/2006,23.12.10 [LOGON] Connection request by remote computer. Establishing secure communication channel.
20/01/2006,23.12.10 [LOGON] Connection to computer 127.0.0.1 established successfully. Session ID = 0xaaaa6512.
20/01/2006,23.20.37 [INFO] Stop Filter Device.
20/01/2006,23.20.38 AVGuard service has been stopped!
20/01/2006,23.20.40 ---------------------------------------------------------
20/01/2006,23.20.40 [INIT] The AVGuard Service is starting.
20/01/2006,23.20.41 [INIT] Keyfile contains a valid license. The AVGuard service will run as a fully functional version!
20/01/2006,23.20.47 [INFO] Start Filter Device.
20/01/2006,23.20.47 AntiVirService Version: 6.32.00.12 AVE Version 6.33.0.77 VDF Version: 6.33.0.148
20/01/2006,23.20.47 AVGuard has been started successfully!
20/01/2006,23.20.47 [LOGON] Connection request by remote computer. Establishing secure communication channel.
20/01/2006,23.20.48 [LOGON] Connection to computer 127.0.0.1 established successfully. Session ID = 0xaaa21fba.
20/01/2006,23.21.52 [INFO] Stop Filter Device.
20/01/2006,23.21.52 AVGuard service has been stopped!
20/01/2006,23.40.39 ---------------------------------------------------------
20/01/2006,23.40.39 [INIT] The AVGuard Service is starting.
20/01/2006,23.40.40 [INIT] Keyfile contains a valid license. The AVGuard service will run as a fully functional version!
20/01/2006,23.41.03 [INFO] Start Filter Device.
20/01/2006,23.41.03 AntiVirService Version: 6.32.00.12 AVE Version 6.33.0.77 VDF Version: 6.33.0.148
20/01/2006,23.41.07 AVGuard has been started successfully!
20/01/2006,23.41.12 WARNING: Is the Trojan horse TR/Dldr.Zlob.DQ!
C:\WINDOWS\SYSTEM32\LDFC00.TMP
20/01/2006,23.41.25 [LOGON] Connection request by remote computer. Establishing secure communication channel.
20/01/2006,23.41.26 [LOGON] Connection to computer 127.0.0.1 established successfully. Session ID = 0xaaab8595.
21/01/2006,0.34.07 [INFO] Stop Filter Device.
21/01/2006,0.34.11 AVGuard service has been stopped!
21/01/2006,0.35.01 ---------------------------------------------------------
21/01/2006,0.35.01 [INIT] The AVGuard Service is starting.
21/01/2006,0.35.02 [INIT] Keyfile contains a valid license. The AVGuard service will run as a fully functional version!
21/01/2006,0.35.25 [INFO] Start Filter Device.
21/01/2006,0.35.25 AntiVirService Version: 6.32.00.12 AVE Version 6.33.0.77 VDF Version: 6.33.0.148
21/01/2006,0.35.25 AVGuard has been started successfully!
21/01/2006,0.36.12 [LOGON] Connection request by remote computer. Establishing secure communication channel.
21/01/2006,0.36.12 [LOGON] Connection to computer 127.0.0.1 established successfully. Session ID = 0xaaab3afd.
21/01/2006,0.35.42 WARNING: Is the Trojan horse TR/Dldr.Zlob.DQ!
C:\WINDOWS\SYSTEM32\LD1907.TMP
21/01/2006,1.26.06 [INFO] Stop Filter Device.
21/01/2006,1.26.07 AVGuard service has been stopped!
21/01/2006,1.27.03 ---------------------------------------------------------
21/01/2006,1.27.03 [INIT] The AVGuard Service is starting.
21/01/2006,1.27.04 [INIT] Keyfile contains a valid license. The AVGuard service will run as a fully functional version!
21/01/2006,1.27.17 [LOGON] Connection request by remote computer. Establishing secure communication channel.
21/01/2006,1.27.17 [LOGON] Connection to computer 127.0.0.1 established successfully. Session ID = 0xaaaa11ca.
21/01/2006,1.27.28 [INFO] Start Filter Device.
21/01/2006,1.27.28 AntiVirService Version: 6.32.00.12 AVE Version 6.33.0.77 VDF Version: 6.33.0.148
21/01/2006,1.27.28 AVGuard has been started successfully!
mentre ti sto postando ewindo trova ancora mssearchnet.exe e non lo cancella
cosa devo fare?
|
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 21/01/2006 : 08:34:36
|
Aldilà delle scansioni che hai fatto hai seguito la procedura con killbox che ti ho descritto? alla fine ti chiedevo di pulire con CCleaner e dovresti aver svuotato i file tmp di win e IE.
Comunque dal log che hai messo mssearchnet.exe non c'è ci sono solo dei tmp non rimossi,altri messi in quarantena. Se un AV mette dei file in quarantena e fai una scansione con un altro AV te li trova.Setta l'AV che usi che non metta niente in quarantena,ma che ripari o cancelli.
Riavvia in provvisoria,vai in task manager(Ctrl+Alt+Canc)e controlla se hai un processo mssearchnet.exe (non credo che ci sia,ma controlla)se c'è killalo,poi Start-esegui e digita cmd
alla finestra del dos digita cd\ e invio (adesso sei in C:\)
digita C:\WINDOWS\SYSTEM32 e invio
dopo dai questo comando del *.tmp (uno spazio tra del e *) dai invio
se facendo come ti ho sopra descritto ti nega l'accesso vai ancora nel task manager clicca sulla scheda Processi, seleziona EXPLORER.EXE, e clicca sul pulsante Termina processo. rimarrai con lo sfondo del desktop ed il task manager di windows aperto.
muoviti con comandi dos (quelli che ti ho descritto sopra e quando sei in c:\Windows\System32 lanci il comando del per ogni file tmp che hai nel log postato (es.del LDA78B.TMP, oppure del *.tmp che fai prima) terminata questa operazione Vai nel Task Manager, clicca sulla scheda Applicazioni ,poi sul pulsante Nuova operazione e digita explorer.exe e premi OK.
Ripeti la scansione con Antivir dalla provvisoria e vedi se ti trova ancora i tmp |
|
|
|
ucla
Junior Member
50 Messaggi |
Inserito il - 21/01/2006 : 16:49:36
|
hai ragione tu non avevo eseguito correttamente la procedura con killbox
di tmp non ce ne sono antivir non trova nulla adesso quando si apre ewido
trova ancora mssearchenet.exe che non esiste gli dico cancella ma al riavvio c'è ANCORA ! DEVO DISINSTALALRE EWIDO? |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 21/01/2006 : 20:38:01
|
Può essere un falso positivo,per sicurezza ripeti l'operazione con Killbox su mssearchnet.exe ,poi vedi gli AV che hai se hanno messo in quarantena qualcosa,e sopratutto il percorso che ti segnala Ewindo dove trova il file infetto.
Inoltre disattiva il ripristino di configurazione,e poi riattivalo.
poi posta un log.Se hai seguito la procedura postata non c'è sicuramente nel sistema.
PS. controlla nel task manager se lo hai |
|
|
|
ucla
Junior Member
50 Messaggi |
Inserito il - 22/01/2006 : 23:11:53
|
Lo spero anch'io. gli Av non hanno nulla in quarantena
Ewido segnala File:mssearchnet.exe percorso C:\WINDOWS\system32 infezione Hijacker Spy.Axe
nel task manager non c'è
ecco il log
ogfile of HijackThis v1.99.1
Scan saved at 23.02.08, on 22/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\usrbridg.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\hphmon05.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Intel\NCS\PROSet\PRONoMgr.exe
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\AVPersonal\AVSched32.EXE
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Documents and Settings\LUCA\Desktop\HJK\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://[www].repubblica.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htt*://[www].hp[.com]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Programmi\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programmi\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programmi\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programmi\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: IrBridge User-Level Interface (USRBRIDG) - Extended Systems, Inc. - C:\WINDOWS\system32\usrbridg.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
|
|
|
|
ucla
Junior Member
50 Messaggi |
Inserito il - 23/01/2006 : 00:04:53
|
non c'è pace adesso ewido trova altri file infetti:
ewido anti-malware - Rapporto Scansione
---------------------------------------------------------
+ Creato il: 23.32.45, 22/01/2006
+ Report-Checksum: 10A4648F
+ Risultati scansione:
C:\WINDOWS\system32\__delete_on_reboot__ldD7E5.tmp -> Downloader.Zlob.fa : Pulito con Backup
::Fine Rapporto
---------------------------------------------------------
ewido anti-malware - Rapporto Scansione
---------------------------------------------------------
+ Creato il: 23.44.32, 22/01/2006
+ Report-Checksum: EB078B3B
+ Risultati scansione:
C:\WINDOWS\system32\__delete_on_reboot__ldBA02.tmp -> Downloader.Zlob.fa : Pulito con Backup
--------------------------------------------------------
ewido anti-malware - Rapporto Scansione
---------------------------------------------------------
+ Creato il: 0.03.56, 23/01/2006
+ Report-Checksum: 55497413
+ Risultati scansione:
C:\WINDOWS\system32\__delete_on_reboot__ld9C15.tmp -> Downloader.Zlob.fa : Pulito con Backup
::Fine Rapporto
::Fine Rapporto
|
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 23/01/2006 : 10:18:42
|
Il Log è pulito,segui il percorso che ti segnala Ewindo e fai un cerca,vedrai che non troverai il file segnalato.
Si tratta di un falso positivo. Lancia CCleaner e togli i tmp di Win e IE. per sicurezza svuota la cartella Recycler così
visualizza file nascosti e di sistema, apri explora risorse e vai sulla cartella recycled, vedrai che ci sono delle sottocartelle fatte così S-1-5-21……… segnati i numeri e riavvia in provvisoria
dopo start - esegui e digita cmd dopo digita cd\ e invio
Poi cd\ recycler\ S-1-5-21……(i numerini che ti sei segnato prima).. e invio
quando sei dentro alla sottocartella digita del *.* e invio.
Poi digita cd.. e invio e ritorni nella cartella recycler
Poi cd S-1-5-21…… e invio quando sei nella cartella digita del *.* e invio
Chiudi tutte le finestre e riavvia
Non hai problemi
|
|
|
|
ucla
Junior Member
50 Messaggi |
Inserito il - 24/01/2006 : 00:39:52
|
fatto come hai detto:
nella cartella recycler ci sono 5 sottocartelle nelle prime 4 al comando del risposta impossibile trovare s-1-5-21 .........nella 5 comando eseguito.
al riavvio rispuntano di nuovo i tmp. provo a cancellarli in windows\system32 e mi dice che non esistono file di estensione .tmp. fatto scansione dalla provvisoria con Ewido non trova nulla.
fatto scansione normale:
ewido anti-malware - Rapporto Scansione
---------------------------------------------------------
+ Creato il: 0.41.32, 24/01/2006
+ Report-Checksum: 5385AA7B
+ Risultati scansione:
[664] C:\WINDOWS\System32\ldB7B3.tmp -> Downloader.Zlob.fa : Errore durante la pulizia
C:\WINDOWS\system32\__delete_on_reboot__ldB7B3.tmp -> Downloader.Zlob.fa : Pulito con Backup
C:\Documents and Settings\LUCA\Cookies\luca[ presso ]statcounter[1].txt -> Spyware.Cookie.Statcounter : Pulito con Backup
::Fine Rapporto |
|
|
|
Discussione |
|
|
|
W32 Zlob-AB
Forum Bloccato
