PDA

Visualizza versione completa : [XP] File indistruttibile...


Bultro
30-09-2006, 03.50.53
Ho trovato degli strani file .exe, con nomi chiaramente casuali, che gli antivirus non riescono ad aprire, nella cartella C:\Programmi\File comuni\System. Penso che siano opera di un maledetto spyware che recentemente ho rimosso (almeno credo) usando Hijackthis, lo spyware faceva uscire delle finestre pubblicitarie quando cercavo qualcosa su google... I nomi dei file sono in verde e nelle loro proprietà risulta che sono crittografati. Li ho cancellati tutti tranne uno, in origine si chiamava yda.exe o qualcosa del genere. Impossibile cancellarlo o aprirlo con qualsiasi programma! Posso solo rinominarlo e spostarlo all'interno del disco fisso. Ho provato a impostare Hijackthis per cancellarlo all'avvio ma niente. Idee su che cosa sia e come posso levarlo dalle palle??

borgata
30-09-2006, 09.00.41
quale processo lo tiene in gioco?
Usa unkocker o un task manager evoluto come Process Explorer per scoprirlo.

crazy.cat
30-09-2006, 11.36.50
Rimasugli del link optimizer direi.
Unlocker è riuscito ad ammazzarli quando ho provato io con lo stesso problema.

gsmet
01-10-2006, 01.55.12
Se è verde in alcuni casi la formattazione è l'unica via per eliminarli :P

Per chi non lo sapesse... pure quella cacca de flash player ficca file criptati all'interno della cartella di Windows... bello vero?

AMIGA
01-10-2006, 12.22.28
Hai provato a cancellarli con un CD Bot tipo Bart's PE Builder,
http://www.ilsoftware.it/querydl.asp?ID=735
oppure collegando il tuo HD ad un'altra macchina.
Delle volte lo si risolve sovrascrivendolo con un file avente lo stesso nome creato
da noi appositamente.
Comunque bisogna fare attenzione perchè detti files solitamente si rigenerano,perchè hanno una copia nascosta da qualche altra parte,tipo dentro il
ripristino del sistema (per cancellare bisogna disattivarlo momentaneamente)
nella System Volume Information,alcune volte hanno una copia con altro nome,altre volte hanno dei nomi simili a molte applicazioni comuni.

saluti

Bultro
01-10-2006, 16.15.56
Unlocker mi dice:
"Non sono stati trovati handler che bloccano l'oggetto selezionato"
ma cmq fallisce miseramente se gli chiedo di cancellare il file, anche al riavvio.
Su Process Explorer non vedo niente di strano, ho provato a fare "Find" sul nome del file ma non trova niente, ecco cmq la lista dei processi:
Process PID CPU Description Company Name
System Idle Process 0 94.03
Interrupts n/a Hardware Interrupts
DPCs n/a Deferred Procedure Calls
System 4
smss.exe 432 Windows NT Session Manager Microsoft Corporation
csrss.exe 508 Client Server Runtime Process Microsoft Corporation
winlogon.exe 532 Applicazione Accesso a Windows NT Microsoft Corporation
services.exe 580 1.49 Applicazione Servizi e Controller Microsoft Corporation
svchost.exe 740 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 816 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 856 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 888 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 928 Generic Host Process for Win32 Services Microsoft Corporation
sched.exe 1092 Avira GmbH Scheduler Avira GmbH
avguard.exe 1104 Antivirus On-Access Service AVIRA GmbH
niSvcLoc.exe 1168 Service Locator National Instruments
wdfmgr.exe 1516 Windows User Mode Driver Manager Microsoft Corporation
alg.exe 1804 Application Layer Gateway Service Microsoft Corporation
lsass.exe 592 LSA Shell (Export Version) Microsoft Corporation
explorer.exe 1376 Esplora risorse Microsoft Corporation
jusched.exe 1880 Java(TM) 2 Platform Standard Edition binary Sun Microsystems, Inc.
point32.exe 1888 Point32.exe Microsoft Corporation
avgnt.exe 1904 Antivirus System Tray Tool Avira GmbH
ctfmon.exe 1916 CTF Loader Microsoft Corporation
IEXPLORE.EXE 2044 Internet Explorer Microsoft Corporation
procexp.exe 2040 4.48 Sysinternals Process Explorer Sysinternals

PE Builder non funziona... Non accetta il percorso di installazione di Windows, dice che non trova setupldr.bin e ha ragione, non esiste sul mio disco!
Ho provato a usare il classico dischetto floppy di avvio ma poi non riesco ad accedere a C:, per via della formattazione NTFS immagino.
Ho provato a creare un dischetto adatto con NTFS4DOS ma in C: non ci va lo stesso (sebbene il chkdsk lo faccia!).
Questo per la cronaca è il log di Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 16.15.58, on 01/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\AntiVir\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\niSvcLoc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
C:\Programmi\Microsoft IntelliPoint\point32.exe
C:\Programmi\AntiVir\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\HiJackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{48809A1F-1FA6-47F4-9E65-95DDAEBE4948}: NameServer = 85.37.17.57 85.38.28.80
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NILM License manager - Macrovision Corporation - C:\Programmi\National Instruments\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: NI Service Locator (niSvcLoc) - National Instruments - C:\WINDOWS\system32\niSvcLoc.exe

Cosa faccio, me lo tengo sto file???

gsmet
01-10-2006, 17.22.11
E' criptato... non lo rimuovi neppure a sberle... solo col format... cmq se vuoi controllo in giro ma ora non ho tempo e usare google per ste cose è estenuante.

borgata
01-10-2006, 18.15.04
Prova a scaricare un qualche bootCD gratuito (tipo ultimate boot CD), lo masterizzi su un CD riscrivibile e lo fai partire, dovrebbe contenere programmi per navigare tra i file. forse con quelli risci a cancellarlo...

gsmet
01-10-2006, 18.25.42
BartPE non funziona, già provato :P se non riesci da dentro windows non va neppure da bartpe

Bultro
01-10-2006, 18.36.32
Anche gli altri file erano crittografati, non si potevano aprire, ma li ho cancellati senza problemi... :mm:
Cmq ho scoperto che solo un certo utente è abilitato all'accesso al file: è un utente che non dovrebbe esistere, il nome è uno sgorbio di lettere casuali, chiaramente creato dal malware. Ho eliminato subito l'utente e il suo certificato di crittografia, non voglio quella mondezza in giro! Ma il file risulta ancora criptato per quell'utente, forse ho fatto peggio...
Possibile che io, amministratore del computer, non ho modo di accedere ai file criptati da altri utenti??
Proverò con un altro CD boot quando ho tempo, ma dubito che funzionerà, se la crittografia è a livello di file system.
In ogni caso pensate che questo file ormai possa nuocere in qualche modo?

gsmet
01-10-2006, 18.42.49
Hey... se c'è l'utente e hai cancellato il file della crittografia sei messo male... dovevi prendere quel certificato e installarlo da te!!!!

Così cancellavi!

Aggiungi il tuo utente fra gli utenti che possono accedere al file... magari è meno grave del problema che avevo io!

Bultro
01-10-2006, 20.10.05
Non mi fidavo.. son stato precipitoso ma ho preferito spazzolare via tutto, in fondo se nessuno può aprire il file nessuno può usarlo per cose losche!
Non posso aggiungere il mio utente perché anche le proprietà del file non le fa cambiare... sennò avrei tolto la crittografia da un pezzo!