|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
01-10-2008, 14.51.50 | #1 |
Newbie
Registrato: 17-09-2008
Messaggi: 9
|
Attaccato da virus: non sono piu' l'amministratore!
Windows XP con SP2. Da qualche tempo sono stato attaccato da virus/malware (quelli collegati alla scritta "antivirus XP 2008"...); lo schermo ha cambiato sfondo e le ricerche su Google venivano redirezionate in altri siti, in particolare verso un diverso motore di ricerca: clearask.com. Ho seguito i preziosi consigli sull'argometo di altri utenti del forum e ho ripreso possesso del computer. Almeno ora tutto funziona. Non funziona pero' il mio programma cad (Intellicad), da cui mi sono accorto che non sono piu' l'amministratore del computer. Ovviamenta a pannello di controllo risulta che l'amministratore sono io, ma c'e' qualcosa che non va. Quando reinstallo il cad mi dice: accesso negato devi entrare con un conto di amministratore. Eseguendo il comando rundll32 netplwiz.dll, UsersRunDll mi sono accorto che c'erano altri utenti con strani nomi criptati. Li ho cancellati ma la cosa non cambia. Come faccio ad accertarmi se sono effettivamente amministratore e come faccio a impedire che qualcun'altro lo sia?? |
01-10-2008, 15.01.37 | #2 |
Senior Member
Registrato: 21-07-2008
Loc.: Milano
Messaggi: 422
|
probablmente non tutto dell'infezione e' stato rimoso, scarica Combofix:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe salvalo sul desktop. prima di fare questa operazione esci dalla rete e spegni il tuo antivirus e segui le indicazioni.Doppio click su combofix.exe, accetta il disclaimer che ti avverte sull'uso del tool. al termine, verrà creato un file log chiamato C:\ComboFix.txt. allega il log creato al prossimo post in formato .TXT
___________________________________
William Blake. "The Great Red Dragon and the woman dressed with the sun" |
01-10-2008, 16.40.47 | #3 |
Newbie
Registrato: 17-09-2008
Messaggi: 9
|
X cascavel: grazie intanto
ho effettuato la scansione con Combofix: allego il file. Devo segnalare che avevo disattivato l'antivirus (Spybot + Avast), che pero' al successivo riavvio attuato da Combofix e' ripartito, segnalando modifiche al registro varie, che io ho accettato. Dimenticavo di dire che da giorni cerca sempre di partire windows installer (malefico), senza che nessuno lo chiami credo. Per poter lavorare ho dovuto disabilitarlo dalla gestione servizi. Che cavolo succede?? |
01-10-2008, 17.08.23 | #4 |
Senior Member
Registrato: 21-07-2008
Loc.: Milano
Messaggi: 422
|
elimina la cartella backup C\:qoobox ed anche combofix pulisci il sistema con ccleaner http://www.filehippo.com/download_ccleaner/ scarica hijackyhis http://www.trendsecure.com/portal/en...HiJackThis.exe avvialo e scegli la voce do a systemscan and save a logfile allega il log creato al prossimo post meglio se in formato *.txt
___________________________________
William Blake. "The Great Red Dragon and the woman dressed with the sun" |
01-10-2008, 17.58.24 | #5 |
Newbie
Registrato: 17-09-2008
Messaggi: 9
|
eseguite le istruzioni! Allego il file log di Hijackthis:
(forse ho fatto una manovra sbagliata nello spedire l'allegato: spero che arrivi lo stesso!) Ciao a tutti |
01-10-2008, 18.11.28 | #6 |
Newbie
Registrato: 17-09-2008
Messaggi: 9
|
ri-allego allegato hijackthis come testo:
Logfile of HijackThis v1.99.1 Scan saved at 17.45.58, on 01/10/2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe C:\Programmi\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\dllhost.exe C:\WINDOWS\System32\CTSvcCDA.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe C:\Programmi\File comuni\Real\Update_OB\realsched.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programmi\eBay\eBay Toolbar2\eBayTBDaemon.exe C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe C:\Program Files\PDF\pdfSaver\pdfSaver3.exe C:\Programmi\Skype\Phone\Skype.exe C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hposol08.exe C:\Programmi\CASIO\Photo Loader\Plauto.exe C:\PROGRA~1\HEWLET~1\DIGITA~1\bin\hpoevm08.exe C:\WINDOWS\System32\HPZipm12.exe C:\Programmi\Skype\Plugin Manager\SkypePM.exe C:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programmi\eBay\eBay Toolbar2\eBayTB.dll O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programmi\eBay\eBay Toolbar2\eBayTB.dll O4 - HKLM\..\Run: [CamMonitor] C:\Programmi\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\System32\PCLECoInst.dll",CheckUSBContr oller O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [eBayToolbar] C:\Programmi\eBay\eBay Toolbar2\eBayTBDaemon.exe O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe " O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [pdfSaver3] "c:\Program Files\PDF\pdfSaver\pdfSaver3.exe" O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: officejet 6100.lnk = ? O4 - Global Startup: Photo Loader residente.lnk = C:\Programmi\CASIO\Photo Loader\Plauto.exe O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Ricerca - res://C:\Programmi\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programmi\IrfanView\Ebay\Ebay.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL O18 - Protocol: stibo - {FFAD3420-6D61-44F6-BA25-293F17152D79} - C:\Programmi\File comuni\Stibo\RS_ProtocolHandler.dll O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: ASP.NET State Service (aspnet_state) - Advanced System Products, Inc. - (no file) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe |
01-10-2008, 21.14.46 | #7 | |
Senior Member
Registrato: 17-10-2007
Messaggi: 233
|
Quota:
|
|
01-10-2008, 23.38.50 | #8 | |
Senior Member
Registrato: 21-07-2008
Loc.: Milano
Messaggi: 422
|
Quota:
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file) O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) e premi fix checked. scarica SDFix : http://downloads.andymanchesta.com/R...ools/SDFix.exe Una volta scaricato,doppio click su SDFix.exe per lanciare l'installazione Clicca su Install Finita l'installazione riavvia il sistema in modalità provvisoria http://www.megalab.it/articoli.php?id=817 Una volta in modalità provvisoria doppio click sul file RunThis.bat clicca su Y e ENTER per lanciare la pulizia. Al riavvio SDFix porterà a termine la procedura e visualizzerà un messaggio nel quale indica la fine della pulizia e l'opzione per visualizzare il log. riavvia in modalita' normale allega il log di SDFix al prossimo post.
___________________________________
William Blake. "The Great Red Dragon and the woman dressed with the sun" |
|
02-10-2008, 09.04.24 | #9 |
Newbie
Registrato: 17-09-2008
Messaggi: 9
|
eseguite le istruzioni!
Dopo un lungo ruminare sdfix ha sfornato il report: un file txt di 225kB!! Che sia il caso di allegare o si puo' alleggerire? Grazie |
02-10-2008, 09.09.34 | #10 |
Senior Member
Registrato: 21-07-2008
Loc.: Milano
Messaggi: 422
|
mettilo in upload qui http://www.wikifortio.com/ e dopo allega il link al prossimo post...
___________________________________
William Blake. "The Great Red Dragon and the woman dressed with the sun" |
02-10-2008, 10.07.17 | #11 |
Newbie
Registrato: 17-09-2008
Messaggi: 9
|
ho caricato in upload su wikifortio.com: come lo trovo il link che devo allegare? Non mi ha restituito alcun codice di identificazione per il download del file.
Ho riprovato a installare Intellicad ma alla fine mi da' sempre "errore eseguire l'installazione da un conto amministratore"... http://www.wikifortio.com/ |
02-10-2008, 15.31.46 | #12 |
Newbie
Registrato: 17-09-2008
Messaggi: 9
|
per usare il file sharing di wikifortio devo forse prima registrarmi? Mi restituisce un messaggio: file not registered. Aiuto
|
02-10-2008, 16.21.20 | #13 |
Hero Member
Registrato: 21-07-2006
Loc.: Milano
Messaggi: 653
|
Visto che wikifortio non riesci ad usarlo, per risparmiare tempo (almeno quando cascavel si collega può direttamente controllare il log) puoi caricarlo su megaupload http://www.megaupload.com/it/
|
03-10-2008, 00.07.51 | #14 |
Newbie
Registrato: 17-09-2008
Messaggi: 9
|
ho provato a caricarlo sul sito segnalato. Prova a vedere se si puo' scaricare da qui: http://www.megaupload.com/?d=QTTQ8QQS, altrimenti non so proprio come fare. Grazie Angeli!!
|
03-10-2008, 14.55.39 | #15 |
Senior Member
Registrato: 21-07-2008
Loc.: Milano
Messaggi: 422
|
ho letto il report di SDFix ora, dai tre controlli non emerge alcuna infezione, a parte 2 eliminazioni di poco conto compiute da combofix, l'idea era che ci fosse on trojan/rootkit ma SdFix, e' fatto apposta, non ha trovato nulla. elimina combofix, compresa la cartella backup C\;qoobox, elimina SDFix ed i vari log creati dalle due applicazioni ed esegui per scrupolo una scansione online qui http://www.bitdefender.com/scan8/ie.html. rimango dell'idea che non ci siano infezioni nel pc.
___________________________________
William Blake. "The Great Red Dragon and the woman dressed with the sun" |
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
primo dicembre: giornata mondiale... | Doomboy | Chiacchiere in libertà | 214 | 02-12-2007 09.54.54 |
Parole in musica | gemma | Chiacchiere in libertà | 415 | 03-06-2007 04.24.48 |
Sono stato attaccato? | monossido | Sicurezza&Privacy | 2 | 08-09-2006 10.47.01 |
Influenza killer, scienziati di corsa per distruggere virus | handyman | Chiacchiere in libertà | 7 | 13-04-2005 23.07.43 |
Virus bufala tramite MSN Messenger | cavese | Internet e Reti locali | 2 | 23-09-2004 13.50.14 |