|
| Precedente :: Successivo |
| Autore |
Messaggio |
moebius
Mortale devoto
Registrato: 21/02/08 19:30
Messaggi: 5
|
 Inviato: 21 Feb 2008 19:40 Oggetto: azombyjio.exe Virus o Trojan |
 |
|
Buonasera, primo post scritto con estrema fretta. Scusatemi.
C'è un processo nel taskmanager che puzza decisamente di marcio:
azombyjio.exe
inesistente su google.
La rete funziona, pingo qualsiasi cosa, ma non c'è verso ne di navigare ne di scaricare la posta.
Lo butto giù e tempo 5 secondi si riavvia da solo. Mozilla funziona per una 30 di secondi e poi va di nuovo in blocco. Senza messaggi di errore il browser mi dice che il caricamento della pagina è completo, ma non vedo assolutamente nulla.
Decido di ricorrere ad HiJackThis arma vincente in tante battaglie.
Riconosce quel processo come:
| Codice: | Sconosciuto O4 - HKLM\..\Run: [MDM Rock 4] C:\WINDOWS\system32\azombyjio.exe
Diagnosi: Applicazione sconosciuta. |
Per sicurezza la rimuovo. Tempo 30 secondi rifaccio lo scan e il processo è ancora li. Anche HiJack ha fallito.
Provato già con Adaware e compagnia bella!
NIENTE DA FARE!
Altre soluzioni?
Grazie |
|
| Top |
|
 |
moebius
Mortale devoto
Registrato: 21/02/08 19:30
Messaggi: 5
|
| Inviato: 21 Feb 2008 19:56 Oggetto: |
|
|
dimenticavo alcuni dettagli:
1) Il computer di cui sopra non è qui con me sono collegato in VNC, mi connetto a tutti i server ma i software gestionali non si connettono al database che si trova qui da me. Non vanno internet e posta.
2) Questo è il log di HiJackThis
Logfile of HijackThis v1.99.1
Scan saved at 18.24.12, on 21/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programmi\lg_fwupdate\fwupdate.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\azombyjio.exe
C:\Documents and Settings\administrator.GRUPPOMECAER\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0410/bl8.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/0410/bl7.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0410/bl8.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.compaq.com/1Q00CDT/0410/bl7.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WebCGMHlprObj Class - {56B38F40-4E70-11d4-A076-0080AD86BA2F} - C:\Programmi\File comuni\cgmopenbho.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Programmi\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [LGODDFU] C:\Programmi\lg_fwupdate\fwupdate.exe blrun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MDM Rock 4] C:\WINDOWS\system32\azombyjio.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Avvio Office.lnk = C:\Programmi\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ricerca rapida.lnk = C:\Programmi\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166713141175
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = gruppomecaer.local
O17 - HKLM\Software\..\Telephony: DomainName = gruppomecaer.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADFB1BFD-A56A-4DE0-8560-CD2FD5E113B6}: NameServer = 192.168.1.3,192.168.1.253
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = gruppomecaer.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = gruppomecaer.local
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programmi\RealVNC\VNC4\WinVNC4.exe" -service (file missing) |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
|
| Top |
|
|
moebius
Mortale devoto
Registrato: 21/02/08 19:30
Messaggi: 5
|
| Inviato: 22 Feb 2008 11:29 Oggetto: |
|
|
Sto effettuando le operazioni da te descritte, anche se stamattina non trovo più quel file azomby in taskmanager e internet funziona. Forse Ad-Aware non è stato poi così inutile? Mah!
In cambio stamattina c'è un altro file che sospetto blocchi la posta (Outlook). Cmq ecco il log di HiJackThis dopo la modalità provvisoria
Logfile of HijackThis v1.99.1
Scan saved at 10.17.38, on 22/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programmi\lg_fwupdate\fwupdate.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\dzllsxefu.exe
C:\Documents and Settings\administrator.GRUPPOMECAER\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0410/bl8.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/0410/bl7.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0410/bl8.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.compaq.com/1Q00CDT/0410/bl7.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: WebCGMHlprObj Class - {56B38F40-4E70-11d4-A076-0080AD86BA2F} - C:\Programmi\File comuni\cgmopenbho.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Programmi\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [LGODDFU] C:\Programmi\lg_fwupdate\fwupdate.exe blrun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MDM Rock 4] C:\WINDOWS\system32\dzllsxefu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Avvio Office.lnk = C:\Programmi\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ricerca rapida.lnk = C:\Programmi\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166713141175
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = gruppomecaer.local
O17 - HKLM\Software\..\Telephony: DomainName = gruppomecaer.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADFB1BFD-A56A-4DE0-8560-CD2FD5E113B6}: NameServer = 192.168.1.3,192.168.1.253
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = gruppomecaer.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = gruppomecaer.local
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programmi\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
e questo è il log di combofix
ComboFix 08-02-22.2 - administrator 2008-02-22 10.18.43.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.298 [GMT 1:00]
Eseguito da: C:\Documents and Settings\administrator.xxxxxxxx\Desktop\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Autorun.inf
.
((((((((((((((((((((((((( Files Creati Da 2008-01-22 al 2008-02-22 )))))))))))))))))))))))))))))))))))
.
2008-02-22 10:17 . 2007-06-13 14:22 80,896 ---h----- C:\gicultkvr.exe
2008-02-22 09:47 . 2004-11-15 18:34 <DIR> d--h----- C:\Documents and Settings\Administrator\Risorse di stampa
2008-02-22 09:47 . 2004-11-15 18:34 <DIR> d--h----- C:\Documents and Settings\Administrator\Risorse di rete
2008-02-22 09:47 . 2004-11-15 18:34 <DIR> dr------- C:\Documents and Settings\Administrator\Preferiti
2008-02-22 09:47 . 2004-11-15 18:34 <DIR> d--h----- C:\Documents and Settings\Administrator\Modelli
2008-02-22 09:47 . 2004-11-15 18:34 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Avvio
2008-02-22 09:47 . 2004-11-15 18:34 <DIR> d--h----- C:\Documents and Settings\Administrator\Impostazioni locali
2008-02-22 09:47 . 2004-11-15 18:34 <DIR> dr------- C:\Documents and Settings\Administrator\Documenti
2008-02-22 09:47 . 2004-11-15 18:34 <DIR> dr-h----- C:\Documents and Settings\Administrator\Dati applicazioni
2008-02-22 09:20 . 2008-02-22 09:44 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2008-02-22 03:05 . 2008-02-22 03:05 127 --a------ C:\WINDOWS\system32\MRT.INI
2008-02-21 17:52 . 2008-02-21 17:52 <DIR> d-------- C:\Programmi\Lavasoft
2008-02-21 17:52 . 2008-02-21 17:52 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Lavasoft
2008-02-21 17:51 . 2008-02-21 17:51 <DIR> d-------- C:\Programmi\File comuni\Wise Installation Wizard
2008-02-21 16:08 . 2008-02-22 10:20 135 --ah----- C:\AUTORUN.INF
2008-02-20 15:29 . 2008-02-20 15:29 <DIR> d-------- C:\Programmi\RealVNC
2008-02-20 15:02 . 2008-02-20 15:02 <DIR> d-------- C:\Documents and Settings\planca\WINDOWS
2008-02-20 15:00 . 2004-11-15 18:34 <DIR> d--h----- C:\Documents and Settings\planca\Risorse di stampa
2008-02-20 15:00 . 2008-02-22 07:53 <DIR> d--h----- C:\Documents and Settings\planca\Risorse di rete
2008-02-20 15:00 . 2008-02-22 08:00 <DIR> dr------- C:\Documents and Settings\planca\Preferiti
2008-02-20 15:00 . 2004-11-15 18:34 <DIR> d--h----- C:\Documents and Settings\planca\Modelli
2008-02-20 15:00 . 2004-11-15 18:34 <DIR> dr------- C:\Documents and Settings\planca\Menu Avvio
2008-02-20 15:00 . 2004-11-15 18:34 <DIR> d--h----- C:\Documents and Settings\planca\Impostazioni locali
2008-02-20 15:00 . 2008-02-20 15:00 <DIR> dr------- C:\Documents and Settings\planca\Documenti
2008-02-20 15:00 . 2008-02-20 15:04 <DIR> dr-h----- C:\Documents and Settings\planca\Dati applicazioni
2008-02-06 12:19 . 2008-02-06 12:19 <DIR> d-------- C:\Documents and Settings\girolami.GRUPPOMECAER\Dati applicazioni\Ahead
2008-01-28 16:46 . 2008-02-12 13:35 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\FLEXnet
2008-01-24 18:19 . 2008-01-24 18:26 <DIR> d-------- C:\Documents and Settings\girolami.GRUPPOMECAER\Dati applicazioni\gtk-2.0
2008-01-24 18:15 . 2008-01-24 18:15 <DIR> d-------- C:\Documents and Settings\girolami.GRUPPOMECAER\Dati applicazioni\Inkscape
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-22 09:10 --------- d-----w C:\Programmi\lg_fwupdate
2008-02-22 08:21 --------- d-----w C:\Programmi\File comuni\Adobe
2008-02-20 14:03 --------- d-----w C:\Programmi\Baan
2008-02-19 17:31 --------- d-----w C:\Programmi\Google
2008-02-18 14:13 --------- d-----w C:\Programmi\QuickTime
2008-02-18 14:11 --------- d-----w C:\Programmi\File comuni\Ahead
2008-02-18 14:11 --------- d-----w C:\Programmi\Ahead
2008-02-18 14:03 --------- d-----w C:\Programmi\MioNet
2008-02-18 13:58 --------- d--h--w C:\Programmi\InstallShield Installation Information
2008-02-18 13:56 --------- d-----w C:\Programmi\Skype
2008-02-12 13:07 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Bluetooth
2008-02-12 12:05 --------- d-----w C:\Documents and Settings\girolami.GRUPPOMECAER\Dati applicazioni\Skype
2008-01-11 05:32 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-12-19 22:50 347,136 ----a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll
2007-12-18 09:51 179,584 ------w C:\WINDOWS\system32\dllcache\mrxdav.sys
2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2007-12-08 05:04 3,592,192 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-12-06 11:03 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-12-06 11:03 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2007-12-06 11:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-12-06 04:59 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2007-12-04 18:40 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
2007-12-04 18:40 550,912 ------w C:\WINDOWS\system32\dllcache\oleaut32.dll
2006-10-14 09:13 981,760 ----a-w C:\Programmi\File comuni\mfc42u.dll
2006-01-10 10:16 175,238 ----a-w C:\Programmi\File comuni\IsoView5Hatchings.iso
2005-11-11 10:06 427,632 ----a-w C:\Programmi\File comuni\IsoViewX.ocx
2005-11-11 09:59 1,605,632 ----a-w C:\Programmi\File comuni\IsoEngine.exe
2004-10-01 14:00 40,960 ----a-w C:\Programmi\Uninstall_CDS.exe
2004-08-19 14:39 1,028,096 ----a-w C:\Programmi\File comuni\mfc42.dll
2004-05-19 08:45 86,016 ----a-w C:\Programmi\File comuni\cgmopenbho.dll
2004-05-06 15:07 2,365 ----a-w C:\Programmi\File comuni\cgmopenbho.cfg
2004-03-08 23:00 609,824 ----a-w C:\Programmi\File comuni\COMCTL32.OCX
2004-03-08 23:00 212,240 ----a-w C:\Programmi\File comuni\RICHTX32.OCX
2004-03-08 23:00 152,848 ----a-w C:\Programmi\File comuni\COMDLG32.OCX
2004-03-08 23:00 124,688 ----a-w C:\Programmi\File comuni\MSWINSCK.OCX
2004-03-08 23:00 1,081,616 ----a-w C:\Programmi\File comuni\MSCOMCTL.OCX
2003-05-13 11:11 8,038 ----a-w C:\Programmi\File comuni\OptCGM.prf
2001-02-22 12:22 131,094 ----a-w C:\Programmi\File comuni\DefaultHatchings.iso
1998-06-23 23:00 137,000 ----a-w C:\Programmi\File comuni\MSMAPI32.OCX
2007-06-13 13:22 80,896 --sh--r C:\WINDOWS\system32\dzllsxefu.exe
2007-06-13 13:22 80,896 --sh--r C:\WINDOWS\system32\gdpineydw.exe
2007-06-13 13:22 80,896 --sh--r C:\WINDOWS\system32\tbusidqhg.exe
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 23:39 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe" [2003-08-19 16:23 32873]
"srmclean"="C:\Cpqs\Scom\srmclean.exe" [ ]
"SetRefresh"="C:\Programmi\Compaq\SetRefresh\SetRefresh.exe" [2003-11-06 14:22 524800]
"LGODDFU"="C:\Programmi\lg_fwupdate\fwupdate.exe" [2007-04-10 08:17 249856]
"Adobe Reader Speed Launcher"="C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"MDM Rock 4"="C:\WINDOWS\system32\dzllsxefu.exe" [2007-06-13 14:22 80896]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 23:39 15360]
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Avvio Office.lnk - C:\Programmi\Microsoft Office\Office\OSA.EXE [1998-04-07 23:00:00 52224]
Microsoft Office.lnk - C:\Programmi\Microsoft Office\Office\OSA9.EXE [2004-04-30 14:33:21 69632]
Ricerca rapida.lnk - C:\Programmi\Microsoft Office\Office\FINDFAST.EXE [1998-04-07 23:00:00 111616]
S3 USBSTOR;Driver archiviazione di massa USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 07:08]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{56bfd42a-e0a1-11dc-a781-0002e352dd96}]
\Shell\Auto\command - F:\uggsntopb.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL uggsntopb.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-22 10:20:06
Windows 5.1.2600 Service Pack 2 NTFS
scansione processi nascosti ...
scansione entrate autostart nascoste ...
Scansione files nascosti ...
Scansione completata con successo
Files nascosti: 0
**************************************************************************
.
Ora fine scansione: 2008-02-22 10.21.18
ComboFix-quarantined-files.txt 2008-02-22 09:20:51
.
2008-02-22 02:05:29 --- E O F ---
Il processo incriminato si rigenera automaticamente ad ogni pulizia da parte di HiJackThis e cambia nome!! |
|
| Top |
|
|
moebius
Mortale devoto
Registrato: 21/02/08 19:30
Messaggi: 5
|
| Inviato: 26 Feb 2008 10:39 Oggetto: |
|
|
Sono passati tre giorni e io non riesco ancora a liberarmi di questo maledettissimo virus.
Hijackthis e clceaner, ADAware & Co. non sono bastati.
E' sempre li.
Per andare pochi secondi in rete devo fermare il processo dal taskmanager... durata media circa 30 secondi, poi il virus si riavvia e niente più internet.
La posta non va anche se blocco il processo... non riesce ad autenticarsi sul server.
Qualcuno ha da propormi una soluzione... plz
Grazie |
|
| Top |
|
|
roger_gi
Comune mortale
Registrato: 10/04/09 15:05
Messaggi: 1
|
| Inviato: 10 Apr 2009 17:01 Oggetto: Diagnosi: virus MDM Rock 4 |
 |
|
| roger_gi ha scritto: |
Ho avuto questo problema per cinque giorni e alla fine l'ho risolto da solo e con qualche dritta prelevata dal web.
Te la propongo, se ancora sei nei guai.
Nella mia soluzione devi smanettare un po', perché io faccio tutto a mano, senza usare gran che di programmi.
Il virus mi si è propagato da disco rigido a disco rigido, andandosi a scrivere anche su dischi esterni che avevo attaccato in quel momento. Quindi se ne hai, il controllo va esteso anche a quelli, altrimenti ti rinfetti.
1) Serve RegEdit. Per iniziare una diagnostica metti in cerca fra le chiavi di registro Rock 4 e se lo trovi hai la sicurezza che hai a che fare con un virus. Vai su Start, Esegui, scrivi regedit. Compare la finestra dell'Editor del registro di configurazione di windows. Vai su Modifica, Trova, scrivi Rock 4 e schiacci il pulsante Trova successivo. Se c'è procedi, altrimenti fermati qui.
2) Serve Task Manager. Appena compare il Desk Top di Windows sciaccia contemporaneamente i tasti CTRL ALT e CANC. Compare una finestra Pop up chiamata Task Manager Windows. Ha tante schede, clicca sulla scheda Processi. Appare un elenco di programmi in quel momento pronti a funzionare. Guarda in fondo nella barra di stato e vedrai Utilizzo CPU 100%. Il virus sta già funzionando, occupando tutta l'attività della CPU e ciò impedisce agli altri programmi di funzionare a lungo. Il programma virale che occupa tutta la CPU ha un nome che varia, se lo vuoi fissare sul registro di configurazione di Windows, per ricordarlo devi spegnere a caldo. Io ne ho fissati tre ma assume qualsiasi combinazione di 9 lettere: per esempio bmbrilruw.exe, llpxxorjm.exe, zcmdtmowy.exe.
3) Serve Cerca File. Per sapere dove si annida il virazzo, metti in cerca il nome del virus che vedi girare al 100% nel Task Manager, nel mio caso era bmbrilruw.exe. Vai a Start, Cerca, File o Cartelle. Appare la finestra chiamata Risultati ricerca. Metti in cerca nella cartella di Windows il nome del virus che lavora in quel momento, per esempio "bmbrilruw". Saltano fuori due cartelle System 32 e Prefech.
4) Vai nella cartella di Windows, System 32 e trovi il virazzo, lungo 86 K. Per vedere se ce n'è altri con altri nomi, inattivi, ordina i file per Dimensione e guarda se vedi altri nomi strani di dimensione 86 K. Attenzione a non confonderli con file di sistema che hanno nomi più corti.
Se ne hai altri, intanto li disattivi completamente, cambiandoci estensione, per esempio ci metti l'estensione txt, così vai dentro a leggerli. Poi ci metti un prefisso "Me bmbrilruw.txt", per tenerli tutti raggruppati.
NB. per rendere visibili le estensioni vai in Start, Impostazioni, Pannello di controllo, Opzioni cartella e clicchi, Compare una scheda chiamata Opzioni Cartella con due schede. Vai si visualizzazione, impostazionni avanzate e metti il puntino su visualizza cartelle e file nascosti e poi togli la spunta da nascondi estensioni e nascondi i file protetti. Poi schiaccia Applica e OK.
5) A questo punto devi inattivare il virus funzionante, con una gabola.
Mentre funziona il virus non si può disattivare, perché Windows te lo impedisce. Allora vai nel Task Manager, vai sul nome del virus, clicchi sul pulsante destro e tanto per cominciare gli seghi le gambe, gli imposti la priorità Bassa, così funziona al 50%.
Poi vai nella cartella System 32 e gli cambi estensione, al posto di exe ci metti txt o bac o vir. Quando sei pronto memorizzi questo nuovo titolo, con un Copia. Poi vai in Task Manager e gli Termini il processo. Nei 5 secondi che tu dici passano, mentre è disattivo, devi rinominare. Ci vuole tempismo, dopo 4-5 prove, vedrai che hai un secondo per ridenominarlo ma quando ti accorgi così, ce l'hai fatta.
Praticamente prepari la ridenominazione, che incolli per non riscriverla tutte le volte, compare una finestra di conferma, lasci stare e vai a terminare il processo virale, compare una finestra, dici OK, aspetti che il virus scompaia dal task manager e ti butti a schiaccare il pulsante della finstra di conferma e poi compare un'altra finestra e ti butti a schiacciare OK e poi compare un'altra finestra e ti butti a schiacciare OK. Intanto lui si è riattivato ma tu gli hai segato le gambe definitivamente.
Quando sei riuscito a ridenominarlo con un estensione diversa da exe, sei a posto. Ma non è finita, intanto lui, sta funzionando per l'ultima volta e lo Termini di nuovo, definitivamente.
6) A questo punto, prima di spegnere, se no il virazzo si riattiva con un altro nome quando riaccendi, bisogna fare una pulizia a mano del registro di configurazione di Windows. Devi togliere tutte le connessione che ha questo file, cancellando le voci del registro che lo contengono. Vai in Start, Esegui, scrivi regedit, compare una finestra chiamata Editor del registro di sistema. Vai in Modifica, Trova e metti in cerca fra le chiavi del registro il nome che il virus aveva nel momento che funzionava al 100%. Capiterai su 4-5 chiavi di registro che contengono il nome del file virazzo e intanto che ci sei in quelle pagine sbircia se ci sono dei nomi virazzi simili e cancellali tutti. In qualche chiave di registro troverai anche il nome vero del virus che si chiama MDM Rock 4 e cancellalo. Vai avanti con Trova successivo e dove lo trovi cancellalo. Guarda è sfizioso segare le gambe al virazzo, come a chi te la messo nel compuler ma stai attento a non cancellare nient'altro, intanto che ci sei, anche se qualcosa ti sembrasse strana.
7) Alcuni programmi antivirali di altri utenti hanno rilevano un file C:/WINDOWS/system32/windexserv.dll che cerchi e cancelli sia dalla cartella System 32 che metti incerca sul registro e se lo trovi cancelli. Io conoscendo già la cosa non ho fatto le scansioni ma l'ho cercato e cancellato.
8) I dischi rigidi esterni si puliscono nello stesso modo ma terminando continuamente il programma per impedire che si riscriva sul registro.
9) Prevenzione. Affinchè una cosa così non possa ripetersi o almeno cercare di limitare molto, io ho messo privilegi di amministratore su tutte le HKey del registro di configurazione, cancellando completamente tutti gli altri utenti. Quindi ho lasciato il privilegio di cambiare le chiavi di registro solo a me come amministratore e al sistema altrimenti credo non funzioni. Ma proverò a togliere questi privilegi anche al sistema, in modo che anche il sistema mi debba chiedere il permesso di modificare il registro di configurazione. Ma per esperienza tutti i lucchetti che ho messo me li hanno sempre aperti, escluso la FireWall ZoneAlarm, le porte chiuse da ZoneAlarm, non è mai riuscito ad aprirle nessuno ed anzi chi bussava veniva registrato e catalogato.
10) A questo punto, fai una pulizia generale del registro con CCleaner (free) e RegSeeker (free), in modo incrociato due o tre volte e poi copia il registro di configurazione con l'opzione File, Esporta, in modo da avere un registro snello e pulito, sempre disponibile, da importare.
Sembra lunga ma non è; è più lungo leggere questa pappardella e capire cosa bisogna fare che farlo. Comunque per tutto lo smanettamento non ci vuole più di mezz'ora, ma che soddisfazione! il tempo che ci impiega una scansione, a volte senza successo.
Grazie dell'attenzione |
|
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
