Precedente :: Successivo |
Autore |
Messaggio |
ilconte30 Eroe


Registrato: 05/11/08 17:21 Messaggi: 54
|
Inviato: 06 Lug 2010 19:25 Oggetto: sospetto rootkit |
|
|
da qualche giorno ho notato comportamenti anomali.
- Il pc si spegne da solo, di colpo e senza preavviso (tipo mancanza energia elettrica)
- outlook ha strani comportamenti e si apre da solo più volte e poi si blocca
- alcuni file di sistema si duplicano.
Avast mi segnala la presenza di 8 rootkit.
Adesso ho installato gmer che me li ha confermati.
Come posso fare ad eliminarli e ad avere conferma che non ci sia altro?
Grazie mille
Luigi |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 06 Lug 2010 22:22 Oggetto: |
|
|
Ciao.
Posta il log che ha rilasciato Gmer.
Carica i log di Gmer,
su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato. |
|
Top |
|
 |
ilconte30 Eroe


Registrato: 05/11/08 17:21 Messaggi: 54
|
Inviato: 06 Lug 2010 22:24 Oggetto: |
|
|
R16 ha scritto: | Ciao.
Posta il log che ha rilasciato Gmer. |
adesso non da nulla.
credo di aver eliminato tutto
grazie ancora |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 06 Lug 2010 22:26 Oggetto: |
|
|
Non ho capito, che problema ha ora il pc. |
|
Top |
|
 |
ilconte30 Eroe


Registrato: 05/11/08 17:21 Messaggi: 54
|
Inviato: 07 Lug 2010 11:41 Oggetto: |
|
|
Outlook si apre da solo in nuove finestre con cadenza di 15 secondi.
Adesso lo rifà di nuovo.
GMER non mi rileva nulla
Sophos anti rootkit mi rileva
Area: Local hard drives
Description: Unknown hidden file
Location: C:\Program Files (x86)\Microsoft Visual Studio 8\VC#\Snippets\1040\Refactoring\PropertyStub.snippet
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)
Area: Local hard drives
Description: Unknown hidden file
Location: C:\Program Files (x86)\Common Files\microsoft shared\Windows Live\HWDeviceLogin.dll
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)
non ci capisco più nulla.
grazie |
|
Top |
|
 |
ilconte30 Eroe


Registrato: 05/11/08 17:21 Messaggi: 54
|
Inviato: 07 Lug 2010 12:02 Oggetto: |
|
|
sempre sophos
Area: Local hard drives
Description: Unknown hidden file
Location: C:\Windows\winsxs\Backup\x86_microsoft-windows-f..temutilitylibraries_31bf3856ad364e35_6.0.6002.18005_none_eb81d0e3eccf24e4.manifest
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available) |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
|
Top |
|
 |
ilconte30 Eroe


Registrato: 05/11/08 17:21 Messaggi: 54
|
Inviato: 07 Lug 2010 13:55 Oggetto: |
|
|
report.txt
Ho dovuto fare la scansione in modalità provvisoria perchè di colpo il pc si spegne (tipo mancanza improvvisa energia elettrica)
ciao |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 07 Lug 2010 14:30 Oggetto: |
|
|
Ciao.
Il log è tagliato.
In più, è un Sistema Operativo a 64 bit.
Prova a fare una scansione con DOCTORWEB. (è compatibile con S.O a 64 bit)
Scarica sul desktop DoctorWeb: (in fondo pagina trovi il Download)
link
Clicca su Avvia.
Farà una scansione preliminare.
Quando sarà finita, seleziona Scansione completa e clicca sul triangolino verde.
Se trova infezioni, usa il tasto "Sposta".
Posta solo gli eventuali file infetti che trova.
Il log lo trovi in:
C:\Documents and Settings\nomeutente\DoctorWeb\CureIt.log |
|
Top |
|
 |
ilconte30 Eroe


Registrato: 05/11/08 17:21 Messaggi: 54
|
Inviato: 07 Lug 2010 17:10 Oggetto: |
|
|
R16 ha scritto: | Ciao.
Il log è tagliato.
In più, è un Sistema Operativo a 64 bit.
Prova a fare una scansione con DOCTORWEB. (è compatibile con S.O a 64 bit)
Scarica sul desktop DoctorWeb: (in fondo pagina trovi il Download)
link
Clicca su Avvia.
Farà una scansione preliminare.
Quando sarà finita, seleziona Scansione completa e clicca sul triangolino verde.
Se trova infezioni, usa il tasto "Sposta".
Posta solo gli eventuali file infetti che trova.
Il log lo trovi in:
C:\Documents and Settings\nomeutente\DoctorWeb\CureIt.log |
niente, si spegne quando va a scanzionare in system32
ho provato anche in modalità provvisoria . dura di più ma si spegne di colpo
che faccio? |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 07 Lug 2010 17:27 Oggetto: |
|
|
Devi provare a postarmi il log di Systemscan completo. (ne hai postato circa la metà)
Oppure, prova a postare un log di HiJackThis. ( eseguilo come Amministratore)
Segui le istruzioni di questo topic per postare il log di HiJackThis:
http://forum.zeusnews.com/viewtopic.php?t=23440
Domanda:
Di recente, hai preso il Worm Beagle ? |
|
Top |
|
 |
ilconte30 Eroe


Registrato: 05/11/08 17:21 Messaggi: 54
|
Inviato: 07 Lug 2010 17:48 Oggetto: |
|
|
R16 ha scritto: | Devi provare a postarmi il log di Systemscan completo. (ne hai postato circa la metà)
Oppure, prova a postare un log di HiJackThis. ( eseguilo come Amministratore)
Segui le istruzioni di questo topic per postare il log di HiJackThis:
http://forum.zeusnews.com/viewtopic.php?t=23440
Domanda:
Di recente, hai preso il Worm Beagle ? |
il repoprt hijack è qui hijackthis.log
non credo per il worm. che io sappia da problemi con l'antivirus ma credo di non averli
i problemi sono essenzialmente lo spegnimento improvviso e outlook che si apre di continuo
ciao e grazie |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 07 Lug 2010 18:12 Oggetto: |
|
|
A me sembra, che hai scaricato (o qualcuno ti ha fatto scaricare) un software specifico per il Worm Beagle. (FyK)
Comunque segui queste indicazioni:
Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema.
http://forum.zeusnews.com/viewtopic.php?t=22084
Pulisci i files temporanei con CCleaner
http://forum.zeusnews.com/viewtopic.php?p=282670#282670
Disattiva il Tea Timer di SpyBot così:
Apri SpyBot in modalità avanzata (menù modalità - avanzata) poi vai in utilità - resident e togli la spunta a TeaTimer, e riavvia il pc.
Hai una specie di firewall che non conosco:
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
Prova a eliminarlo.
Avvia hijackthis, (eseguilo come Amministratore) metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked
Codice: | O15 - Trusted Zone: *.sian.it
O15 - Trusted Zone: http://*.sian.it
O15 - Trusted Zone: *.sian.it (HKLM)
O16 - DPF: {33415AC7-AFFA-4D55-B41C-C64C0D07DFCA} (Hewlett-Packard Printer Diagnostics) - http://h50203.www5.hp.com/HPISWeb/Customer/cabs/HPISWebManager.CAB
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe |
Disistalla pure Avast, compreso il suo Firewall. (e siamo a 2)
Non vorrei che fosse prioprio lui che crea problemi.
Per disistallare Avast!:
Cessane l'esecuzione dalla Tray bar. (vicino all'orologio)
Scarica questo Tooll specifico sul Desktop:
link
Lo si deve eseguire in Modalità provvisoria.
Ecco la pagina con le istruzioni:
link
Riavvia in Modalità normale.
Installa per il momento Virit:
Scarica VIRIT :
http://forum.zeusnews.com/viewtopic.php?t=45211
lo aggiorni (cliccando sulla parabola in alto) e fai la scansione in Modalità Provvisoria (è molto importante).
Posta anche il log. (lo trovi sull'icona in alto, con raffigurato un block notes ,con una penna) |
|
Top |
|
 |
ilconte30 Eroe


Registrato: 05/11/08 17:21 Messaggi: 54
|
Inviato: 07 Lug 2010 20:52 Oggetto: |
|
|
VirIT eXplorer Lite Log
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
07/07/2010 - 19:29:35
[SCANSIONE DEL REGISTRO]
OK
[C:]
MASTER BOOT RECORD (\\.\PhysicalDrive0): OK
BOOT SECTOR: OK
C:\Users\Luigi\Desktop\utility\Setup.exe Infetto da Packed.Win32.Katusha.E
* * * RIMOSSO * * *
Chiavi Registro infette: 0.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 291374.
Files Totali: 291374.
Chiavi Registro rimosse: 0.
Virus Rimossi: 1. |
|
Top |
|
 |
ilconte30 Eroe


Registrato: 05/11/08 17:21 Messaggi: 54
|
Inviato: 07 Lug 2010 20:54 Oggetto: |
|
|
vorrei però precisare che il file infetto in realtà non dovrebbe esserlo, perchè è uno dei file utility che ho scaricato da questo forum per la disinfezione.
La scxansione è avvenuta per tutti i file e non c'è nulla.
Ho verificato anche se si trattasse di problema hardware ma la cpu non è surriscaldata e tutti i problemi cessano in modalità provvisoria.
spero solo sia un problema di incompatibilità di file.
Ho disinstallato diversi programmi inutilizzati
ho ripulito tutto con cclean
ho seguito le istruzioni tue.
tolto tutti gli antivirus ed installato antivir |
|
Top |
|
 |
ilconte30 Eroe


Registrato: 05/11/08 17:21 Messaggi: 54
|
Inviato: 07 Lug 2010 21:05 Oggetto: |
|
|
il monitori di virit mi da una serie di file in esecuzione automatica
molti di questi presentano un cerchietto rosso con x bianca.
nel file che ti allego c'è scritto file non trovato
Esecuzione automatica.txt
come posso pulirli?
P.S.: incrocio le dita: fino ad adesso nessun comportamento strano |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 07 Lug 2010 22:51 Oggetto: |
|
|
Ciao.
Non preoccuparti per quei file che ti segnala Virit.
Sono file che non trova in Esecuzione Automatica, ma ci sono nel pc.
Per disistallare Virit,fai :
Start\Tutti Programmi, e trovi il suo Unistall.
Fai una scansione con Avira e posta il log.
Se può servire:
Guida e installazione di Avira:
http://forum.zeusnews.com/viewtopic.php?t=42228 |
|
Top |
|
 |
|