http://img224.imageshack.us/img224/9251/clipboard011ye.jpg

da 1 giorno mi appaiono sti file su programmi nn si possono cancellare sn protetti da crittografia e sono di sola lettura/ nascosti NON SEMBRANO DI WINDOWS gli ho messi sotto:

PEST PATROL
NOD 32
SPYWARE SEARCH DESTROY
AD AWARE
ANTIVIRUS E SPYWARE DI ZONE ALARM SEC. SUITE

MA NIENTE. :cry: :cry: e quando gli ho messi sotto "ewido anti-malware" e questo programma quando va a a scannerizzare il registro MI VA IN CRASH IL PC SCHERMATA BLU FINE. :mc:

nn posso + fare ricerche "esegui--regedit" sul registro in quanto mi si crasha.. volevo smembrare il file da li ma mi sa che questo virus me lo blocca..

ieri ho avuto una botta di troyan assurdo che mi aveva bloccato il lettore cd e leggermente incasinato windows ma ho risolto. e subuito dopo la comparsa di sti files... :muro: :muro:


grazie

Ciao , abbiamo lo stesso problema.. solo che a me un file rimane dello stesso nome ovvero jj.exe mentre il "fratello" continua a cambiare nome in continuazione...
Se noti c'e' anche un acount utente con il nome dell utente.gfp.
Quando provo a cancellare il file mi da accesso negato file nfts e bla bla :muro: :help:

Ciao , abbiamo lo stesso problema.. solo che a me un file rimane dello stesso nome ovvero jj.exe mentre il "fratello" continua a cambiare nome in continuazione...
Se noti c'e' anche un acount utente con il nome dell utente.gfp.
Quando provo a cancellare il file mi da accesso negato file nfts e bla bla :muro: :help:


co zio ma che cosa è cosa possiamo fare??? cmq nn ho trovato l'account che tu dici.

Ciao,

avete provato anche con la scansione dalla modalità provvisoria?
Cancellate tutti i file temporanei, i temp di internet e la cache Java, riavviate in provvisoria e fate la scansione con ewido e con un buon antivirus.

Ciao,

avete provato anche con la scansione dalla modalità provvisoria?
Cancellate tutti i file temporanei, i temp di internet e la cache Java, riavviate in provvisoria e fate la scansione con ewido e con un buon antivirus.
modalità provvisoria? nn ricordo come si fa

Ciao,

occorre premere "F8" all' avvio, durante la fase di P.O.S.T. oppure: http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/idocid/20020722090503924

disattiva anche il ripristino

dite che posso comprare in rete o mi fregano il num della carta??'

dite che posso comprare in rete o mi fregano il num della carta??'
be careful :eek:

fucckof i need to buy k.dick novel on bol.it this morons crackers have broken my balls madafaccaaaaaaaaaaaaaaaaaaaa :help: :help: :muro:

e dire che so protetto..

provato dalla mod provv. NIENTE. che faccio?

kome facio??? akanc?? devo pia 1 libro

fatto la solita passata

Dr.Web/Ewido/BitDefender?

http://img224.imageshack.us/img224/9251/clipboard011ye.jpg

da 1 giorno mi appaiono sti file su programmi nn si possono cancellare sn protetti da crittografia e sono di sola lettura/ nascosti NON SEMBRANO DI WINDOWS gli ho messi sotto:


quello che mi lascia perplesso è che si tratta di file crittografati.
A quel (poco) che sò è praticamnete impossibile cancellarli se non
-risalendo all'utente (e relativi certificati) che gli ha crittografati
-bootando con bart-pe, o altro live cd che possa scrivere su NTFS.

Se da una parte la creazione di file "random" causata da virus "padri" che poi scompaiono è ormai la prassi, d'altra parte che questi file siano pure crittografati è (almeno per me) una vera novità.

In parole povere: visto che non è successo a me sono molto interessato a questo caso...se fai un log con HJT te ne sarei grato.

log con cosa??

fatto la solita passata

Dr.Web/Ewido/BitDefender?


il primo lo provo adesso gli ultimi 2 niente. e ewido mi manda il pc in crash appena va a scan. la memoria

log con cosa??
Hijackthis qui il 3d realtivo...
http://www.hwupgrade.it/forum/showthread.php?t=937676

il primo lo provo adesso gli ultimi 2 niente. e ewido mi manda il pc in crash appena va a scan. la memoria


il registro volevo dire nn memoria

In parole povere: visto che non è successo a me sono molto interessato a questo caso...se fai un log con HJT te ne sarei grato.


Logfile of HijackThis v1.99.1
Scan saved at 19.30.55, on 23/05/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\PestPatrol\CookiePatrol.exe
C:\Programmi\PestPatrol\PPMemCheck.exe
C:\Programmi\PestPatrol\PPControl.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Creative\MediaSource\Go\CTCMSGo.exe
C:\Programmi\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programmi\PeerGuardian2\pg2.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\WINDOWS\System32\svchost.exe
C:\DOCUME~1\jhh\IMPOST~1\Temp\Rar$EX23.890\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - C:\Programmi\LinkOptimizer\LinkOptimizer.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CookiePatrol] C:\Programmi\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programmi\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programmi\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Programmi\Creative\MediaSource\Go\CTCMSGo.exe /SCB /SYS
O4 - HKCU\..\Run: [RemoteCenter] C:\Programmi\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [PeerGuardian] C:\Programmi\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart
O4 - Startup: Creative MediaSource Go!.lnk = C:\Programmi\Creative\MediaSource\Go\CTCMSGo.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {7D731A83-6C80-4EA4-9646-5E06A0513274} (Sandlot Loader Control) - http://www.shockwave.com/content/snailmail/sis/slgwebinstall.cab
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://www.shockwave.com/content/luxor/sis/mjolauncher.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AB29A544-D6B4-4E36-A1F8-D3E34FC7B00A} - http://install.wildtangent.com/bgn/partners/shockwave/blasterball2/install.cab
O16 - DPF: {D77EF652-9A6B-40C8-A4B9-1C0697C6CF41} (TikGames Online Control) - http://www.shockwave.com/content/cinematycoon/sis/cinematycoon.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D334BF1-6217-466D-9602-2F9D7CD80527}: NameServer = 85.37.17.52 85.38.28.92
O17 - HKLM\System\CS1\Services\Tcpip\..\{0D334BF1-6217-466D-9602-2F9D7CD80527}: NameServer = 85.37.17.52 85.38.28.92
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

situazione con zone alarm
http://img350.imageshack.us/img350/6121/ghgfhfg8tt.jpg

nn riesco a bloccae il livello di attendibilita di quel DLL

MI DICE http://img350.imageshack.us/img350/6517/ghgfhfg29md.jpg

Io non vedo niente di eclatante nel log, magari se controlla anche qualcun altro è meglio ;)
Penso che i tuoi problemi derivino dal montare una versione non aggiornata di windows. Se l'aggressore sfrutta una vulnerabilità del SO non "coperta" non ci sono antivirus o firewall o browser alternativi che tengono.

Solo 1 osservazione a margine HJT è meglio che lo estrai in una cartella dedicata solo a lui.

cosi' a pelle puoi togliere le voci O16

e la storia dei dll??

oh io cmq devo pia quel libro nn so che dire che mi fottano il num della postepay amen.

Io non vedo niente di eclatante nel log, magari se controlla anche qualcun altro è meglio ;)
Penso che i tuoi problemi derivino dal montare una versione non aggiornata di windows. Se l'aggressore sfrutta una vulnerabilità del SO non "coperta" non ci sono antivirus o firewall o browser alternativi che tengono.

Solo 1 osservazione a margine HJT è meglio che lo estrai in una cartella dedicata solo a lui.
nn ho capito..

cmq si ho service pack 1 il 2 lo odio mi ha solo mandato tutto a ..

nn ho capito..

cmq si ho service pack 1 il 2 lo odio mi ha solo mandato tutto a ..

Dezippalo e mettilo in una cartella dedicata solo a lui tipo:
C:\DOCUMENTI\HJT

L'SP2 (e il windows update) è indispensabile per un computer sicuro!

Hai provato Prevx (http://www.prevx.com)?

tentar non nuoce...anche perchè senza files o pc sotto mano è un pò un problema

ciao a tutti mi sono appena iscritto anch'io in quanto ho lo stesso problema degli altri..please help!!!!

grazie in anticipo

Hai provato Prevx (http://www.prevx.com)?

tentar non nuoce...anche perchè senza files o pc sotto mano è un pò un problema
niente pero bel programma grazie

niente pero bel programma grazie

:cool: :D

ok, cmq mi stanno venendo alcuni dubbi,

me la fai una passata con BlackLight Beta (http://www.europe.f-secure.com/exclude/blacklight/blbeta.exe)?

http://img128.imageshack.us/img128/7694/immagine8so.jpg

uhm...strano, molto strano

sembrerebbe un rootkit abbastanza tosto.

Prova a fare uno scan con Rootkit revealer http://www.sysinternals.com/Files/RootkitRevealer.zip

avvia il software con questo:
http://www.softpedia.com/get/System/Launchers-Shutdown-Tools/Raise-My-Rights.shtml

uhm...strano, molto strano

sembrerebbe un rootkit abbastanza tosto.

Prova a fare uno scan con Rootkit revealer http://www.sysinternals.com/Files/RootkitRevealer.zip
mi zi crasha il pc con gli scan del reg del sistema. ieri dopo aver installato BlackLight Beta ricevo un casino di attacchi di tutti i tipi.. si stanno moltiplicando.

hai provato o lo dici preventivamente?

Creati un cd di boot con peBuilder vers 3.10a.

Scarichi il file .zip di pebuilder, unzip in una directory.
Da Pebuilder, senza toccare nessun plugin, con il CD di XP Sp2, generi un file. iso.

Masterizza il file .iso su un CD.

Riparti con il CD di boot e a questo punto in ambiente BartPE puoi cancellare tutti i file senza nessun problema (speriamo).
:)

hai provato o lo dici preventivamente?
crashato dibbrutto

Creati un cd di boot con peBuilder vers 3.10a.

Scarichi il file .zip di pebuilder, unzip in una directory.
Da Pebuilder, senza toccare nessun plugin, con il CD di XP Sp2, generi un file. iso.

Masterizza il file .iso su un CD.

Riparti con il CD di boot e a questo punto in ambiente BartPE puoi cancellare tutti i file senza nessun problema (speriamo).
:)


cd del service pack 2 cestinato

ho provato anch'io come phantom reloader tutti i vari procedimenti che avete descritto ma niente..
quando apro blacklight beta mi da la sua stessa schermata..
mentre con rootkit releaver non mi ha cancellato il file in questione!!
a differenza di lui però a me non crasha niente,non si rigenera e non cambia nome come faceva all'inizio!!

grazie di nuovo

www.gmer.net

provate questo, anche se dovrebbe crashare anche lui a questo punto

ma scusate, il file si può copiare? non dico cancellare, ma ce la fate a copiarlo su un floppy o spedire via e-mail?

SONO MESSO COSì.

Vedi se con Unlocker ( http://ccollomb.free.fr/unlocker/ ) riesci a sbloccare e cancellare il file.

In ogni caso potresti provare ad eliminare/disattivare NOD32 ecc. e ad installare il Kaspersky 6.0 ( http://forum.kaspersky.com/index.php?showtopic=14419 ). Vedi se il Proactive Defense (configuralo abilitando tutti i monitoraggi) ti intercetta qualcosa di strano e poi fai una scansione.

per eraser:
GMER da me si apre..spiegami un po come funziona
il file maledetto si riesce a copiare e spostare.
ciao e grazie di nuovo

se riesci mandami i files dal link nella mia signature

il link è:
hai un file sospetto invialo ..nella tua firma??

esatto

mi e uscito questo:
Error while opening attachment "1148656537.exe"
La tua e-mail è stata spedita! Grazie per la collaborazione!


Dimensione massima del file da allegare = 3072000 bytes.

rootkit revealer mi da questo:
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\dei numeri\DISPLAYNAME.
e la data coincide col giorno che l'ho trovato..

porco zio ho dovuto chiaramente formattare che flebo di valeriana che mi serve adesso... :muro:

che vulnerabilità mi ha sfruttato sto rootkit di sto craker d merda che nn è altro??? :muro: :muro: sto inkakkiato come un ape ho 30000 software da reinstallare nn è possibile. speriamo che nn mi attacchi + nessuno.

ERASER ti è arrivato il file?

no non mi è arrivato, perché sembra che sia bloccato dal sistema

che consiglio mi dai a questo punto?

partire da console di ripristino, copiare il file e mandarmelo, senza così che Windows blocchi niente.

spiegami meglio come fare che cosi dopo te lo invio.
e grazie di nuovo per tutti i consigli che mi stai dando!!

RAGAZZI CE L'ho FATTTTTTAAA!!!!!!!!!!!!
Dopo aver letto il post di Valeita10 :D :D

GRAZIE di nuovo a y4mon :D :D :D