Una manina a ripulire questo notebook? :D

E' da parecchio che non viene utilizzato, quindi è probabile che i malware siano vecchiotti :mbe:

Un po di storia :D
Il problema: non è possibile visualizzare ne cambiare lo sfondo del Desktop. Ho provato a reimpostare il tema di base ma nulla, l'unico momento in cui si vede lo sfondo è per un istante quando spengo il pc.
Il pc era tempo inutilizzato e per provare a risolvere ho iniziato con il disinstallare tutti soft obsoleti (adobe reader 5 :sofico: , flash, ....)
Installato tutti gli aggiornamenti di XP, explorer 7, avira

pulito con ccleaner ... ma il problema non si risolve
quando ho provato a pulire il registro si bloccava la scansione sempre alla stessa percentuale così ho pensato a fare qualche scansione .

PrevX CSI: log (http://www.fileup.itadib.com/download.php?id=UypuhH8TXXGbanyoi5VN) ha rilevato due Rootkit

Dopodiche ho messo asquared: log (http://www.fileup.itadib.com/download.php?id=JLucUABThFJqppK7L5Uh), che ha falciato un po di cose.
Da sottolineare che durante la scansione di asquared è intervenuto avira per mettere in quarantena il file neom.exe dalla cartella system32 (TR/Renos.28160), e altri due file con nomi strani tra le parentesi graffe come quelli segnati da asquared.

Quindi scansione con avira: No detection
Scansione con Bitdefender online: No detection

Gmer: log (http://www.fileup.itadib.com/download.php?id=GylIWNazviAspQJZ55FG)

ed infine DrWeb Cureit: report (http://www.fileup.itadib.com/download.php?id=qvtGBEzamVwtJsE0xdx8). che pare abbia eliminato il rootkit csbtd e che ora mi chiede di riavviare il sistema.

ci vediamo dopo :D

per ora il problema al desktop permane, a dopo il riavvio per il log di hijackthis

ed ecco il log di Hijackthis: link (http://www.fileup.itadib.com/download.php?id=6DmSalouD4irfxASyQ6h).

Ancora una volta dopo il riavvio si è visto lo sfondo per una frazione di secondo e poi niente.. tutto blu :D

a-squared? :D

ho appen a controllato e il log è quello giusto :D

Fammi capire la faccenda desktop...le icone sono presenti o stai operando da task manager?

sono presenti... lo sfondo compare un sec all'accensione e allo spegnimento e poi viene "oscurato".

se vado su proprietà del desktop la prima cosa che noto è che anche se gli rimetto XP Classico come tema... si rimette il tema modificato. e poi su sfondo è tutto quanto non selezionabile :confused:

ho fatto un altra scansione con prevxcsi che non ha piu trovato il rootkit csbtd.exe (e durante la scansione avira ha messo in quarantena il file), e continua a rilevare l'altro rootkit.

log: http://www.fileup.itadib.com/download.php?id=8fKuq1d1DV9NMcDf9VLf

vedo anche il vundo...fatta la procedura?...per quel dmmbe vediamo hijackthis poichè dovrebbe essere presente in run......poi giusto per controllo in regedit recati a questa chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
vedi se sono presenti : explorer.exe ed iexplorer.exe

no ora la faccio non ho letto vundo da nessuna parte io :doh:

vedo anche il vundo...fatta la procedura?...per quel dmmbe vediamo hijackthis poichè dovrebbe essere presente in run......poi giusto per controllo in regedit recati a questa chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
vedi se sono presenti : explorer.exe ed iexplorer.exe

no nn ci sono

per renv in provvisoria si è aperta per un millisecondo :D il prompt e ha dato un log credo vuoto c'è scritto solo che è stata eseguito...

no nn ci sono

ok..escluso un dialer del cacchio che si iniettava in file immage (red lips);)

scarica anche combofix così completi per vundo ed anche altro :)
yawn..ora me ne vò a letto...:D
'notte e buon divertimento :p :asd:

notte :D

uh :D che bello ora funziona il desktop :D

Riavviato in provvisoria-
VundoFix: No detection
FixVundo: No detection
ComboFix: http://www.fileup.itadib.com/download.php?id=cxJLntxkOUOCNJLrbajo

Mi è comparso il log ma nn ha riavviato nulla.
Sono tornato in normale e ho usato PrevXCSI: http://www.fileup.itadib.com/download.php?id=cxJLntxkOUOCNJLrbajo

ha trovato anche un altra cosa ora! :oink:

Ora vado con virit

edit: fine :P

Virit: No Detection
HiJackthis log: http://www.fileup.itadib.com/download.php?id=b9W20RtaZoL0SlVMEuoU

FindAWF: vuoto

nell'ultimo log di Hijackthis vedo:

O4 - HKLM\..\Run: [scanSYS] DCC_send.exe
O4 - HKLM\..\Run: [StartCpl] Trayz.exe
O4 - HKCU\..\Run: [StatusCheck] _ctcp.exe



DCC_send.exe

File Name: DCC_send.exe
Description:
DCC_send.exe is associate with WareOut rogue antispyware. This is not a real process, it is a registry entry created under the "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" registry sub key and is used by WareOut to cheat you that your computer is infected with spyware.
Startup Type: This startup entry is started automatically from a Run, RunOnce, RunServices, or RunServicesOnce entry in the registry.


Filename: Trayz.exe
Fix Trayz.exe errors: Try a Registry Scan
Command: Trayz.exe
Description: Part of the Wareout infection as described here.
File Location: %System%
Startup Type: This startup entry is started automatically from a Run, RunOnce, RunServices, or RunServicesOnce entry in the registry.


Filename: _ctcp.exe
Fix _ctcp.exe errors: Try a Registry Scan
Command: _ctcp.exe
Description: Part of the Wareout infection as described here.
File Location: %System%
Startup Type: This startup entry is started automatically from a Run, RunOnce, RunServices, or RunServicesOnce entry in the registry.

fixato, ora? :confused:

edit: cosa sono quelle voci al 017?

fixato, ora? :confused:

edit: cosa sono quelle voci al 017?

hai amicizie in ucraina? :asd:
fixale tutte.....
giusto per sicurezza fai girare anche i tool per gromozon

hai amicizie in ucraina? :asd:
fixale tutte.....
giusto per sicurezza fai girare anche i tool per gromozon

il nostro caro deneb ha amicizie ucraine e nn c dice niente? :mad:

cosa aspetti a presentarcele? :D :p

:asd: chi ha detto amiche ucraine? :asd:

avevo gia fixato :D

per il tool di gromozon tutto pulito
Trojan.Gromozon does not exist - your system is clean.


rimangono ancora quelle due detection di prevx:mbe:

:asd: chi ha detto amiche ucraine? :asd:

avevo gia fixato :D

per il tool di gromozon tutto pulito
Trojan.Gromozon does not exist - your system is clean.


rimangono ancora quelle due detection di prevx:mbe:

Hum..puoi rifare lo scan di prevx e lo riposti per favore?

eccolo caldo caldo.. occhio che ti scotti :D

http://www.fileup.itadib.com/download.php?id=pdZPrdHYglLinhs7sU7Y

eccolo caldo caldo.. occhio che ti scotti :D

http://www.fileup.itadib.com/download.php?id=pdZPrdHYglLinhs7sU7Y

hum....il primo è da zompare ma sul secondo ho dei dubbi

fallo analizzare su virus total al limite li zompiamo con avenger...anzi già che ci sei fai analizzare anche il primo......;)

:D il primo nn lo trovo nella cartella system32 :D (esendo un rootkit ..)

mentre il secondo ha dato questo report (3 su 32): http://www.virustotal.com/it/analisis/10d45acfaed3a872191cdf53799efd1f

:D il primo nn lo trovo nella cartella system32 :D (esendo un rootkit ..)

mentre il secondo ha dato questo report (3 su 32): http://www.virustotal.com/it/analisis/10d45acfaed3a872191cdf53799efd1f

giustamente....:stordita:
vabbè zompali con avenger tutti e 2 e non ci pensiamo più
poi anche un giro con gmer.....;)

lo script:

Files to delete:
e ci metti il percorso dei 2 file...poi resto lo sai già come fare..;)

:confused: avenger nn ne vuol sapere di partire

edit: al terzo tentativo è partito o.o

swreg deleted!

dmmbe.exe not found, deletion failed :ciapet:

swreg deleted!

dmmbe.exe not found, deletion failed:ciapet:

come pensavo...il log di gmer?

come pensavo...il log di gmer?

sentivo di aver dimenticato qualcosa :doh:
appena finisce lo allego qui

@ Deneb, sgancia, anche, un nuovo log di Hthis, effettuato dopo un riavvio.

ecco il log di gmer (l'ho lanciato due volte dato che mi pareva troppo breve o.o) e Hijack

ecco il log di gmer (l'ho lanciato due volte dato che mi pareva troppo breve o.o) e Hijack

:sbonk: un giro con:

DUSTBUSTER: clicca qui per il download (http://www.majorgeeks.com/download.php?det=1182)
● esegui il download da uno dei mirror disponibili sul sito
● una volta installato, lancialo
● Dust Buster provvederà, automaticamente, ad individuare e rimuovere tutti i file inutili ancora presenti sull’hard disk

KASPERSKY VIRUS REMOVAL TOOL: clicca qui per il download (http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/)
● scarica la versione del tool più aggiornata rispetto alla data di pubblicazione
● verrà creata una apposta cartella sul Desktop
● all’interno della cartella è presente la classica icona (una K) di Kapsersky
● clicca sull’icona per lanciare il tool
● imposta le aree che intendi scansionare (Startup Objects e Disk boot sector sono impostate di default)
● al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati
salva ed allega il log che verrà rilasciato

Nota 1: ● Il tool è incompatibile se si hanno già prodotti Kaspersky installati
Nota 2: ● non possiede una funzione di aggiornamento automatico delle firme

Procedura di disinstallazione di KASPERSKY VIRUS REMOVAL TOOL
● clicca sull’icona per lanciare il tool
● nella finestra principale, in basso, clicca sulla voce Complete Virus Protection
● verrà visualizzato un messaggio: clicca su Ok
● chiudi la pagina web che verrà aperta
● nel messaggio successivo, clicca su SI per avviare la disinstallazione
● al termine, verrà richiesto di riavviare il P.C.

ed installa SUPER ANTI SPYWARE: clicca qui per il download (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)
una volta installato, accedi al pannello Control Center, apri la sezione Scanning Control e spunta questi voci:

● Scan for tracking cookies
● Resolve link/Shortcuts during scan
● Scan Alternate Data Streams
● Use Kernel Direct File Access
● Use Kernel Direct Registry Access
● Display scan option in Explorer context
● conferma le impostazione cliccando su Close

● clicca sulla voce Scan you Computer
nella finestra successiva:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibilità di salvare il relativo log
allega il log che verrà rilasciato

Su Deneb, al lavoro :cool:

solo una cosa: non c'è nessuna partizione in NTFS

a quanto pare sei pulito....però per curiosità..vedi se prevx dà ancora quella voce...;)

Adesso gli viene un infarto :D
A parte le cavolate mi fai una verifica da Start - Esegui - digiti Regedit e navighi fino alla seguente chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

controlla se nel pannelo di dx c'è questo dmmbe.exe

solo una cosa: non c'è nessuna partizione in NTFS
Se ti riferisci a questo:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
visto che non ricordo le altre impostazioni, controlla un attimo.

a quanto pare sei pulito....però per curiosità..vedi se prevx dà ancora quella voce...;)

si compare sempre

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

ci avevo gia pensato :D
ma non c'è :D

Adesso gli viene un infarto :D
A parte le cavolate mi fai una verifica da Start - Esegui - digiti Regedit e navighi fino alla seguente chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

controlla se nel pannelo di dx c'è questo dmmbe.exe

Hum...pensi che gmer non lo avrebbe visto socio? voglio anche vedere se prevx lo dà ancora......

Edit...lo dà

Deneb in gmer hai spuntato tutte le caselline?

Hum...pensi che gmer non lo avrebbe visto socio? voglio anche vedere se prevx lo dà ancora......

Edit...lo dà

già :doh:

si si tutte spuntate

Hum...pensi che gmer non lo avrebbe visto socio? voglio anche vedere se prevx lo dà ancora......

Edit...lo dà

Deneb in gmer hai spuntato tutte le caselline?

Proprio per questo mi pare strano, deneb87 scusa se insisto ci puoi riguardare, controlla che non sia così ebmmd

Weeee, soci congelati (da qualche parte ho letto che, per entrambi le temperature rasentano lo zero ..... ma che ne volete sapere voi, di temperature rigide :cry: ) volete lasciar lavorare Deneb? :muro:
Vediamo il risultato delle scansioni con Kaspersky e Superantispyware ;)

Weeee, soci congelati (da qualche parte ho letto che, per entrambi le temperature rasentano lo zero ..... ma che ne volete sapere voi, di temperature rigide :cry: ) volete lasciar lavorare Deneb? :muro:
Vediamo il risultato delle scansioni con Kaspersky e Superantispyware ;)

:asd: dimenticavo che te sei l'uomo delle caverne :sbonk:
infatti da me fino a ieri le temp erano di 16°\17° :mad:

cmq ora dobbiamo capire se è un falso di prevx oppure no :read:

le scansioni le faccio domani :D fra poco vado a nanna

ho controllato dal primo all'ultimo log di prevx ed è sempre presente

Summary:
C:\WINDOWS\system32\dmmbe.exe - [8] >> Hidden Key: Software\Microsoft\Windows\CurrentVersion\Run - Hidden Key: Software\Microsoft\Windows\\CurrentVersion\Run

le scansioni le faccio domani :D fra poco vado a nanna

ho controllato dal primo all'ultimo log di prevx ed è sempre presente

Summary:
C:\WINDOWS\system32\dmmbe.exe - [8] >> Hidden Key: Software\Microsoft\Windows\CurrentVersion\Run - Hidden Key: Software\Microsoft\Windows\\CurrentVersion\Run

tra l'altro mi pare di nn averlo visto da nessuna parte questo file, se nn allla fine del log, sotto summury, con quel [8] che nn capisco cosa voglia dire.....

xchè nn appare nell'elenco dei file analizzati? o sbaglio e sono io che nn lo trovo? mi servirebbe saperlo x l'analisi dei log di prevx, di cui ho buttato giu 4 righe....

tengo sott'occhio questo caso....e purtroppo attendo ancora risposta da eraser :stordita:

finita la scansione con il tool della kaspersky e l'esito è perentorio: No Detection :D (lol allegato)

Sto facendo da un po la scansione con superantispy e ha rivelato 45 infezioni fino ad ora

emh :D diciamo che c'è stata una piccolissima incomprensione tra me e superantispy :D

mentre sistemava mi ha chiesto di riavviare e non mi ha fatto fare il log

dalla quarentena ecco i file rivelati ed eliminati

Adware.SBSoft (una chiava di registro Toolbar\shellbrowser)
TrackingCookie una decina
Browser Hijack in All User (Sex and Drug, Spyware unistall :asd: e chi piu ne ha piu ne metta)
Malware:KillandClean (una chiave superstite)

Complimenti!!! ma di chi è sto pc (dai lo puoi dire che è tuo :asd:)

start up da hijackthis così:Open the misc tools section->Generate start up list log,spuntando le 2 caselline al lato. vediamo se rileva qualcosa...

:D no no non è mio

ecco il log
http://www.fileup.itadib.com/download.php?id=9cPMmJZyVAbR0l5g2pTA

manco qui vedo nulla di strano...:confused:
nuovo log di combo vediamo n'attimo na cosa....

eccolo qui http://www.fileup.itadib.com/download.php?id=eTCamBrZJSXZ4M8EJxDF

neanche qui niente...comincio a pensare che prevx abbia preso na cantonata
:doh:
il pc come và?

ma..... il pc mi pare che vada bene :mbe:

ma..... il pc mi pare che vada bene :mbe:

personalmente non vedo altro..a meno che prevx indichi anche la presenza che una volta è stata in run sul pc anche se ormai non più presente (voglio sperare :mbe: ) ma poco ci credo.....:rolleyes:

personalmente non vedo altro..a meno che prevx indichi anche la presenza che una volta è stata in run sul pc anche se ormai non più presente (voglio sperare :mbe: ) ma poco ci credo.....:rolleyes:
Mah ..... possiamo abbondare, male non fa:

Scarica SYSCLEAN TRENDMICRO:
clicca qui per il download (http://www.trendmicro.com/ftp/products/tsc/sysclean.com)

● crea una apposita cartella sul Desktop e, al suo interno, inserisci Sysclean

Scarica le definizioni aggiornate VIRUS PATTERN FILES
clicca qui per il download ( http://www.trendmicro.com/download/pattern.asp)

● scompatta, all’interno della cartella creata, il file zippato contenente le definizioni
● disabilita in Ripristino configurazione di sistema
● riavvia il P.C., in modalità provvisoria
● lancia l'eseguibile Sysclean.com
● spunta la casella:Automatically Clean
● avvia la scansione
allega il log che verrà rilasciato

Scarica le definizioni aggiornate VIRUS PATTERN FILES
clicca qui per il download ( http://www.trendmicro.com/download/pattern.asp)



Official pattern release?

PS: mentre scarivo noto con mio sommo piacere :D che forse mi han fatto l'upgrade di linea poichè ho raggiunto un picco di 0,9mb/s :D poi si è stabilizzato a 750kb/s

Official pattern release?
Oh yes.
mentre scarivo noto con mio sommo piacere :D che forse mi han fatto l'upgrade di linea poichè ho raggiunto un picco di 0,9mb/s :D poi si è stabilizzato a 750kb/s
:mbe: che culo ....... solo oggi? a me lo ha hanno fatto già da una quindicina di giorni ;)
Vedrai che Lancetta si inc***** :sbonk:

lol XD

Ecco qua il log del programmino
http://www.fileup.itadib.com/download.php?id=osNMHqUPSb625byMijFQ

il risultato non te lo dico :stordita: :muro:

ho rifatto pure prevxCSI .. sperando che magari nel frattempo era sparito da solo XD
invece ha chiamato gli amici :asd:
è tornato swreg °.° che fosse un falso?

http://www.fileup.itadib.com/download.php?id=mUBcG8G1J6da1pgdxjqc

Ecco qua il log del programmino .... il risultato non te lo dico

ho rifatto pure prevxCSI .. sperando che magari nel frattempo era sparito da solo ..... invece ha chiamato gli amici ..... è tornato swreg che fosse un falso?
Mica ha chiamato solo swreg:

Summary:
C:\WINDOWS\system32\dmmbe.exe - [8] >> Hidden Key: Software\Microsoft\Windows\CurrentVersion\Run - Hidden Key: Software\Microsoft\Windows\\CurrentVersion\Run

C:\WINDOWS\system32\swreg.exe - [B] >> Generic.Malware

Mica ha chiamato solo swreg:

oramai dmmbe.exe è sempre li dal primo all'ultimo post :asd:
invece swreg lo avevo eliminato con avenger, però è di nuovo li

bho :asd: ora vado a nanna spero di non sognarmeli :D

Se non te lo hanno già fatto usare, puoi provare con regrunreanimator:

http://www.greatis.com/appdata/d/d/dmmbe.exe.htm

http://www.greatis.com/reanimator.zip

Proprio per questo mi pare strano, deneb87 scusa se insisto ci puoi riguardare, controlla che non sia così ebmmd

no non è presente, e non è presente nessuna chiave sospetta

@nuz
si lo avevo trovato pure io, ma dato che non lo ha consigliato nessuno non l'ho usato ... non si sa mai che programmi si trovano in giro :D

che dite lo provo? :confused:

no non è presente, e non è presente nessuna chiave sospetta

thx, esclusa anche questa possibiltà

no non è presente, e non è presente nessuna chiave sospetta

@nuz
si lo avevo trovato pure io, ma dato che non lo ha consigliato nessuno non l'ho usato ... non si sa mai che programmi si trovano in giro :D

che dite lo provo? :confused:

Io l'ho usato altre volte e non credo che sia un programma sospeto. Poi gli autori pubblicano utilissime guide di rimozione per alcuni rootkit. Secondo me ti puoi fidare.

Io l'ho usato altre volte e non credo che sia un programma sospeto. Poi gli autori pubblicano utilissime guide di rimozione per alcuni rootkit. Secondo me ti puoi fidare.

allora provo :D
a questo punto.. o provo questo o compro prevxcsi ...
decisamente provo questo :D

allora provo :D
a questo punto.. o provo questo o compro prevxcsi ...
decisamente provo questo :D

è buono provalo e vediamo che succede...quelli di greatis sò seri...;)

è buono provalo e vediamo che succede...quelli di greatis sò seri...;)

niente non lo identifica nemmeno :D

prevx invece si :mbe: