|
|||||||
|
|
|
 |
|
|
Strumenti |
30-01-2007, 12:11
|
#1 |
|
Member
Iscritto dal: Jan 2007
Messaggi: 184
|
Virus che cancella exe e...
Ciao. Ho questo tipo di porblema.
Cerco di installare spyware doct, sygate pf, kaspersky risulato: error 1304 Verify you have access to that directory...etc.. Inutile dire che sono utente di tipo amministratore di windows. Creo un nuovo utente sempre di tipo amministratore. Mi installa tutti e 3 i programmi. Riavvio entro con il nome utente precedente e magicamente gli exe dei 3 programmi non esistono più. Inutile dire che riesco ad installare e usare tranquillamente qualsiasi altro programma... Cosa potrebbe essere? Grazie in anticipo |
|
|
|
30-01-2007, 13:39
|
#2 |
|
Senior Member
Iscritto dal: Oct 2005
Città: Palermo
Messaggi: 2579
|
fai una scansione online con kas o bitdef
__________________
Utente gran figlio di Jobs ed in via di ubuntizzazione Lippi, perchè non hai convocato loro ? |
|
|
|
|
30-01-2007, 15:25
|
#3 | |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
Quote:
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
|
31-01-2007, 09:41
|
#4 | |
|
Senior Member
Iscritto dal: Jun 2003
Città: ..By The Sea..
Messaggi: 564
|
Quote:
http://www.megalab.it/articoli.php?id=948
__________________
Without Contraries is no Progression... |
|
|
|
|
|
31-01-2007, 10:09
|
#5 | |
|
Member
Iscritto dal: Jan 2007
Messaggi: 184
|
Quote:
No...ho controllato tutto quello che dice quel sito non è lo stesso worm. Ho fatto una scansione online con kaspersky non ha trovato nulla...provo con gli altri... il fatto strano che il worm pare che sia attivo solo sotto un determinato utente.. |
|
|
|
|
|
31-01-2007, 10:09
|
#6 | |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
Quote:
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
|
31-01-2007, 10:33
|
#7 | |
|
Senior Member
Iscritto dal: Jun 2003
Città: ..By The Sea..
Messaggi: 564
|
Quote:
__________________
Without Contraries is no Progression... |
|
|
|
|
|
31-01-2007, 11:08
|
#8 | |
|
Senior Member
Iscritto dal: Oct 2005
Città: Palermo
Messaggi: 2579
|
Quote:
2. log con rootkit revealer nel 3d ufficiale
__________________
Utente gran figlio di Jobs ed in via di ubuntizzazione Lippi, perchè non hai convocato loro ? |
|
|
|
|
|
31-01-2007, 13:11
|
#9 |
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22114
|
tread ufficiale gmer:
http://www.hwupgrade.it/forum/showthread.php?t=1372589 tread ufficiale hijack this: http://www.hwupgrade.it/forum/showthread.php?t=937676
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
|
|
|
|
31-01-2007, 14:37
|
#10 |
|
Member
Iscritto dal: Jan 2007
Messaggi: 184
|
il log di hijack this
Codice:
GMER 1.0.12.12011 - http://www.gmer.net Rootkit scan 2007-01-31 14:30:46 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.12 ---- SSDT \??\C:\Documents and Settings\Andrew\Dati applicazioni\hidires\m_hook.sys ZwEnumerateKey SSDT \??\C:\Documents and Settings\Andrew\Dati applicazioni\hidires\m_hook.sys ZwEnumerateValueKey SSDT \??\C:\Documents and Settings\Andrew\Dati applicazioni\hidires\m_hook.sys ZwQueryDirectoryFile SSDT \??\C:\Documents and Settings\Andrew\Dati applicazioni\hidires\m_hook.sys ZwQuerySystemInformation Code \??\C:\WINDOWS\system32\drivers\klif.sys FsRtlCheckLockForReadAccess Code \??\C:\WINDOWS\system32\drivers\klif.sys IoIsOperationSynchronous ---- Devices - GMER 1.0.12 ---- Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE 8238E808 Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE 8238E808 Device \FileSystem\Ntfs \Ntfs IRP_MJ_READ 8238E808 Device \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE 8238E808 Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION 8238E808 Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION 8238E808 Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA 8238E808 Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA 8238E808 Device \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS 8238E808 Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION 8238E808 Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION 8238E808 Device \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL 8238E808 Device \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL 8238E808 Device \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL 8238E808 Device \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN 8238E808 Device \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL 8238E808 Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP 8238E808 Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY 8238E808 Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY 8238E808 Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA 8238E808 Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA 8238E808 Device \FileSystem\Ntfs \Ntfs IRP_MJ_PNP 8238E808 ---- Modules - GMER 1.0.12 ---- Module _________ F8369000 ---- Threads - GMER 1.0.12 ---- Thread 4:192 8206A950 Thread 4:196 8204AC60 Thread 4:200 8204AC60 Thread 4:480 8206A950 Thread 4:816 8206A950 ---- EOF - GMER 1.0.12 ---- Questo quello di Codice:
Logfile of HijackThis v1.99.1
Scan saved at 14.34.34, on 31/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Miramar\PC MACLAN\ATMsg.exe
C:\Programmi\Miramar\PC MACLAN\ATSERVER.EXE
C:\Programmi\Miramar\PC MACLAN\ATSPOOL.EXE
C:\mysql\bin\mysqld-nt.exe
C:\Programmi\Apache Group\Apache2\bin\Apache.exe
C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
C:\WINDOWS\system32\CAPM2RSK.EXE
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\DU Meter\DUMeter.exe
C:\Programmi\SPAMfighter\SFAgent.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\eMule\emule.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Adobe\Adobe Photoshop CS2\Photoshop.exe
C:\DOCUME~1\Andrew\IMPOST~1\Temp\Adobelm_Cleanup.0001
C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\DOCUME~1\Andrew\IMPOST~1\Temp\Adobelm_Cleanup.0001
C:\Programmi\Macromedia\Dreamweaver MX\Dreamweaver.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Adobe\Adobe Photoshop CS2\ImageReady.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Andrew\IMPOST~1\Temp\Rar$EX00.578\HijackThis.exe
C:\DOCUME~1\Andrew\IMPOST~1\Temp\Rar$EX01.875\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programmi\DAP\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [DU Meter] C:\Programmi\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programmi\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{60DA3C50-E23A-470F-86BB-D2A1161B6C6C}: NameServer = 151.99.125.2,151.99.125.3
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Unknown owner - C:\Programmi\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: AppleTalk Messenger (ATMsg) - Miramar Systems Inc. - C:\Programmi\Miramar\PC MACLAN\ATMsg.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - GRISOFT, s.r.o. - (no file)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Miramar AppleTalk File Server - Miramar Systems Inc. - C:\Programmi\Miramar\PC MACLAN\ATSERVER.EXE
O23 - Service: Miramar AppleTalk Print Server - Miramar Systems Inc. - C:\Programmi\Miramar\PC MACLAN\ATSPOOL.EXE
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe
O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - VoyagerSoft, LLC - (no file)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
Cos'è un rootkit? Grazie per l'aiuto |
|
|
|
|
31-01-2007, 14:42
|
#11 | |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
Quote:
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
|
31-01-2007, 14:47
|
#12 |
|
Senior Member
Iscritto dal: Jun 2003
Città: ..By The Sea..
Messaggi: 564
|
Si tratta del bagle. Ed è trattato nella guida che ti ho indicato all'inizio. Però aspetta, non hai sbagliato nell'interpretarla, è solo che sul tuo pc l'infezione non si è sviluppata completamente (probabilmente è stata arginata dall'antivirus) e quindi mancano i punti di riferimento segnalati nella guida per poterla individuare.
Però per rimuoverla puoi seguire ugualmente i passaggi di quella procedura. Cerca di eseguirli passo passo e vedrai che risolverai. Se hai dubbi chiedi pure qua.
__________________
Without Contraries is no Progression... |
|
|
|
|
31-01-2007, 14:48
|
#13 | |
|
Senior Member
Iscritto dal: Oct 2005
Città: Palermo
Messaggi: 2579
|
Quote:
 
__________________
Utente gran figlio di Jobs ed in via di ubuntizzazione Lippi, perchè non hai convocato loro ? |
|
|
|
|
|
31-01-2007, 14:54
|
#14 | |
|
Senior Member
Iscritto dal: Jun 2003
Città: ..By The Sea..
Messaggi: 564
|
Quote:
__________________
Without Contraries is no Progression... Ultima modifica di bReAkDoWn : 31-01-2007 alle 15:05. |
|
|
|
|
|
31-01-2007, 15:11
|
#15 | |
|
Member
Iscritto dal: Jan 2007
Messaggi: 184
|
Quote:
Si si hai visto!? eheh Ritornando alle cose importanti dopo aver letto il link wizard1993, che a questo computer se non sbaglio accede un mio collega dall'estonia per condivisione e gestione dei lavori nell'ufficio dove lavoro, può c'entrare qualcosa? Se scarico prevx mi può servire a qualcosa? |
|
|
|
|
|
31-01-2007, 15:13
|
#16 | |
|
Senior Member
Iscritto dal: Oct 2005
Città: Palermo
Messaggi: 2579
|
Quote:
Che pensi se chiedo ai mod di unificare i due 3d di rootkit rev. e gmer e fare postare i log in un unico 3d ?
__________________
Utente gran figlio di Jobs ed in via di ubuntizzazione Lippi, perchè non hai convocato loro ? |
|
|
|
|
|
31-01-2007, 15:52
|
#17 | |
|
Senior Member
Iscritto dal: Jun 2003
Città: ..By The Sea..
Messaggi: 564
|
...
Quote:
Il nocciolo della questione è stabilire se sia più giusto scindere ogni richiesta di aiuto in più thread in funzione dei log che sono necessari, piuttosto che gestire ogni richiesta nel suo thread originale. A me la scelta sembrerebbe quasi obbligata (ogni richiesta nel proprio thread) e qualcuno ha espresso un parere favorevole, ma tutto questo ovviamente conta poco: andrebbe presa una decisione ufficiale.
__________________
Without Contraries is no Progression... Ultima modifica di bReAkDoWn : 31-01-2007 alle 16:50. |
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 05:55.
