|
|||||||
|
|
|
 |
|
|
Strumenti |
12-04-2007, 16:29
|
#1 |
|
Senior Member
Iscritto dal: Mar 2003
Messaggi: 754
|
C'e' un Virus (almeno credo) (Antivir non vede) che fare ?
Ho un Portatile che ho collegato ad Internet tramite la rete aziendale,
in uel momento privo di protezioni e con SP1 per giunta. Successivamente ha come "sintomi" l'occupazione al 99% del lavoro della CPU data dal processo "ciclo del Sistema" Il Pc diventa impraticabile semi-bloccato. Con l'istallazione dell'Antivir appena aggiornato ho la conferma della presenza di Virus (tanti) malgrado la pulizia il Sintomo continua. con Hijackthis leggo : ------------------------------------------------------------------------ Logfile of HijackThis v1.99.1 Scan saved at 11:52:50, on 04/04/2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programmi\AntiVir PersonalEdition Classic\sched.exe C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\CTSvcCDA.EXE C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\TPWRTRAY.EXE C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\System32\00THotkey.exe C:\WINDOWS\LTSMMSG.exe C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programmi\Hijackthis\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/search?q=jazzba...con+Google&lr= O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min -nosplash O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BusinessC (BusinessContinuity) - Unknown owner - C:\WINDOWS\msstl.exe (file missing)O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe e questo, tra l'altro : O23 - Service: BusinessC (BusinessContinuity) - Unknown owner - C:\WINDOWS\msstl.exe (file missing) e' un programma in Avvio che NON vedo se entro nella Configurazione di sistema di Windows (mconfig) Esecuzione automatica. e non riesco a togliere (nemmeno in Modalita' Provvisoria) ---------------------------------------------------------------------- Questo per dare un quadro generale della situazione. Tra l'altro questo computer non sara' destinato in futuro ad accessi in Rete e non voglio istallare il SP2 che consigli mi date ? |
|
|
|
12-04-2007, 16:54
|
#2 |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
fai una scan con questo
http://research.pandasoftware.com/bl...ntiRootkit.zip e fai una scansione postando i risultai poi con the avenger (http://swandog46.geekstogo.com/avenger.zip) seleziona imput script manually; clikka sulla lente di ingrndimento incola questo script Files to delete: C:\WINDOWS\msstl.exe poi clikka done ( o ok ora non mi ricordo) e poi due volte sul semaforo verde e rispondi sempre si; il pc si riavvierà, in caso contrario fallo tu. al riavvio di si presenterà un log: postalo
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
12-04-2007, 17:39
|
#3 |
|
Senior Member
Iscritto dal: Mar 2003
Messaggi: 754
|
Grazie,
non conoscevo questi strumenti : le istruzioni sono abbastanza chiare, spero di aver capito. Su Avanger trovo in rete questa presentazione "Introduzione al funzionamento Come detto, The Avenger è utilissimo in quanto in grado di eseguire praticamente tutte le modifiche che desideriamo. Ma come impartirgliele? Proprio questo lo rende uno strumento difficilmente utilizzabile, da adoperare solo sotto la supervisione di una mano esperta. " Vorrei capirne meglio il funzionamento.. http://research.pandasoftware.com/bl...ntiRootkit.zip Questo invece e' il Software Antivirus che funziona senza istallazione, vero ?? |
|
|
|
|
12-04-2007, 17:50
|
#4 |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
hai letto l'articolo su megalab? comunque puoi fidarti, quello è un virus e lo script va bene; per il panda non lo so perchè non l'ho mai provato
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
12-04-2007, 18:14
|
#5 | |
|
Senior Member
Iscritto dal: Mar 2003
Messaggi: 754
|
Quote:
ma AntiRootkit.zip non e' collegato a Pandasoftware ?? |
|
|
|
|
|
12-04-2007, 18:41
|
#6 |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
è della panda software
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
12-04-2007, 22:08
|
#7 |
|
Senior Member
Iscritto dal: Mar 2003
Messaggi: 754
|
ma il AntiRootkit.zip e' Pavark.exe
e' molto diverso da HiJackthis ?? Questi AntiRootkit sono tutti uguali ? Ho trovato anche questo : SOPHOS sarsfx.exe dove trovare le istruzioni d'uso ?? ma non posso lavorare direttamente con Avenger ?? |
|
|
|
|
12-04-2007, 22:25
|
#8 |
|
Senior Member
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3397
|
Hijackthis non è un antirootkit,è solo un programma che riporta i processi e le chiavi di registro sulle quali agiscono i malwares.
Non possiamo agire con The Avenger se hai un rootkit nel pc,perchè può nascondere i processi dei virus anche a hijackthis e quindi non possiamo accorgerci della presenza di files infetti.
__________________
Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software |
|
|
|
|
12-04-2007, 22:33
|
#9 | |
|
Senior Member
Iscritto dal: Mar 2003
Messaggi: 754
|
Quote:
tra : Pavark.exe e SOPHOS sarsfx.exe Quale usare ?? Vorrei documentarmi in Rete ma trovo difficilmente istruzioni in italiano di questi AntiRootKit |
|
|
|
|
|
12-04-2007, 22:50
|
#10 |
|
Senior Member
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3397
|
provali tutti e 2
__________________
Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 16:37.
