SEDEBUGPRIVILEGE e DM_0118.exe

[gexon]

Tutto è iniziato con il contenuto del desktop dell'utente spostato nella cartella SEDEBUGPRIVILEGE.
Ho fatto tutte le procedure che indicate nelle GUIDE ALLA DISINFEZIONE...
Ora anche AsQuare non trova niente, cclean ha fatto il suo lavoro, ma:

1) all'avvio avast trova sempre un tale DM_0118.exe trojan, ma lo trova su
http://88.255.94.246/freehost1/chris...u/dm_0118.exe\[UPX]
non credo sia un file presente nel mio PC..

2)le cartelle sono semrpe in SEDEBUGPRIVILEGE. (che faccio, le sposto manualmente?)

Allego un log di Hijackthis
Grazie
Giorgio

protezioni in uso: avast + defender di microsoft + xp firewall

[Bugs Bunny]

Disattiva ripristino configurazione di sistema
1)fixa:

O4 - HKLM\..\Policies\Explorer\Run: [4F27V1D89M] C:\WINDOWS\service32.exe

O4 - HKLM\..\Policies\Explorer\Run: [Service] C:\WINDOWS\sysnet32.exe

2)in avenger immetti questo script:

Quote:

Files to delete:
C:\WINDOWS\service32.exe
C:\WINDOWS\sysnet32.exe

3)fai una scansione con gmer e riporta le righe in rosso

[gexon]

mmhm... GMER si lamentava per qualcosa nel rootkit, quindi se l'è scansionanto e ha trovato
process c:\window\syss_.exe (***hidden***) 1188

cosa faccio?
e per ripristinare la SEDEBUGPRIVILEGE?

g

[Chill-Out]

hai XP Home o XP Professional? Però prima sarebbe utile se tu postassi il log di Avenger e ci dicessi con precisione quali sono le righe rosse che Gmer riporta,grazie.

[gexon]

xp pro (+avast+xpfirewall+defender by microsoft)

la riga in rosso era, appunto, quella di ssys_.exe

ho fatto KILL PROCESS e ho cancellato con killbox on reboot

avenger quindi nn l'ho usato, ma ora sysnet32 e service32 non ci sono più (ho usato KILLBOX andrà bene lo stesso?)
Poi ho fixato con hijackthis le voci 04 segnalate dall'analizzatore automatico di hijackthis.de

Ora sembra tutto tranquillo: GMER non ha righe rosse, l'analisi di hijack ha tutte spunte verdi, avast tace

Per ripristinare il mio vecchio desktop trascino tutto da SEDEBUGPRIVILEGE?

grazie
g


PS secondo voi la mia configurazione di "difesa" è valida?

[Riverside]

Quote:

Originariamente inviato da gexon

Per ripristinare il mio vecchio desktop trascino tutto da SEDEBUGPRIVILEGE?

Utilizzare il buon vecchio Google non credo sia cosi difficile: basta digitare SEDEBUGPRIVILEGE per arrivare al nostro amico Marco (Eraser): http://www.pcalsicuro.com/main/?p=50

Non sarà, esattamente, il problema che hai esposto, ma le specifiche, credo possano interessarti e servirti come base di partenza per una ricerca più approfondita.

[gexon]

va bene, va bene... non regalarmi un pesce ma insegnami a pescare.... se chiedo una mano è per prendere scorciatoie, visto che nn ho più tantissimo tempo per tenermi aggiornatissimo. Una volta ero uno smanettone (sinclair zx80, PET commodore 2001, vic20, commodore 64, msdos e fine della festa) ora ho 38 anni e molti più problemi a far quadrare il bilancio e il PC mi serve anche per qualcosa di utile

Cmq btw sono qua:
il pc sembra a posto. Credo di aver capito che la cartella SEDEBUGPRIVILEGE si sia creata nel momento in cui si è attivata una sorta di controllo dei privilegi per accedervi cioè:
ho un solo utente PINCO (anzi "PIPPO" come ai miei tempi)
PIPPO è anche admin, con password, con tutti i privilegi.
Quando entro come PIPPO vedo solo le icone standard (risorse di rete, cestino, ie, e i software principali) tutto quello che era di PIPPO è dentro a SEDEBUGPRIVILEGE

Ora se vado nel control panel ->strumenti di amministrazione->criteri di protezione locale mi esce subito una finestra "MODELLI DI PROTEZIONE - impossibile detrminare le impostazionei di protezione dei criteri di gruppo cha sono applicabili al computer in uso(..) %windir%\security\database\secedit.sdb: parametro non corretto

A qualcuno suona familiare questa situazione? Soprattutto avete qualche dritta??

thks very very much
giorgio

[Chill-Out]

sembra che il database secedit.sdb sia corrotto

[gexon]

secedit corrotto...

ho fatto

esentutl /g c:\.....\secedit.sdb ma risponde
"integrity successful"
forse non è up-to-date.

Cosa dici, faccio esentutl /r ?

non è che, avendo il ripristino disattivato, non funziona il repair?

[Chill-Out]

forse esentutl /p

[juninho85]

Quote:

Originariamente inviato da gexon

Cmq btw sono qua:
il pc sembra a posto. Credo di aver capito che la cartella SEDEBUGPRIVILEGE si sia creata nel momento in cui si è attivata una sorta di controllo dei privilegi per accedervi cioè:
ho un solo utente PINCO (anzi "PIPPO" come ai miei tempi)
PIPPO è anche admin, con password, con tutti i privilegi.
Quando entro come PIPPO vedo solo le icone standard (risorse di rete, cestino, ie, e i software principali) tutto quello che era di PIPPO è dentro a SEDEBUGPRIVILEGE

Ora se vado nel control panel ->strumenti di amministrazione->criteri di protezione locale mi esce subito una finestra "MODELLI DI PROTEZIONE - impossibile detrminare le impostazionei di protezione dei criteri di gruppo cha sono applicabili al computer in uso(..) %windir%\security\database\secedit.sdb: parametro non corretto

A qualcuno suona famigliare questa situazione? Soprattutto avete qualche dritta??

thks very very much
giorgio

ehm....mi suona familiare
link

[gexon]

kakkio sono alla frutta - pure la FAMIGLIA !

[gexon]

caro juninho85, mi sembra che sei fresco fresco di una menata simile... non avevo cercato abbasanza. Chiedo venia!

Cmq non ne vengo fuori. Il SECEDIT sembra a posto, cioè dopo il /p non cambia niente. Allora ho seguito la guida MS

secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose

ma ottengo l'errore "specificare /DB nomefile"

--- però il PC funziona normalmente... e se sposto da sedebugprivilege ?