|
|||||||
|
|
|
 |
|
|
Strumenti |
19-08-2008, 22:30
|
#1 |
|
Member
Iscritto dal: Aug 2008
Messaggi: 75
|
Cmd.exe (winhost.exe)
Salve. Vorrei segnalarvi alcune anomalie che da un po' affliggono il mio pc.
Allora: Quando accendo il Pc compaiono 5 finestre cmd.exe (C:\WINDOWS\System32\Cmd.exe) Quando lo spengo appare una finestra che dice ceh non riesce a terminare Cmd.exe e devo cliccare su Termina Adesso. Poi aggiungo anche che (penso che le siano collegati) poco prima di scrivere qua sentivo l'HD "friggere" (cioè che stava lavorando), non l'avevo mai sentito così, quindi ho aperto il Task Manager per scovare il colpevole e trovo un processo strano che mai avevo visto----> winhost.exe Poi, un'altra cosa che penso sia collegata è il fatto che prima volendo scaricare un file da Megaupload non me lo faceva scaricare, perchè secondo il sito io o qualcuno stava scaricando già un file col mio IP. vi posto anche il risultato di HijackThis v2.0.2 hijackthis.log PRIMA DI AVER FATTO la scansione con HijackThis v2.0.2 avevo riavviato il sistema, e winhost.exe non c'è più. Spero possiate aiutarmi. Grazie Ultima modifica di SuB_RiccArdO88 : 19-08-2008 alle 23:25. |
|
|
|
19-08-2008, 23:11
|
#2 |
|
Bannato
Iscritto dal: May 2008
Città: Torino
Messaggi: 59
|
direi infetto da bagle - credo che il tuo log verrà rimosso dal moderatore di sezione perchè lo hai postato senza seguire le indicazioni di sezione
se spulci sul forum trovi una guida per infetti da bagle ed una più generale per la disinfezione del computer una volta risolta l'infezione aggiorna il sistema operativo al SP3 questi exe analizzali su vtolal qui - e pubblica il risultato della analisi in maniera che chi ti aiuterà se ne faccia una idea se non la hanno già c:\windows\system32\winhost.exe O4 - HKLM\..\Run: [Microsoft InternetExplorer Update Check] C:\WINDOWS\iupdate.exe ciao |
|
|
|
|
19-08-2008, 23:27
|
#3 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27479
|
segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti
 riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto. e comincerei a fixare queste voci: Codice:
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 211.140.192.186:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.1.1;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [UpdateManager] "c:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Elements 6.0\apdproxy.exe"
O4 - HKLM\..\Run: [Microsoft InternetExplorer Update Check] C:\WINDOWS\iupdate.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Privoxy.lnk = C:\Programmi\Vidalia Bundle\Privoxy\privoxy.exe
O4 - Global Startup: sito1.bat
O4 - Global Startup: sito2.bat
O4 - Global Startup: sito3.bat
O4 - Global Startup: sito4.bat
O4 - Global Startup: sito5.bat
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
Ultima modifica di xcdegasp : 19-08-2008 alle 23:37. |
|
|
|
|
20-08-2008, 23:37
|
#4 |
|
Member
Iscritto dal: Aug 2008
Messaggi: 75
|
Ho fatto la scansione del file winhost.exe con VirSCAN.org (non ha trovato nulla)
Vtotal invece mi ha trovato solo un risultato: Prevx1 - - Generic.Malware Poi ecco i resoconti dei programmi: mbam-log-08-20-2008 (14-07-56).txt (Malwarebytes Anti-Malware) a2scan_080820-143936.txt (A-Squared Free v3.x) http://www.hwupgrade.helloweb.eu/Par...t657530027.txt (Dr.Web CureIT) SysInspector-NOME-KUH1EVX06W-080820-2307.xml (ESET SysInspector) hijackthis.log (hijackthis) gmer.log (Gmer) PrevX.log (Log PrevxCSI) PrevX.JPG (Screen PrevxCSI) OK QUESTO E' TUTTO. Spero possiate aiutarmi  Grazie! Ultima modifica di SuB_RiccArdO88 : 21-08-2008 alle 01:19. |
|
|
|
|
21-08-2008, 01:41
|
#5 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27479
|
rifai la scansione con malwarebytes perchènon gli hai dato nessun'azione quindi non ha rimosso nulla, stavolta dai il comando "elimina"
dubito seriamente che tu abbia fixato le voci che ti avevo detto di fixare, quindi ti chiedo di fare quella cosa. non amo passare il tempo a guardare dei log gratuitamente mi sai dire che applicazioni sono queste? Codice:
C:\WINDOWS\system32\blat.dll InMem: 0 Det [u] PX5: FECB3450009F5C5FE0460166DE8A8400536649C7 C:\WINDOWS\system32\blat.exe InMem: 0 Det [u] PX5: 63CE50DA00F0BDB0C25D01EA48A3960009E352E1 C:\Documents and Settings\Proprietario\Desktop\blat.exe InMem: 0 Det [u] PX5: 63CE50DA00F0BDB0C25D01EA48A3960009E352E1 C:\Documents and Settings\Proprietario\Desktop\msgXs.dll InMem: 0 Det [u] PX5: 45E6EA8C0014A49A903A00F5BB3C46006DBB92E5 C:\Documents and Settings\Proprietario\Desktop\msgXs.saved.exe InMem: 0 Det [u] PX5: 3E29333700323151C0CC0066174450003F399278 C:\Documents and Settings\Proprietario\Desktop\quickbfc.exe InMem: 0 Det [u] PX5: 14A6205A4A4CA6051E650F313D29DB00989B23BC C:\Programmi\Quick Batch File Compiler\quickbfc.exe InMem: 0 Det [UP] PX5: 904095970012CEF74840080E6F103A00E18F8F8B
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
|
|
|
|
21-08-2008, 14:59
|
#6 |
|
Member
Iscritto dal: Aug 2008
Messaggi: 75
|
Veramente con malwarebytes avevo dato il comando elimina, solo che per sbaglio ti avevo allegato il log sbagliato. mbam-log-08-20-2008 (14-08-08).txt questo è quello giusto.
Ho fixato le voci che mi avevi detto con hijackthis. Ho rifatto la scansione con malwarebytes e non ha trovato nulla. Quei file non ho idea di cosa siano, me li ha passati un mio amico per msn e ora li ho cancellati. |
|
|
|
|
21-08-2008, 18:37
|
#7 | |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
Quote:
servono per rubare la password in msn..... questo "tuo amico" t ha infinocchiato..... elimina quei file indicati sopra, modifica di corsa password e domanda segreta di msn ( e anche ti altri account hotmail) e manda a quel paese questo "tuo amico"  EDIT: nn so se è il caso, ma farei qualke passata con qualke tool della guida dei virus di msn..... Ultima modifica di murack83pa : 21-08-2008 alle 18:41. |
|
|
|
|
|
21-08-2008, 18:58
|
#8 |
|
Member
Iscritto dal: Aug 2008
Messaggi: 75
|
Cavolo grazie mille!!!
li avevo già rimossi, fortunatamente non ci avevo ancora cliccato su. Comunque farò tutte la scansioni del caso...grazie ancora... |
|
|
|
|
21-08-2008, 19:14
|
#9 | |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
Quote:
C:\WINDOWS\system32\blat.dll C:\WINDOWS\system32\blat.exe dovrebbe anche esserci un terzo file, sempre in system32, di nome blat.lib nn so se hai completato la guida, ma ancora c'è da rimuovere (oltre quelli indicati sopra) i seguenti file: c:\windows\system32\winhost.exe C:\WINDOWS\iupdate.exe ciao |
|
|
|
|
|
21-08-2008, 21:08
|
#10 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27479
|
grazie murack
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
|
|
|
|
21-08-2008, 22:28
|
#11 |
|
Member
Iscritto dal: Aug 2008
Messaggi: 75
|
ho cancellato manualmente i file winhost.exe e iupdate.exe perchè il programma che me li ha trovati infetti ha la pretesa che io abbia la copia non tryal per eliminarli -.- mah....
grazie a tutti, domani vi farò sapere quando riaccenderò il pc se tutto è a posto.. grazie ancora.
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 23:26.
