Worm/Mydoom.I

[blekm]

su un pc continua ad uscire in continuazione (con l'antivirus ANTIVIR PE) l'avviso che trova questo file! nonostante il tentativo di dirgli nega accesso, cancella, metti in quarantena ecc ecc continua a venire fuori questo messaggio.. ho provato con un fix, ma non risultava nemmeno presente il virus!
sapete darmi qualche fix funzionante? ad-aware e spybot fatti, non posso fare scansioni online perche internet è a 56k! potrei provare ad installare altri antivir, ho provato con AVG ma non riesco ad aggiornarlo manualmente..

[YMen]

prima di tutto disabilità il system restore riavvia in modalità provvisoria poi fai una scansione con antivir e cancella il file se cmq non risolvi scarica hijackthis poi vedi qui per imparare ad usarlo e posta il log

[blekm]

Quote:

Originariamente inviato da YMen

prima di tutto disabilità il system restore riavvia in modalità provvisoria poi fai una scansione con antivir e cancella il file se cmq non risolvi scarica hijackthis poi vedi qui per imparare ad usarlo e posta il log

farò tutto questo appena posso, e posterò il log! grazie per ora.. a risentirci.

[YMen]

Quote:

Originariamente inviato da blekm

farò tutto questo appena posso, e posterò il log! grazie per ora.. a risentirci.

Ok di niente

[blekm]

ecco il LOG DI HIJACK THIS!

Logfile of HijackThis v1.99.0
Scan saved at 19.37.51, on 17/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programmi\Creative\Creative Desktop Wireless\KbDriver_2K.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\OpenOffice.org1.0.2\program\soffice.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tiscali.it/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programmi\Corel\WordPerfect Office 2002\Programs\QFSCHD100.EXE"
O4 - HKLM\..\Run: [KeyBoardDriver] C:\Programmi\Creative\Creative Desktop Wireless\KbDriver_2K.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Startup: OpenOffice.org 1.0.2.lnk = C:\Programmi\OpenOffice.org1.0.2\program\quickstart.exe
O4 - Global Startup: AntiVir Guard.lnk = C:\Programmi\AVPersonal\AVGNT.EXE
O4 - Global Startup: CorelCENTRAL 10.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.it
O16 - DPF: {00000000-0023-0000-5400-320020040070} - http://66.240.181.129/gs/gsi0045.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: BrSplService - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

[bluepix]

Fixerei la seguente riga:
O16 - DPF: {00000000-0023-0000-5400-320020040070} - http://66.240.181.129/gs/gsi0045.exe

Installerei SP2 e aggiornerei Windows alle ultime patches

[YMen]

Quote:

Originariamente inviato da bluepix

Fixerei la seguente riga:
O16 - DPF: {00000000-0023-0000-5400-320020040070} - http://66.240.181.129/gs/gsi0045.exe

Installerei SP2 e aggiornerei Windows alle ultime patches

sperando che kim1010 non passi di qui direi che non potresti essere più completo ma cmq che ne dite di questa riga?
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
Mi sembra da fixare:
perchè il sito non l'ho mai sentito ne visto in nessun log e poi mi sembra strano perchè dice https
PS: scaricati la versione più recente di hijackthis (1.99.1)

[bluepix]

Quote:

Originariamente inviato da YMen

sperando che kim1010 non passi di qui direi che non potresti essere più completo ma cmq che ne dite di questa riga?
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
Mi sembra da fixare:
perchè il sito non l'ho mai sentito ne visto in nessun log e poi mi sembra strano perchè dice https
PS: scaricati la versione più recente di hijackthis (1.99.1)

A dire il vero, gli O16 potrebbero venire tutti eliminati senza problemi.
Quando ci si collega ad un sito che ne ha bisogno si riscaricano ancora.

HTTPS è il protocollo di scambio informazioni crittate. Usa la porta 443 invece che la 80

[YMen]

Quote:

Originariamente inviato da bluepix

HTTPS è il protocollo di scambio informazioni crittate. Usa la porta 443 invece che la 80

ok è solo che prima non lo avevo mai trovato

[kim1010]

Per blue..

YMEN spara solo minkiate per raggiungere velocemente quota 1000 post.
Tutto qua.
Non vedi che sembra una mitraglietta??? spara giusto per sparare... senza nessun senso........ QUOTO..... SONO DACCORDO........ REINSTALLALO.......questo e' quello che risponde!!!! mah!!!!!

[bluepix]

Quote:

Originariamente inviato da kim1010

Per blue..

YMEN spara solo minkiate per raggiungere velocemente quota 1000 post.
Tutto qua.
Non vedi che sembra una mitraglietta??? spara giusto per sparare... senza nessun senso........ QUOTO..... SONO DACCORDO........ REINSTALLALO.......questo e' quello che risponde!!!! mah!!!!!

Kim, non è per fare polemica con te o per difendere Ymen, ma occorre dire alcune cose:
1) Il numero dei post inferiore o superiore a 1000 non indica nulla. Non è dal numero dei post che si giudica l'autorevolezza di una risposta. Ci sono utenti che sono arrivati ad oltre 9000 e non credo che tutti fossero risposte valide a veri problemi. A volte si risponde anche solo per condividere la risposta di un altro. Per dare più peso insomma specialmente quando, come in questa sezione, a volte le soluzioni proposte sono molto, ma molto richiose per coloro che poi le applicano.
2) Vivere in questa sezione, come è capitato anche a me, significa essere disposti ad imparare molto in questa area della sicurezza che è troppo trascurata da tutti. Tutti sanno come usare Office, oppure giocare a tutti i giochi di questo mondo, ma pochi sanno come configurare correttamente un firewall, quali prodotti installare, come si fa un controllo serio del proprio PC. E partecipare ed essere presenti basta anche solo un "sono d'accordo", "quoto" etc etc.
Rispondere in questo modo vuol dire aver letto ed avere interiorizzato .
3) Io, personalmente, mi complimento con Ymen per il tempo che dedica al forum a scapito di altre cose forse più piacevoli. Io mi auguro che, in futuro, ce ne siano molti di più in maniera tale da creare un sicuro punto di riferimento per coloro che ne avranno bisogno.

Ciao

[YMen]

Quote:

Originariamente inviato da bluepix

Kim, non è per fare polemica con te o per difendere Ymen, ma occorre dire alcune cose:
1) Il numero dei post inferiore o superiore a 1000 non indica nulla. Non è dal numero dei post che si giudica l'autorevolezza di una risposta. Ci sono utenti che sono arrivati ad oltre 9000 e non credo che tutti fossero risposte valide a veri problemi. A volte si risponde anche solo per condividere la risposta di un altro. Per dare più peso insomma specialmente quando, come in questa sezione, a volte le soluzioni proposte sono molto, ma molto richiose per coloro che poi le applicano.
2) Vivere in questa sezione, come è capitato anche a me, significa essere disposti ad imparare molto in questa area della sicurezza che è troppo trascurata da tutti. Tutti sanno come usare Office, oppure giocare a tutti i giochi di questo mondo, ma pochi sanno come configurare correttamente un firewall, quali prodotti installare, come si fa un controllo serio del proprio PC. E partecipare ed essere presenti basta anche solo un "sono d'accordo", "quoto" etc etc.
Rispondere in questo modo vuol dire aver letto ed avere interiorizzato .
3) Io, personalmente, mi complimento con Ymen per il tempo che dedica al forum a scapito di altre cose forse più piacevoli. Io mi auguro che, in futuro, ce ne siano molti di più in maniera tale da creare un sicuro punto di riferimento per coloro che ne avranno bisogno.

Ciao

grazie bluepix