virus nega l'accesso

di **skizzetto0000** » 11/07/06 10:00

ciao a tutti

mi trovo in una situazione un po particolare che ora vi spieghero:

in un pc aziendale che aveva problemi ho utilizzato l'hijackthis per analizzarlo...e una volta costatato la prensenza di piu virus ho utilizzato il fix per bloccarli

ho cancellato i file temporanei ...le varie icone bianche di collegamento in giro per il pc (explorer) e ho riavviato

nel riavvio però ora succede una cosa strana:
inizia a caricare la pag iniziale...esce l'insegna dellantivirus , caricara la barra dello start e mi si ferma li; nel desktop vedo solo l'immagine dello sfondo senza icone e anke cliccando con il destro non esce il menu a tendina. se clicco su star mi si apre tranquillamente il menu...e riesco pure a visualizzare con il task i processi in corso ...ma a occhio nn riesco a riconoscere tanto
Ho pensato pure alla modalità provvisoria ma nn abbiamo la password a causa dell'assenza del responsabile che le conosce.

che posso fare secondo voi? mi trascrivo tutti i file in esecuzione dal task e ve li posto ? o serve a poco? :aaah

grazie per l'attenzione

di **patrix966** » 11/07/06 10:10

Ciao è molto probabile che tu abbia fixato qualche chiave di registro.. :mmmh:

prova un ripristino della configurazione di sistema

di **skizzetto0000** » 11/07/06 10:19

è ripartito... non si sa come ...dopo 10 min si sono caricate le icone e ora sto scrivendo da il pc incriminato

vi posto il nuovo log del hijack cosi ke anke voi possiate darmi un consiglio ed eventualmente capire il motivo di tutto sto tempo di "carica" insipiegabile...anke perke il disco cd è praticamente vuoto..

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\hkcmd.exe
C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
C:\Programmi\COMPAQ\Easy Access Button Support\StartEAK.exe
C:\WINNT\System32\PROMon.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\System32\internat.exe
C:\WINNT\system32\ntvdm.exe
C:\Programmi\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE
C:\Programmi\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programmi\ORL\VNC\WinVNC.exe
C:\WINNT\explorer.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intouch.int.rit.gm.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0410/bl8.asp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da EDS
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://apc.channel21.eds.com/single.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 192.109.189.254 bmw_dns
O1 - Hosts: 192.109.189.125 bmw_notes1
O1 - Hosts: 192.109.189.160 bmw_notes2
O1 - Hosts: 192.109.189.100 bmw_os2
O1 - Hosts: 192.109.189.120 bmw_ntserv
O1 - Hosts: 193.42.235.200 bmw_email
O1 - Hosts: 192.109.189.252 ftp.conc.zi
O1 - Hosts: 194.10.153.1 motor1
O1 - Hosts: 194.10.153.2 motor2
O2 - BHO: Class - {E6203CE9-F85B-39ED-2664-E4F01572CCAF} - C:\WINNT\wjpwm1.dll (file missing)
O2 - BHO: Class - {F8E2757D-BCD5-F781-1CEA-48444F6DA913} - C:\WINNT\wjpwm1.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programmi\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [WinVNC] "C:\Programmi\ORL\VNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [lrnp1.exe] C:\WINNT\TEMP\lrnp1.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [EPSON Stylus C62 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /A "C:\WINNT\System32\E_S15.tmp"
O4 - Global Startup: lpdserver.lnk = C:\lpdserv\CTLAPP.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .mov: C:\Programmi\Netscape\Communicator\Program\PLUGINS\NPQTW32.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{C41E7E5B-2544-4FCB-8E38-C8669B026038}: NameServer = 10.50.43.1
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Help Menager (hlpmngc) - Unknown owner - C:\WINNT\downlo~1\wja869\g72dres.exe (file missing)
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programmi\ORL\VNC\WinVNC.exe" -service (file missing)

di **skizzetto0000** » 11/07/06 14:22

ragazzi son disperato...e la causa è propio il pc in questione...

ho reistallato antivir se sembrava bloccato....ho fatto andre spyb. e adaware se ...ho ripulito da file temporanei...

e mi sn detto...ora riavvio

riavvio...e tac...fermo allo stesso punto di prima...stessa situazione, con solo la barra sotto visibile...nel desktop niente icone...

apro taskm. e cerco di dare unokkiata ai processi aperti...e inizio a terminare dall'ultimo in nomi ke mi sembrano strani... ed ecco che riparte il tutto con mio stupore (noto che mi da la schermata bianca con active desktop ) clicco e ripristino (non so se sia indicazione per qualcosa)

e li che mi dico...avro bekkato il file .exe giusto ...per cui ke faccio? riavvio cosi terminandolo mi prendo nota del nome e lo cerco nel pc...

riavvio e inizio a terminare uno due...(tra cui quello di prima) tre quattro....nn si muove piu nulla..

e ora li fermo...e se fa come prima tra mezzoretta partirà...

ragazzi che è un virus??? vi posto i file nel task in esecuzione??? help me please

di **Luke57** » 11/07/06 14:40

Ciao, scarica la versione trial of Ewido Security Suite da qui -->
http://www.ewido.net/en/download/
Installala ed aggiorna le definizioni

Apri hijackthis, a browser e applicazioni chiusi e disconnesso da internet, premi %do a system scan only”, cerchi e spunti le voci seguenti:
O2 - BHO: Class - {E6203CE9-F85B-39ED-2664-E4F01572CCAF} - C:\WINNT\wjpwm1.dll (file missing)
O2 - BHO: Class - {F8E2757D-BCD5-F781-1CEA-48444F6DA913} - C:\WINNT\wjpwm1.dll (file missing)
O4 - HKLM\..\Run: [lrnp1.exe] C:\WINNT\TEMP\lrnp1.exe
O4 - HKCU\..\Run: [EPSON Stylus C62 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /A "C:\WINNT\System32\E_S15.tmp"
O23 - Service: Help Menager (hlpmngc) - Unknown owner - C:\WINNT\downlo~1\wja869\g72dres.exe (file missing)
Premi fix checked

Poi:
Start>esegui>sc stop hlpmngc (lo copi nello spazio)>OK
Start>esegui>sc delete hlpmngc (lo copi nello spazio)>OK

Riavvia in modalità provvisoria
(Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)
Rendi visibili file e cartelle nascosti:
da gestione del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click OK

Avvia Ewido e Click su scanner
Click su "Complete System Scan" e attendi che lo scan cominci
Alla prima infezione trovata ci sarà la richiesta di pulire la prima infezione, rispondi "Perform action on all infections" e prosegui.
Una volta completato lo scan, ci sarà un pulsante in basso sullo schermo chiamato "Save report", premilo...
Salva il file report .txt sul desktop ed allegalo in un post nel forum

Elimina poi tutti i file temporanei di windows temp e tmp (da start>cerca>tutti i file e cartelle, copi e incolli: *.temp;*.tmp, ed elimini tutti quelli trovati)

sulle opzioni Internet cancella la cache di IE ( sull’opzione elimina file temporanei spunta anche “elimina il contenuto non in linea”, i cookies, cronologia)

svuota il cestino.

Da pannello di controllo.installazioni/applicazioni controlla che non vi siano programmi non installati da te.

di **skizzetto0000** » 11/07/06 14:45

intanto grazie mille per la tua guida

mi devo bloccare pero perke nn si sono ankora visualizzate le icone... come dicevo prima...sto scrivendo da unaltro pc

:-?

da qui la mia disperazione :aaah

di **skizzetto0000** » 11/07/06 14:55

a rieccomi per l'ennesima volta...(peggio di beautiful :lol:

) ....sono nel pc infetto...finalmente è partito...ora prima di riavviarlo sto attento....

cmq ...una cosa strana ke vedo è ke l'antivir non si è istallato correttamente infatti il guard sotto nn c'e' (sara dovuto a tutta la cacca ke c'e' dentro , mah )

procedo come mi hai suggerito...anke se per la modalita provvisoria nn so se riesco oggi se nn recupero la passw.

di **skizzetto0000** » 11/07/06 15:21

ho fatto il controllo con ewido...per ora solo in modalità normale per l'assenza della pasw per la provvisoria

e mi da gia qualcosa:

C:\WINNT\Downloaded Program Files\HDPlugin1101.dll -> Adware.Gator : No action taken.
C:\WINNT\5.tmp -> Adware.LinkOptimizer : No action taken.
C:\WINNT\6.tmp -> Adware.LinkOptimizer : No action taken.
C:\Documents and Settings\pc11\Dati applicazioni\bellezze-inwgr.exe -> Dialer.Generic : No action taken.
C:\Documents and Settings\pc11\Cookies\pc11@112.2o7[2].txt -> TrackingCookie.2o7 : No action taken.
C:\Documents and Settings\pc11\Cookies\pc11@ads20.bpath[2].txt -> TrackingCookie.Bpath : No action taken.
C:\Documents and Settings\pc11\Cookies\pc11@com[1].txt -> TrackingCookie.Com : No action taken.
C:\Documents and Settings\pc11\Cookies\pc11@c.enhance[1].txt -> TrackingCookie.Enhance : No action taken.
C:\Documents and Settings\pc11\Cookies\pc11@c.goclick[2].txt -> TrackingCookie.Goclick : No action taken.
C:\Documents and Settings\pc11\Cookies\pc11@ivwbox[1].txt -> TrackingCookie.Ivwbox : No action taken.
C:\Documents and Settings\pc11\Cookies\pc11@yadro[1].txt -> TrackingCookie.Yadro : No action taken.
C:\Documents and Settings\pc11\Cookies\pc11@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : No action taken.
C:\WINNT\SYSTEM32:kgaa.dll -> Trojan.Agent.vp : No action taken.
C:\WINNT\Downloaded Program Files\krefoto1x.exe -> Trojan.Dialer.a : No action taken.
C:\WINNT\Downloaded Program Files\pmsms2x.exe -> Trojan.Dialer.a : No action taken.
C:\WINNT\Downloaded Program Files\AUTO_2015_N.exe -> Trojan.Dialer.hh : No action taken.

io procedo con l'eliminazione di cio?

ps. il fix prima lho fatto

(grazie mille eh )

di **BilloKenobi** » 11/07/06 15:54

mi intrometto, ma direi di cancellare tutto l'elenco

di **skizzetto0000** » 11/07/06 15:57

cancellato tutto lelenco...

provato a riavviare...ci mette ankora moltissimo a visualizzare le icone del desktop....

ora sto attendendo la passw. per la modalità provvisoria e poi faro il procedimento consigliato...

intanto se avete altri sug. son qui... grazie mille ..

di **Luke57** » 11/07/06 16:58

Ciao, scusa, ma esegui nell'ordine le cose già suggerite nel mio precedente post.

di **skizzetto0000** » 11/07/06 17:04

ciao ...scusa te...ma hai capito perke nn lo posso fare...sto ankora aspe la pasw. ...e appena ce lho rifaccio tutto come da tuo post.

di **Luke57** » 11/07/06 17:26

di **skizzetto0000** » 12/07/06 09:25

che nervi.....vogliono fare loro.....per cui nn pos piu continuare il tuo procedimento.....dicono perke nn hai usato lavasoft e lantivir....io nn ho nemmeno risposto................ :mmmh:

virus nega l'accesso

virus nega l'accesso

Topic correlati a "virus nega l'accesso":

Chi c’è in linea