fatto
Luke57 ha scritto:2)apri il taskmanager, se tra i processi trovi toshibaspeed.exe lo evidenzi e premi termina processo
Come hai già tentato di fare, poi nel percorso HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:USERINIT in Dati valore elimini c:\windows\system32\toshibaspeed.exe", virgola compresa
lasciando inalterato (occhio a non eliminare userinit.exe, il computer non si riavvierebbe)
c:\windows\system32\userinit.exe, virgola compresa.
fatto con killbox, unico programma che mi ha permesso di killare i processi, ho killato anche un altro file sospetto (segnalato da virit):
C:\Documents and Settings\stefi\Impostazioni locali\Temp\softpoikl.exe
Luke57 ha scritto:3)avvii Avgpfix
(premi start, individui il file:
c:\windows\system32\toshibaspeed.exe
premi OK per eliminare il file).
fatto, anche con l'altro file
Luke57 ha scritto:4) Infine, in questo percorso del registro di sistema
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows NT
CurrentVersion
Image File Execution Options
verifica che stoo l'ultima voce non vi sia
explorer.exe
Se c'è controlli che cosa è riporatto al suo interno, te lo segni, poi
click tasto dx su explorer.exe>Autorizzazioni>Avanzate>premi il tab.Proprietario>autorizza l'Utente del computer>OK. Torni alla pagina principale, metti la spunta a Controllo completo e In lettura>OK. A questo punto, click tasto dx sulla voce e scegli Elimina.
Chiudi il registro
4)Informami delle operazioni fatte.
la chiave non c'era
A questo punto, molti dei prg bloccati si sono messi a funzionare.
Virit ha trovato (e rimosso) il Trojan.Win32.Agent.AVT
Riavviando più volte il PC, non viene più rilevato.
Viene invece rilevato un rootkit e un linkoptimizer.
Ecco il log di viritexplite:
VirIT eXplorer Lite Log
--------------------------------------------------------
11/10/2007 - 02:17:36
[SCANSIONE DELLA MEMORIA]
VIRUS ATTIVO IN MEMORIA: Trojan.Win32.RootKit.G
[SCANSIONE DEL REGISTRO]
OK
[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
C:\WINDOWS\13.tmp Infetto da BHO.LinkOptimizer.N
* * * RIMOSSO * * *
Chiavi Registro infette: 0.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 131574.
Files Totali: 131574.
Chiavi Registro rimosse: 0.
Virus Rimossi: 1.
--------------------------------------------------------
Se riavvio, virit ritrova il rootkit, e il linkoptimizer in un altro file...
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
11/10/2007 - 02:44:52
[SCANSIONE DEL REGISTRO]
OK
[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
C:\WINDOWS\ohrda1.dll Infetto da BHO.LinkOptimizer.N
* * * RIMOSSO * * *
Chiavi Registro infette: 0.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 18601.
Files Totali: 18601.
Chiavi Registro rimosse: 0.
Virus Rimossi: 1.
Ogni volta lo rimuove, e lo ritrova al riavvio successivo...
_____________________________________________________
Sono riuscito anche a lanciare HiJackthis!
Ecco il log:
=====================hijackthis.log=====================
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 1.52.52, on 11/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\UAService7.exe
C:\DATI\VIRITEXPLITE\viritsvc.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\Microsoft IntelliPoint\point32.exe
C:\DATI\VIRITEXPLITE\MONLITE.EXE
C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cidaemon.exe
E:\MyDownloads\systemscan.exe
C:\DOCUME~1\papi\IMPOST~1\Temp\nsh51.tmp\runme.exe
C:\hijackthis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://GLOBAL.ACER.COM/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {346D8699-DAC7-DD78-5CD4-CA50A929983C} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R220 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /P30 "EPSON Stylus Photo R220 Series" /O6 "USB001" /M "Stylus Photo R220"
O4 - HKLM\..\Run: [EPSON Stylus Photo R220 Series (Copia 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /P40 "EPSON Stylus Photo R220 Series (Copia 1)" /O6 "USB002" /M "Stylus Photo R220"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [IntelliPoint] C:\Programmi\Microsoft IntelliPoint\point32.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\DATI\VIRITEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [Svcs: Dnscache] C:\WINDOWS\system32\svchost.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Startup Manager] "C:\Dati\Advanced System Optimizer\startUp manager.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: LUMIX Simple Viewer.lnk = C:\Programmi\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: DownloadInformation -
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SysWvn - Unknown owner - \\?\C:\Programmi\File comuni\System\com5.exe (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas
http://www.tgsoft.it - C:\DATI\VIRITEXPLITE\viritsvc.exe
--
End of file - 5382 bytes
==========================================
Scan completed in 11,5 minutes
End of report
Alcune ulteriori informazioni:
nonostante la presenza del rootkit, Windows Explorer non crasha più, altrettanto per Taskmanager. Inoltre, non sono più residenti in memoria le varie versioni di IEXPLORE.exe, e non compaiono le continue finestre di tentativo di connessione a internet.
Volevo poi chiedere se è normale che sotto Document and Settings ci sia un utente tOb che io non ho mai creato...
Ho anche il log di systemscan, ma ho sempre il problema che non riesco a fare upload sul sito di sharing.
Prossimo passo?
Stiamo andando molto meglio....
grazie per ora
Registrazione
non puoi dargli un'occhiata lo stesso? Ho visto diversi altri topic con log lunghissimi spezzati su più post...
