PDA

Visualizza versione completa : Virus invisibile ed introvabile! chiedo aiuto


Philo
07-10-2008, 22.36.34
aiutatemi perfavore, sul mio vista credo di aver preso 1virus perchè non posso + aprire firefox, internet explorer è manomesso(impostazioni insicure, aggiorna all'infinito le pagine, ecc..)inoltre mi ha incasinato i privilegi di amministratore, e mi ha disattivato windows aereo, non mi fa installare programmi, mi interrompe lo strumento di rimozionemalware, insomma mi ha fatto 1macello...
ho fatto 1 scansione con l'AVG 8.0 internet security, ma niente, non trova niente, allora dalla partizione del win xp, ho avvaito 1scansione sulla partizione di vista(quella infetta) con:
-il tool della kaspersky: non trova niente;
-l'anti rootkit del mio AVG 8.0 I.S.: niente;
-hijack this: trovati 4problemi sul settore 015(internet), ma non so cm levarli.
ora, mi sarebbe utile scoprire il nome di questo bastar*o, cosi forse trovo la patch per eliminarlo, ma se non lo trova nessuno, e se sopratutto non mi fa installare niente...
aiutatemi perfavore...

cascavel
07-10-2008, 22.48.19
allega il log di hijackthis in formato .TXT eseguito con questa versione http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

Philo
07-10-2008, 22.54.21
ok, appena posso lo faccio...(spero che non me lo blocchi quel maledetto)

Philo
07-10-2008, 23.08.08
Questo è il log che avevo fatto con la versione installata di hijcak this, l'altro ieri (settore 015 come dicevo):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23.37.05, on 05/10/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Philo
07-10-2008, 23.23.30
queste sono le maledette 015:
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone

cascavel
07-10-2008, 23.36.19
ripeti hijackthis, sleziona la voce do a systemscan only, aggiungi la spunta accanto a queste voci :

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone

e premi FIX CHECKED

Scarica ed esegui Lop S&D.exe
http://eric.71.mespages.googlepages.com/LopSD.exe
- doppio click su Lop S&D presente sul tuo desktop
- scegli la lingua e seleziona 1 (ricerca)
- attendi che termini la scansione......
- allega il log (C:\lopR.txt) insieme ad un altro log di hijackthis eseguito dopo Lop S&D

p.s. il tool Lop S&D e' stand alone e di solito e' usato per altri scopi, in questo caso ti chiedo di eseguirlo per verificare delle cose...

Philo
07-10-2008, 23.43.16
ok, farò come dici...non credo di farcela per sta notte...forse domani, perchè adesso sto usando la pasrtizione con XP...
grazie 1000 per l'aiuto che mi stai dando :)

cascavel
07-10-2008, 23.52.29
e' molto rapido come lavoro, fallo comunque con calma quando ritieni opportuno, ciao

Philo
08-10-2008, 15.02.21
acc. non posso aprire nessun eseguibile, nemmeno i programmi installatai, non posso aprire i .bat, il cmd da esegui, il regedit, usare 1qualsiasi browser, non posso fare niente!!
aiutatemi, cosa faccio???

Philo
08-10-2008, 15.08.59
l'errore che compare è:
impossibile aprire dispositivo, percorso o file. privilegi insufficienti."
secondo me è colpa del account di amministratore completo in vista che ho creato via prompt, ma adesso ho eliminato l'account

Philo
08-10-2008, 15.48.12
Scarica ed esegui Lop S&D.exe

si può usare Lop S&D.exe e hijack this dalla partizione H dove non sono infetto??

cascavel
08-10-2008, 16.01.46
lascia perdere Lop S&D per ora usa questo http://www.pcalsicuro.com/main/guida-a-gmer/ nella pagina c'e' il download e la spiegazione...

Philo
08-10-2008, 16.14.15
ascolta g-mer l'avevo provato quando ancora potevo aprire gli eseguibili, ma ad un certo punto mi è comparsa una schermata blu di errore che diceva che c'èra 1errore con g-mer, e che per proteggere il pc si era spento...
..adesso riprovo ad usare g-mer dalla partizione non infettata

P.S: come non detto, la schermata blu è un errore difffuso, appena letto

Philo
09-10-2008, 21.32.54
ho creato 1nuovo account amministratore con la password in cui posso fare quello che voglio, ho fatto scansione cn hijackthis ma non ha il settore 015, e sembra pulito, adesso provo lo strumento di rimozione malware

Philo
09-10-2008, 23.03.34
ragazzi forse ce l'ho fatta:
0)ho scollegato il cavo di internet, per essere sicuro che nessun comando remoto avvenisse;
1) ho creato 1nuovo account amministratore (con la password molto complessa) in cui potevo fare tutto;
2) appena aperto questo account per la 1volta, ho salvato il log.txt di hijackthis e l'ho analizzato su un'altro pc;
3)siccome mi si era crashato perchè mi ero dimenticato di reimpostare il bios in raid e non ide, sono rientrato su questo account, in cui ho fatto 1altro log con hijack-this e l'ho confrontato con quello precedente: ta-da! sbuca 1certo processo: mrtstub.exe sul percorso C:\5d10[stringa alfanumerica tipo quelle delle chiavi di registro]\mrtstub.exe, e nello stesso percorso vi era anche mrt(forse simile a quello originale del system32 che serve a rimuovere i malware, anch'esso mrt), poi ho visto che erano 2/3 i percorsi (tutti vicini) ad avere mrtstub.exe,ho cercato su internet e ho trovato vari siti che dicevano che è 1malware non classificato che ne scarica degli altri, allora le ho cancellate tutte;
4)sono andato nel registro di sistema, ho fatto ctrl + F per cercare se c'èra qualcosa che si riferisse a mrtstub, ed ho trovato 2chiavi (1mrt, e l'altra mrtstub)su shell/ms0cache che forse erano i responsabili.
5)senza averlo spento, ho provato ad avviare lo strumento di rimozione malware ma lo stesso errore di prima :mm: , secondo me perchè il mrt del system32 è corrotto, adesso vedrò

ora controllerò il pc per vedere se continua a comportarsi in modo strano, casomai ve lo faccio sapere, e comunque grazie tante per l'aiuto!

Philo
09-10-2008, 23.16.33
raga, date un'occhiata un po' qua a:Sconosciuto
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
qui (http://www.vistaheads.com/forums/microsoft-public-windows-vista/143027-eliminare-rundll32-exe-oobefldr-dll-showwelcomecenter.html) dicono che è 1beagleXY, posto il log.txt di hijackthis

Philo
09-10-2008, 23.18.52
che dite? la elimino o la fixo con hijackthis??

cascavel
09-10-2008, 23.42.15
che dite? la elimino o la fixo con hijackthis??
http://www.processlibrary.com/it/directory/files/oobefldr/218964

http://www.bleepingcomputer.com/startups/oobefldr.dll-18099.html

io la lascerei la dov'e'.... inoltre dal tuo link http://www.vistaheads.com/forums/microsoft-public-windows-vista/143027-eliminare-rundll32-exe-oobefldr-dll-showwelcomecenter.html non dice che e' un file di bagle, ma un file di sistema...

Philo
10-10-2008, 20.46.31
:x: è vero, sai com'è ad 1certa ora, dopo averle provate tutte si comincia a sklerare...certo che mi sembra strano che questo malware non l'abbiano catalogato, ed inlotre non mi faceva aprire nessun eseguibile, ma mi ha concesso di creare 1account :fool:

Philo
11-10-2008, 15.17.16
adesso ho visto il file C:\Windows\system32\conime.exe, ho letto che può essere 1file di sistema ma anche 1trojan come qui(http://www.processlibrary.com/it/directory/files/conime/25519/), kaspersky online scanner 7 non rileva niente su quel eseguibile lo fixo?

Diablos
11-10-2008, 16.07.16
conime.exe può essere un file di sistema relativo al supporto per le lingue asiatiche oppure una backdoor.
scansionalo su virustotal.com

cascavel
11-10-2008, 16.25.20
conime.exe può essere un file di sistema relativo al supporto per le lingue asiatiche oppure una backdoor.
scansionalo su virustotal.com
cio' dice diablos e' vero... cerca il file ed invialo qui http://www.virustotal.com/it/ per un controllo.

edit: scusa diablos non mi ero accorto che avevi gia' suggerito il controllo :x:

Diablos
11-10-2008, 18.18.00
no problem :)

Philo
11-10-2008, 20.04.32
ho controllato su virustotal, nessun antivirus trova niente! credo di non aver più nessuna infezione, adesso devo ricreare l'account "corrotto" che non apre gli eseguibili....
grazie tante cascavel e Diablos!

cascavel
12-10-2008, 01.31.27
ho controllato su virustotal, nessun antivirus trova niente! credo di non aver più nessuna infezione, ....
grazie tante cascavel e Diablos!

di niente, ciao ;)