Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Persistente Knight.exe

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Persistente Knight.exe

Postdi Angie6 » 18/02/09 15:24

Salve a tutti!
Da ieri combatto con questo maledetto Knight! Fino a ieri mattina il computer andava bene, ho installato Acrobat Reader e cose simili e non c'erano problemi. Poi nel pomeriggio riaccendendo il pc mi sono accorta che cliccando sull'icona di Explorer, sia quella sul desktop sia quella sulla barra accanto a start, il browser non voleva saperne di aprirsi. Per scrupolo ho avviato una scansione con Spybot e, con mia grande sorpresa, ho trovato questo Knight.exe. Ho cercato in giro e ho fatto di tutto: cercato nelle cartelle, controllato nell'editor del registro di sistema, ho eliminato con Fileassassin, con A-Squared, con Ccleaner, con AntiKnight, controllato mille volte con Hijackthis, scansionato on line con BitDefender, solo Virit non sono riuscita a farlo partire in nessun modo. Tutto ciò l'ho fatto almeno tre volte ieri e due oggi, e il motivo per cui continuo a monitorare è perchè ogni volta che controllo compare sempre qualche porcheria di Knight e perchè ad ogni riavvio mi accorgo che non sempre cliccando sulle icone di Explorer mi parte il browser. Anzi ieri addirittura si era bloccato il pulsante start, costringendomi a chiudere il pc in maniera non proprio ortodossa.
Disperata vi chiedo: cosa devo fare??????
Posto l'ultimo Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.00.30, on 18/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\McAfee\SiteAdvisor\McSACore.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\pc\IMPOST~1\Temp\Rar$EX00.279\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kataweb.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId= ... eckError=3
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programmi\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programmi\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe

--
End of file - 5121 bytes
Angie6
Utente Junior
 
Post: 37
Iscritto il: 26/10/06 23:47

Sponsor
 

Re: Persistente Knight.exe

Postdi shel » 18/02/09 16:34

shel
Utente Senior
 
Post: 1292
Iscritto il: 29/08/08 21:56

Re: Persistente Knight.exe

Postdi Angie6 » 18/02/09 17:37

Prima di tutto grazie!
Ho letto con attenzione il link che hai postato. La cosa strana è che tutti quei sintomi il mio pc non li aveva, a parte la difficoltà ad aprire explorer, e ora ho capito perchè.
Ma ora ogni volta che accendo il pc mi aspetto qualche sorpresa, visto che da ieri ha sempre fatto così... mi piacerebbe stare un pò tranquilla. Il colmo è che la macchina è stata formattata (non da me... non saprei neppure come farlo!) e IO non ho usato nessuna pendrive, non ho neppure ancora caricato dati! Cosa faccio? Mi metto l'animo in pace e finalmente ci carico i dati o sono costretta a formattare la macchina???
Angie6
Utente Junior
 
Post: 37
Iscritto il: 26/10/06 23:47

Re: Persistente Knight.exe

Postdi shel » 18/02/09 20:00

prova a fare una scansione con questo programmino

ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe


Una volta lanciato, il tool farà immediatamente una scansione dei processi attivi nel sistema. Finita la scansione, dovrai selezionare quali hard disk controllare e poi cliccare sul tasto di avvio della scansione.Scegli quella completa e posta il report che ti rilascia
shel
Utente Senior
 
Post: 1292
Iscritto il: 29/08/08 21:56

Re: Persistente Knight.exe

Postdi Angie6 » 19/02/09 01:43

Ho fatto la scansione che mi hai consigliato e alla fine compare che non ha trovato nessun virus. E ora? Spero tanto che tu non mi dica di formattare! :(

Intanto mi sono accorta che emule, scaricato ieri mattina, si apre ma non si connette... non capisco se dipende dal mio computer o no.
Angie6
Utente Junior
 
Post: 37
Iscritto il: 26/10/06 23:47

Re: Persistente Knight.exe

Postdi shel » 19/02/09 10:20

ciao

allora...per cio' che riguarda emule devi aver pazienza per la connessione- magari attendi qualche minuto(ultimanente sta' creando problemi a molti)

prova a cercare il file da te descritto ===> Knight.exe col cerca di windows start\cerca\tutti i file e le cartelle\altre opzioni avanzate - se lo trovi, segnati il percorso e postamelo

altra cosa - con cureit hai fatto la scansione completa?
shel
Utente Senior
 
Post: 1292
Iscritto il: 29/08/08 21:56

Re: Persistente Knight.exe

Postdi -> EleKtrA <- » 19/02/09 11:04

Ciao Angie6 ,
Disk Knight è uno pseudo-antivirus che si trasmette attraverso i dispositivi che si collegano al computer tramite porta USB.

Scarica questo tool (spagnolo)
http://www.plusexpert.cl/download/AntiKnight.rar
- estrai tutti i file in una cartella
- inserisci la pendrive nel pc
- apri il file AntiKnight
- clicca su "buscar y reparar"
- Alla fine togli la pendrive e riavvia il sistema

Se non risolvi in questo modo, scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.
“Ieri è storia, domani è mistero, ma oggi è un dono... per questo si chiama presente!”.
Avatar utente
-> EleKtrA <-
Moderatore
 
Post: 436
Iscritto il: 11/12/08 12:50

Re: Persistente Knight.exe

Postdi Angie6 » 19/02/09 11:16

Ciao!
Shel ho fatto la ricerca e il risultato è: ANTIKNIGHT.EXE-067D15DA.pf c:\WINDOWS\Prefetch, ma penso che sia l'AntiKnight che ho sacricato. Con Cureit, sì, ho fatto la scansione completa, gli ho detto di controllare tutti i supporti. Se vuoi la rifaccio e ti dico il risultato.

Un ciao anche ad Elektra. AntiKnight l'ho già scaricato, cliccato sull'unico pulsante e mi diceva che non c'era nulla. Ora provo anche Combofix e ti faccio sapere. La cosa strana è che io non ho usato nessuna pendrive, anche perchè il computer è stato formattato da poco e l'altro giorno ho fatto riparare delle porte USB perchè non funzionavano più. Insomma il problema non so da dove viene e sono bloccata perchè volevo caricare i dati del mio vecchio pc su questo. Sai per caso se questo Knight si trasmette anche su CD se ne inserisco uno?
Angie6
Utente Junior
 
Post: 37
Iscritto il: 26/10/06 23:47

Re: Persistente Knight.exe

Postdi Angie6 » 19/02/09 14:09

Posto in allegato i risultati di ComboFix e quelli di Cureit, che questa volta ha trovato qualcosa. Resto in attesa.
Allegati

[L’estensione csv è stata disattivata e non puó essere visualizzata.]

[L’estensione txt è stata disattivata e non puó essere visualizzata.]

Angie6
Utente Junior
 
Post: 37
Iscritto il: 26/10/06 23:47

Re: Persistente Knight.exe

Postdi shel » 19/02/09 14:42

se puoi salva il report di cureit in formato testo( blocco note)
shel
Utente Senior
 
Post: 1292
Iscritto il: 29/08/08 21:56

Re: Persistente Knight.exe

Postdi Angie6 » 19/02/09 15:09

Te lo scrivo qui sotto, spero si capisca (altrimenti ti posto il blocco note):

ComboFix.exe/data002\32788R22FWJFW\c.bat C:\Documents and Settings\pc\Desktop\ComboFix.exe/data002
Probabile BATCH.Virus

ComboFix.exe/data002\32788R22FWJFW\psexec.cfexe C:\Documents and Settings\pc\Desktop\ComboFix.exe/data002 Program.PsExec.171

data002 C:\Documents and Settings\pc\Desktop l'Archivio contiene oggetti infetti

ComboFix.exe C:\Documents and Settings\pc\Desktop Container contains infected objects Spostato.

A0000014.bat C:\System Volume Information\_restore{5D91BF98-10C3-4AC2-894B-9718CBC5BCCD}\RP2 Probabile BATCH.Virus
Angie6
Utente Junior
 
Post: 37
Iscritto il: 26/10/06 23:47

Re: Persistente Knight.exe

Postdi shel » 19/02/09 15:20

Angie6 mi serve il log di cureit, combofix gia' l'ho visto
shel
Utente Senior
 
Post: 1292
Iscritto il: 29/08/08 21:56

Re: Persistente Knight.exe

Postdi Angie6 » 19/02/09 15:43

Ma è proprio questo il log di Cureit.
Allegati

[L’estensione txt è stata disattivata e non puó essere visualizzata.]

Angie6
Utente Junior
 
Post: 37
Iscritto il: 26/10/06 23:47

Re: Persistente Knight.exe

Postdi shel » 19/02/09 16:02

scusami angie6 sono ciecato :) cureit ti ha eliminato anche ComboFix

disattiva il ripristino, hai un'infezione localizzata

Start --> programmi --> accessori --> utilita' di sistema --> ripristino configurazioni di sistema --> impostazioni ripristino configurazioni di sistema --> Disattiva ripristino

Riavvia e riattivalo creando un nuovo punto pulito

a questo punto credo dovrai scegliere se seguire il consiglio di Elektra o il link che ti ho inviato all'inizio della discussione
shel
Utente Senior
 
Post: 1292
Iscritto il: 29/08/08 21:56

Re: Persistente Knight.exe

Postdi Angie6 » 19/02/09 19:05

Ho messo il segno di spunta alla casella del disattiva ripristino. Ho riavviato e... il computer non si spegneva neppure a colpi di cannone! L'ho spento "manualmente" e una volta acceso non funzionava niente, neppure il pulsante start. L'ho rispento "manualmente" (in preda a una crisi isterica e non mi vergogno a dirlo!) e ho seguito la spiegazione del link che mi hai postato all'inizio, visto che ComboFix l'ho fatto questa mattina ed è un tool che fa venire le palpitazioni, e l'AntiKnight continua a dirmi che non c'è niente. Per la precisione l'operazione descritta nel link, la parte che riguarda start-->esegui-->regedit ecc. l'avevo fatta anche ieri. Comunque l'ho rifatto e cosa mi spunta? Knight.exe, Disk Knight e autorun.inf!!!!! Ma è mai possibile che stanno ancora tutti lì dopo tutto quello che sto facendo?????? Insomma non c'è soluzione!!!!! Sono io che sbaglio qualcosa o davvero l'unica e staccare i cavi e portarlo a formattare????
Angie6
Utente Junior
 
Post: 37
Iscritto il: 26/10/06 23:47

Re: Persistente Knight.exe

Postdi shel » 19/02/09 20:00

allora angie6 ascolta....

innanzitutto calma...lo facciamo insieme ok? almeno ci proviamo che dici?

inizia col visualizzare i file nascosti

Tasto destro su Start--Esplora--Menù Strumenti--Opzioni Cartella--Visualizzazione
-Mettere la spunta a 'Visualizza tutti i files' o "Visualizza cartelle e files nascosti"
-Togliere la spunta a 'Non visualizzare cartelle e files di sistema' o "Nascondi i files protetti di sistema"


apri task manager premendo contemporaneamente control - alt - canc, vai nella tab processi evidenzia il processo knight.exe e fai click su Termina Processo
Non apena il processo sparisce da task manager, vai in c:\windows ed elimina knight.exe


Apri il registro (start -> esegui -> regedit) e vai alla chiave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


Nel pannello di destra cera una stringa di nome Disk Knight, fai click con il destro e seleziona elimina


Finisci questa operazione e continuiamo con la seconda parte
shel
Utente Senior
 
Post: 1292
Iscritto il: 29/08/08 21:56

Re: Persistente Knight.exe

Postdi Angie6 » 19/02/09 21:05

Prima di tutto... mille grazie Shel!!!! :)
Proviamo! Visto che tu sei così paziente, cercherò di non farmi prendere dal panico. ;)
Allora ho fatto la prima parte, quella delle visualizzazioni. Nel task manager non c'è knight.exe, non l'ho mai trovato e ti posto l'immagine del mio task. Nel registro, dove mi hai indicato, ora non c'è niente a parte la Google toolbar notifier e ctfmon.exe.
Dimenticavo di dirti che mentre ieri nella cartella di Windows c'era recover.reg, seguendo le indicazioni del tutorial che tu mi hai linkato, ora non c'è più.
Allegati
ImmagineTM.JPG
(55.86 KiB) Scaricato 40 volte
Angie6
Utente Junior
 
Post: 37
Iscritto il: 26/10/06 23:47

Re: Persistente Knight.exe

Postdi shel » 19/02/09 21:23

guarda nel frame a destra di questa chiave se e' presente la voce Disk Knight

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
shel
Utente Senior
 
Post: 1292
Iscritto il: 29/08/08 21:56

Re: Persistente Knight.exe

Postdi Angie6 » 19/02/09 22:50

Non riesco a trovare la chiave che mi chiedi, vedo soltanto chiavi come HKEY_CLASS_ROOT, HKEY_CURRENT_USER, ecc. Nella chiave HKEY_LOCAL_MACHINE , scorrendo le cartelle che contiene ho trovato una che si chiama Knight e contiene una sottocartella che si chiama Setting, però entrambe mi fanno comparire nella colonna di destra (Predefinito) REG_SZ (valore non impostato).
Angie6
Utente Junior
 
Post: 37
Iscritto il: 26/10/06 23:47

Re: Persistente Knight.exe

Postdi Luke57 » 20/02/09 08:06

Ciao, opportunamente avvisato ;) modifico il mio post, scarica sul desktop
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Allega il file con estensione .zip nella tua prossima risposta.

Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.

NB
la durata della scansione può risultare lunga, potrebbe addirittura sembrare che il programma non stia lavorando, non preoccuparti non è così ;)
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Persistente Knight.exe":

knight.exe
Autore: klama
Forum: Sicurezza e Privacy
Risposte: 3
Immagine persistente
Autore: Cioghè
Forum: Software Windows
Risposte: 4

Chi c’è in linea

Visitano il forum: Nessuno e 6 ospiti