| Autore |
 Discussione  |
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 11/03/2008 : 21:41:17
|
sempre riferito al tuo ultimo post:
scarica sul desktop questo file hosts5.zip e scarica anche CCleaner
esegui avenger ed inserisci questo script:
Citazione:
files to delete:
C:\WINDOWS\tasks\A0E5F635918A6959.job
folders to delete:
C:\Documents and Settings\Claudia Catalani\Application Data\ScrSaveSend
C:\Programmi\ScrSaveSend
C:\Documents and Settings\All Users\Dati applicazioni\Long slow road itch
Visto che anche l'hosts è stato modificato, ne rimettiamo uno pulito.
Dopo che il pc si è riavviato, scompatta l'hosts5.zip, clicca con il tasto destro del mouse sul file hosts e copialo. Apri risorse del computer e segui questo percorso:
C:\Windows\system32\drivers\etc
nella cartella etc, cliccando in uno spazio bianco, incolla il file hosts.
Ti verrà chiesto se vuoi sostituire il file esistente, devi accettare.
Esegui CCleaner e ripulisci sia i file temporanei e cookie (2 volte) che il registro.
bitdefender ha trovato solo, per quanto riguarda H:\, questo:
H:\System Volume Information\_restore => files
ma l'infezione del pc dove sta?
ho visto anche un autorun, forse non è infetto.. non è che hai selezionato solo l'unità H per la scansione?? (te lo devo chiedere x esserne certa..)
riguardo la procedura x visualizzare i files nascosti, te l'avevo postata o sbaglio?
...vedi a pagina 1 di questa discussione.
esegui kaspersky e posta il log, così vediamo se il pc è realmente pulito..
ciao :) |
Modificato da - Sibilla in data 11/03/2008 21:44:27 |
 |
|
|
teschio
Advanced Member
301 Messaggi |
 Inserito il - 11/03/2008 : 21:54:02
|
non funziona il download
scarica sul desktop questo file hosts5.zip |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 11/03/2008 : 22:30:58
|
forse non funzionava il sito, non so.. a me lo scarica.. Riprova.
Se poi hai problemi (  ) risolviamo in un altro modo. |
|
|
|
teschio
Advanced Member
301 Messaggi |
Inserito il - 12/03/2008 : 01:07:13
|
ecco il rapporto di kaspersky
htt*://[www].freefilehosting.net/download/3dc1l
per quanto riguarda i file nascosti autorun li elimino manualmente oppure no? |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/03/2008 : 01:14:53
|
| si, puoi eliminarli. L'unità H cos'è? |
|
|
|
teschio
Advanced Member
301 Messaggi |
Inserito il - 12/03/2008 : 09:26:40
|
Citazione:
Messaggio inserito da Sibilla
si, puoi eliminarli. L'unità H cos'è?
h: è l'hard disk portatile...lo cerco ed elimino anche li? |
|
|
|
teschio
Advanced Member
301 Messaggi |
Inserito il - 12/03/2008 : 09:30:56
|
File nascosti autorun eliminati!
PC PORTATILE PULITO...GIUSTO  |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/03/2008 : 10:19:54
|
si, solo 2 cose:
esegui systemscan per intero, cosi' vedo se sono eliminati tutti i temp che avevi e butto 1 ultima occhiata al pc in generale.
esporta dal registro la chiave:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
salvala in c:\`come:
nome: mount.txt
tipo di file: file di testo
e caricala su freefilehosting.
Se non escono altre cose, con questo pc hai finito
-----
Poi passa all'altro pc ed esegui la procedura gia' postata.. cosi' finiamo anche quello e poi passiamo al pc da cui stai scrivendo..
le unita' esterne somo pulite? Al limite le controlliamo con l'ultimo pc.
|
|
|
|
teschio
Advanced Member
301 Messaggi |
Inserito il - 12/03/2008 : 12:13:09
|
ecco i rapporti
htt*://[www].freefilehosting.net/download/3dc9m
e il file mount.txt
htt*://[www].freefilehosting.net/download/3dca0
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/03/2008 : 13:48:40
|
sposta nel cestino tutti i file ACxx.tmp
esporta la chiave:
HKEY_LOCAL_MACHINE\system\controlset001\services\aixi1wp2
(sempre come file di testo) e postala.
Scarica Registry Search Tool e cerca Knight (non lasciare spazi). Posta i risultati.
----
Per tutte queste, ti faccio sapere stasera (sono da eliminare ma voglio ricontrollare tutto; useremo avenger per fare prima)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H ( => H:\3wcxx91.cmd)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5432c2e3-8228-11dc-b9dd-001636b15caf} ( => I:\Knight.exe open)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5497e01c-7668-11dc-b9c3-001636b15caf} ( => I:\3wcxx91.cmd)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8875cce4-ec9a-11dc-ba83-001636b15caf} ( => H:\oufddh.exe)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bbbcfa7e-8565-11dc-b9e2-001636b15caf} ( => I:\3wcxx91.cmd)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bd830c4d-b2f1-11db-b939-806d6172696f} ( => The Sims 2; F:\Sims2.ico)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f2f06d57-d563-11dc-ba62-001636b15caf} ( => H:\xo8wr9.exe)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{bd830c4d-b2f1-11db-b939-806d6172696f}
|
|
|
|
teschio
Advanced Member
301 Messaggi |
Inserito il - 13/03/2008 : 20:26:29
|
Citazione:
Messaggio inserito da Sibilla
Non è infetto.
Disattiva il ripristino configurazione di sistema: start -> pannello di controllo -> sistema -> ripristino configurazione di sistema -> spunta "disattiva ripristino configuraz. di sistema"
fixa:
O4 - HKCU\..\Run: [data show] C:\DOCUME~1\Daniela\DATIAP~1\CLOCKE~1\BLUEFACE.exe
Scarica SystemScan, disconnetti il pc da internet => esegui systemscan => togli tutte le spunte, lasciando spunatate solo queste:
- Recent files
- Scheduled jobs
- Hidden objects
- Include HOSTS file
clicca su "Scan Now". Finita la scansione, carica il rapporto che trovi in C:\Suspectfile su Freefilehosting e posta il link ottenuto.
..
EDIT: ho saltato un passaggio:
Elimina la cartella:
C:\DOCUME~1\Daniela\DATIAP~1\CLOCKE~1 <==
ho eseguito la procedura sul pc fisso non mio, ecco il rapporto
htt*://[www].freefilehosting.net/download/3ddi7
solo che non vedo i file nascosti nonostante ho fatto come mi hai detto! |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 13/03/2008 : 22:04:23
|
forse ci sono problemi con il link (credo della scansione) "File not found...". Lo verifichi?
riguardo i file nascosti, entra nel registro e verifica se nella chiave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
trovi "NoFolderOptions"=dword:00000001
se lo trovi, modificalo a dword:00000000
-------
Se non trovi "NoFolderOptions" oppure non trovi la chiave explorer
- scarica questo file fix5.txt sul desktop
- rinominalo in fix.reg (quindi devi togliere anche l'estensione txt)
- cliccaci sopra 2 volte
- accetta la modifica al registro
- riavvia il pc e controlla se ora puoi visualizzarli.
------_
se comunque non si vedono, entra nel registro e controlla questi valori:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue => Tipo: REG_DWORD => Dati: 0x1
DefaultValue => Tipo: REG_DWORD => Dati: 0x2
e in:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
il valore di "Type" deve essere "group".
Se è diverso, modificalo.
Riavvia il pc e rifai il controllo.
--------
se neanche dovesse funzionare, esporta la chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
come file di testo e postala.
|
Modificato da - Sibilla in data 13/03/2008 22:16:26 |
|
|
|
teschio
Advanced Member
301 Messaggi |
Inserito il - 13/03/2008 : 22:14:47
|
Citazione:
Messaggio inserito da Sibilla
sposta nel cestino tutti i file ACxx.tmp
esporta la chiave:
HKEY_LOCAL_MACHINE\system\controlset001\services\aixi1wp2
(sempre come file di testo) e postala.
Scarica Registry Search Tool e cerca Knight (non lasciare spazi). Posta i risultati.
----
Per tutte queste, ti faccio sapere stasera (sono da eliminare ma voglio ricontrollare tutto; useremo avenger per fare prima)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H ( => H:\3wcxx91.cmd)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5432c2e3-8228-11dc-b9dd-001636b15caf} ( => I:\Knight.exe open)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5497e01c-7668-11dc-b9c3-001636b15caf} ( => I:\3wcxx91.cmd)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8875cce4-ec9a-11dc-ba83-001636b15caf} ( => H:\oufddh.exe)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bbbcfa7e-8565-11dc-b9e2-001636b15caf} ( => I:\3wcxx91.cmd)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bd830c4d-b2f1-11db-b939-806d6172696f} ( => The Sims 2; F:\Sims2.ico)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f2f06d57-d563-11dc-ba62-001636b15caf} ( => H:\xo8wr9.exe)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{bd830c4d-b2f1-11db-b939-806d6172696f}
Tornando al portatile (l'operazione del pc fisso non posso verificarla la farò domani perchè non è a casa mia, mentre il portatile lo posso trasportare.. )
i file ACxx.tmp non ne ho trovati
questa cartella non c'è
HKEY_LOCAL_MACHINE\system\controlset001\services\aixi1wp2
e questo è il rapporto con registry search tool
htt*://[www].freefilehosting.net/download/3dd01
per il resto che mi dicevi...usiamo avenger-'
|
|
|
|
teschio
Advanced Member
301 Messaggi |
Inserito il - 13/03/2008 : 22:51:15
|
| cmq i file acxx.tmp li ho cercati tramite il tasto cerca dopo aver fatto start |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 13/03/2008 : 22:58:10
|
riguardo knight,
1) esporta tutta la chiave MountPoints2 salvandola così:
nome: MountPoints2.reg
tipo di file: registro/reg
in: c:\
2) copia in un file di testo questo:
Citazione:
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\Knight]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H]
[-HKEY_USERS\S-1-5-21-3095966927-491976058-2012791837-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5432c2e3-8228-11dc-b9dd-001636b15caf}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5432c2e3-8228-11dc-b9dd-001636b15caf}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5497e01c-7668-11dc-b9c3-001636b15caf}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8875cce4-ec9a-11dc-ba83-001636b15caf}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bbbcfa7e-8565-11dc-b9e2-001636b15caf}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f2f06d57-d563-11dc-ba62-001636b15caf}]
dai un invio dopo l'ultima riga.
salva il file così:
nome: fix2.reg
tipo di file: tutti i file
in: c:\
chiudi il file e cliccaci sopra due volte.
accetta le modifiche al registro.
Riavvia il sistema
3) esporta muovamente la chiave MountPoints2 e postala (come file di testo, stavolta).
4) Mi confermi che the sims2 è un programma... o cmq qualcosa ok?
5)Che unità è la I:\? è infetta... knight sta li... (lo vedi da un mio precedente post, sempre su queste chiavi...)
6) per qualsiasi problema, puoi ripristinare le chiavi cliccando due volte sul file reg salvato al punto 1) |
Modificato da - Sibilla in data 13/03/2008 22:59:58 |
|
|
|
Discussione |
|
POP-UP
Forum Bloccato
