| Autore |
 Discussione  |
|
|
python357m
New Member
38 Messaggi |
 Inserito il - 07/03/2008 : 10:47:57
|
ciao a tutti ho un problem con un virus (o forse anche più di uno) su un pc di un amico che sto cercando di pulire, a invano.
ho fatto una scasione con HijackThis v2.0.0 e il log è il seguente:
Rimosso come da indicazioni e reperibile su
htt*://[www].freefilehosting.net/download/3d77b
qualcuno può aiutarmi e dirmi cosa posso are per risolvere il problma
grazie mille
|
Modificato da - python357m in Data 07/03/2008 12:40:08
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 07/03/2008 : 11:06:05
|
Buon giorno a tutti, ho reso disponibile il tuo log per il download dal web
htt*://[www].freefilehosting.net/download/3d77b
per cortesia appena puoi modifica rimuovi dal tuo messaggio il listato di hijacthis, e attendi che qualcuno degli esperti analizzi il log.
PS prima che te lo dicano i moderatori, leggi il regolamento per postare i link sul forum.
|
 |
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 07/03/2008 : 11:12:30
|
Buon giorno a tutti, ho dato un occhiata al tuo log, ci sono uan serie di clienti diversi, prima che gli esperti ti analizzino il log segui questa procedura iniziale:
scarica superantispyware da qui htt*://[www].superantispyware[.com]/download.html
installalo, aggiornalo, lancia la scansione selezionando come opzione "profonda"
fai una scansione con kaspersky:
htt*://[www].kaspersky[.com]/service?chapter=161739400
1.Clicca su Kaspersky Online Scanner
2.Scarica un componente ActiveX da Kaspersky, Clicca su "Yes."
3.Attendi la fine del download
4.Clicca su "Next"
5.Clicca su "Scan Settings"
6.Assicurati che siano spuntate le seguenti voci
Scan using the following Anti-Virus database:
Extended
spunta le voci di "Scan options"
Scan Archives
Scan Mail Bases
7.Clicca su "OK"
8.Scegli "My computer"
Attendi la fine della scansione,se viene rilevato qualcosa salva il rapporto cliccando su "Save as Text"
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 07/03/2008 : 12:15:22
|
disattiva il ripristino configurazione sistema:
start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok
apri hijack e spunta:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Andrea\IMPOST~1\Temp\winlogon.exe
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Streams Drivers] C:\DOCUME~1\Andrea\IMPOST~1\Temp\winlogon.exe
O4 - HKLM\..\Run: [NlMediaCenter] C:\Documents and Settings\Andrea\xwkzvf.exe
O4 - HKLM\..\RunOnce: [SpybotDeletingA4244] command /c del "C:\Documents and Settings\Andrea\Menu Avvio\Programmi\Outerinfo\Terms.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1834] cmd /c del "C:\Documents and Settings\Andrea\Menu Avvio\Programmi\Outerinfo\Terms.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9976] command /c del "C:\Documents and Settings\Andrea\Menu Avvio\Programmi\Outerinfo\Uninstall.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingC2437] cmd /c del "C:\Documents and Settings\Andrea\Menu Avvio\Programmi\Outerinfo\Uninstall.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingA7739] command /c del "C:\Programmi\Outerinfo\FF\install.rdf"
O4 - HKLM\..\RunOnce: [SpybotDeletingC8650] cmd /c del "C:\Programmi\Outerinfo\FF\install.rdf"
O4 - HKLM\..\RunOnce: [RemoveInstallPath] cmd.exe C:\WINDOWS\system32\cmd.exe /c rmdir /S /Q "C:\PROGRA~1\nvcoi" > nul
O4 - HKCU\..\Run: [JavaCore] C:\Programmi\JavaCore\JavaCore.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB9211] command /c del "C:\Documents and Settings\Andrea\Menu Avvio\Programmi\Outerinfo\Terms.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6086] cmd /c del "C:\Documents and Settings\Andrea\Menu Avvio\Programmi\Outerinfo\Terms.lnk"
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
clicca alla fine su fix checked
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Copi e incolli nella finestra: "Imput script here" il SEGUENTE testo COSI' come l'ho scritto CON le diciture files to delete e folders to delete:
files to delete:
C:\DOCUME~1\Andrea\IMPOST~1\Temp\winlogon.exe
C:\WINDOWS\mrofinu1423.exe
C:\Documents and Settings\Andrea\xwkzvf.exe
C:\Programmi\JavaCore\JavaCore.exe
C:Programmi\NoDNS\NoDNS.exe
C:\Documents and Settings\Andrea\Dati applicazioni\WinTouch\WinTouch.exe
C:\Documents and Settings\Andrea\Dati applicazioni\Microsoft\Windows\rayiou.exe
folders to delete:
C:\Programmi\JavaCore
C:Programmi\NoDNS
C:\Documents and Settings\Andrea\Dati applicazioni\WinTouch
C:\Documents and Settings\Andrea\Menu Avvio\Programmi\Outerinfo
Spunta "Automatically disable any rootkits found"
clicca sul pulsante Execute
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
scaricati Ccleaner (htt*://[www].ccleaner[.com]/download/)
Lanciare il programma, eseguire l’operazione “avvia pulizia"
Eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato
Sul tuo pc ho visto che nn hai nessun antivirus!!!
Scaricati subito ANTIVIR da qui: [www].free-av[.com] e configuralo usando questa guida: htt*://[www].p2psin.net/forum/programmi-freeware/17655-avira-antivir-personaledition-classic-7-06-00-270-antivirus-gratuito.html
Lo aggiorni cliccando su Start update e poi fai partire la scansione andando sulla scheda Scanner, selezioni disco rigido c:, clicchi sulla lente di ingrandimento in alto a sinistra
Scansiona anche con superantispyware (htt*://[www].superantispyware[.com]/download.html), dopo averlo aggiornato, consigliatoti da death 
Posta nuovo log di hijack |
Modificato da - Leleago in data 08/03/2008 15:44:23 |
|
|
|
python357m
New Member
38 Messaggi |
Inserito il - 08/03/2008 : 11:10:01
|
ho fatto un po' di tutto e ho seguito consigli ho rifatto scansione con hij... ed ecco il risultato:
htt*://[www].freefilehosting.net/download/3d8fk
che mi dite???
PS non posso agire subito con le vostre indicazioni perchè non ho il PC infetto sotto mano essendo presso un amico ma appena possibile mi metto al lavoro
grazie |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 08/03/2008 : 13:31:06
|
| è tutto cm prima sempre infetto...quando avrai tempo e potrai eseguire tutto correttamente riesegui minuziosamente tutto quello che ti ho scritto sopra |
|
|
|
python357m
New Member
38 Messaggi |
Inserito il - 08/03/2008 : 13:56:35
|
ho rifatto minuziosamente la procedura indicata ed ecco il file di log di hij...
htt*://[www].freefilehosting.net/download/3d8gk
attendo vostre nuove indicazioni
A presto |
|
|
| |
Discussione |
|
Problema wintouch.exe
Forum Bloccato
