| Autore |
 Discussione  |
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
 Inserito il - 08/06/2008 : 23:09:07
|
|
Dovresti postarmi i percorsi dei files che ti avevo chiesto, devo verificare che siano presenti sono in quella cartella. |
 |
|
|
ruggerino
Senior Member
132 Messaggi |
Inserito il - 08/06/2008 : 23:42:14
|
qui si trova insDr.exe C:\WINDOWS\Installer\24ha12\cmp
qui si trova hvNrtUD.exe C:\WINDOWS\Installer\24ha12\drv
qui si trova int2com.exe e slp2.exe C:\WINDOWS\Installer\24ha12\inet
Volevo aggiungere che l'unica cosa che ho modificato di recente è la configurazione della porta di accesso di uTorrent, seguendo passo passo la procedura che si trova su Colombo-bt.
Chiaramente uso pen-drive, anche più di una. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 09/06/2008 : 13:08:39
|
Buon giorno a tutti, scarica Avenger da qui
htt*://swandog46.geekstogo[.com]/avenger2/avenger2.html
lo installi e lo lanci
Copi e incolli nella finestra: "Input script here" il testo così come lo vedi scritto:
Citazione:
files to delete:
C:\WINDOWS\Installer\24ha12\cmp\insDr.exe
C:\WINDOWS\Installer\24ha12\drv\hvNrtUD.exe
C:\WINDOWS\Installer\24ha12\inet\int2com.exe
C:\WINDOWS\Installer\24ha12\inet\slp2.exe
C:\WINDOWS\sys32_.exe
folders to delete:
C:\WINDOWS\Installer\24ha12\cmp
C:\WINDOWS\Installer\24ha12\drv
C:\WINDOWS\Installer\24ha12\inet
C:\WINDOWS\Installer\24ha12
Spunta "Automatically disable any rootkits found"
clicca sul pulsante "Execute"
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
posta il log di avenger che trovi in c:\ |
|
|
|
ruggerino
Senior Member
132 Messaggi |
Inserito il - 09/06/2008 : 21:57:47
|
Ecco il log di Avenger.
htt*://[www].sendmefile[.com]/00633343
Sembra tutto Ok, ma non ho capito da dove è arrivato stò virus.
L'unico dubbio che mi viene è che di recente ho aperto una porta nel firewall di Windows per il settaggio di uTorrent.
Ma ho seguito passo passo una procedura che è su Colombo-bt.
Può anche essere una pen-drive, ma in questo caso con cosa mi conviene fare lo scan della pen-drive? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 10/06/2008 : 07:44:30
|
Buon giorno a tutti, il log di avenger va bene, ora presta attenzione, inserisci le pen drive che hai usato, 2 alla volta nel pc, poi fai la scansione con kaspersky (come ti avevo postato all'inizio) di tutto il pc e delle 2 penne, se hai altre penne ripeti la procedura ma riferita solo alle unità removibili.
Prima di fare questo fai le operazioni che ti avevo descritto all'inizio con atfcleaner e ccleaner.
Rifai una scansione con hijackthis, posta i log di kaspersky e di hijackthis.
NOTA BENE quando inserisci le penne tieni premuto il tasto SHIFT al fine di evitare la funzione autoplay. |
Modificato da - death in data 10/06/2008 08:11:24 |
|
|
|
davonapporo
New Member
Città: viareggio
36 Messaggi |
Inserito il - 03/07/2008 : 11:43:11
|
ciao a tutti sono nuovo del forum...
io ho avuto lo stesso identico problema ho risollto comwe descritto nel forum solamente ke il virus si trova anke sull'altra partizione del mio HD quindi ogni volta ke apro D rischio di infettarmi....[.com]e faccio a toglierlo? |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 04/07/2008 : 08:47:04
|
| Apri intanto 1 nuova discussione poi ti dico cosa fare! |
|
|
|
ruggerino
Senior Member
132 Messaggi |
Inserito il - 11/07/2008 : 16:31:43
|
Sono punto e a capo.
Nel senso che mi è ricomparsa la stessa finestra già descritta.
"Exception Processing message c00000013 parameters 75b1bf9c 4 75b1bf9c...."
Per qualche giorno non mi è apparsa, ma ora è di nuovo qui.
Devo rifare la stessa procedura che mi viene indicata nella discussione ?
Oppure un altra visto che con quella non abbiamo risolto?
Grazie.
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 11/07/2008 : 22:35:31
|
| Buona sera a tutti, ruggerino, se tu avessi seguito le mie istruzioni della volta precedente forse non saresti qui di nuovo, dopo il mio ultimo post sei sparito, ripeti la procedura che ti avevo dato per la ricerca dei files e vediamo se è lo stesso cliente, fai la scansione on-line con kaspersky e posta il report. |
|
|
|
ruggerino
Senior Member
132 Messaggi |
Inserito il - 12/07/2008 : 14:58:13
|
La volta scorsa non sono scomparso, ma è coinciso con l'andata in vacanza.
Comunque ora in aggiunta alla finestra di cui ho già parlato, mi si è presentata anche un altra finestra con titolo "Application error" e messaggio "Exception EFCreateError in module insDr.exe at 0000AB79. Cannot create file "C:\Documents and Settings\2913790\Impostazioni locali\Dati applicazioni\sleep.exe". Impossibile accedere al file. Il file è utilizzato da un altro processo."
Ho fatto lo scan con Hijackthis e questo è l'indirizzo.
htt*://[www].savefile[.com]/files/1662657 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 12/07/2008 : 16:28:39
|
Buona sera a tutti, allora ricominciamo il giro, segui questa procedura:
Abilita la visualizzazione dei files nascosti seguendo questa scaletta:
Citazione:
Windows XP
Tasto destro su Start–>Esplora–>Menù Strumenti–>Opzioni Cartella–>Visualizzazione
-Mettere la spunta a ‘Visualizza tutti i files’ o “Visualizza cartelle e files nascosti”
-Togliere la spunta a ‘Non visualizzare cartelle e files di sistema’ o “Nascondi i files protetti di sistema”
cerca sul tuo computer file:
insDr.exe
int2com.exe
slp2.exe
hvNrtID.exe
cerca la cartella
C:\Windows\Installer\24ha12
Per ogni file postami il percorso.
Cerca sul tuo computer il file sleep.exe, poi segui queste istruzioni:
vai su questo sito htt*://[www].virustotal[.com]/it/
fai "sfoglia" e seleziona i file sleep.exe (se sono piu' di uno devi farne uno per volta) clicca su invia file, il sito farà una scansione del file e ti rilascerà dei risultati, fai copia e incolla e salva i risultati su un file di testo o posta il link della pagina web contenente i risultati.
Poi tenendo premuto il tasto shift inserisci le penne usb che usi e poi esegui questa scansione on line
Fare una scansione on-line con kaspersky:
Per la scansione Kaspersky
1. Clicca su Kaspersky Online Scanner
2. Clicca su Accept
3. Partirà un Update
4. Vai nella colonna di sinistra dov'è scritto Scan e scegli my computer
5. Al termine della scansione in fondo a destra trovi la voce View Scan Report. Cliccaci sopra e poi clicca su Save "Save Report As" e salvalo sul desktop.
Posta il report come hai fatto per il log di hijackthis.
|
Modificato da - death in data 12/07/2008 16:29:50 |
|
|
|
ruggerino
Senior Member
132 Messaggi |
Inserito il - 12/07/2008 : 22:57:44
|
La cartella C:\Windows\Installer\24ha12
l'ho trovata e contiene :
1 cartella cmp con dentro il file insDr.exe
1 cartella drv con dentro il file hvNrtID.exe
1 cartella inet con dentro i file: int2com.exe, slp2.exe, int2com.txt
1 cartella pers vuota
1 cartella vers con dentro 4 cartelle: vers001, vers002, vers003 e vers004 tutte vuote
Poi ho fatto la ricerca di insDr.exe ed è presente solo nella cartella già indicata sopra.
Ho ricercato il file int2com.exe ed è presente solo nella cartella inet indicata sopra.
Ho ricercato il file slp2.exe ed è presente nella cartella inet di cui sopra, mentre nella cartella C:\WINDOWS\Prefetch è presente un file SLP2.EXE-13DAF40D.pf
Ho ricercato il file hvnrtID.exe ed è presente qui C:\Documents and Settings\2913790\Impostazioni locali\Dati applicazioni e poi anche su D:\
Infine ho cercato sleep.exe ed è presente solo nella cartella C:\Documents and Settings\2913790\Impostazioni locali\Dati applicazioni
Ho fatto lo scan con Virus Total di sleep.exe e questo è il risultato htt*://[www].savefile[.com]/files/1662867
Ho fatto lo scan del computer (dischi fissi) con Kaspersky Online e questo è il log
htt*://[www].savefile[.com]/files/1663307
ho fatto lo scan del pen-drive con Kaspersky Online e questo è il log
htt*://[www].savefile[.com]/files/1663308
Spero di aver fatto tutto bene.
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 13/07/2008 : 08:44:09
|
Buon giorno a tutti, segui le istruzioni:
Prima di tutto vorrei tu mi caricassi sul web come fai per i report il file sleep.exe poi mandami il link in privato con un messaggio, il file risulterebbe pulito ma viene associato all'infezione, per questo te l'ho messo da eliminare, credo tu abbia preso la seconda variante del virus che ha files nuovi rispetto ai primi che eliminammo. Potrebbe anche succedere che avenger non riesca a rimuovere i files, al piu' li rimuoviamo a mano in modalità provvisoria.
Scarica questi programmi:
Avenger htt*://swandog46.geekstogo[.com]/avenger2/avenger2.html
atfcleaner htt*://[www].atribune.org/ccount/click.php?id=1
Poi disconnesso da Internet e con tutti i programmi chiusi
Vai alla cartella C:\WINDOWS\Prefetch selziona tutto ed elimina il suo contenuto, per ora non svuotare il cestino
Esegui atfcleaner
Disabilita i punti di ripristino su D:
start>programmi>accessori>utilità di sistema>ripristino configurazione di sistema vai a sinistra su "Impostazioni Ripristino Configurazione di Sistema" selezioni la lettera d: poi clicchi su "impostazioni" e metti il segno di spunta su "disattiva ripristino configurazione di sistema su questa unità" dai ok, chiudi tutte le tendine, rifai gli stessi percorsi e torni a riabilitarlo.
Inserisci la pen drive sempre tenendo premuto il tasto Shift
Lancia Avenger
Copi e incolli nella finestra: "Input script here" il testo così come lo vedi scritto:
Citazione:
files to delete:
C:\WINDOWS\Installer\24ha12\inet\int2com.exe//BAT/C:\WINDOWS\Installer\24ha12\inet\int2com.exe//BAT
C:\Documents and Settings\2913790\Impostazioni locali\Dati applicazioni\hvNrtID.exe
C:\Documents and Settings\2913790\Impostazioni locali\Dati applicazioni\sleep.exe
C:\WINDOWS\Installer\24ha12\cmp\insDr.exe
C:\WINDOWS\Installer\24ha12\drv\hvNrtUD.exe
C:\WINDOWS\Installer\24ha12\inet\int2com.exe
C:\WINDOWS\Installer\24ha12\inet\slp2.exe
C:\WINDOWS\Installer\24ha12\inet\int2com.txt
C:\WINDOWS\sys32_.exe
C:\WINDOWS\system32\N_prog.exe
D:\hvNrtID.exe
D:\Autorun.inf
H:\hvNrtID.exe
H:\Autorun.inf
folders to delete:
C:\WINDOWS\Installer\24ha12\cmp
C:\WINDOWS\Installer\24ha12\drv
C:\WINDOWS\Installer\24ha12\inet
C:\WINDOWS\Installer\24ha12\pers
C:\WINDOWS\Installer\24ha12\vers\vers001
C:\WINDOWS\Installer\24ha12\vers\vers002
C:\WINDOWS\Installer\24ha12\vers\vers003
C:\WINDOWS\Installer\24ha12\vers\vers004
C:\WINDOWS\Installer\24ha12
Spunta "Automatically disable any rootkits found"
clicca sul pulsante "Execute"
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
posta il log di avenger che trovi in c:\
Quando il pc è in fase di riavvio, appena visualizzi la schermata di xp, rimuovi la pen drive
Quando sei tornato in windows, inserisci nuovamente la pendrive sempre tenendo premuto il tasto Shift, poi vai su questo sito htt*://[www].bitdefender[.com]/scan8/ie.html fai una scansione on-line, se ti chiede seleziona il computer e la pen drive nel caso non lo facesse in automatico.
Posta il report di Avenger e quello di bitdefender.
Dopo che hai postato il log segui queste istruzioni:
scarica il file pippo.txt (salvalo sul desktop) =>
fai il download da qui htt*://[www].savefile[.com]/files/1664048
rinominalo in pippo.bat e cliccaci sopra due volte
posta i risultati
scarica il file pippo1.txt (salvalo sul desktop) =>
fai il download da qui htt*://[www].savefile[.com]/files/1664050
rinominalo in pippo1.bat e cliccaci sopra due volte
posta i risultati
Vai su virus total e analizza questo file C:\WINDOWS\system32\cmd.exe poi postami il report
Poi vorrei sapere se 2913790 è un tuo user, creato da te e sai da quanto è presente sul tuo pc.
|
Modificato da - death in data 13/07/2008 11:06:41 |
|
|
|
ruggerino
Senior Member
132 Messaggi |
Inserito il - 13/07/2008 : 16:18:54
|
Grazie Death.
Non so se ce la faccio entro oggi, vista la quantità di cose da fare.
In ogni caso il 2913790 è un mio user da quando ho la macchina, cioè 3-4 anni.
A più tardi. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 13/07/2008 : 16:22:22
|
|
Buona sera a tutti, se riesci a mandarmi il link del file sleep.exe io mi muovo in quella direzione mentre tu fai il resto. |
|
|
|
Discussione |
|
Probabile virus "Disco non presente"
Forum Bloccato
