| Autore |
 Discussione  |
|
|
gidovi
Senior Member
Città: alessandria
94 Messaggi |
 Inserito il - 26/06/2008 : 11:29:02
|
ciao a tutti!
lo scan online di kaspersky mi rileva questi due file infetti:
1) C:\Programmi\uTorrent\Atomix_Virtual_DJ_Professional v5.0 rev6\install_virtualdj_v5.0.rev6.exe Infected: Trojan-Dropper.Win32.Agent.nvy
2) C:\WINDOWS\winlogon.exe Infected: Backdoor.Win32.VB.akx
Il secondo è quello che mi preoccupa di più... a voi la parola! 
Come rimuoverlo?
Ecco il link al log di hijackthis:
htt*://[www].freefilehosting.net/download/3ime9
Tra poco invio quello di gmer 
Grazie per l'aiuto!
EDIT: ecco i link dei log di gmer:
htt*://[www].freefilehosting.net/download/3imf1 (autostart)
htt*://[www].freefilehosting.net/download/3imf2 (rootkit)
|
Modificato da - gidovi in Data 26/06/2008 12:44:25
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 26/06/2008 : 21:43:58
|
buonasera scarica ed effettua una scansione con a-squared free e poi attendi gli esperti cosa ti consigliano
lo scarichi da qui
htt*://[www].ilsoftware.it/querydl.asp?id=780 |
 |
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 27/06/2008 : 08:25:20
|
1.Scarica il file - htt*://subs.geekstogo[.com]/ComboFix.exe
2. Doppio click su combofix.exe & e segui le istruzioni
3. Quando avrà finito, creerà log ....
Posta i log C:\combofix.txt e anche il file; C:\ComboFix-quarantined-files.txt caricandoli su [www].sendmefile[.com]
scarica questo software:
htt*://[www].malwarebytes.org/mbam/program/mbam-setup.exe lo aggiorni e scegli la modalità scansione COMPLETA. Elimina le minacce che ti trova. Alla fine vai nella scheda file di log, apri il file di testo e lo posti secondo le regole del forum |
|
|
|
gidovi
Senior Member
Città: alessandria
94 Messaggi |
Inserito il - 27/06/2008 : 10:34:03
|
a leleago: ecco i log di mbam e combofix:
htt*://[www].freefilehosting.net/download/3j0a1 (mbam)
htt*://[www].freefilehosting.net/download/3j0a3 (combofix)
htt*://[www].freefilehosting.net/download/3j0a4 (combofix-quarantined-files)
devo eliminare i files in quarantena?
a shang: ora provo a-squared e vi faccio sapere!
grazie |
Modificato da - gidovi in data 27/06/2008 10:35:04 |
|
|
|
gidovi
Senior Member
Città: alessandria
94 Messaggi |
Inserito il - 27/06/2008 : 12:17:01
|
Il link al log di a-squared:
htt*://[www].freefilehosting.net/download/3j0c2
|
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 27/06/2008 : 15:36:15
|
buonasera ho dato un'occhiata al log di a-squared sembra tu abbia un visitatore vedi se riesci ad eliminarlo a-squared dovrebbe farlo non appena lo individua comunque segui questo percorso semmai toglilo manualmente se non vuoi fare la scansione dopodiche' prova a disattivare il ripristino configurazione del sistema risorse del computer\tasto destro proprieta' proprieta'\disattiva il ripristino\ riavvia e riattivi di nuovo il ripristino e vediamo se va' meglio...[.com]unque segui soprattutto i consigli di LELEAGO
questo e' il percorso per eliminare il trojan:
C:\Programmi\uTorrent\Atomix_Virtual_DJ_Professional v5.0 rev6\install_virtualdj_v5.0.rev6.exe rilevati: Trojan-Dropper.Win32.Agent.nvy |
|
|
|
gidovi
Senior Member
Città: alessandria
94 Messaggi |
Inserito il - 29/06/2008 : 10:39:00
|
ciao a tutti!
Ho eliminato tutto quello che a-squared e malwarebytes avevano messo in quarantena.
Questo è il nuovo log di hijackthis:
htt*://[www].freefilehosting.net/download/3j257
E' pulito?
Grazie! |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 29/06/2008 : 12:05:54
|
Il log è pulito, già che ci sei puoi fare un po' di pulizia fixando queste voci:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htt*://go.microsoft[.com]/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = htt*://go.microsoft[.com]/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = htt*://home.netscape[.com]/home/winsearch200.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htt*://go.microsoft[.com]/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://go.microsoft[.com]/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = htt*://keyword.netscape[.com]/keyword/%s
O20 - Winlogon Notify: cbXNEULe - cbXNEULe.dll (file missing)
Domanda OT: Copernic è gratuito o è ancora a pagamento  |
|
|
|
gidovi
Senior Member
Città: alessandria
94 Messaggi |
Inserito il - 29/06/2008 : 12:48:15
|
[OT]La versione Basic è free [/OT]
Grazie per l'aiuto!
Ma, per curiosità, le 6 chiavi di registro che mi hai fatto cancellare a cosa servivano?  |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 29/06/2008 : 14:07:15
|
| Puoi salvare il log di combofix su [www].sendmefile[.com] cosi te lo analizzo xchè su freefilehosting nn lo leggo bene |
|
|
|
gidovi
Senior Member
Città: alessandria
94 Messaggi |
Inserito il - 29/06/2008 : 15:05:01
|
htt*://[www].sendmefile[.com]/00637558 (combofix)
htt*://[www].sendmefile[.com]/00637559 (combofix_quarantine)
Malwarebytes va bene su freefilehosting
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 01/07/2008 : 15:43:08
|
Elimina i virus presenti nella Quarantena di MalwareBytes, Asquared ed elimina la cartella Qoobox contenuta in c:\
Scarica CCleaner (htt*://[www].filehippo[.com]/download_ccleaner/), Avenger (htt*://swandog46.geekstogo[.com]/avenger.zip)
Disattiva il ripristino configurazione di sistema del disco c: (start - pannello di controllo - sistema - ripristino configurazione di sistema - spunta "disattiva ripristino configuraz. di sistema")
Avvia il file avenger.exe
Copi e incolli nella finestra: "Imput script here" il SEGUENTE testo COSI' come l'ho scritto:
files to delete:
C:\WINDOWS\winlogon.exe
C:\Programmi\uTorrent\Atomix_Virtual_DJ_Professional v5.0 rev6\install_virtualdj_v5.0.rev6.exe
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\QTFont.for
C:\WINDOWS\system32\.exe
C:\WINDOWS\System32\3.tmp
c:\WINDOWS\System32\cbXNEULe.dll
folders to delete:
C:\Programmi\uTorrent\Atomix_Virtual_DJ_Professional v5.0 rev6
registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-BAFA-00BB00B6017B}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbXNEULe
HKEY_LOCAL_MACHINE\system\ControlSet005\Services\MEMSWEEP2
KEY_LOCAL_MACHINE\system\ControlSet001\Services\MEMSWEEP2
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\MEMSWEEP2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\MEMSWEEP2
drivers to disable:
MEMSWEEP2
drivers to delete:
MEMSWEEP2
Spunta "Automatically disable any rootkits found"
clicca sul pulsante "Execute"
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte). Vai su scheda Registro, trova problemi e ripara selezionati
Posta log di avenger contenuto in c:\ e un nuovo log di hijack
|
Modificato da - Leleago in data 01/07/2008 16:05:47 |
|
|
|
gidovi
Senior Member
Città: alessandria
94 Messaggi |
Inserito il - 11/07/2008 : 12:02:20
|
scusate il ritardo ma ero via da casa...
Ecco i log dopo aver eseguito le operazioni consigliate da Leleago:
htt*://[www].sendmefile[.com]/00639456 (avenger)
htt*://[www].sendmefile[.com]/00639457 (hijack)
Grazie ancora! |
|
|
| |
Discussione |
|
backdoor vb.akx
Forum Bloccato
