| Autore |
 Discussione  |
|
Sibilla
Advanced Member
2059 Messaggi |
 Inserito il - 07/07/2008 : 18:39:19
|
vedi se trovi ancora il file C:\WINDOWS\TEMP\CG6344.EXE e, se c'è, cliccaci sopra una sola volta con il tasto destro del mouse e seleziona "proprietà". Dimmi la data di creazione e, se presente, il produttore.
entra in modalità provvisoria, esegui SmitfraudFix.
Seleziona l'opzione 2 + invio.
Alla domanda "Registry cleaning - Do you want to clean the registry ?" digita "Y" + invio.
Il computer si riavviera' per completare il processo di pulizia.
Posta il rapporto (lo trovi anche in C:\rapport.txt).
Scarica SystemScan
disconnetti il pc da internet
disattiva l'antivirus (il programma viene riconosciuto come trojan, ovviamente non lo è)
esegui systemscan
clicca su "Scan Now".
Finita la scansione, riattiva l'antivirus,
carica il rapporto che trovi sul desktop su Savefile (non caricarlo su freefilehosting)
posta il link ottenuto.
|
 |
|
|
steallo
Senior Member
117 Messaggi |
Inserito il - 07/07/2008 : 19:05:31
|
Data di creazione del file CG6344.EXE: 07/07/2008 08:48:25, non c'è il produttore ma come copyright c'è scritto Trend Micro.
Rapport.txt di SmitfraudFix:rapport_1215450205433.txt
ora proseguo con il resto
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/07/2008 : 19:10:26
|
ok. Prova ad usare la funzione cerca e dimmi se è ancora bloccata.
Clicca su start e dimmi se è cambiato qualcosa.. |
|
|
|
steallo
Senior Member
117 Messaggi |
Inserito il - 07/07/2008 : 19:42:56
|
Purtoppo sia la funzione cerca ke il resto è come prima.
log di SystemScan:htt*://[www].savefile[.com]/files/1652482 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/07/2008 : 21:52:41
|
Comincia a scaricare Superantispyware: installalo, aggiornalo e disconnetti il pc da internet. Poi esegui una scansione
sto guardando il rapporto, hai due connessioni:
[INGEST] PhoneNumber=62.110.23.134 IpDnsAddress=192.168.10.5
[COLCOM] PhoneNumber=62.97.36.194
le conosci? se non sono tue, disconnetti il pc.
hai aperto una di quelle mail inviate da un presunto avvocato?
Ci vorrà ancora un po' prima di completare la procedura di rimozione. La prossima volta che ti connetti, non cliccare sull'icona del desktop (per precauzione)
a dopo
edit:
intanto, ho visto che hai una connessione ADSL, quindi non hai problemi
dimmi se conosci quelle due connessioni che ti ho indicato
Poi, ti ho inviato un link con un pm
segui queste indicazioni:
scarica pippo.zip, scompattalo e trascina il file pippo.txt sul desktop
rinominalo in pippo.bat, cliccaci sopra due volte e posta i risultati che compaiono sul desktop (files di testo)
|
Modificato da - Sibilla in data 07/07/2008 22:43:42 |
|
|
|
steallo
Senior Member
117 Messaggi |
Inserito il - 07/07/2008 : 23:32:12
|
Fatto....si cmq le connessioni le conosco...sono 2 clienti a cui mi conneto in Vpn per lavoro...
Il volume nell'unità C non ha etichetta.
Numero di serie del volume: ECE7-287D
Directory di C:\Programmi\znofyof
06/07/2008 00:31 <DIR> .
06/07/2008 00:31 <DIR> ..
06/07/2008 00:31 122.880 syscfgweb.dll
1 File 122.880 byte
2 Directory 3.884.912.640 byte disponibili
Il volume nell'unità C non ha etichetta.
Numero di serie del volume: ECE7-287D
Directory di C:\WINDOWS\system32\winsvc\svc
07/12/2006 17:25 <DIR> .
07/12/2006 17:25 <DIR> ..
0 File 0 byte
2 Directory 3.884.912.640 byte disponibili
Nn ho aperto mail strane, ho scaricato un gioco da emule.... |
Modificato da - steallo in data 07/07/2008 23:39:04 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 08/07/2008 : 00:55:27
|
ok, allora sono residui di una vecchia infezione, nel registro si vedevano ancora i files:
C:\WINDOWS\system32\winsvc\svc\DecretoAG492_Dettaglio.exe
C:\WINDOWS\system32\winsvc\svc\apri_tutte_le_pagine[1].exe
C:\WINDOWS\system32\winsvc\svc\stampa_tutte_le_pagine.exe
C:\WINDOWS\system32\winsvc\svc\stampa_tutte_le_pagine[1].exe
Riguardo la cartella Programmi\znofyof, non mi dice nulla.. e nemmeno il file syscfgweb.dll, quindi eliminiamo tutto (nel caso dovessi conoscere cosa sono, non eseguire avenger).
Scarica Avenger e Norman Malware Cleaner
Apri il blocco note e nella pagina copia/incolla:
Citazione:
Windows Registry Editor Version 5.00
[-HKCR\CLSID\{64D0450A-10EF-BE78-12E9-0A7EB3EF092D}]
salvalo in c:\ con il nome nome: fix.reg
tipo di file: tutti i file
Esegui avenger e nella finestra copia/incolla tutta la citazione:
Citazione:
files to delete:
C:\Programmi\znofyof\syscfgweb.dll
C:\Documents and Settings\stefano[.com]inotti\Dati applicazioni\rhct8lj0eeen
C:\WINDOWS\cfgall.ini
folders to delete:
C:\Programmi\znofyof
registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows | syscfgweb
registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhct8lj0eeen
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DecretoAG492_Dettaglio.exe
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\apri_tutte_le_pagine[1].exe
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\stampa_tutte_le_pagine.exe
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\stampa_tutte_le_pagine[1].exe
programs to launch on reboot:
c:\fix.reg
Spunta "Automatically disable any rootkits found" e clicca su "execute". Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.
Avvia il PC in modalità provvisoria ed esegui Norman Malware Cleaner. Finita la scansione, rimuovi i files infetti trovati e posta il log che viene generato sul desktop.
|
Modificato da - Sibilla in data 08/07/2008 00:56:34 |
|
|
|
steallo
Senior Member
117 Messaggi |
Inserito il - 08/07/2008 : 09:30:28
|
Eseguendo Norman Malware cleaner da quest'errore:htt*://[www].savefile[.com]/files/1653961
inoltre al riavvio in modalità normale mi ha dato errore anche avenger ed è uscito il rapporto di avanger:
htt*://[www].savefile[.com]/files/1653970
|
Modificato da - steallo in data 08/07/2008 09:34:29 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 08/07/2008 : 09:56:46
|
| Buon giorno a tutti, disconnettiti da internet, chiudi tutti i programmi e rilancia norman, sarebbe opportuno se ci riesci, chiudere di nuovo da task manager tutti i processi dell'antivirus, se si riblocca rimandami la foto, non vorrei si bloccasse sulla quarantena di Cureit. |
|
|
|
steallo
Senior Member
117 Messaggi |
Inserito il - 08/07/2008 : 10:14:51
|
stesso identico errore purtroppo...
Inoltre da ieri sera all'avvio mi si apre questa finestra: htt*://[www].savefile[.com]/files/1654040
a questo punto non so....se il problema è risolvibile continuiamo se no formatterò....ditemi voi se è il caso di continuare...intanto grazie |
Modificato da - steallo in data 08/07/2008 10:26:03 |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 08/07/2008 : 10:57:45
|
| ciao death ascolta non sarebbe utile togliere (eliminare) cureit per il momento? potrebbe essere in conflitto con norman |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 08/07/2008 : 11:02:49
|
| Buon giorno a tutti, per l'avviso non preoccuparti, per ora chiudilo c'e' qualche periferica hardware che si comporta in modo strano, se ci riesci da pannello di controllo>sistema>hardware>gestione periferiche e controlla se ci sono punti interrogativi gialli, se li trovi scrivimi su quale periferica li trovi, poi rimuovi/disinstalla Cureit così evitiamo stranezze, in ultimo non formattare nulla ci sono diverse strade da seguire ancora. |
|
|
|
steallo
Senior Member
117 Messaggi |
Inserito il - 08/07/2008 : 11:25:06
|
periferica sconosciuta:htt*://[www].savefile[.com]/files/1654118
ota provo a rilanviare Norman
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 08/07/2008 : 11:43:05
|
Buon giorno a tuti, dall'elenco periferiche prova a cliccare sul destro "su periferica sconosciuta" per vedere se ti dice cosa sia, altrimenti quando ti appare la tendina per il nuovo hardware, dagli avanti e presta attenzione a cosa installa, se non sei sicuro postami quello che hai letto e vediamo quale periferica si è persa.
Hai toccato il bios per caso? |
|
|
|
steallo
Senior Member
117 Messaggi |
Inserito il - 08/07/2008 : 11:50:33
|
|
No non ho toccato il Bios...quando tento di installare poi dice Impossibile trovare sul computeril software per..ma non dice cosa, qnd finisce la scansione norman riconnetto a internet e provo a vedere cosa cerca di installare. |
|
|
|
Discussione |
|
Spyware
Forum Bloccato
