| Autore |
 Discussione  |
|
erjvvj
Advanced Member
265 Messaggi |
 Inserito il - 02/09/2008 : 20:09:53
|
|
Che problema hai con sophos? E' uno strumento che rileva ed elimina rootkit. Cosa ha rilevato? |
 |
|
|
carlito72
Junior Member
65 Messaggi |
Inserito il - 02/09/2008 : 20:48:55
|
nessun problema con sophos, avevo fatto la scansione oggi pomeriggio aveva trovato delle cose ma al riavvio erano ancora li.
allora:
-ho disinstallato zone alarm perchè non avevo più accesso alla rete, ora provo con la versione gratuita che fa solo il firewall se mi date via libera, forse avevo alzato troppo le barricate
-non ho screensaver attivi, e comunque non so dove si disattivano, abituato al mac non mi ricordo più dove si trovavano le impostazioni desktop
-ho eliminato rhceuuj0epb7.exe , desktopia l'avevo disinstallato normalmente e non si è trovato
nella scansione hijack ho trovato tutto meno startup:desktoptopia.lnk e -019 protocol linkscanner e c:\progra avg (avevo disinstallato anche questo)
allora, per il momento campeggia un immagine del desktop blu con una finestra finta gigante con scritto "attention danger virus" simpatico regalo di virus desktop 08. le icone nel system tray di virus desktop non sono più modellate ma ci sono ancora come iconcina bianca. e ovviamente il computer non va la rete, accesso a internet con banda satura. sto facendo un altro scan con sophos il risultato è stato che non ha trovato niente. sembra tutto debellato ma la rete è satura...
ecco l'ultimo log htt*://[www].sendmefile[.com]/00646360
|
|
|
|
erjvvj
Advanced Member
265 Messaggi |
Inserito il - 02/09/2008 : 21:13:36
|
Bene..la situazione è migliorata.
In modalità provvioria entra in C:\WINDOWS\SYSTEM32\ ed elimina:
-Cpl32ver.exe
-lphcauuj0epb7.exe
-bhnqoou32.dll
Desktoptopia.exe risulta tra i processi attivi nel sistema?
Se è cosi arrestalo e prova a cancellarlo
Lo vedi tra i programmi installati?
Controlla queste 2 cartelle ( guarda se lo trovi):
C:\Users\All Users
C:\ProgramData\
|
|
|
|
carlito72
Junior Member
65 Messaggi |
Inserito il - 02/09/2008 : 21:16:17
|
AGGIORNAMENTO:
ho installato la versione base di norton (scusate se non ho aspettato)
il computer tenta di collegarsi a (cito più o meno perchè non si può fare copia e incolla e posto da un altro computer):
- generic host process for win 32 svchost.exe
dopodichè tenta di connettersi a una cosa tipo lsuvchu con lettere a caso .exe che sembra proprio il virus
dopodichè tente di connettersi a un lsass.exe
negando l'autorizzazione, e questa è la notiziona, RIUSCIAMO A NAVIGARE e non toglie banda agli altri computer.
posso tamponare tenendo la cosa in questa maniera ma vorrei tanto riuscire a togliere questi maledetti.
spero di avere dato tutte le info del caso, ora vado a casa e leggerò le risposte dopo la solita cena da solo da mcdonald's.
poi dicono che avere un'agenzia di modelle sei pieno di donne...vabbè.
grazie di cuore a tutti per il momento.
|
|
|
|
carlito72
Junior Member
65 Messaggi |
Inserito il - 02/09/2008 : 21:20:37
|
Citazione:
Messaggio inserito da erjvvj
Bene..la situazione è migliorata.
In modalità provvioria entra in C:\WINDOWS\SYSTEM32\ ed elimina:
-Cpl32ver.exe
-lphcauuj0epb7.exe
-bhnqoou32.dll
Desktoptopia.exe risulta tra i processi attivi nel sistema?
Se è cosi arrestalo e prova a cancellarlo
Lo vedi tra i programmi installati?
Controlla queste 2 cartelle ( guarda se lo trovi):
C:\Users\All Users
C:\ProgramData\
a sto punto faccio subito, mcdonald aspetta :-) |
|
|
|
erjvvj
Advanced Member
265 Messaggi |
Inserito il - 02/09/2008 : 21:28:27
|
Fai analizzare lsass.exe e l altro eseguibile qui htt*://[www].virustotal[.com]/it/
Elimina i file sopra scritti in C:\Windows\System32\ |
Modificato da - erjvvj in data 02/09/2008 21:30:59 |
|
|
|
carlito72
Junior Member
65 Messaggi |
Inserito il - 02/09/2008 : 21:31:11
|
stavo andando a fare gli ultimi compitini alla postazione infetta contento come una pasqua ad aprile quando ho trovato la schermata blu di morte windows. in realtà era un savescreen del virus.
da quel momento la navigazione è morta di nuovo.
ora sto riavviando e faccio i compitini in provvisoria, poi provo virustotal.
ero felice, ora sono depressissimo.
ti faccio sapere. |
|
|
|
carlito72
Junior Member
65 Messaggi |
Inserito il - 02/09/2008 : 21:35:23
|
il piccolo bastardo di bhnqoou32.dll non me lo fa cancellare, dice accesso negato, utilizzato dal sistema. l'unica cosa che sono riuscito a fare è tagliare il file, incollarlo nel desktop e rinominarlo a caso in modo che non lo trovi. non me lo fa cancellare.
li altri due li ho segati.
desktopia non è tra i processi attivi del sistema.
ora finisco i compiti e ti dico. |
Modificato da - carlito72 in data 02/09/2008 21:37:14 |
|
|
|
carlito72
Junior Member
65 Messaggi |
Inserito il - 02/09/2008 : 21:53:06
|
xspize.exe è ancora nei processi di sistema. ho dovuto disinstallare di nuovo zone alarm basic perchè dopo il primo entusiasmo ha bloccato la rete.
ora provo con totalvirus. a ogni riavvio il desktop si colora dell'immagine della finestra con l'avviso del virus che poi in realtà è il virus. |
|
|
|
carlito72
Junior Member
65 Messaggi |
Inserito il - 02/09/2008 : 21:58:37
|
i virus sono tornati al riavvio in system32
l'analisi di virustotal di lsass.exe è 0/34 (credo non abbia trovato niente quindi)
sempre più disperato.
|
|
|
|
erjvvj
Advanced Member
265 Messaggi |
Inserito il - 02/09/2008 : 22:00:54
|
Ok..
Start>cmd>Esegui
comando: DEL /S C: H file bloccati ( uno per volta )
...Anche dekstoptopia.exe perchè è nascosto ma è presente nel sistema |
Modificato da - erjvvj in data 02/09/2008 22:05:16 |
|
|
|
carlito72
Junior Member
65 Messaggi |
Inserito il - 02/09/2008 : 22:03:38
|
per l'altro luhjh etc. ha trovato 13 risultati ma la rete morta non mi consente di caricare il permalink che è questo
Permalink: analisis/b6dfd7b4be512802f1214ec5351fd84e |
|
|
|
erjvvj
Advanced Member
265 Messaggi |
Inserito il - 02/09/2008 : 22:07:16
|
| Ok . l ho recuperato io |
|
|
|
carlito72
Junior Member
65 Messaggi |
Inserito il - 02/09/2008 : 22:07:48
|
Citazione:
Messaggio inserito da erjvvj
Ok..
Start>cmd>Esegui
comando: DEL /S C: H file bloccati ( uno per volta )
...Anche dekstoptopia.exe perchè è nascosto ma è presente nel sistema
andiamo sull'hard....
sono handicappato con dos. mi si apre in documents and settings, come ritorno a c: ?
oltre a ciò devo entrare nelle cartelle di ciascuno o dò il comando solo da c: ? |
Modificato da - carlito72 in data 02/09/2008 22:10:56 |
|
|
|
erjvvj
Advanced Member
265 Messaggi |
Inserito il - 02/09/2008 : 22:14:50
|
Devi entrare nel prompt del comandi del tuo pc e dare quel comando in C: per ogni file bloccato.
Poi posta il LOG |
|
|
|
Discussione |
|
problema banda usurpata (virus desktop 08)
Forum Bloccato
