| Autore |
 Discussione  |
|
|
teschio
Advanced Member
301 Messaggi |
 Inserito il - 26/02/2009 : 19:15:53
|
Ragazzi ciao, c'è un problema su un portatile non mio, mentre si naviga si chiudono da sole le pagine di internet, vi posto un log (le xxxxx che trovate all'interno è l'indirizzo IP nascosto).
Grazie
htt*://freefilehosting.net/download/45e9e
|
Modificato da - in Data
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 26/02/2009 : 19:57:15
|
Buona sera, bella infezione  , per prima cosa evita di usare pen drive usb e hard disk esterni se non vuoi fare l'untore, poi esegui questa scansione:
scarica Malwarebytes
1.1) lo installi
2.1) lo aggiorni
3.1) fai una scansione scegliendo la modalità completa
4.1) NON eliminare le eventuali minacce che rileva
5.1) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum |
 |
|
|
teschio
Advanced Member
301 Messaggi |
Inserito il - 01/03/2009 : 20:20:12
|
Scusate se rispondo tardi, ma il portatile non è mio, quindi non ho sempre la possibilità di utilizzarlo.
Purtroppo c'è quasi sempre collegato un Hard disk portatile, quindi penso sia infetto anche lui, comunque scansione effettuata, ecco il risultato
htt*://freefilehosting.net/download/45h1h |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 02/03/2009 : 15:41:41
|
Buona sera, ripeti la scansione con malwarebytes con l'ahrd disk esterno collegato e rimuovi tutto, poi esegui questo tool:
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop. |
|
|
|
teschio
Advanced Member
301 Messaggi |
Inserito il - 08/03/2009 : 18:33:28
|
Ecco il report.
htt*://freefilehosting.net/download/45lji
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 08/03/2009 : 20:37:08
|
Buona sera, ho trovato una serie di cose strane, hai qualche decina di cartelle con nomi fantasiosi, le ho inserite in eliminazione, ovviamente se per caso le hai create tu non inserirle nello script di avenger (le trovi sotto folders to delete), poi, trovo un file infetto su I (I di Imola) presumo sia un supporto removibile, se ho ragione ci sono delle pen drive in giro infette, se invece è l'hard disk sempre collegato dovrai rimuovere il files infetto a mano, ora:
stacca l'hard disk esterno
poi segui la procedura:
scarica questo file che ti ho predisposto htt*://wikisend[.com]/download/523944/fix.reg e salvalo in c:\
poi
scarica Avenger
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
C:\WINDOWS\system32\kxvo.exe
folders to delete:
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\gikryrqsnj
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\cjkhsmngpo
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\huqmwgpiac
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\pssdqmkixq
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\dnaacleahs
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\kiyvargmlt
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\mmhrxretpv
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\cdnkkljcvd
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\pbqkedmhcx
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\heeoyaapyt
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\ghdvyhgnjd
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\xkspnnkdnp
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\binqaqndrj
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\njrtboyyya
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\yrqoipsfdd
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\pwasrgcacm
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\gtfmeaitwr
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\lvcjnckhlg
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\sqcmngcdns
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\rnadladtyx
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\exwdidqbxt
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\puublnjvwo
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\ajirkqggmj
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\xiaegkgths
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\kpdabethsi
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\lojbnxrrwm
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\fndlcknjlq
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\cptjbiwsqj
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\qmgkentbpr
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\hplyndmkwj
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\wcunooxtqw
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\WERf577.dir00
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\mtcxpvvngl
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\qbcxaewxyb
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\fiqudrafqc
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\oplsrotwfj
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\jqlkvwmoue
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\ndfdsuewgo
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\lnwohjowbl
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\hreutbjtvr
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\hpjmqjevcf
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\dkykuditis
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\ljpefpjyjn
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\mjgflmklwu
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\ikqmvsajpn
C:\DOCUME~1\CLAUDI~1\IMPOST~1\Temp\mbbtgilbtd
programs to launch on reboot:
c:\fix.reg
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Al riavvio, collega l'hard disk esterno tenendo premuto il tasto SHIFT rilascialo dopo qualche secondo che il disco è collegato, se sbagli reinfettiamo tutto di nuovo, poi visualizza i files nascosti
Citazione:
Windows XP
Tasto destro su Start–>Esplora–>Menù Strumenti–>Opzioni Cartella–>Visualizzazione
-Mettere la spunta a ‘Visualizza tutti i files’ o “Visualizza cartelle e files nascosti”
-Togliere la spunta a ‘Non visualizzare cartelle e files di sistema’ o “Nascondi i files protetti di sistema”
cerca il file I:\autorun.inf e rimuovilo
In ultimo sempre con l'hard disk collegato e con le varie pen drive che utilizzi (collegandole sempre con il tasto SHIFT premuto) esegui questa scansione on line htt*://[www].bitdefender[.com]/scan8/ie.html salva il report in formato pagina web o in formato testo e postalo.
|
|
|
|
teschio
Advanced Member
301 Messaggi |
Inserito il - 19/03/2009 : 19:47:14
|
Report avenger
htt*://freefilehosting.net/download/465fj
report bitdefender
htt*://freefilehosting.net/download/465fl
temo sia ancora infetto vero! |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 19/03/2009 : 20:06:38
|
Buona sera, avenger va bene e il report va molto bene, ha trovato il file di systemscan che ovviamente considera infetto  e qualcosa nei punti di ripristino, segui la procedura:
Per cancellare tutti i punti di ripristino di windows, tranne l'ultimo, procedere in questo modo:
da Risorse del computer cliccate con il tasto destro del mouse sul disco di sistema
cliccare su Proprietà
cliccare su "Pulitura disco"
nella finestra che appare dopo il calcolo selezionate la scheda Altre opzioni
cliccare sul pulsante "Esegui pulitura..."della sezione Ripristino di configurazione di sistema.
poi esegui queste pulizie
scarica Ccleaner
1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo (senza la toolbar aggiuntiva)
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte
4) NON utilizzare la sezione dedicata alla pulizia del registro
poi
scarica Atfcleaner
Avvia ATFCleaner.exe con un doppio click
1.1) seleziona la casella Select All
2.1) clicca sul pulsante Empty selected
3.1) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)
poi
vai qui e segui la procedura indicata (se non trovi l'icona del java nel pannello di controllo non preoccupartene, vuol dire che non stai utilizzando il java della sun)
fatto questo riavvia il pc, rifai una scansione con malwarebytes dopo averlo aggiornato e posta il report. |
|
|
|
teschio
Advanced Member
301 Messaggi |
Inserito il - 19/03/2009 : 20:07:55
|
| questo I:\autorun.inf non l'ho trovato |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 19/03/2009 : 20:18:48
|
| Buona sera, I:\ dovrebbe essere qualcosa di esterno, se non lo trovi vuol dire che forse è stato rimosso dal tuo anti virus quando hai inserito la periferica, fai le pulizie e poi dimmi come si comporta il pc, se ci sono problemi vediamo di riprendere la procedura. |
|
|
|
teschio
Advanced Member
301 Messaggi |
Inserito il - 29/03/2009 : 17:16:34
|
ecco il report
htt*://freefilehosting.net/download/46c2l |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 29/03/2009 : 20:06:45
|
|
Buona sera, riesegui malwarebytes e rimuovi quella chiave di registro, poi fammi sapere se i problemi sul pc ocntinuano. |
|
|
| |
Discussione |
|
EXPLORER SI CHIUDE DA SOLO
Forum Bloccato
