| Autore |
 Discussione  |
|
prischi
Advanced Member
274 Messaggi |
 Inserito il - 19/03/2009 : 22:52:51
|
Salve amici del forum, facendo una scanzione con malwarebytes questo rileva una minaccia
element: HKEY_CURRENT_USER\SOFT\FCN
produttore: ROGUE.RESIDUE
Con malwarerebytes rimuovo la minaccia anche in modalita' provvisoria ma questa alla prossima scansione ricompare, mi potete aiutare ad eliminare questa minaccia definitivamente ?
e' un virus?
e' pericoloso?
|
Modificato da - in Data
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 19/03/2009 : 23:09:17
|
ciao
puoi postare un log di hijackthis?
htt*://[www].trendsecure[.com]/portal/en-US/threat_analytics/hijackthis.php#
lancia il programma cliccando l’eseguibile e avvia la scansione, scegliendo la voce "Do a system scan and save a logfile"
Ricordati di mettere HIJACKTHIS in una cartella a lui dedicata (in Programmi o Documenti), l'importante è che non si trovi sul desktop o in cartelle temporanee è importante se vuoi salvare i backup
Posta il log che ti rilascia |
 |
|
|
prischi
Advanced Member
274 Messaggi |
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 28/03/2009 : 12:12:23
|
ciao
hai un'infezione da navipromo
Scarica htt*://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe e installalo.
Riavvia il computer in modalità provvisoria: all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8. Uscirà la finestra del menu Opzioni avanzate di Windows
=> scegli modalità provvisoria (usa il tasto freccia ^).
esegui Navilog1 e scegli l'opzione 4, inserisci il nome wwmamsw e confermalo ridigitandolo quando richiesto.
A questo punto, ripulirà il pc dai file infetti.
Quando finisce, riavvia il pc in modalità normale
Da modalità normale, svuota C:\WINDOWS\Prefetch
Ripulisci con CCleaner i file temporanei e cookie (eseguilo 2 volte).
htt*://[www].filehippo[.com]/download_ccleaner/
Avvia Hijackthis e clicca su "do a system scan only"
Metti la spunta a queste voci e clicca su "fix checked
O4 - HKCU\..\Run: [wwmamsw] "c:\documents and settings\salvatore\impostazioni locali\dati applicazioni\wwmamsw.exe" wwmamsw
O21 - SSODL: UpdateCheck - {6651335C-E511-4DD1-8137-6653786B7BED} - C:\WINDOWS\system32\mstmdm.dll (file missing)
Scarica, installa e aggiorna malwarebytes, esegui una scansione completa (seleziona l'opzione) e posta il rapporto.
Per ora non eliminare nulla.
htt*://[www].malwarebytes.org/mbam/program/mbam-setup.exe
|
Modificato da - shang in data 28/03/2009 12:13:25 |
|
|
|
prischi
Advanced Member
274 Messaggi |
Inserito il - 28/03/2009 : 15:08:21
|
scusatemi ma non sono molto bravo e prima di fare qualche guaio vorrei delle delucitazuioni: svuota C:\WINDOWS\prefetch , significa che devo eliminare i file presenti in questa cartella?
quale e' l'opzione di malwarebytes da selezionare e come si invia io rapporto, ho scaricato ed istallato malwerebytes ma non conosco il programma. |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 28/03/2009 : 15:12:16
|
Citazione:
scusatemi ma non sono molto bravo e prima di fare qualche guaio vorrei delle delucitazuioni: svuota C:\WINDOWS\prefetch , significa che devo eliminare i file presenti in questa cartella?
quale e' l'opzione di malwarebytes da selezionare e come si invia io rapporto, ho scaricato ed istallato malwerebytes ma non conosco il programma.
allora.....vedo che parliamo la stessa lingua 
devi svuotare la cartella prefetch che e' in windows, la cartella deve rimanare
l'opzione che devi usare con navilog(non malwarebytes) e' la 4
malwarebytes va usato dopo navilog
per inviare il rapporto, puoi caricarlo anche su questo server
htt*://[www].wikisend[.com]/ |
Modificato da - shang in data 28/03/2009 15:14:19 |
|
|
|
prischi
Advanced Member
274 Messaggi |
Inserito il - 28/03/2009 : 17:22:46
|
[URL=htt*://wikisend[.com]/download/461574/mbam-log-2009-03-28 (17-11-03).txt]mbam-log-2009-03-28 (17-11-03).txt[/URL]
fatto tutto,ecco il log di Malwarebyt
Ti voglio chiarire che:
nel file di log di hijackthis non c'era la voce 04-HKCU\..\RUN:(WWMAMSW) ecc.
mentre c'era 021-ssodl:update check e l'ho fixata.
Dalla scanzione effettuata con Malwarebytes non sono state trovate minacce
ora cosa devo fare? |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 28/03/2009 : 17:29:23
|
postami il rapporto di navilog ( lo trovi in C:\) insieme a un nuovo log di hjt
se parli della chiave
O4 - HKCU\..\Run: [wwmamsw] "c:\documents and settings\salvatore\impostazioni locali\dati applicazioni\wwmamsw.exe" wwmamsw
l'ha eliminata navilog insieme ai file infetti
aggiorna il service pack 3 il prima possibile
htt*://[www].microsoft[.com]/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&DisplayLang=it
|
Modificato da - shang in data 28/03/2009 17:30:38 |
|
|
|
prischi
Advanced Member
274 Messaggi |
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 28/03/2009 : 18:09:30
|
| il rapporto di navilog lo trovi in C:\ , appena lo apri lo trovi |
|
|
|
prischi
Advanced Member
274 Messaggi |
Inserito il - 28/03/2009 : 19:24:22
|
[URL=htt*://wikisend[.com]/download/434446/cleannavi.txt]cleannavi.txt[/URL]
credo sia questo il rapporto di naviglog
poi? |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 28/03/2009 : 19:37:01
|
| hai ancora problemi? |
|
|
|
prischi
Advanced Member
274 Messaggi |
Inserito il - 28/03/2009 : 19:49:45
|
intanto ti ringrazio molto.
non ho avuto modo di verificare se non quello che ogni volta che inserisco la penna usb l'antivirus ANTIVIR PE mi segnala che un file TR/Agent.bve.15 tenta di entrare, e antivir lo blocca, questo mi accade con due usb diverse, ho anche riformattato le pen drive ma appena vi accedo l'antivirus mi segnala l'intrusione.Dai rapporti che ti ho inviato ti risulta qualche cosa sospetta collegabile a TR/Agent? |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 28/03/2009 : 19:58:45
|
fai una cosa
tenendo premuto il tasto SHIFT inserisci la pen drive nel pc- rilascia il tasto SHIFT dopo 10 secondi dall'inserimento della stessa e avvia una scansione con Combofix
htt*://download.bleepingcomputer[.com]/sUBs/ComboFix.exe
Salvalo sul desktop.
Doppio click su combofix.exe (comparirà una videata.)
Digita 1 premi Invio e segui le indicazioni.
Al termine, verrà creato un file log chiamato C:\ComboFix.txt. Postalo qui.
Durante l'operazione di scansione è importante non usare il PC e attendere pazientemente la fine delle operazioni.
NON TOCCARE NIENTE DURANTE LA SCANSIONE |
|
|
|
prischi
Advanced Member
274 Messaggi |
Inserito il - 29/03/2009 : 12:55:25
|
[URL=htt*://wikisend[.com]/download/472000/ComboFix.txt]ComboFix.txt[/URL]
ilrapporto di combofix, quando ho iserito la chiavetta come mi hai detto dopo poco L'antivirus ANTIVIR PE mi ha segnalato intrusione di APPL/PSEXEC.E x poi segnalare un'altra intrusione durantre la finestra AUTOSCAN di nome EICAR-TEST-SIGNATURE al termine dell'operazione viene fuori questo rapporto.
|
|
|
|
prischi
Advanced Member
274 Messaggi |
Inserito il - 29/03/2009 : 13:25:00
|
|
ho verificato, le chiavette non hanno piu' l'autorun quando le collego al computer ma quando le inserisco non esce piu' il messaggio di intrusione, secondo te erano infette? l'utorun e' una funzione normale della chiavetta |
|
|
|
Discussione |
|
virus produttore ROGUE.RESIDUE
Forum Bloccato
