| Autore |
 Discussione  |
|
|
gianlo
New Member
Città: genpva
44 Messaggi |
 Inserito il - 06/05/2009 : 16:53:38
|
con anti-malware elimino rogue ma poi ricompare, leggendo nel forum ho scansito con hijacthis e vi posto il log... htt*://wikisend[.com]/download/504184/hijackthis.log
|
Modificato da - in Data
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 06/05/2009 : 17:09:33
|
scarica htt*://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip
==> disattiva il UAC
Start
Pannello di controllo
Account Utente e Protezione per la Famiglia
Account utente
Attiva o disattiva Controllo account utente
Togliere il segno di spunta da "Per proteggere il computer..."
riattivalo dopo la procedura con navilog
click col tasto destro sul file Navilog1.exe seleziona, dal menu a tendina, "esegui come amministratore"
- dopo aver selezionato la lingua, scegli l'opzione 1
- finita la scansione seleziona questa volta l'opzione 2 dopo il riavvio portati in C:\ e copia/incolla il contenuto del file cleannavi.txt
Avvia hijackthis, con tutte le applicazioni chiuse, premi su Do a system scan only , spunta ed elimina (fix checked) le seguenti righe:
O2 - BHO: WormRadar[.com] IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL (file missing)
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL (file missing)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKCU\..\Run: [sqyoyum] "c:\users\gl\appdata\local\sqyoyum.exe" sqyoyum
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (no file)
O15 - Trusted Zone: *.download[.com]
Appena finito, posta un nuovo log di hjt per finire le pulizie |
Modificato da - shang in data 06/05/2009 17:19:45 |
 |
|
|
gianlo
New Member
Città: genpva
44 Messaggi |
Inserito il - 07/05/2009 : 09:21:10
|
grazie davvero per l'aiuto indispensabile,
ho seguito le istruzioni (al riavvio di hijackthis non era più presente la riga O4 - HKCU\..\Run: [sqyoyum] "c:\users\gl\appdata\local\sqyoyum.exe" sqyoyum)
vi posto il nuovo log:
htt*://wikisend[.com]/download/873894/hijackthis22.odt |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 07/05/2009 : 10:11:04
|
| puoi incollare il log in blocco note? |
|
|
|
gianlo
New Member
Città: genpva
44 Messaggi |
Inserito il - 07/05/2009 : 11:04:49
|
Ok:
htt*://wikisend[.com]/download/538270/hijackihis22.txt |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 07/05/2009 : 11:14:53
|
ehm....mi servirebbe anche il log di navilog - lo trov in C:\ come cleannavi.txt
|
|
|
|
gianlo
New Member
Città: genpva
44 Messaggi |
Inserito il - 07/05/2009 : 12:17:54
|
ecco:
htt*://wikisend[.com]/download/477602/cleannavi1.txt |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 07/05/2009 : 12:35:28
|
vai nel pannello di controllo- strumenti - opzioni internet - scheda "contenuto" e cerca i certificati
Electronic-Group certificate
OOO-Favorit certificate
se li trovi, seleziona ed elimina |
Modificato da - shang in data 07/05/2009 12:36:30 |
|
|
|
gianlo
New Member
Città: genpva
44 Messaggi |
Inserito il - 07/05/2009 : 13:22:04
|
| ho letto tutti i certificati presenti negli elenchi ma non ho trovato i due incriminati |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 07/05/2009 : 13:51:37
|
meglio cosi' - comunque l'infezione che avevi e' stata eliminata
scarica htt*://[www].filehippo[.com]/download_ccleaner/
1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo (senza la toolbar aggiuntiva)
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte
poi
scarica htt*://[www].atribune.org/ccount/click.php?id=1
Avvia ATFCleaner.exe con un doppio click
1.1) seleziona la casella Select All
2.1) clicca sul pulsante Empty selected
3.1) aspetta l'avviso Done Cleaning
scarica Malwarebytes htt*://[www].malwarebytes.org/mbam/program/mbam-setup.exe
1) lo installi
2) lo aggiorni
3) fai una scansione scegliendo la modalità completa
4) NON eliminare per ora le ventuali minacce che rileva
5) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum |
Modificato da - shang in data 07/05/2009 13:53:10 |
|
|
|
gianlo
New Member
Città: genpva
44 Messaggi |
Inserito il - 08/05/2009 : 11:59:26
|
ho seguito le istruzioni e vi posto il log di Malwarebytes, programma che usavo e aggiornavo già, che non ha rilevato infezioni: htt*://wikisend[.com]/download/447428/mlaware1.txt
precedentemente a questa ultimo processo di pulizia avevo scansito con ClamWin Free Antivirus che mi ha segnalato 7 infezioni di cui vi posto il log:
htt*://wikisend[.com]/download/523904/clamav_report_070509_220943.txt
poi ho riscansito con ClamWin Free Antivirus che mi ha trovato 6 files infetti di cui vi posto il novo log:
htt*://wikisend[.com]/download/483524/clamav_report_280409_200443_0.txt |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 08/05/2009 : 12:12:33
|
se non hai eliminato le infezioni trovate, fai una scansione con combofix
Scarica Combofix
htt*://download.bleepingcomputer[.com]/sUBs/ComboFix.exe
Salvalo sul desktop.
Doppio click su combofix.exe (comparirà una videata.)
Digita 1 premi Invio e segui le indicazioni.
Al termine, verrà creato un file log chiamato C:\ComboFix.txt. Postalo qui.
Durante l'operazione di scansione è importante non usare il PC e attendere pazientemente la fine delle operazioni.
Durante la scansione non toccare niente, nemmeno mouse e tastiera |
|
|
|
gianlo
New Member
Città: genpva
44 Messaggi |
Inserito il - 08/05/2009 : 18:00:49
|
| ho fatto la scansione con combofix ma COMODO Firewall e Spyware Terminator non mi hanno permesso di evitare di usare la tastiera; poi ho provato a disabilitarli e a riavviare la scansione senza successo, allora ho provato a cancellare combofix e a reinstallarlo ma anche ma è rimasto il file sed.cfexe che non riesco a eliminare.. cosa consigli di ripristinare il sistema a un punto precedente alla prima installazione di combofix? |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 08/05/2009 : 19:07:59
|
probabilmente non funziona perche' hai windows vista
elimina combofix in questo modo
Da Start >> Esegui, scrivi ( o copia e incolla) la stringa ComboFix /u
cancella la cartella C\qoobox
cancella la cartella ComboFix del desktop.
scarica nuoamente combofix ed eseguilo da amministratore
per entrare come amministratore, apri il pannello di controllo, seleziona utenti e disattiva tutte le restrizioni applicate al profilo che usi abitualmente.
Prova in questo modo- se non funziona, proveremo con un altro programma |
|
|
|
gianlo
New Member
Città: genpva
44 Messaggi |
Inserito il - 11/05/2009 : 18:24:51
|
ci sono riuscito:
htt*://wikisend[.com]/download/608136/ComboFix.txt |
|
|
|
gianlo
New Member
Città: genpva
44 Messaggi |
Inserito il - 12/05/2009 : 22:35:23
|
una nuova scansione con ClamWin antivirus mi individiuerebbe i seguenti 9 files infetti,ma sono dei veri virus? uno all'interno di Combofix.exe è un falso positivo? gli ultimi due sono in quarantena?
C:\Windows\Installer\$PatchCache$\Managed\00002119130000000000000000F01FEC\12.0.6215\XL12CNV.EXE: W32.Virut.Gen.D-163 FOUND
C:\Windows\Installer\566df.msp: W32.Virut.Gen.D-163 FOUND
C:\Windows\Installer\6d62b.msp: W32.Virut.Gen.D-163 FOUND
C:\Windows\Installer\ad7a3e.msp: W32.Virut.Gen.D-163 FOUND
C:\Users\gl\Desktop\ComboFix.exe: Pua.Hideexec FOUND
C:\Users\gl\AppData\Roaming\Thunderbird\Profiles\fql1spr3.default\Mail\pop.tiscali-1.it\Inbox: Email.Faketube-1 FOUND
C:\Users\gl\AppData\Roaming\Thunderbird\Profiles\fql1spr3.default\Mail\Local Folders\Outlook Express Posta.sbd\Posta in arrivo: Trojan.Bagle.BN FOUND
C:\Users\All Users\.clamwin\quarantine\Exe.reg.infected.000.infected: Pua.Hideexec FOUND
C:\ProgramData\.clamwin\quarantine\Exe.reg.infected.000: moved to 'C:\ProgramData\.clamwin\quarantine\Exe.reg.infected.000.infected' |
|
|
| |
Discussione |
|
hijackthis scan per eliminare rouge residue
Forum Bloccato
