| Autore |
 Discussione  |
|
stanflante
Senior Member
Città: Fagnano
168 Messaggi |
 Inserito il - 08/08/2009 : 05:48:20
|
Salve a tutti,è da 1 pò che non uso questo pc,e ho scoperto che è 1 bordello..allora prima di formattare vorrei vedere se riuscite a risolvere il problema dato che ci stanno dati importanti che non posso perdere(se li trasferisco con la penna usb si trasferice pure il virus disknight)....Cmq oltre ai vari virus e trojan oliga ecc... ho altri problemi tra cui il disco locale che se ci clicco normalmente non mi fa entrare ma mi apre l'elenco dei programmi con cui aprirlo(tipo word acces excel),quindi x entrarci devo scrivere il percorso nella barra applicazioni,poi quando lo accendo mi da mille errori,la scheda di rete ethernet non funziona...cmq ora posto i report delle scansioni di avast e hjt in attesa di un vostro consiglio...vi ringrazio in anticipo
htt*://wikisend[.com]/download/484484/Desktop.rar
|
Modificato da - death in Data 09/08/2009 11:05:18
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 08/08/2009 : 10:32:06
|
ciao
inizia col fare una scansione approfondita
scarica e installa htt*://[www].malwarebytes.org/mbam/program/mbam-setup.exe Aggiornalo e fai una scansione completa del computer. Posta il rapporto ottenuto. Per ora non rimuovere nessuna eventuale minaccia rilevats
Esegui anche Lop S&D | htt*://eric.71.mespages.googlepages[.com]/LopSD.exe
con tutte le applicazioni chiuse e disconnesso
doppio click su LopSD
scegli la lingua E (invio)
1 (ricerca) invio
al termine dello scan riavvia LopSD
questa volta scegli l'opzione 2 (invio)
allega il report C:\LopR.txt insieme ad un nuovo log di hijackthis |
 |
|
|
stanflante
Senior Member
Città: Fagnano
168 Messaggi |
 Inserito il - 08/08/2009 : 21:06:35
|
Intanto che faccio le scansioni ti posto il report di systemscan
htt*://wikisend[.com]/download/886296/08_08_2009_06_24_report.zip |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 09/08/2009 : 11:04:15
|
Buon giorno e bentrovato, ho controllato il report di sytemscan e ci sono un paio di clienti, un trojan ed il solito file autorun.inf che ti dà il problema sul disco fisso, segui la procedura e vediamo di togliere il grosso:
scarica ComboFix scaricalo in c:\ dove sia facilmente raggiungibile
Riavvia il computer in modalità provvisoria (segui lo specchietto)
Citazione:
[Windows XP e Windows 2003
Selezionare Start|Spegni computer.
Selezionare Riavvia dal menu a discesa e cliccare su OK. Windows sarà riavviato.
Premere ripetutamente F8 all'avvio del computer per visualizzare il menu delle Opzioni avanzate di Windows.
Su questo menu selezionare la prima opzione, "Modalità provvisoria", quindi Windows XP o Windows 2003.
Quando viene richiesto, effettuare l'accesso come amministratore locale.
Se hai delle icone di collegamento a programmi sul desktop, crea una cartella apposita e spostale al suo interno
Doppio click su combofix.exe e segui le istruzioni passo a passo, ricordati di dare invio se richiesto dopo i vari passaggi
Quando avrà finito creerà il log C:\combofix.txt salvalo e postalo come gli altri report.
Nota bene : durante la scansione verranno creati dei file sul desktop e scompariranno le icone, potrebbe succedere che qualche programma ti chiede cosa fare per la rimozione dei drivers, in questo caso accossenti, si tratta probabilmente di drivers infetti.
Il programma creerà la cartella C:\QooBox ed all'interno della stessa verrà posizionato un backup dei files rimossi ed un file di backup del registro di windows chiamato Hiv-backup.
Disattiva l'antivirus e i programmi anti-spyware
Disconnetti il pc da internet
NON TOCCARE mouse e tastiera mentre combofix lavora |
|
|
|
stanflante
Senior Member
Città: Fagnano
168 Messaggi |
Inserito il - 09/08/2009 : 20:01:56
|
ciao death,ci si rivede,è più forte di me nn prendere virus...
Cmq questi sono i report di mbam lops e hjth...in attesa di postarti il report di combofix guarda questi...grazie
htt*://wikisend[.com]/download/457750/Desktop.rar |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 09/08/2009 : 20:05:38
|
| Buona sera, avevi alcuni valori di registro disabilitati e malwarebytes li ha ripristinati, aspetto combofix e spero di riuscire a risponderti domani in giornata visto che sono al lavoro, in ogni caso non disperare vedrò di fare il possibile. |
|
|
|
stanflante
Senior Member
Città: Fagnano
168 Messaggi |
Inserito il - 09/08/2009 : 21:14:02
|
Ecco il report di combo fix
htt*://wikisend[.com]/download/516086/log.txt |
|
|
|
stanflante
Senior Member
Città: Fagnano
168 Messaggi |
Inserito il - 09/08/2009 : 21:37:46
|
| Cmq death 1altra cosa,il pc è molto lento ed è anche + rumoroso a livello di ventola,poi 1altra cosa le icone sul desktop è come se fossero sempre selezionate(a livello di colore tipo quando clicci su 1icona vedi che diventa + scura,mentre al mio è come se fosse già cliccata ma se la clicco diventa scurissima)...poi da installazioni applicazioni non mi trova tutti i prog installati...Aiuto... |
|
|
|
stanflante
Senior Member
Città: Fagnano
168 Messaggi |
Inserito il - 10/08/2009 : 02:31:04
|
Ah dimenticavo,quando passo un file dal pc alla pennetta usb ogni volta mi dice che passando il file passo anche questo file
:KAVICHS:$DATA |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 10/08/2009 : 08:28:20
|
Buon giorno, segui questa procedura:
Apri il Blocco Note copia e incolla queste righe:
KillAll::
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{052f04e4-dcd6-11dd-9f84-9680c3d311f6}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{44a9fd60-7bae-11dd-9f41-89112c6914db}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4a443e91-dd0e-11dd-9f85-f40301706a47}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6be9cc04-83f9-11dd-9f4f-000ea66ca94c}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7a3ff22c-83f6-11dd-9f4d-000ea66ca94c}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{88246d92-82be-11dd-9f47-93d2f4a78b64}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8a8187d4-8bfa-11dd-9f66-000ea66ca94c}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{acc336cc-835c-11dd-9f4a-bac89b65d829}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{acc336cf-835c-11dd-9f4a-bac89b65d829}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d3b81a3c-7d5a-11da-afb2-c4ca13c6b43b}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fa018de8-8429-11de-9fdb-000ea66ca94c}]
Salva il file sul Desktop o in c:\ dove sia raggiungibile anche in provvisoria come CFScript.txt
Riavvia il pc in modalità provvisoria poi trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix e lascialo lavorare, posta il nuovo report di combofix e poi riesegui un nuovo systemscan e vediamo di rimuovere anche l'ultima schifezza.
Per quanto concerne le pendrive usb, tieni premuto il tasto SHIFT, inserisci la pen drive, rilascia dopo una decina di secondi il tasto SHIFT, abilita la visualizzazione dei files nascosti e cerca:
AutoRun.exe
autorun.inf
kaq86asx.bat
se li trovi eliminali, ripeti la procedura per ogni singolo supporto removibile.
In relazione a :KAVICHS:$DATA è un messaggio di kaspersky da quello che ho potuto constatare sul forum di kaspersky.
|
|
|
|
stanflante
Senior Member
Città: Fagnano
168 Messaggi |
Inserito il - 10/08/2009 : 11:55:58
|
htt*://wikisend[.com]/download/880770/Desktop.rar
ecco i report che mi hai chiesto...attendo tue notizie |
|
|
|
stanflante
Senior Member
Città: Fagnano
168 Messaggi |
Inserito il - 10/08/2009 : 12:06:45
|
| Scusa death,1cosa vorrei chiederti,ma da installazioni applicazioni non c'è + l'elenco dei programmi che ho installato,quindi se vorrei disinstallare qualche prog come dovrei fare?(dato che non trovo il file uninstall) |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 10/08/2009 : 12:19:22
|
Buon giorno, facciamo le cose con calma, questo pc è una pattumiera già di suo, non cominciamo a disinstallare programmi e a fare operazioni varie,ora riesegui questa operazione:
Apri il Blocco Note copia e incolla queste righe:
KillAll::
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bf6fd8b0-af34-11db-9ec6-fc109b935839}]
Salva il file sul Desktop o in c:\ dove sia raggiungibile anche in provvisoria come CFScript.txt
Riavvia il pc in modalità provvisoria poi trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix e lascialo lavorare, posta il nuovo report di combofix.
Appena ho tempo controllo il report di systemscan, non so dirti quando potrò ma appena ho tempo procedo.
EDIT: il report va molto meglio, segui la procedura:
scarica Avenger
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
C:\WINDOWS\system32\KOfcpfwSvcs.exe
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | KOfcpfwSvcs.exe
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Poi vai su questo sito htt*://[www].virustotal[.com]/it/ clicca su sfoglia e cerca questo file nel tuo computer (visualizza i files nascosti) C:\WINDOWS\UltimateLogger1.0.exe clicca su invia file, il sito scansionerà il file e ti rilascerà un report, salvalo in formato testo fino alla riga MD5 compresa e postalo sul forum.
Dimenticavo è di vitale importanza aggiornare quel pc al service pack 3 ci sono una serie di patch sulla sicurezza che non sono state installate e quindi è urgente aggiornare quel pc.
EDIT 1: per quanto concerne la lista dei programmi installati, esegui questa verifica:
da start >>> esegui >>> digita regedit ti si aprirà l'editor del registro di sistema, aiutandoti con le crocette, cerca questa chiave di registro HKEY_CLASSES_ROOT\CLSID\{352EC2B7-8B9A-11D1-B8AE-006008059382}\InProcServer32 e fammi sapere se è presente o meno nel tuo registro. |
Modificato da - death in data 17/08/2009 08:08:35 |
|
|
|
stanflante
Senior Member
Città: Fagnano
168 Messaggi |
Inserito il - 16/08/2009 : 21:25:33
|
Ciao death,scusa se ti risp ora ma ho avuto problemi con internet...cmq ho fatto tutto quello che hai chiesto,tranne la scansione su virus total dato che non mi apriva il sito....cmq sono andato su cerca e ultimate logger lo troca in c\windows e l'icona è quella di una bandiera pirata....
htt*://wikisend[.com]/download/178828/Desktop.rar
attendo tue notizie grazie
Ah ho visto in regedit quel file e c'è... |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 17/08/2009 : 08:10:45
|
| Buon giorno, continua a restare una chiave di registro, mi posti un nuovo systemscan per cortesia, poi vorrei sapere se ora l'apertura di c:\ funziona o se ci sono ancora problemi e cosa altro rilevi di non funzionante, poi riprova con virustotal a scansionare il file C:\WINDOWS\UltimateLogger1.0.exe come ti avevo chiesto. |
|
|
|
stanflante
Senior Member
Città: Fagnano
168 Messaggi |
Inserito il - 17/08/2009 : 12:41:21
|
Ciao death,allora il disco locale ora si apre tranquillamente,ho fatto una scansione con sys e ti posto il report,solo che non riesco ad aprire la pagina di virus total...neanche quella di microsoft[.com] x gli aggiornamenti...cmq oltre a questi problemi rimangono problemini che sicuramente mi potrai aiutare a risolvere come il fatto che la penna wireless si sconnette ogni tanto,e che il pc fa + rumore con la ventola..cmq ora risolviamo questo prob...grazie attendo tue notizie
htt*://wikisend[.com]/download/489570/17_08_2009_12_27_report.zip |
|
|
|
Discussione |
|
KOfcpfwSvcs.exe e autorun.inf
Forum Bloccato
