| Autore |
 Discussione  |
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
 Inserito il - 01/12/2007 : 18:09:01
|
La rimozione di questo maleware non è semplice e ci vuole pazienza, sino a quando ci saranno file in cartelle back la situazione non è completamente risolta percio ecco un'altro script per avenger:
files to delete:
C:\Programmi\QuickTime\qttask.exe
C:\SwSetup\WinDVD5\DVDCheck.exe
C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
files to move:
C:\Programmi\QuickTime\bak\qttask.exe | C:\Programmi\QuickTime\qttask.exe
C:\Programmi\InterVideo\DVD Check\bak\bak\DVDCheck.exe | C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
folders to delete:
C:\Programmi\QuickTime\bak
C:\Programmi\InterVideo\DVD Check\bak
la procedura solita log di avenger e findawf ora anche di HJT.
|
Modificato da - michal in data 01/12/2007 18:09:55 |
 |
|
|
cristina75
Senior Member
92 Messaggi |
Inserito il - 02/12/2007 : 00:02:07
|
Grazie anche a te michal!
Ecco i nuovi log, speriamo che sia la volta buona (anche se mi sa che non ci siamo ancora del tutto) :(
htt*://[www].freefilehosting.net/download/NDQwMTE=
htt*://[www].freefilehosting.net/download/NDQwMTM=
htt*://[www].freefilehosting.net/download/NDQwMTQ=
Grazie ancora, siete mitici!
|
|
|
|
cristina75
Senior Member
92 Messaggi |
Inserito il - 02/12/2007 : 00:16:10
|
Uffff...
L'antivir Guard mi ha di nuovo segnlato il virus HIDDENEXT/Crypted nel file
C:\Documents and Settings\nome.cognome\Impostazioni locali\Temp\1196549738.dat.
In realtà oggi pm quei file erano spariti... |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 02/12/2007 : 00:26:13
|
per Michal
Le indichi eventuali altri files da eliminare? Grazie 
cristina.txt
per Cristina:
Scarica combofix.
Disattiva il ripristino conf. sistema
Esegui combofix. Mentre esegue la scansione NON toccare il pc per nessun motivo.
Installa nuovamente DelDomains che hai sul desktop (è ricomparsa la voce O15)
Fai una scansione on-line con Panda_activescan e salva il report.
Lancia hjt e controlla che non ci sia più la O15.
Lancia find awf (anche qui, non deve trovare nulla - se li trova, posta il risultato)
Posta i rapporti di combofix e panda |
Modificato da - Sibilla in data 02/12/2007 04:38:34 |
|
|
|
cristina75
Senior Member
92 Messaggi |
Inserito il - 02/12/2007 : 09:53:42
|
Il link per combofix non è valido, mi scarcia l'icona ma poi si apre un txt.
La scansione con combofix devo farla in modalità provvisoria o normale (e devo essere in rete o no?)
Dopo devo riavviare?
Grazie ancora per la pazienza! |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 02/12/2007 : 12:04:17
|
fixa:
O15 - Trusted Zone: *.whataboutadog[.com]
poi devi usare Deldomains come gia detto da Sibilla
il log sono tutti a posto e sembra che non ci siano più file in cartelle back.
Il file segnalato da antivir mettilo in quarantena, comunque è un file temporaneo che puoi ripulire utilizzando CCleaner.
Combofix scarica da qui:
htt*://download.bleepingcomputer[.com]/sUBs/Beta/ComboFix.exe
mettilo sul desktop, chiudi tutte le applicazioni, ed in modalità normale, disconnessa da internet fai la scansione, non occorre riavviare |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 02/12/2007 : 16:53:35
|
Ciao Michal, un po' più su ti avevo lasciato il link ad un file txt che contiene altri file usciti dal primo log di find-awf e che io non ho cancellato perchè non ne conosco la funzione.
Parlo in particolare dei file "archiviati" in c:\swsetup.
Inizialmente volevo cancellarli ma poi ho visto (e spero sia esatto) che quella cartella conserva i file creati al momento dell'installazione e che serve per le funzioni di ripristino software e driver, quindi ho preferito lasciarla stare.
Dovesse essere così, eventuali files infetti non dovrebbero interferire "nell'immediato" con il SO in funzione. Spero
Sono anche visibili dei file backups: stessa storia di quelli sopra. Bisognerebbe capire se e quando sono stati modificati x poi, eventualmente, cancellarli o sostituirli con le copie integre.
Se credi si tratti sempre della stessa versione di file, allora potrebbero essere sotituiti copiandoli, visto che quelli attualmente presenti nel SO sono sicuramente quelli legittimi (non so mica se avenger accetta un comando copy..mai visto*..si potrebbe provare però :D )
Se poi sono ok... meglio così :) mi son tolta un dubbio..
Ciao e grazie 1000
* ...tentativi falliti, non supporta questa funzione.. |
Modificato da - Sibilla in data 02/12/2007 17:36:20 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 02/12/2007 : 20:54:40
|
premesso che dalla scansione di findawf vendono rilevati tutti i file anomali e quindi non occorre cercarne altri, dall'ultimo log risultano tutti sistemati.
I files relativi a swsetup non vanno toccati.
Al momento non occorre fare altro, attendiamo la risposta di Cristina. |
|
|
|
cristina75
Senior Member
92 Messaggi |
Inserito il - 02/12/2007 : 21:25:37
|
Eccomi qua.
Allora continuo a fixare whataboutadog, installo del domanins, ma ogni volta al riavvio il bastardo è ancora lì.
Ho lanciato combofix e questo è il report.
htt*://[www].freefilehosting.net/download/NDQ2MjM=
Se non erro mi ha cancellato il programma di tre con cui mi connetto con il cell, ma non è un problema reinstallarlo.
Per il resto attendo in vostro verdetto!
Grazie ancora, non so che avrei fatto senza il vostro aiuto!
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 02/12/2007 : 23:33:50
|
ok, finisco di analizzare il report.
Hai ragione riguardo il programma di tre, nel frattempo, però, ti ha trovato questi (unica info trovata):
C:\WINDOWS\system32\x64
D:\Autorun.inf
D:\RECYCLER\Desktop.ini
D:\RECYCLER\Folder.htt
D:\RECYCLER\Protect.ed
D:\RECYCLER\Warning.bmp
Ora.. procediamo a mano.
Scarica Registry Search Tool ed eseguilo. Cerca separatamente
whataboutadog
copy.exe
autorun.inf
explorer.exe
userinit
non lasciare spazi, salva i file .txt con i risultati, uniscili in un unico file e allegalo.
Non so se Michal farebbe diversamente...
edit: lo stavo dimenticando. Nel frattempo non collegare nè palmare nè chiavi USB al pc. Credo che sia proprio quello il problema.. Fai prima le ricerche. |
Modificato da - Sibilla in data 02/12/2007 23:50:47 |
|
|
|
cristina75
Senior Member
92 Messaggi |
Inserito il - 02/12/2007 : 23:55:06
|
non ho collegato chiavette, ne palmari, solo un telefono umts della LG (l'avvertimento vale anche per quello?)
Ecco il file (due di quelli non li ha trovati (cpy e autorun), ho cercato anche doginhispen
htt*://[www].freefilehosting.net/download/NDQ2NDU=
|
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 02/12/2007 : 23:58:10
|
prova il programma di controllo coolweb forse utile anche per zona trust
htt*://[www].trendmicro[.com]/ftp/products/online-tools/cwshredder.exe |
|
|
|
cristina75
Senior Member
92 Messaggi |
Inserito il - 03/12/2007 : 00:18:17
|
Fatto.
Non ha trovato niente :( |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 03/12/2007 : 00:31:32
|
con avenger:
registry keys to delete:
HKEY_USERS\S-1-5-21-2586995373-623612978-3409518803-1117\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\whataboutadog[.com]
HKEY_USERS\S-1-5-21-2586995373-623612978-3409518803-1117\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\doginhispen[.com]
e contolla se ricompaiono.
Quando puoi, fai una scansione on-line con Panda_activescan, salva e posta il rapporto.
...poi dimmi come va.. |
Modificato da - Sibilla in data 03/12/2007 02:36:23 |
|
|
|
cristina75
Senior Member
92 Messaggi |
Inserito il - 03/12/2007 : 11:27:12
|
Le chiavi le ho cancellate, ma se lancio hij i due cani malefici sono ancora lì e anche se li fixo, ritornano.
Inoltre nalla cartella impostazioni locali /temp continuo a trovare quei file con le serie numeriche he cacenllo e ritornano
Comincio ad essere disperata!
La scansione online con panda non me la fa fare, dice che ci sono problemi nel download. |
|
|
|
Discussione |
|
Virus
Forum Bloccato
