| Autore |
 Discussione  |
|
cristina75
Senior Member
92 Messaggi |
Inserito il - 03/12/2007 : 11:56:54
|
ops mi sono accorta ora del log di avenger (perdonatemi se lo incollo così)
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\cgkkrjrq
*******************
Script file located at: \??\C:\wlfbqsdg.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Registry key HKEY_USERS\S-1-5-21-2586995373-623612978-3409518803-1117\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\whataboutadog[.com] not found!
Deletion of registry key HKEY_USERS\S-1-5-21-2586995373-623612978-3409518803-1117\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\whataboutadog[.com] failed!
Status: 0xc0000034
Registry key HKEY_USERS\S-1-5-21-2586995373-623612978-3409518803-1117\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\doginhispen[.com] not found!
Deletion of registry key HKEY_USERS\S-1-5-21-2586995373-623612978-3409518803-1117\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\doginhispen[.com] failed!
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate. |
 |
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
 Inserito il - 03/12/2007 : 12:07:21
|
le chiavi non sono state cancellate.
proviamo manualmente:
start/esegui/regedit/ok
clicca su + della chiave HKEY_USERS individua il codice
S-1-5-21-2586995373-623612978-3409518803-1117 poi segui il percorso, sempre utilizzando il + sino a raggiungere la cartella doginhispen[.com] prima e poi whataboutadog[.com]
clicca su con destro ed elimina.
facci sapere. |
|
|
|
cristina75
Senior Member
92 Messaggi |
Inserito il - 03/12/2007 : 12:39:43
|
Fatto.
Le voci le ho cancellate, poi con hij ho fixato whataboutadog.
Ho riavviato (con ripristino config. di sistema disattivato), ma è ancora lì.
Ecco il log
htt*://[www].freefilehosting.net/download/NDQ4MjI=
Nella cartella temp c'è ancora abc123.pid e dopo un po' riappaiono anche i file con le serie numeriche...
Dopo il riavvio ho provato a cercare di nuovo nel registro le due voci e ci sono ancora... |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 03/12/2007 : 12:53:48
|
| rifai la scansione con findawf e postala qui |
|
|
|
cristina75
Senior Member
92 Messaggi |
Inserito il - 03/12/2007 : 13:03:37
|
Pulito....
------------------------------
ind AWF report by noahdfear ©2006
Version 1.40
bak folders found
~~~~~~~~~~~
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2DC4-4BFC
Directory di C:\PROGRA~1\MESSEN~1\BAK
0 File 0 byte
2 Directory 82,916,360,192 byte disponibili
Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~
end of report |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 03/12/2007 : 13:26:12
|
a questo punto devi utilizzare la procedura manuale che ti metto in allegato.
fai prima una copia del registro click su file esporta e dagli un nome .
htt*://[www].freefilehosting.net/download/NDQ4NDU= |
|
|
|
cristina75
Senior Member
92 Messaggi |
Inserito il - 03/12/2007 : 13:41:41
|
non ho trovato nessuna delle chiavi indicate.
Solo un paio di quei valori erano diversi e li ho modificati.
Devo provare a riavviare?
|
|
|
|
cristina75
Senior Member
92 Messaggi |
Inserito il - 03/12/2007 : 14:05:46
|
| Ho ravviato e whataboutadog c'è ancora, sia come chiave di registro, sia nella scasione con hij |
Modificato da - cristina75 in data 03/12/2007 15:29:39 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 03/12/2007 : 16:14:05
|
Buongiorno a tutti, vedo che il tuo inquilino è cocciuto e non vuole lasciarti in pace, in attesa di sibilla e del buon michal fai questo controllo
1) vedi se i files bc123.pid-doginhispen[.com]-whataboutadog[.com] sono ancora sul tuo computer usando il "cerca" di esplora risorse
2)poi da start>esegui>digita msconfig>ok controlla nell'elenco dei programmi che non ci sia nessuno dei 3
3) controlla quali connessioni ci sono in pannello di controllo>rete e connessioni
4) da start>programmi controlla in "avvio automatico" ed in "esecuzione automatica" che non ci siano i clienti di cui sopra.
|
Modificato da - death in data 03/12/2007 16:15:21 |
|
|
|
cristina75
Senior Member
92 Messaggi |
Inserito il - 03/12/2007 : 16:25:44
|
abc123.pid è ancora nella cartella temp, lo cancello, ma torna.
I due "dog" sono nel registro, ma non ci sono file con quel nome.
Per il resto, i programmi non sembrano in escuzione, ma poi magari sono "nscosti" sotto altri nomi.
In avvio automatico c'è DVDcheck che nei log scorso era stato infettato, ma che ora dovrebbe essere a posto.
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 03/12/2007 : 16:38:32
|
| Buonasera a tutti, controlla nella cartella rete e connessioni remote se ci sono connessioni anomale e dovresti trovarne almeno 2, poi nella cartella temp vedi se ci sono file con numeri o lettere che hanno estensione *.exe, se trovi questi file controlla con msconfig che non siano attivi, hai qualcosa di attivo che ti ricrea i file dell'inquilino. |
|
|
|
cristina75
Senior Member
92 Messaggi |
Inserito il - 03/12/2007 : 16:52:31
|
Non ho connessioni remote visibili, (ce n'era una ma l'avevo già cancellata)
I file dat.exe con una serie di numeri ci sono, infatti è anche da quelli che ho capito che avevo un virus (se leggi i mie messaggi precedenti l'ho scritto).
non sono attivi perchè me li blocca antivir, ma anche se li cancellano ritornano.
Ora ho provato a bloccare dvdcheck con msconfig e non mi pare che il cane ci sia più.
Però vorrei capire ora che devo fare.
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 03/12/2007 : 16:54:52
|
| Buona sera a tutti, avevo letto i post precedenti e proprio per questo volevo sapere se si erano ricreati, per sicurezza riposta un log di hijack e attendi sibilla e michal che ne sanno molto piu' di me, nel frattempo non collegare nulla e non installare nulla. |
|
|
|
cristina75
Senior Member
92 Messaggi |
Inserito il - 03/12/2007 : 16:59:40
|
Ti ringrazio per l'aiuto!
Sì, si ricreano sempre, ho provato a disattivare dvdcheck ma era solo una falsa speranza.
A presto! |
Modificato da - cristina75 in data 03/12/2007 17:26:30 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 03/12/2007 : 18:00:06
|
Ciao Cri ;) riprova a fare la scansione con panda. Se non ci riesci, scarica SpyBot, installalo, aggiornalo e fai una scansione in modalità provvisoria.
edit:
x michal:
1) C:\WINDOWS\system32\DRVSTORE\kit11241_5CF77289E1EFAF2A1528598DE7B62A2B447650E0\hkcmd.exe
C:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles\hkcmd.exe
C:\WINDOWS\system32\ReinstallBackups\0003\DriverFiles\hkcmd.exe
C:\WINDOWS\system32\DRVSTORE\kit11241_5CF77289E1EFAF2A1528598DE7B62A2B447650E0\igfxpers.exe
C:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles\igfxpers.exe
C:\WINDOWS\system32\ReinstallBackups\0003\DriverFiles\igfxpers.exe
C:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles\igfxtray.exe
C:\WINDOWS\system32\ReinstallBackups\0003\DriverFiles\igfxtray.exe
C:\WINDOWS\system32\DRVSTORE\kit11241_5CF77289E1EFAF2A1528598DE7B62A2B447650E0\igfxtray.exe
li sostituiamo? Un programma con la funzione copia non lo conosco.. opterei per il promt..
2) Spostare => C:\SwSetup...
3) E di questo: "2007-11-28 10:14:00 C:\WINDOWS\Tasks\backup.job"
- C:\WINDOWS\system32\ntbackup.exeNbackup
Io non trovo nulla. ok per ntbackup ma => .exeNbackup? |
Modificato da - Sibilla in data 03/12/2007 19:09:14 |
|
|
|
Discussione |
|
Virus
Forum Bloccato
