| Autore |
 Discussione  |
|
|
sangi89
New Member
37 Messaggi |
 Inserito il - 17/12/2007 : 14:36:30
|
Salve ragazzi..
Antivir mi rileva in continuazione in continuazione i seguenti virus:
TR/Vundo.Gen TR/Dldr.ConHook.Gen
Non riesco ad eliminarli in nessun modo. Ho provato cn i firewall,cn vuntofix, sia in modalità normale ke in modalità provvisoria ma niente.
Come devo fare?
Ho fatto una scansione con Hijack e qsto è il logfile:
htt*://[www].freefilehosting.net/download/NTI1ODM=
i log vanno postati secondo il regolamento del forum, ricordalo la prossima volta.
Attendo una vostra risposta
|
Modificato da - michal in Data 17/12/2007 15:25:08
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 17/12/2007 : 17:20:46
|
Per il momento scarica VundoFix e fallo girare:
htt*://[www].atribune.org/content/view/24/2/
Poi posta un nuovo log di Hijackhis per togliere quello che resta  |
 |
|
|
Sibilla
Advanced Member
2059 Messaggi |
 Inserito il - 17/12/2007 : 19:10:01
|
Scarica Avenger, FixVundo, Superantispyware e CCleaner
Installa e aggiorna SUPERAntiSpyware
disconnesso da internet:
entra in modalità provvisoria
disattiva il ripristino configurazione di sistema (start - pannello di controllo - sistema - ripristino configurazione di sistema - spunta "disattiva ripristino configuraz. di sistema")
visualizza file nascosti
fixa con hjt
O2 - BHO: (no name) - {937B1F7D-D382-4AAB-BD9A-27170D5AB889} - C:\WINDOWS\system32\byxuroo.dll
O2 - BHO: (no name) - {9A3FE7B2-2DC0-4AD8-A784-2D73637B4108} - C:\WINDOWS\system32\awvvw.dll
O2 - BHO: {b506bdc3-8c41-bfa8-1394-3eee26b52f1c} - {c1f25b62-eee3-4931-8afb-14c83cdb605b} - C:\WINDOWS\system32\pgssjvrh.dll
O20 - Winlogon Notify: byxuroo - C:\WINDOWS\SYSTEM32\byxuroo.dll
Esegui avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento.
All'interno della finestra "Wiew/edit script", copia/incolla:
files to delete:
C:\WINDOWS\system32\awvvw.dll
C:\WINDOWS\system32\pgssjvrh.dll
C:\WINDOWS\SYSTEM32\byxuroo.dll
registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\byxuroo
Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.
Rientra in modalità provvisoria e scansiona con VundoFix, FixVundo e SUPERAntiSpyware.
Esegui CCleaner e ripulisci sia i file temporanei e cookie che il registro.
Posta un nuovo log di hjt
________
Poi..
O23 - Service: DomainService - - C:\WINDOWS\system32\xepirras.exe
nin so  |
Modificato da - Sibilla in data 17/12/2007 19:14:27 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 17/12/2007 : 20:39:23
|
confermo i sospetti di Sibilla:
fixa la voce:
O23 - Service: DomainService - - C:\WINDOWS\system32\xepirras.exe
ed elimina con avenger
C:\WINDOWS\system32\xepirras.exe
riposta un nuovo log di HJT
|
|
|
|
sangi89
New Member
37 Messaggi |
Inserito il - 18/12/2007 : 18:54:57
|
Rago ho fatto come mi avete detto voi, ma niente! il virus è ricomparso cambiando nome!
Sn disperata!
ecco il new log:
hijackthis473.log |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 18/12/2007 : 19:41:41
|
fixa:
O2 - BHO: (no name) - {937B1F7D-D382-4AAB-BD9A-27170D5AB889} - C:\WINDOWS\system32\byxuroo.dll
O2 - BHO: {618d5a84-1858-16d9-7e44-fbf14eebe9ba} - {ab9ebee4-1fbf-44e7-9d61-858148a5d816} - C:\WINDOWS\system32\otssbqvx.dll
O4 - HKLM\..\Run: [70483af5] rundll32.exe "C:\WINDOWS\system32\xthvrpmb.dll",b
con avenger:
files to delete:
C:\WINDOWS\system32\byxuroo.dll
C:\WINDOWS\system32\otssbqvx.dll
C:\WINDOWS\system32\xthvrpmb.dll
Veniamo al registro. Scarica Registry Search Tool, eseguilo e cerca separatamente quanto ti elenco (fai copia/incolla, non lasciare spazi e salva i file .txt con i risultati).
70483af5
937B1F7D-D382-4AAB-BD9A-27170D5AB889
xthvrpmb
byxuroo
Unisci i risultati in un solo file di testo e postalo secondo le regole del forum.
edit 1: mi posti anche il log di avenger x piacere? Voglio esser certa venga cancellato il file byxuroo. Lo trovi in c:\avenger
edit 2: eccetto non si tratti di xthvrpmb o di byxuroo che non viene eliminato, dopo aver postato quanto richiesto e se il problema persiste, esegui anche una scansione con SistemScan (ComboFix non si sta rivelando affidabile) e i files li vediamo direttamente da lì.
X SystemScan: Scaricalo, disconnettiti da internet, disattiva l'antivirus, esegui SistemScan, spunta tutte le opzioni e clicca su "Scan Now". Finita la scansione, riattiva l'antivirus e posta il rapporto che trovi in C:\Suspectfile.
Se hai problemi con il SeDebug, scarica SeDebug-Restore, eseguilo, riavvia pc e riprova con SystemScan (prendi nota)
[NB il Vundo non se ne va o perchè qualche file non viene realmente cancellato o perchè c'è qualche altro file che lo rigenera e che non compare nel log (per cui al primo riavvio stai punto e a capo). Questo è tutto. Da systemscan dovrebbe tranquillamente uscire.] |
Modificato da - Sibilla in data 19/12/2007 01:36:28 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 19/12/2007 : 13:02:44
|
Le tue problematiche sono due:
TR/Vundo.Gen che sta seguendo Sibilla e quidi fai le procedure che ti ha richiesto
ma hai anche:
TR/Dldr.ConHook.Gen
per questo devi fare una scansione on line kaspersky:
htt*://[www].kaspersky[.com]/virusscanner
e postare il log.
|
|
|
| |
Discussione |
|
AIUTO: TR/Vundo.Gen TR/Dldr.ConHook.Gen
Forum Bloccato
