| Autore |
 Discussione  |
|
finanza
Advanced Member
Città: Verona
396 Messaggi |
 Inserito il - 20/12/2007 : 10:36:51
|
Ragazzi mi sono preso un bel malware mi aiutate vero??
Ecco il log
htt*://[www].freefilehosting.net/download/NTQzOTE=
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 20/12/2007 : 12:28:32
|
Buongiorno a tutti, ho dato un occhiata al tuo log, effettivamente un cliente se non due ci sono, lascio la parola agli esperti, nel frattempo comincia con il scaricarti questi 2 programmi, così ti metti avanti con la procedura
htt*://[www].filehippo[.com]/download_ccleaner/
htt*://swandog46.geekstogo[.com]/
|
 |
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 20/12/2007 : 19:26:34
|
Se è tuo, lascia PokerStars (voci in verde - io l'ho trovato come trojan)
Scarica anche SmitfraudFix e Superantispyware.
Installa e aggiorna Superantispyware.
Visializza files e cartelle nascoste, vai in modalità provvisoria e disattiva ripristino conf. sistema
Con hjt fixa:
O2 - BHO: BDEX System - {4DD1180E-8EEE-4801-AB5D-05CC3DFE3AF0} - C:\WINDOWS\ttvbonkog.dll
O3 - Toolbar: The leosrv - {A3B1F7ED-8EDA-410F-8CB9-F6AFD8301B7C} - C:\WINDOWS\leosrv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programmi\PokerStars\PokerStarsUpdate.exe
O21 - SSODL: hjoqor - {F6C31556-47C1-49CC-8149-B68D3EEDC4BF} - C:\WINDOWS\hjoqor.dll (file missing)
O21 - SSODL: xcvwer - {E67CC033-A81D-4ACD-8795-0D01E0CCA4E6} - C:\WINDOWS\xcvwer.dll
Esegui avenger (indicato da death), seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento. All'interno della finestra "Wiew/edit script" copia/incolla:
files to delete:
C:\WINDOWS\ttvbonkog.dll
C:\WINDOWS\leosrv.dll
C:\WINDOWS\hjoqor.dll
C:\WINDOWS\xcvwer.dll
folders to dekete:
C:\Programmi\PokerStars
Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.
Esegui una scansione con Superantispyware.
Esegui CCleaner (link di death) e ripulisci sia i file temporanei e cookie che il registro.
Esegui SmitfraudFix (da modalità normale), seleziona l'opzione 1 (Search) e premi invio. Ti verra' visualizzato un file di testo con l'elenco dei file infetti (se presenti): dovresti trovare questo report anche in C:\rapport.txt (NB: process.exe da alcuni antivirus viene rilevato come virus, ovviamente non lo e')
Riposta il log di hjt e quello di SmitfraudFix
Puoi anche fare una scansione con VirIT, eventualmente, purchè sia SmitfraudFix ad essere eseguito per ultimo.
______
lo lascio... credo sia regolare 
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0490E93-1AF3-47C9-B83B-C94BE4298F5B}: NameServer = 1.2.3.4,1.2.2.2
|
Modificato da - Sibilla in data 20/12/2007 19:57:56 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 20/12/2007 : 19:32:46
|
fixa anche la 017 e se non riesci a collegarti a internet rimettila dal backup di HJT
|
|
|
|
finanza
Advanced Member
Città: Verona
396 Messaggi |
Inserito il - 21/12/2007 : 10:51:37
|
Pokestars e la 017 sono lecite, adesso provo a fare la procedura indicata da Sibilla e poi vi faccio sapere |
|
|
|
finanza
Advanced Member
Città: Verona
396 Messaggi |
Inserito il - 21/12/2007 : 12:54:30
|
Ho fatto tutto ma i malware sono rimasti ...anche se devo dire che c'è stato un miglioramento rispetto a prima.
Intanto dopo aver usato avenger in modalità provvisoria e dopo aver riavviato in modalità normale mi è uscita una finestra cmd mai vista prima:
htt*://[www].freefilehosting.net/download/NTQ4ODE=
poi ho fatto una scansione con SuperAntiSpyware ed ecco il risultato:
htt*://[www].freefilehosting.net/download/NTQ4ODI=
e infine ecco i log di HJ
htt*://[www].freefilehosting.net/download/NTQ4ODM=
e SmitFraudFix
htt*://[www].freefilehosting.net/download/NTQ4ODQ=
Aiutooooo!!!! |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 21/12/2007 : 14:18:51
|
intanto scansiona con questo:
htt*://securityresponse.symantec[.com]/avcenter/FxVMonde.exe
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 21/12/2007 : 18:19:02
|
Il log di hjt è pulito ma il file della toolbar c'è ancora.
Elimina questi rilevati da SmitFraudFix:
C:\WINDOWS\binret.exe
C:\WINDOWS\leosrv.dll
C:\WINDOWS\xcvwer.dll
se non ci riesci, puoi utilizzare anche Killbox
Scarica Registry Search Tool, eseguilo e cerca:
xcvwer
binret
leosrv
A3B1F7ED-8EDA-410F-8CB9-F6AFD8301B7C
(non lasciare spazi - posta un unico file di testo con i risultati). |
|
|
|
finanza
Advanced Member
Città: Verona
396 Messaggi |
Inserito il - 21/12/2007 : 21:34:45
|
Allora: ho cancellato manualmente i file segnalati da Sibilla ed è andato tutto bene, ho cercato le voci con RegistrySearch ed ecco il log:
htt*://[www].freefilehosting.net/download/NTUyNTc=
Cmq virtu monde non c'è |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 21/12/2007 : 22:04:18
|
apri il registro => clicca su File => esporta => salva copia registro.
elimina:
HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Personal Firewall\AppCtrl\Components\White\320 => "File"="C:\\WINDOWS\\xcvwer.dll"
HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Personal Firewall\AppCtrl\Components\White\320 => "Description"="xcvwer"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo => "uninstallString"="C:\\WINDOWS\\binret.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A3B1F7ED-8EDA-410F-8CB9-F6AFD8301B7C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\leosrv.brfo
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\leosrv.ToolBar.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{23D94DCF-33DF-4A3A-9E2E-CA0E03DF6D03}
____
ero in dubbio con questa:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{23D94DCF-33DF-4A3A-9E2E-CA0E03DF6D03}\1.0 => [No-Spam]="leosrv 1.0 Type Library"
Ho cercato corrispondenza per {23D94DCF-33DF-4A3A-9E2E-CA0E03DF6D03} ed ho trovato questo 
Ehmmm direi di non cancellare altro.. fammi sapere come va.
Se tutto ok, riattiva il ripristino configurazione sistema. |
Modificato da - Sibilla in data 21/12/2007 22:04:51 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 21/12/2007 : 22:10:17
|
| ..dopo averle eliminate e senza riavviare il sistema, controlla non si siano riformati i file che avevi eliminato prima (es. leosrv.dll) Ci metti poco a verificarlo.. e posta un nuovo log di hjt |
|
|
|
finanza
Advanced Member
Città: Verona
396 Messaggi |
Inserito il - 21/12/2007 : 22:51:30
|
Ho cancellato le voci anche se le prime due non le ho trovate. Cmq le ho ricercate con RegistrySearch e non ci sono, lo stesso vale per le librerie in C:\Windows.
Ecco il log di HJ
htt*://[www].freefilehosting.net/download/NTUyNzA= |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 21/12/2007 : 23:01:07
|
beh, dovrebbe essere tutto ok, ora..
ciao |
|
|
|
finanza
Advanced Member
Città: Verona
396 Messaggi |
Inserito il - 21/12/2007 : 23:07:25
|
Citazione:
Messaggio inserito da Sibilla
beh, dovrebbe essere tutto ok, ora..
ciao
Grazie per aver passato un po' del tuo venerdì sera a risolvermi i problemi!!
Ciao spero che sia tutto a posto.....
|
Modificato da - finanza in data 21/12/2007 23:08:56 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 21/12/2007 : 23:14:51
|
dal link che ti ho postato sopra si vede che i file (in definitiva) sono:
%Windir%\binret.exe
%Windir%\hjoqor.dll
%Windir%\leosrv.dll
%Windir%\ttvbonkog.dll
%Windir%\xcvwer.dll
e dei temp
se controlli li dovresti aver tolti tutti :) (per tua tranquillità) (peccato sia uscito solo alla fine :D ma va bene così..).
|
|
|
|
finanza
Advanced Member
Città: Verona
396 Messaggi |
Inserito il - 22/12/2007 : 13:56:33
|
I file non ci sono più...eppure continua a darmi i soliti problemi
Ho provato a rifare una scansione con SuperAntiSpyware ed ecco cosa ho trovato
htt*://[www].freefilehosting.net/download/39c35
ho cancellato il torjan selezionato (attraverso SuperAnti...) ho rifatto una scansione: sono pulito!
Ma lo stesso mi da i problemi che sono 2: Non posso accedere al task manager (e ovviamente io non ho neanche idea di come si disabiliti) e appena mi connetto ad internet ci sono delle pesanti azioni di scrittura/lettura(penso) su disco che a volte rendono quasi inutilizzabile il pc. La coda dei processi in attesa del disco si riempe periodicamente
Che si può fare?? Spacco tutto??
Adesso che ci penso ho provato a cercare ttvbonkog.dll SmitFraudFix e ha trovato una voce...la cancello?? Per quanto riguarda gli altri non ha trovato nulla. |
Modificato da - finanza in data 22/12/2007 14:26:24 |
|
|
|
Discussione |
|
Sono infetto!!
Forum Bloccato
