| Autore |
 Discussione  |
|
vitto85
New Member
Città: saluzzo
49 Messaggi |
 Inserito il - 20/12/2007 : 22:43:10
|
Vi prego di aiutarmi è 2 giorni che non ci dormo mi sono beccato sto maledetto virus worm.win32.hunk.c sul mio portatile ho la tesi d'esame la prossima settimana con tutto sopra!!! ho provato con hijackt ma non sono molto esperto vi lascio il report se qualcuno sa come aiutarmi gli pago una pizza se passa dalle mie parti ecco il file
Leggi il regolamento prima di postare. I log di HJT vanno postati secondo le regole questa volta sistemo io
htt*://[www].freefilehosting.net/download/NTQ3MjQ=
Benvenuto nel forum.
|
Modificato da - michal in Data 20/12/2007 23:43:23
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
 Inserito il - 21/12/2007 : 03:17:17
|
NB: questo traduttore l'hai installato tu, vero?
O4 - HKLM\..\Run: [Lingoes] "C:\Programmi\Lingoes\Translator\Lingoes.exe" -cphs
Scarica: Avenger, Symantec_linkOpt, Prevx_Gromozon, Virit, CCleaner
Installa e aggiorna VirIT.
Entra in modalità provvisoria: all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8.
Uscirà la finestra del menu Opzioni avanzate di Windows => scegli modalità provvisoria (usa il tasto freccia ^).
Disattiva il ripristino configurazione di sistema (start - pannello di controllo - sistema - ripristino configurazione di sistema - spunta "disattiva ripristino configuraz. di sistema")
Visualizza file nascosti: da una cartella clicca su strumenti - opzioni cartella - visualizza - visualizza file nascosti
da hjt fixa:
O2 - BHO: (no name) - {346D8699-DAC7-DD78-5CD4-CA50A929983C} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: [No-Spam]xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O20 - AppInit_DLLs: \\?\C:\WINDOWS\com5.jfk
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: NetZbk - Unknown owner - \\?\C:\Programmi\File comuni\System\lpt4.exe (file missing)
O23 - Service: SysWpt - Unknown owner - \\?\C:\Programmi\File comuni\System\com8.exe (file missing)
Esegui avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento. All'interno della finestra "Wiew/edit script" copia/incolla:
files to delete:
C:\WINDOWS\com5.jfk
C:\Programmi\File comuni\System\lpt4.exe
C:\Programmi\File comuni\System\com8.exe
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.
Scansiona con i tool della PrevX e Symantec (modalità normale) e VirIT (modalità provvisoria).
Esegui CCleaner e ripulisci sia i file temporanei e cookie che il registro.
Posta un nuovo log di hjt secondo le regole del forum.
________________________
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://google.bearshare[.com]/it/ 
edit: c'è da controllare: F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe, ,,, <=
|
Modificato da - Sibilla in data 21/12/2007 03:28:47 |
 |
|
|
vitto85
New Member
Città: saluzzo
49 Messaggi |
Inserito il - 21/12/2007 : 10:31:41
|
 grazie mille ma ho un altro problema ovvero il mio pc non entra in modalità provvisoria,schiaccio f8 più volte mi appare la scermata con le varie modalità lancio la provvisoria ma lo schermo rimane senza icone esattamente come nella modalità normale infetta..[.com]unque dovrei riuscire a fare tutto tramite task...spero |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 21/12/2007 : 10:58:31
|
(non lo avevi esplicitato e io non l'ho considerato.. colpa mia  ) fai anche questo:
Apri il registro (start => Esegui => digita: regedit => dai l'ok)
Segui questo percorso:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options\
se trovi la cartella explorer, prendi nota del contenuto ed eliminala (fai clic con il tasto destro del mouse - seleziona "autorizzazioni" e ripristina il full control ad Everyone)
Poi segui quest'altro percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Seleziona la cartella Winlogon e, nella finestra di destra, fai doppio click su userinit (che è quello che avevo lasciato in sospeso stanotte)
Nella finestra che si apre devi lasciare scritto solo: c:\windows\system32\userinit.exe, e cancellare il resto (dal log vedo 4 virgole.. mah).
mi raccomando, lascia anche la virgola dopo il .exe altrimenti avrai problemi.
Fatto questo, dal task manager richiama explorer (clicca su nuova operazione e digita explorer).
Appena puoi dicci cos'hai eliminato esattamente in questi due passaggi (vanno cancellati eventuali files trovati).
Prima di iniziare, stampa quello che ti ho scritto (o prendine nota) |
Modificato da - Sibilla in data 21/12/2007 11:09:23 |
|
|
|
vitto85
New Member
Città: saluzzo
49 Messaggi |
Inserito il - 21/12/2007 : 11:37:09
|
 ok dai ci provo spero di non piantare qualche casino mi annoto tutto e appena finisco ci risentiamo grazie ancora |
|
|
|
vitto85
New Member
Città: saluzzo
49 Messaggi |
Inserito il - 21/12/2007 : 11:43:19
|
| ciao come faccio ad aprire il registro dal task? |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 21/12/2007 : 11:51:54
|
| sempre con => nuova operazione => digita regedit |
|
|
|
vitto85
New Member
Città: saluzzo
49 Messaggi |
Inserito il - 21/12/2007 : 12:03:28
|
ok fatto tutto nessuna cartella explorer nel primo percorso
nel secondo ho corretto le 4 virgole lasciandone una ma quando eseguo explorer da task mi viene scritto che è impossibile trovare ''explorer''?? |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 21/12/2007 : 12:13:19
|
hai fixato le voci con HJT ed eliminato i file con avenger?
se si riposta un nuovo log |
|
|
|
vitto85
New Member
Città: saluzzo
49 Messaggi |
Inserito il - 21/12/2007 : 12:35:11
|
grazie fixato tutto ed eliminato con avenger...
log26.txt |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 21/12/2007 : 12:42:12
|
| il log è pulito. Hai ancora problemi? se si elenca |
|
|
|
vitto85
New Member
Città: saluzzo
49 Messaggi |
Inserito il - 21/12/2007 : 12:47:57
|
| si,quando accedo alla schermata principale non mi appaiono ne le icone ne la barra start...lo stesso anche in modalità provvisoria... |
|
|
|
vitto85
New Member
Città: saluzzo
49 Messaggi |
Inserito il - 21/12/2007 : 12:58:40
|
| c'è un modo per connettersi ad internet dal task in modo da poter aggiornare virit? |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 21/12/2007 : 13:07:41
|
| hai fatto solo i fix?, se si devi fare le scansioni con i programmi indicati da sibilla, questo maleware è un rootkit, brutta bestia da domare. Puoi farli anche in mod normale. |
|
|
|
vitto85
New Member
Città: saluzzo
49 Messaggi |
Inserito il - 21/12/2007 : 13:13:27
|
| bene....ok ma non sai se c'è possibilità di accedere alla rete dal task? |
|
|
|
vitto85
New Member
Città: saluzzo
49 Messaggi |
Inserito il - 21/12/2007 : 14:29:03
|
|
provato tutti i programmi mi sa che mi conviene fare un bel backup e formattare tu che dici? |
|
|
|
Discussione |
|
win32.hunk.c disperazione!!!
Forum Bloccato
