| Autore |
 Discussione  |
|
Io27
Junior Member
54 Messaggi |
 Inserito il - 26/12/2007 : 13:11:53
|
innanzitutto salve a tutto il forum sono nuovo.......:-)
sono gia stato su un'altro forum, mi hanno fatto fixare delle voci con hacks ma non cambia nulla........a ogni connessione avira mi trova TR/cript.xpack.gen e altri virus in formato .exe composti da numeri che cambiano sempre ogni volta che mi connetto......vi posto la logs di hack di ora;
htt*://[www].webalice.it/fanty4ever/oi.zip
grazie a chi mi aiuta.......prima il virus vundo.gen e ora questo........
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 26/12/2007 : 15:14:30
|
disattiva ripristino configurazione di sistema
start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok
apri hijack e spunta:
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [SysDrv] C:\WINDOWS\TEMP\406906.exe
clicca su fix checked
scaricare avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avviare il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Cliccare sulla lente di ingrandimento
Si apre una finestra "View/edit script"
All'interno del box bianco,
copiare e incollare il seguente testo:
files to delete:
C:\WINDOWS\TEMP\406906.exe
cliccare sul pulsante Done
Cliccare sull'icona del semaforo verde
Rispondere Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavviarlo manualmente
posta il log di avenger.
scaricare Ccleaner htt*://[www].ccleaner[.com]/download/
Lanciare il programma: eseguire l’operazione “analizza-->avvia” due volte.
Eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato |
 |
|
|
Io27
Junior Member
54 Messaggi |
Inserito il - 26/12/2007 : 15:29:11
|
io lo faccio ma sara quanto meno inutile ^___P purtroppo,perche vedi quel files 406906.exe
cambia sempre.......di numeri a ogni connessione.....io cancello quello con l'altro nome ora........pero comparira ancora........ho notato che esiste solo un modo per non fare comparire questo virus, ovvero tenere disattivato il risprino del sistema.......e quindi? questo vuol dire che quel files si e' annidato nel ripristino, e tutte le volte che lo attivo lui ritorna come un backup......esistono programmi ho letto alternativi al ripristino di configurazione, avete qualche dritta a riguardo? ..... perche oramai questo virus non scomparira piu.....cmq adesso provo e ti faccio sapere grazie.........^____^
edit:
Citazione:
ho notato che esiste solo un modo per non fare comparire questo virus, ovvero tenere disattivato il risprino del sistema
mi sono sbagliato, anche con il ripristino disattivato compare, annamo bene......eehhehehe. |
Modificato da - Io27 in data 26/12/2007 15:49:31 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 26/12/2007 : 15:52:10
|
cosa ti è stato fatto fixare ed eliminare?
Cerca nel tuo pc winhp32.exe e dimmi se lo trovi. |
|
|
|
Io27
Junior Member
54 Messaggi |
Inserito il - 26/12/2007 : 16:42:44
|
cosa ti � stato fatto fixare ed eliminare?
----------
intendo dire che quella voce che mi dite di eliminare ogni volta che si connette si trasforma in un .exe con numeri sempre diversi, ti faccio vedere uno screeen shot della mia cartella temp per farti capire meglio; eccola.... >> htt*://img171.imageshack.us/img171/1516/virussk9.jpg
quelle segnate in rosso sono quei files exe di cui parlavo, ogni volta che mi connette se ne forma un'altro con numeri sempre diversi, avira dice che il virus TR/crypt.xpack.gen e un virus non dannoso e molto semplice, io direi piu tosto che non e' nemmeno un virus perche non danneggia nulla ma e' solo di un fastidio terribile, io mi connetto con alice.......mi dice connessione fallita......io ricompongo e parte......dopo 10 secondi vieni xpack.gen rilevato da avira e se lo metto in quarantena o lo elimino la connessione si chiude, e mi tocca ancora connettermi e alla seconda va e non mi rileva piu il virus.
Cerca nel tuo pc winhp32.exe e dimmi se lo trovi.
------
sto effettuando ora la ricerca........ti faccio sapere......:) .....grazie anche a te sibilla.......;-)
edit: non esiste il files winhp32.exe nel mio computer, cosa significa? ^___^ |
Modificato da - Io27 in data 26/12/2007 16:47:05 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 26/12/2007 : 18:16:33
|
scansiona con questo programma:
htt*://noahdfear.geekstogo[.com]/FindAWF.exe
clic su 1 e posta il log. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 26/12/2007 : 18:23:14
|
Posta quanto richiesto da michal.Citazione:
sto effettuando ora la ricerca........ti faccio sapere......:) .....grazie anche a te sibilla.......;-)
edit: non esiste il files winhp32.exe nel mio computer, cosa significa?
..questo è quanto trovato: TR/crypt.xpack.gen => winhp32.exe => rootkit.
Meglio così ;)
Citazione:
"sono gia stato su un altro forum, mi hanno fatto fixare delle voci con hacks ma non cambia nulla"
Ricordi cosa hai fixato/eliminato? |
Modificato da - Sibilla in data 26/12/2007 18:58:13 |
|
|
|
Io27
Junior Member
54 Messaggi |
Inserito il - 26/12/2007 : 21:06:49
|
emh........mi sento abbastanza deficente.......
Citazione:
Find AWF report by noahdfear ©2006
Version 1.40
bak folders found
~~~~~~~~~~~
Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~
end of report
sarebbe questa la logs di quel programma? ......ho fatto 1 e poi si e' aperto questo documento ^____^
x sibilla;
Citazione:
..questo #65533; quanto trovato: TR/crypt.xpack.gen => winhp32.exe => rootkit.
Meglio cos#65533; ;)
stai parlando un po arabo per me....ehehehh, non per colpa tua ovviamente........non ho capito benissimo questa frase....nel senso.......TR/crypt.xpack.gen sul pc non esiste......tanto meno winhp32.exe, ho effettuato per entrambi la ricerca su tutto il computer ma non esistono....
ps: rootkit? .....che intendi? LooooL
Citazione:
Ricordi cosa hai fixato/eliminato?
allora andando nell'altro forum mi hanno detto di fixare
1. fix
Citazione:
fix checked:
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [Registry Service] regsvc.exe
O4 - HKLM\..\Run: [SysDrv] C:\WINDOWS\TEMP\536062.exe
O8 - Extra context menu item: &Search - htt*://kn.bar.need2find[.com]/KN/menusearch.html?p=KN
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (file missing) (HKCU)
2 - fix
Citazione:
O4 - HKLM\..\Run: [SysDrv] C:\WINDOWS\TEMP\258843.exe
3 - qua ho usato avenger ^___P
Citazione:
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte seguneti:
Files to delete:
C:\WINDOWS\MSyswin32.ini
C:\WINDOWS\system\8_exception.nls
C:\WINDOWS\system\nqtwa.ini2
C:\WINDOWS\system\vsconfig.xml
folders to delete:
C:\WINDOWS\Temp
C:\DOCUME~1\Faganio\IMPOST~1\Temp
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | SysDrv
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
4 - fix
Citazione:
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [SysDrv] C:\WINDOWS\TEMP\406906.exe
poi niente di piu che aver fixato sempre la voce O4 - HKLM\..\Run: [SysDrv] C:\WINDOWS\TEMP\blablanumeri9922992992.exe tutte le volte che compariva........^____^
per intanto ho cancellato avira e installato avast, almeno quello non mi allerta del virus ^____^
nell'altro forum mi hanno consigliato di scansionare il pc con combofix......grazie ancora cmq.......:) |
Modificato da - Io27 in data 26/12/2007 21:18:12 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 26/12/2007 : 21:23:28
|
l'idea di cambiare antivirus per ignorarlo mi è nuova. Tecnica dello struzzo che nasconde la testa sotto la sabbia?
i fixaggi che hai fatto sono poco significativi.
Il log di findawf è a posto.
Se ti va:
scarica GMER htt*://[www].gmer.net/ scopatta, sempre sul desktop il file gmer.zip.
esegui gmer.exe
Clicca sul Tab "Rootkit"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Esegui gmer.exe
Clicca sul Tab "Autostart"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Copia in questa discussione entrambi i log
secondo le regole.
se nell'elenco di rootkit vedi file di colore rosso eliminali con delete.
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
|
|
Io27
Junior Member
54 Messaggi |
Inserito il - 26/12/2007 : 22:14:06
|
Citazione:
l'idea di cambiare antivirus per ignorarlo mi � nuova. Tecnica dello struzzo che nasconde la testa sotto la sabbia?
------
heheheheh vero! LoooL, cmq non sono cosi neofito come sembra, e che problemi seri di virus non li ho mai avuti in 7 anni di internet......questo qua e un po strano oltre che fastidioso ^___P
cmq; htt*://[www].webalice.it/fanty4ever/ehi.zip
ci sono entrambe le logs......non ho trovato niente in rosso.......^___P
Citazione:
Messaggio inserito da Sibilla
fai anche queste scansioni: Panda AntiRootkit e Sophos-anti-rootkit e dimmi se trova qualcosa...
okkey.......provo........ |
Modificato da - Io27 in data 26/12/2007 22:15:34 |
|
|
|
Io27
Junior Member
54 Messaggi |
Inserito il - 26/12/2007 : 22:29:03
|
| okkey, sibilla, nessuno dei due programmi ha rilevato nulla........il che e' peggio......eeehheheh! grazie cmq.......;) |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 27/12/2007 : 04:27:59
|
Posta il report rilasciato dalla scansione con SistemScan. Se hai problemi, disattiva l'antivirus.
Hai lanciato combofix come ti avevano suggerito?
Michal controllerà gmer... Io ho solo visto di sfuggita un C:\WINDOWS\Nou23.sys, adxnhxhm.SYS e a4ja8o4w.SYS, (non ho capito msnmsgr.exe  ) ma bisogna verificarli con calma.. Non toccare nulla. |
|
|
|
Io27
Junior Member
54 Messaggi |
Inserito il - 27/12/2007 : 16:18:06
|
htt*://[www].webalice.it/fanty4ever/hi.zip
ecco qua la scansione del programma che mi hai appena dato sibilla (che cmq avevo gia scansionato) e di combofix.
detto questo, ho preso questo virus nel modo piu stupido che poteva esserci, su msn, in chat.....avete presente quei files zip che sembra che ti mandino gli utenti? ...sicche parlavo con una ragazza che spesso mi mandava sue foto, ho aperto quel files e l'ho eseguito nonostante fosse un exe...... .......una volta aperto e scomparso dal desktop........
Citazione:
Michal controller� gmer... Io ho solo visto di sfuggita un C:\WINDOWS\Nou23.sys, adxnhxhm.SYS e a4ja8o4w.SYS, (non ho capito msnmsgr.exe ) ma bisogna verificarli con calma.. Non toccare nulla.
sibilla pensi che siano sospetti? ......e se io entrassi in modalita provvisoria......cercassi quei files e li sposterei dalla loro posizione originale per metterli in una cartella provvisoria nel desktop? ......in passato feci una cosa simile con dei files .dll e funziono ^____^
grazie ancora dell'aiuto cmq.........:) |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 27/12/2007 : 16:29:39
|
arccccc .... ma le info te le tieni riservate?
ecco perchè stanotte mi sembrava strano msnmsgr!
scarica MSNFix (scaricalo e scompattalo in una tua cartella creata in c:\programmi).
Inizialmente devi rispondere con I e invio - R (ricerca) e invio (probabilmente dopo di questi "N"). Alla fine della scansione troverai un file di testo e un file zip (quest'ultimo dovrai eliminarlo).
Posta il file di testo.
il report lo controllo ora ma... non potrò che scriverti più tardi.
Eventualmente lo farà qualcun altro al mio posto. |
|
|
|
Io27
Junior Member
54 Messaggi |
Inserito il - 27/12/2007 : 17:21:50
|
htt*://[www].webalice.it/fanty4ever/ci.zip
ecco la logs.......^____P
ora elimino lo zip ^___^
-----------------
arccccc .... ma le info te le tieni riservate?
ecco perch� stanotte mi sembrava strano msnmsgr!
-----
heeheh non credevo fosse cosi importante scusa......... |
|
|
|
Discussione |
|
Virus Xpack.gen non ne posso piu ^___^
Forum Bloccato
