| Autore |
 Discussione  |
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 28/12/2007 : 11:50:17
|
Domanda: te lo sei preso il 19 dicembre?
1) Vai su Virustotal e controlla questi files:
C:\WINDOWS\iun6002.exe
C:\WINDOWS\system32\fixflash.exe
C:\WINDOWS\Nou23.sys (credo sia lo stesso presente anche in C:\WINDOWS\system32\drivers\Nou23.sys)
Posta i risultati
2) Quelli indicati some sospetti cercali nel registro con Registry Search Tool. Il programma potrebbe anche dirti che non ha trovato nulla, ci vorra' qualche secondo prima di ricevere una risposta.
Cerca anche SysDrv
3) Apri il registro (start - esegui - digita regedit - dai l'ok) e raggiungi queste chiavi e segna cosa contengono (cerca di capire a cosa di riferiscono):
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C => (\Shell\AutoRun\command - C:\setup.exe)
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{364d9d8a-64e5-11db-bc1c-806d6172696f} => (\Shell\AutoRun\command - C:\setup.exe)
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5076125e-6484-11db-9e41-806d6172696f} => (\Shell\AutoRun\command - C:\setup.exe)
..e questo lancio.bat a cosa si riferisce?
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5416fdb2-7337-11db-986c-806d6172696f} => \Shell\AutoRun\command - E:\lancio.bat
Controlla anche non sia più presente nel pc in c:\setup.exe (lo aveva eliminato combofix)
4) altro dai report..
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] ALCMTR.EXE
R0 Nou23;Nou23;C:\WINDOWS\system32\Drivers\Nou23.sys [2007-12-19 03:02]
recent files in C:\WINDOWS\system32\drivers\: 19/12/2007 03.02.53 21760 byte 8 days old -- Nou23.sys |
Modificato da - Sibilla in data 28/12/2007 12:39:04 |
 |
|
|
Sibilla
Advanced Member
2059 Messaggi |
 Inserito il - 28/12/2007 : 13:14:52
|
Ehmmm...guardando un po' meglio i tuoi allegati, forse è meglio se fai anche questo:
Ripristina la Trusted Zone: scarica DelDomains e salvalo sul desktop => clic con tasto destro del mouse e scegli "Installa".
Scarica e scompatta questo file hosts => clic con il tasto destro del mouse - "copia" - e "incolla" il file nella cartella C:\Windows\system32\drivers\etc (NB: li' troverai già un altro file hosts, quindi accetta la sostituzione). |
|
|
|
Admin
Nazzareno Schettino Administrator
Città: Napoli
3195 Messaggi |
Inserito il - 28/12/2007 : 13:15:11
|
Ho appena inserito un nuovo software nella sezione Download proprio perché con questo software ieri ho eliminato il worm di cui parli dal computer di 1 amico
htt*://[www].notrace.it/Download/Sicurezza/Anti-Virus/dr-web-cureit.htm
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 28/12/2007 : 13:17:36
|
grazie Nazzareno 
X Io27: scarica il programma ed avvia la scansione.
Partirà in automatico con "express scan". Quando ha finito, clicca anche su "completa scansione".
Controlla i file infetti trovati e ripulisci (guarda i percorsi; MsnFix puoi lasciarlo. E' normale che vengano indicati come nocivi/sospetti alcuni programmi di scansione).
Per salvare il rapporto => file => salva rapporto |
Modificato da - Sibilla in data 28/12/2007 16:04:31 |
|
|
|
Io27
Junior Member
54 Messaggi |
Inserito il - 29/12/2007 : 07:32:40
|
ragazzi domani (anzi oggi ehhheh, devo andare ancora a letto) provo il programma........cmq vada vi ringrazio di tutto........
non ho mai beccato un virus cosi strano........
anche perche ora il virus ha cambiato nome, o meglio e sempre xpack.gen ma stavolta il virus me lo trova in windows/sistem, mi pare che alcuni abbiano l'estensione sys, cmq vi faccio sapere domani con esattezza ^___^
mi stavo rassegnando......grazie sibilla, grazie anche all'admin......cmq vada  ......provo per prima l'ultimo programma che mi avete dato e poi posto la logs........buona giornata e buon 2008.......
Citazione:
Domanda: te lo sei preso il 19 dicembre?
mhhhh, oggi e il 29.......non e' da escluderlo che lo abbia preso in quel giorno.....perche c'e un virus speciale per una certa data? ....[.com]e per natale? ehheeheh........ |
Modificato da - Io27 in data 29/12/2007 07:45:29 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 29/12/2007 : 11:11:03
|
Citazione:
Messaggio inserito da Io27
mhhhh, oggi e il 29.......non e' da escluderlo che lo abbia preso in quel giorno.....perche c'e un virus speciale per una certa data? ....[.com]e per natale? ehheeheh........
i 2 C:\WINDOWS\Nou23.sys \ C:\WINDOWS\system32\drivers\Nou23.sys sono del 19/12.
Si, fai la scansione ma, a seconda di quello che trova, poi dovresti fare i controlli che ti avevo indicato ad inizio pagina.
C:\WINDOWS\iun6002.exe e C:\WINDOWS\system32\fixflash.exe risultano sospetti e Nou23.sys non esiste(e tu l'hai in due posizioni).
Poi fai come vuoi 
EDIT:
x te, Io27: fixflash.exe - Dangerous - Fixflash.exe is Trojan/Backdoor |
Modificato da - Sibilla in data 29/12/2007 12:18:44 |
|
|
|
Io27
Junior Member
54 Messaggi |
Inserito il - 29/12/2007 : 12:54:19
|
Citazione:
Messaggio inserito da Sibilla
Citazione:
Messaggio inserito da Io27
mhhhh, oggi e il 29.......non e' da escluderlo che lo abbia preso in quel giorno.....perche c'e un virus speciale per una certa data? ....[.com]e per natale? ehheeheh........
i 2 C:\WINDOWS\Nou23.sys \ C:\WINDOWS\system32\drivers\Nou23.sys sono del 19/12.
Si, fai la scansione ma, a seconda di quello che trova, poi dovresti fare i controlli che ti avevo indicato ad inizio pagina.
C:\WINDOWS\iun6002.exe e C:\WINDOWS\system32\fixflash.exe risultano sospetti e Nou23.sys non esiste(e tu l'hai in due posizioni).
Poi fai come vuoi
EDIT:
x te, Io27: fixflash.exe - Dangerous - Fixflash.exe is Trojan/Backdoor
grazie ragazzi siete dei grandi.......il programma ha funzionato......ora non mi compare piu xpack.gen appena riavvio la connessione, ho eliminato solo il files Nou23.sys con quel programma ^___P
ecco le logs: htt*://[www].webalice.it/fanty4ever/zizi.zip
quindi sibilla devo fare altro dici? ........altri controlli se non ho piu il virus? |
Modificato da - Io27 in data 29/12/2007 12:56:21 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 29/12/2007 : 12:59:44
|
Process.exe;C:\Programmi\MSNFix\incl;Tool.Prockill;;
A0001428.exe;C:\System Volume Information\_restore{4DC0E44D-A1B4-4791-8AA7-F8DC1568339D}\RP4;Tool.Prockill;Cancellato.;
devi riavviare il pc.. A0001428.exe richiama il ripristino config. di sistema. Si ricreerà da solo (è capitato anche a me..)
No, non hai finito, affatto. Hai letto quello che ti ho scritto?
Quel file sta anche in c:\windows. Ne avevi 2.
E non solo.. ci sono altri 2 file sospetti e chiavi da cancellare..
EDIT:
script per avenger:
files to delete:
C:\WINDOWS\iun6002.exe
C:\WINDOWS\system32\fixflash.exe
C:\WINDOWS\Nou23.sys
C:\WINDOWS\system32\drivers\Nou23.sys
poi scarica Registry Search Tool e cerca:
fixflash
iun6002
Nou23
SysDrv
Poi, prendi il log di avenger, unisci i risultati di queste ricerche e posta il file.
|
Modificato da - Sibilla in data 29/12/2007 13:06:54 |
|
|
|
Io27
Junior Member
54 Messaggi |
Inserito il - 29/12/2007 : 13:35:48
|
allora Registry Search Tool mi dice;
iun6002.exe
Citazione:
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "iun6002.exe" 29/12/2007 13.22.34
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\C6 Helper1.0]
"UninstallString"="C:\\WINDOWS\\iun6002.exe \"C:\\Programmi\\C6 Messenger\\plugin\\helper\\irunin.ini\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\C6 Messenger]
"UninstallString"="C:\\WINDOWS\\iun6002.exe \"C:\\Programmi\\C6 Messenger\\C6irunin.ini\""
[HKEY_USERS\S-1-5-21-457103230-3953444760-3216625359-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"h"="C:\\WINDOWS\\iun6002.exe"
[HKEY_USERS\S-1-5-21-457103230-3953444760-3216625359-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"h"="C:\\WINDOWS\\iun6002.exe"
----------------
fixflash.exe
Citazione:
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "fixflash.exe" 29/12/2007 13.24.00
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_USERS\S-1-5-21-457103230-3953444760-3216625359-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"e"="C:\\WINDOWS\\system32\\fixflash.exe"
[HKEY_USERS\S-1-5-21-457103230-3953444760-3216625359-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"i"="C:\\WINDOWS\\system32\\fixflash.exe"
--------------
Nou23.sys
Citazione:
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "Nou23.sys" 29/12/2007 13.25.14
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_USERS\S-1-5-21-457103230-3953444760-3216625359-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"i"="C:\\WINDOWS\\Nou23.sys"
[HKEY_USERS\S-1-5-21-457103230-3953444760-3216625359-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\sys]
"a"="C:\\WINDOWS\\Nou23.sys"
------------------
SysDrv
Citazione:
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "SysDrv" 29/12/2007 13.29.02
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"SysDrv"="C:\\WINDOWS\\TEMP\\156687.exe"
ora provo a controllare con regedit quelle cose ma io di ste cose non ci capisco molto......sto diventando pazzo........
edit, ho fatto con avenge quello che hai detto, ecco il risultato:
Citazione:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\pgdvqltc
*******************
Script file located at: \??\C:\WINDOWS\system32\aotravgy.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\iun6002.exe deleted successfully.
File C:\WINDOWS\system32\fixflash.exe deleted successfully.
File C:\WINDOWS\Nou23.sys not found!
Deletion of file C:\WINDOWS\Nou23.sys failed!
Could not process line:
C:\WINDOWS\Nou23.sys
Status: 0xc0000034
File C:\WINDOWS\system32\drivers\Nou23.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\Nou23.sys failed!
Could not process line:
C:\WINDOWS\system32\drivers\Nou23.sys
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.
mi ha dato 3 volte errore e ho cliccato su continua. |
Modificato da - Io27 in data 29/12/2007 13:42:00 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 29/12/2007 : 13:50:55
|
ascolta, apri il registro e cancella, cliccandoci sopra con il tasto destro del mouse, quanto messo in grassetto:
HKEY_USERS\S-1-5-21-457103230-3953444760-3216625359-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"e"="C:\\WINDOWS\\system32\\fixflash.exe"
[HKEY_USERS\S-1-5-21-457103230-3953444760-3216625359-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"i"="C:\\WINDOWS\\system32\\fixflash.exe"
[HKEY_USERS\S-1-5-21-457103230-3953444760-3216625359-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"i"="C:\\WINDOWS\\Nou23.sys"
[HKEY_USERS\S-1-5-21-457103230-3953444760-3216625359-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\sys]
"a"="C:\\WINDOWS\\Nou23.sys"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"SysDrv"="C:\\WINDOWS\\TEMP\\156687.exe"
Quando hai finito, chiudi, riavvia il sistema e ripeti le ricerche nel registro.
Ora devo lascia ma torno più tardi a controllare :)
Ciao |
|
|
|
Io27
Junior Member
54 Messaggi |
Inserito il - 29/12/2007 : 13:53:36
|
Citazione:
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C => (\Shell\AutoRun\command - C:\setup.exe)
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{364d9d8a-64e5-11db-bc1c-806d6172696f} => (\Shell\AutoRun\command - C:\setup.exe)
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5076125e-6484-11db-9e41-806d6172696f} => (\Shell\AutoRun\command - C:\setup.exe)
..e questo lancio.bat a cosa si riferisce?
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5416fdb2-7337-11db-986c-806d6172696f} => \Shell\AutoRun\command - E:\lancio.bat
Controlla anche non sia più presente nel pc in c:\setup.exe (lo aveva eliminato combofix)
4) altro dai report..
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] ALCMTR.EXE
R0 Nou23;Nou23;C:\WINDOWS\system32\Drivers\Nou23.sys [2007-12-19 03:02]
recent files in C:\WINDOWS\system32\drivers\: 19/12/2007 03.02.53 21760 byte 8 days old -- Nou23.sys
ma le posso eliminare queste voci dal registro o e' rischioso? |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 29/12/2007 : 13:54:09
|
poi vai a cancellare il file: C:\WINDOWS\Nou23.sys
edit:
facciamo così :) apettiamo michal, ok? così stai tranquillo..
io devo proprio andare... se ci sei continuiamo oggi...
altrimenti troverai scritto cosa fare.
Ciao
al più, controlla il file C:\WINDOWS\Nou23.sys su virustotal come ti avevo detto... |
Modificato da - Sibilla in data 29/12/2007 13:56:23 |
|
|
|
Io27
Junior Member
54 Messaggi |
Inserito il - 29/12/2007 : 13:54:53
|
Citazione:
Messaggio inserito da Sibilla
ascolta, apri il registro e cancella, cliccandoci sopra con il tasto destro del mouse, quanto messo in grassetto:
HKEY_USERS\S-1-5-21-457103230-3953444760-3216625359-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"e"="C:\\WINDOWS\\system32\\fixflash.exe"
[HKEY_USERS\S-1-5-21-457103230-3953444760-3216625359-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"i"="C:\\WINDOWS\\system32\\fixflash.exe"
[HKEY_USERS\S-1-5-21-457103230-3953444760-3216625359-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"i"="C:\\WINDOWS\\Nou23.sys"
[HKEY_USERS\S-1-5-21-457103230-3953444760-3216625359-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\sys]
"a"="C:\\WINDOWS\\Nou23.sys"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"SysDrv"="C:\\WINDOWS\\TEMP\\156687.exe"
Quando hai finito, chiudi, riavvia il sistema e ripeti le ricerche nel registro.
Ora devo lascia ma torno più tardi a controllare :)
Ciao
ok provo a cancellare queste..........:) e ti faccio sapere ^___P
grazie ancora sibilla ^___^
Citazione:
poi vai a cancellare il file: C:\\WINDOWS\\Nou23.sys
lo cancello con avenge? |
Modificato da - Io27 in data 29/12/2007 13:56:15 |
|
|
|
Io27
Junior Member
54 Messaggi |
Inserito il - 29/12/2007 : 14:16:37
|
Citazione:
Messaggio inserito da Sibilla
poi vai a cancellare il file: C:\WINDOWS\Nou23.sys
edit:
facciamo così :) apettiamo michal, ok? così stai tranquillo..
io devo proprio andare... se ci sei continuiamo oggi...
altrimenti troverai scritto cosa fare.
Ciao
al più, controlla il file C:\WINDOWS\Nou23.sys su virustotal come ti avevo detto...
ho fatto tutto quello che mi hai detto, cancellate una a una quelle voci e C:\WINDOWS\Nou23.sys , speriamo ^____^ .......grazie ancora sibilla........
cmq gia il fatto che oltre a non comparirmi il virus ora alice si connette al primo tentativo senza darmi errore e un buon segno a mio avviso ^____^ |
Modificato da - Io27 in data 29/12/2007 14:20:52 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 29/12/2007 : 14:17:16
|
prova a mano perchè avenge non l'ha cancellato, se non sbaglio.
Visualizza i file nascosti
edit: ok, riavvia il pc e controlla che non ci siano più sia nel registro che nel pc come file. Usa il programma x le ricerche nel registro, ovviamente.
e crea un nuovo punto di ripristino! |
Modificato da - Sibilla in data 29/12/2007 14:21:53 |
|
|
|
Discussione |
|
Virus Xpack.gen non ne posso piu ^___^
Forum Bloccato
