| Autore |
 Discussione  |
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
 Inserito il - 09/02/2008 : 01:41:04
|
Citazione:
Messaggio inserito da Sibilla
e la descrizione dell'evento? non dice nulla?
vedi se riesci a reperire qualche info in più.
Oramai sto quasi pensando di farmi mandare tutta la chiave currentcontrolset.
Questa e proprio la descrizione del evento 
Ho esportato currentcontrolset e tanto tanto tanto grande, blocco note a problemi a gestirlo 
non so se conviene 
Adesso ci riprovo a orario esatto. |
Modificato da - bilbobagins in data 09/02/2008 01:42:46 |
 |
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 09/02/2008 : 01:42:56
|
asp 1 secondo...
scusa.. ho appena scoperto perchè oggi mi trovo qui.. a fare quello che faccio..
ci ho messo qualche mese.. (hiihihi)
dicevamo.. sono 2 quelle che puoi mandarmi: la services e la ENUM\root.
Magari me le vedo con calma. Si, lo so che sono "pesanti" ma mentre io domani le controllo tu potresti effettuare un chkdsk, che sia con o senza riparazione. Putroppo conviene verificare anche questo. |
Modificato da - Sibilla in data 09/02/2008 01:56:24 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 09/02/2008 : 02:00:54
|
Citazione:
Messaggio inserito da Sibilla
asp 1 secondo...
Gia fatto, prima ho ripulito tutto con CCleaner e dopo riavvio per curiosita sono ritornato li. Ho trovato subito fole da ripulire, e normale???
Ho trovato questo:
ANALISI COMPLETATA - (0.997 sec)
------------------------------------------------------------------------------------------
0,91MB da rimuovere. (circa)
Cancellazione sicura attivata - DOD 5220.22-M (3 passaggi)
------------------------------------------------------------------------------------------
Dettaglio dei file da cancellare (NB: Non #232; ancora stato cancellato nessun file)
------------------------------------------------------------------------------------------
File Temporanei Internet di IE (1 file) 7 byte
Contrassegnato per la cancellazione: W:\Documents and Settings\Przemek\Cookies\index.dat
W:\WINDOWS\TEMP\Perflib_Perfdata_764.dat 16,00KB
W:\Documents and Settings\Przemek\Impostazioni locali\Temp\nst6.tmp\0.hiv 28,00KB
W:\Documents and Settings\Przemek\Impostazioni locali\Temp\nst6.tmp\bjjm.exe 30,50KB
W:\Documents and Settings\Przemek\Impostazioni locali\Temp\nst6.tmp\cyqaoccthb.exe 16,53KB
W:\Documents and Settings\Przemek\Impostazioni locali\Temp\nst6.tmp\dlgpn.exe 39,00KB
W:\Documents and Settings\Przemek\Impostazioni locali\Temp\nst6.tmp\dxqmjct.exe 0,12MB
W:\Documents and Settings\Przemek\Impostazioni locali\Temp\nst6.tmp\jntbolhpqgg.exe 64,50KB
W:\Documents and Settings\Przemek\Impostazioni locali\Temp\nst6.tmp\kkripfeoc.exe 0,14MB
W:\Documents and Settings\Przemek\Impostazioni locali\Temp\nst6.tmp\pkcorwuanwkq.exe 31,50KB
W:\Documents and Settings\Przemek\Impostazioni locali\Temp\nst6.tmp\rnohhtat.exe 41,50KB
W:\Documents and Settings\Przemek\Impostazioni locali\Temp\nst6.tmp\runme.exe 83,50KB
W:\Documents and Settings\Przemek\Impostazioni locali\Temp\nst6.tmp\urbkvtjyvbx.exe 50,00KB
W:\Documents and Settings\Przemek\Impostazioni locali\Temp\nst6.tmp\uuoywfrygn.exe 26,50KB
W:\Documents and Settings\Przemek\Impostazioni locali\Temp\nst6.tmp\zip.exe 0,12MB
W:\Documents and Settings\Przemek\Impostazioni locali\Temp\systemscan.ini 54 byte
W:\Documents and Settings\Przemek\Impostazioni locali\Temp\WCESCOMM.LOG 468 byte
W:\Documents and Settings\Przemek\Impostazioni locali\Temp\~DF81F5.tmp 16,00KB
W:\WINDOWS\MiniDump\Mini020908-01.dmp 100,00KB
W:\WINDOWS\0.log 0 byte
W:\WINDOWS\Debug\UserMode\userenv.log 976 byte
Adesso Avast ha blocato qualcosa avisandomi " troppi mail sospetti" qualcosa ha provato mandare mail
Dopo apertura di Firefox ci sono anche questi;
Cookie Rimossi: [www].notrace.it
Cookie Rimossi: notrace.it
Cookie Rimossi: ad.zanox[.com]
Vostro sito a qualcosa con zanox[.com] ?????
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 09/02/2008 : 02:06:10
|
zip.exe è quello più brutto... lo cerchi un attimo, per piacere? Usa la funzione cerca di windows e metti il nome completo (zip.exe). Nelle opzioni, fallo cercare anche tra i files nascosti.
ad.zanox[.com] ora non mi dice nulla, poi vedremo.
Mandami quei due files, va.. sei ancora infetto
(parlo delle chiavi root e services)
Ma che diavolo ti sarai preso mai? boh....
ovviamente elimina quella cartella nst6.tmp e cerca in system32:
locators.dll
locatortoolbar.exe
uninst-locators.exe
|
Modificato da - Sibilla in data 09/02/2008 02:10:33 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 09/02/2008 : 02:10:14
|
visto che ha ricominciato a mandare le mail ho staccato cavetto di rete e sono tornato a Linux.
Citazione:
scusa.. ho appena scoperto perchè oggi mi trovo qui.. a fare quello che faccio..
ci ho messo qualche mese.. (hiihihi)
Questa mi incuriosisce 
Cosa faccio, sicuramente ce qualche schifezza in funzione???
dicevamo.. sono 2 quelle che puoi mandarmi: la services e la ENUM\root.
Forse sara meglio se mi scrivi percorso completo, lo sai che io non capisco tanto e per quel poco che riesco a capire ci vuole tanto tempo  |
Modificato da - bilbobagins in data 09/02/2008 02:22:16 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 09/02/2008 : 02:16:53
|
sopra c'è scritto cosa devi fare
per fartela breve.. mi andò ko il norton senza motivo.. e chiesi aiuto.. come te
non avevo mai avuto una spiegazione a riguardo..
ora stavo controllando quanto fosse grande la chiave currentcontrolset..
lo era troppo.. quindi sono andata a vedere quelle presenti in \root\.. e.. sorpresa :)
c'erano due legacy anche per me. Sono andata a vedere uno dei 2 files e.. il giorno è quello..
lo dico sempre che il mio pc è quello meno curato :) sarà che nel frattempo sono passati mesi e non ci pensavo più..
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 09/02/2008 : 02:24:53
|
un giorno mi spiegherai cosa è successo al tuo pc, cosa hai fatto ecc ecc.
Non posse credere che una sola infezione abbia scatenato questo po'... speriamo solo che prima o poi finiscano :) ti ritroverai il pc con un peso piuma a furia di eliminare :)
praticamente coltivavi file e chiavi inutili
EDIT:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services |
Modificato da - Sibilla in data 09/02/2008 02:26:13 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 09/02/2008 : 02:41:26
|
Citazione:
Messaggio inserito da Sibilla
EDIT:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
root1.txt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
services.txt
Per stanotte basta, tanto non possiamo finire. Dimmi se può essere utile qualche log,scan o altro, domani preparo tutto e poi si vedrà.
Che dici ???
Avast nomina un certo Win32nimosow-F installato oggi 13.22
quasi quasi mi scordavo
mi dispiace, non volevo crearti tutti sti problemi - scusa
Buonanotte - sogni doro.
|
Modificato da - bilbobagins in data 09/02/2008 13:44:38 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 09/02/2008 : 02:43:56
|
...dico che le guardo e ti faccio sapere.
No, assodato che potrebbero esserci altre cose da eliminare è inutile perdere tempo in scansioni ed altro. Le hai fatte e non hanno rilevato nulla
edit:
non se ne può proprio più.... se ti becco che scarichi da internet anche una sola cartolina mi senti... ...
vai a dormire ora.. meglio se chiudi tutto 
notte bilbo...
NB ... continui, eh? |
Modificato da - Sibilla in data 09/02/2008 02:58:03 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 09/02/2008 : 14:04:39
|
ieri hai più cercato zip.exe nel pc? cerca anche TASKMON.
nel registro cerca kernelwind.
Esporta in formato .reg queste chiavi (salvale in c:\):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TRKWKSUPNPHOST
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TrkWksupnphost
Trovato un altro.. => kernelw.sys_"driver"
Te le ho inserite anche in controlset001 e controlset002..
Citazione:
files to delete:
W:\WINDOWS\system32\kernelw.sys
W:\WINDOWS\system32\kernelwind32.exe
W:\WINDOWS\system32\taskmon.sys
W:\WINDOWS\system32\drivers\eixvajeqtptl.sys
W:\Documents and Settings\Przemek\Impostazioni locali\Temp\nst6.tmp
folders to delete:
W:\Documents and Settings\Przemek\Impostazioni locali\Temp\nst6.tmp
W:\windows\temp
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TASKMON.SYS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TASKMON.SYS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TASKMON.SYS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\taskmon.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\taskmon.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\taskmon.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eixvajeqtptl
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\eixvajeqtptl
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\eixvajeqtptl
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EIXVAJEQTPTL
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_EIXVAJEQTPTL
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_EIXVAJEQTPTL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Driver
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Driver
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Driver
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TrkWksupnphost
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TrkWksupnphost
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TrkWksupnphost
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TRKWKSUPNPHOST
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRKWKSUPNPHOST
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TRKWKSUPNPHOST
|
Modificato da - Sibilla in data 09/02/2008 15:47:29 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 09/02/2008 : 14:32:05
|
2) scarica DelDomains e salvalo sul desktop => clic con tasto destro del mouse e scegli "Installa".
3) ti ricordi quando ti feci controllare i valori di asc3350p perchè risultavano diversi? Per te era tutto ok... e infatti ti feci controllare quella sbagliata, lo sto notando solo ora:
quella che era indicata come fasulla (asc3550p)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3550p
Ora ultima scrittura: 09/02/2008 - 1.49
ErrorControl 0x0
Start 0x2
Group SCSI miniport
Tag 0x2a
Type 0x1
e quella che ti ho fatto controllare (legittima)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3350p
Ora ultima scrittura: 28/07/2007 - 17.31
ErrorControl 0x1
Group SCSI miniport
Start 0x4
Tag 0x39
Type 0x1
morale: elimina
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\asc3550p
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3550p
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\asc3550p
bada che asc3350p e asc3550 (senza p) sono legittimi.. non ti confondere e non eliminarli per errore.. |
Modificato da - Sibilla in data 09/02/2008 15:25:10 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 09/02/2008 : 15:31:58
|
Citazione:
Messaggio inserito da Sibilla
2) scarica DelDomains e salvalo sul desktop => clic con tasto destro del mouse e scegli "Installa".
Installato man non vedo nessun effetto - cosa e???
morale: elimina
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\asc3550p
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3550p
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\asc3550p
Giuro che non li vedo da qui
bada che asc3350p e asc3550 (senza p) sono legittimi.. non ti confondere e non eliminarli per errore..
|
Modificato da - bilbobagins in data 09/02/2008 15:37:25 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 09/02/2008 : 15:38:05
|
ok lo facciamo con avenger:
Citazione:
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\asc3550p
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3550p
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\asc3550p
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 09/02/2008 : 15:46:04
|
Citazione:
Messaggio inserito da bilbobagins
Installato man non vedo nessun effetto - cosa e???
serve a spiare tutto quello che scarichi.
così la prossima volta ci penserai prima di ridurre il pc pieno zeppo di infezioni
tranquillo... hai solo ripristinato le Trusted Zone (lì ci sono gli indirizzi considerati sicuri e quindi senza restrizioni.. ma, se modificata, qualche indirizzo potrebbe non essere affatto "sicuro") |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 09/02/2008 : 15:56:16
|
Citazione:
Messaggio inserito da Sibilla
ok lo facciamo con avenger:
Fatto qui ce report
avenger36.txt
|
|
|
|
Discussione |
|
Windows has detected spyware infection
Forum Bloccato
