| Autore |
 Discussione  |
|
Sibilla
Advanced Member
2059 Messaggi |
 Inserito il - 09/02/2008 : 15:59:46
|
visto che le ha trovate? 
Ora prova ad eseguire nuovamente quello di stamattina.
Non dovesse funzionare, rieseguilo e inserisci solo la parte da registry keys to delete in poi (compreso registry keys to delete, ovviamente..)
|
 |
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 09/02/2008 : 16:37:17
|
Citazione:
Messaggio inserito da Sibilla
Ora prova ad eseguire nuovamente quello di stamattina.
Non dovesse funzionare, rieseguilo e inserisci solo la parte da registry keys to delete in poi (compreso registry keys to delete, ovviamente..)
Ora ha fatto anche il log
avenger40.txt |
Modificato da - bilbobagins in data 09/02/2008 16:40:03 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 09/02/2008 : 16:45:09
|
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=10538&whichpage=9
 però 14 pagine non sono molte.... in fondo...
dai, esegui systemscan e controlla negli eventi |
Modificato da - Sibilla in data 09/02/2008 16:47:15 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 09/02/2008 : 16:53:35
|
Citazione:
Messaggio inserito da Sibilla
ieri hai più cercato zip.exe nel pc? cerca anche TASKMON.
nel registro cerca kernelwind.
Mi sono scordato di questi, e importante, File EXE ho trovato uno,
Ripeto le ricerche ??? |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 09/02/2008 : 16:57:14
|
si, ripeti e cerca nel registro e nel pc specialmente zip.exe ma dobbiamo vedere se è lui.
Un tipo di zip.exe fa parte di 1 infezione con tutta tranquillità. Se lo trovi, indicami il percorso (non eliminare nulla, però) |
Modificato da - Sibilla in data 09/02/2008 16:57:43 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 09/02/2008 : 17:16:41
|
Citazione:
Messaggio inserito da Sibilla
si, ripeti e cerca nel registro e nel pc specialmente zip.exe ma dobbiamo vedere se è lui.
Un tipo di zip.exe fa parte di 1 infezione con tutta tranquillità. Se lo trovi, indicami il percorso (non eliminare nulla, però)
WOW SystemScan ha completato 
Adesso faccio le ricerche
zip.exe non ce piu
neanche quel altro TASKMON ma ho visto questo nome nel registro 
nel registro non mi dice niente con kernelwind
Che famo, dove andamo ??? |
Modificato da - bilbobagins in data 09/02/2008 18:18:57 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 09/02/2008 : 17:46:21
|
Questo è il tuo rapporto: systemscan bilbo.txt
_ _ _ _
uhmmm esegui superantispyware, che pure si bloccava.
nel frattempo guardo il rapporto
dai comunque uno sguardo negli eventi.
Citazione:
Che famo, dove andamo???
tu proprio da nessuna parte.
c'è da ricontrollare tutto il registro prima di provare a connetterlo ad internet. Devi pazientare ancora un po'... e poi devo ancora installarti un programma spia.. quello di prima non ha funzionato..
Esporta queste chiavi:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
e nuovamente la ROOT e la SERVICES (trova i percorsi tu, per piacere.. io sto sul rapporto)
se vedi nel penultimo script di avenger, TASKMON l'abbiamo eliminato. Controlla |
Modificato da - Sibilla in data 09/02/2008 20:26:44 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 09/02/2008 : 18:31:11
|
e poi 1 altra cosa.. puoi farlo ora perchè io lo faccio velocemente.
esporta la chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\CLSID
ma in estensione reg.
questa, però, non devi postarla sul forum ma me la devi mandare con un messaggio privato.
L'unico modo per sbarazzarci di questo:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\CLSID]
"\30 A?E?2?A?E?D?8?F?-?5?6?9?5?-?4?a?6?d?-?9?7?0?9?-?1?4?E?5?1?C?D?1?7?B?1?C?'?"=""
è eliminare tutta la cartella CLSID e poi installarla nuovamente (spero). |
Modificato da - Sibilla in data 09/02/2008 18:32:22 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 09/02/2008 : 18:48:10
|
Citazione:
Messaggio inserito da Sibilla
Esporta queste chiavi:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
FATTO
e nuovamente la ROOT
root2.txt
e la SERVICES
services2.txt
(trova i percorsi tu, per piacere.. io sto sul rapporto)
SONO QUELLI DI STANOTTE - GIUSTO ???
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 09/02/2008 : 18:56:12
|
Citazione:
SONO QUELLI DI STANOTTE - GIUSTO ???
si
---
Scarica questo file in c:\ CLSID.txt
Cambiagli l'estensione in .reg
Non eseguirlo
Con avenger:
Citazione:
files to delete:
W:\avenger07 02.txt
W:\fixwareout
W:\fixnavi.txt
W:\fixnavi 09 02.txt
W:\WINDOWS\QTFont.for
W:\WINDOWS\QTFont.qfn
W:\Documents and Settings\Przemek\Dati applicazioni\GDIPFONTCACHEV1.DAT
registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\botreg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\CLSID
Programs to launch on reboot:
c:\CLSID.reg
Posta il rapporto di avenger.
Controlla questi su virustotal:
W:\WINDOWS\Downloaded Program Files\lang.ini
W:\WINDOWS\Downloaded Program Files\live.ini
W:\Documents and Settings\Przemek\Dati applicazioni\OpenOffice.ux.pl2
Riposta systemscan. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 09/02/2008 : 18:58:45
|
Citazione:
Messaggio inserito da bilbobagins
Esporta queste chiavi:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
FATTO
e 'ndo stanno???
non devi tenertele... servono a me..
Ovviamente mi servono in txt..
PS
1) però root e services le controllo domani  ...ora vedo...
2) sai cos'è?
[TestCD]
Label=USJPPWN2004
Register=Software\PWN\Uniwersalny s³ownik jêzyka polskiego\2004
|
Modificato da - Sibilla in data 09/02/2008 19:03:47 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 09/02/2008 : 19:44:39
|
Citazione:
Messaggio inserito da Sibilla
e 'ndo stanno???
htt*://[www].freefilehosting.net/files/3bkm2
htt*://[www].freefilehosting.net/files/3bkm3
PS
Label=USJPPWN2004
Register=Software\PWN\Uniwersalny s³ownik jêzyka polskiego\2004
Sono dizionari per scrabble
Avenger ha finito
htt*://[www].freefilehosting.net/files/3bkm5
Adesso forse e tutto ?????? o no rimasto controllo su virustotal OK vado.
|
Modificato da - bilbobagins in data 09/02/2008 19:48:04 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 09/02/2008 : 19:52:09
|
uhmmmm non saprei... facciamo una cosa... rileggi tutta la discussione e vedi se manca qualcosa.. 
la scansione con Superantispyware l'hai fatta?
è importante x vedere se si blocca...
(o l'hai fatta e mi son persa l'informazione?)
e poi manca systemscan.. ma puoi farlo domani, questo.
Quasi quasi ti dico che abbiamo quasi finito...
"quasi"... altrimenti ci metti il pensiero...
EDIT:
ah si, prima ho dimenticato di dirti una cosa:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\botreg
l'abbiamo eliminata almeno trenta volte.
Quando puoi, riavvia il pc e vai a vedere nel registro se si è riformata. Se c'è, vuol dire che c'è ancora qualche file attivo che la ricrea: prendi nota di tutto quello che contiene e postalo (oppure la esporti come file di testo, vedi tu..) |
Modificato da - Sibilla in data 09/02/2008 19:56:08 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 09/02/2008 : 20:05:12
|
Sostanzialmente non si blocca piu niente, ne SystemScan ne SuperAntiSpyvare
Per quella chiave adesso controllo, forse era win stesso che la rimetteva dopo le schermate blu.
Adesso non ce piu 
E poi manca systemscan.. ma puoi farlo domani, questo.
Ultimo rapporto ore 17.16 - lo rimetto o rifaccio ?
Controlla questi su virustotal:
W:\WINDOWS\Downloaded Program Files\lang.ini
W:\WINDOWS\Downloaded Program Files\live.ini
Opsss - non li vedo per niente  Ma anche se li avessi trovati
non potrei fare niente, non posso copiare file in questa cartella - e normale ???
W:\Documents and Settings\Przemek\Dati applicazioni\OpenOffice.ux.pl2
E una cartella con dentro tante altre. fa parte di programma OpenOffice e lo uso sul altri PC. Almeno che adesso siti ufficiali di Open Source non hanno deciso di infettare utenti io mi fiderei, anche perche non so come fare altrimenti. Virustotal accetta solo un singolo file. Controllo con Avast - negativa.
[OT]
Quelle cose tipo ab... fin... non pensare neanche
Forse non porta male ma se non le diciamo e meglio |
Modificato da - bilbobagins in data 09/02/2008 20:49:53 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 09/02/2008 : 20:20:11
|
lo facevo per farti festeggiare bene i tuoi 100 post x un caso..
devi ancora dirmi cos'è successo a capodanno.
Una cosa del genere non 'ho mai vista in mesi e mesi..
edit:
ti pare che voglio un systemscan vecchio?
poi rischi di eseguire avenger a vuoto |
Modificato da - Sibilla in data 09/02/2008 20:21:04 |
|
|
|
Discussione |
|
Windows has detected spyware infection
Forum Bloccato
