| Autore |
 Discussione  |
|
spybot
Senior Member
Cittā: palermo
101 Messaggi |
 Inserito il - 08/01/2008 : 23:59:58
|
Citazione:
Messaggio inserito da Sibilla
edit: OK.. Analizza c:\windows\system32\AswBoot.exe su Virustotal (potrebbe essere un Trojan/Backdoor W32.Bagz.H[No-Spam]mm - non e' indicata nessuna posizione di riferimento).
04/12/2007 14.04.28 837496 byte 32 days old -- aswBoot.exe
il file l'ho controllato e il risultato č che mi dice che č gia' stato controllato e poi scrive md5:
data
risultati
permalink:
scritto prorio cosi'.
ora faccio la scansione con viruscan e poi ti posto il log. se non stasera , domani.ciao
|
 |
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 09/01/2008 : 02:52:20
|
Comunque, visto che sono i programmi di scansione che non vanno, prova con questi due tool: Prevx_Gromozon e Symantec_removal_tool_linkOpt.
Si dovessero chiudere anche questi, utilizza il programma di Nod31_agent.vp.opt come spiegato qui.
Segui anche le Istruzioni preliminati per la rimozione.. |
|
|
|
spybot
Senior Member
Cittā: palermo
101 Messaggi |
Inserito il - 09/01/2008 : 08:06:30
|
buon giorno, ecco qui il log di sistemscan :
htt*://[www].freefilehosting.net/download/3a6ij
piu' tardi dopo lavoro faccio le altre scansioni a presto.
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 09/01/2008 : 13:32:56
|
Buongiorno a te, spybot..
se provi a fare le scansioni per il gromozon i tool si chiudono comunque? Dal rapporto si vede che il gromozon_removal l'hai utilizzato gia'... Prova a fare quello che ti ho indicato ieri sera.
Controlla i due file AswBoot.exe e pncrt.dll.
Fatto questo, non mi resta che farti fare delle foto della cartella system32 e
C:\Programmi\File comuni\System
C:\Programmi\File comuni\Microsoft Shared
C:\Programmi\Windows NT
(come indicato da michal e aris) e controllare tutti i files.. Se lo fai, ordinali per tipo e comprimi 1 cartella con dentro le foto (max 3 Mb per freefilehosting). |
|
|
|
spybot
Senior Member
Cittā: palermo
101 Messaggi |
Inserito il - 10/01/2008 : 15:29:08
|
Citazione:
Messaggio inserito da Sibilla
Comunque, visto che sono i programmi di scansione che non vanno, prova con questi due tool: Prevx_Gromozon e Symantec_removal_tool_linkOpt.
Si dovessero chiudere anche questi, utilizza il programma di Nod31_agent.vp.opt come spiegato
ciao, ho fatto la scansione con i 2 tool e non hanno trovato nulla.allora ,non so' se ho fatto una fesseria, ho avviato nod 32 ho disattivato sia il firewall che l'antivirus č ho cercato il file aswboot.exe e glielo fatto esaminare. lo ha cancellato e subito dopo si č bloccato. l'ho chiuso l'ho riavviato seguendo la procedura di ricerca dei file verdi e si č bloccato anche questa volta.
ho fatto male? non so' per quanto riguarda l'ultima cosa restante da fare potresti per favore farmi un esempio, proprio per non sbagliare.
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 10/01/2008 : 16:20:09
|
Citazione:
Messaggio inserito da spybot
ho avviato nod 32 ho disattivato sia il firewall che l'antivirus č ho cercato il file aswboot.exe e glielo fatto esaminare. lo ha cancellato e subito dopo si č bloccato.
No, per me hai fatto bene.. se non altro perche' era tra le cose che ti volevo far fare (disabilitare l'antivirus). L'altro file che risulta compresso non l'hai controllato? Pero' vai su virustotal.
(*) Controlla (controlla solo) se hai anche:
C:\WINDOWS\system32\wincom32.sys
C:\WINDOWS\system32\alsys.exe
C:\WINDOWS\system32\wincom32.ini
C:\WINDOWS\system32\lsasss.exe
C:\WINDOWS\winsys.exe
(visualizza i file nascosti)
(*) ho controllato io da systemscan. Niente..
_______
EDIT:
Me ne sono accorta ora.. non esiste nessun C:\WINDOWS\wincomctrl.ini  
Clicca sui file che ti indico con il tasto destro del mouse e seleziona "apri con". Dalla finestra che si apre seleziona "blocco note", assicurati che NON sia spuntato "usa sempre il programma selezionato per aprire questo tipo di file" e dai l'ok.
Copia il testo e salvalo in un altro file di testo (salvalo con un nome di fantasia). Incolla uno dopo l'altro i contenuti dei 4 file, lasciando un po' di spazio tra l'uno e l'altro e ricordati di inserire il nome del file cui fai riferimento.
files in C:\WINDOWS\
30/11/2007 22.42.47 840 byte 40 days old -- wincomctrl.ini
30/11/2007 22.55.18 227 byte 40 days old -- system.ini
30/11/2007 22.55.18 995 byte 40 days old -- win.ini
files in C:\
30/11/2007 22.55.18 211 byte 40 days old -- boot.ini
magari si riferiscono all'aggiornamento fatto 1 ora prima $NtUninstallKB943460$.. |
Modificato da - Sibilla in data 10/01/2008 18:58:32 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 10/01/2008 : 20:35:53
|
| ...e con registry search tool cerca wincomctrl nel registro. |
|
|
|
spybot
Senior Member
Cittā: palermo
101 Messaggi |
Inserito il - 11/01/2008 : 00:28:06
|
ciao, non riesco a mandare il file della ricerca che ho fatto con la solita procedura .
Se mi autorizzi faccio copia e incolla, volendo non č molto grande,
altrimenti ci provo domani.
|
Modificato da - spybot in data 11/01/2008 00:32:07 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 11/01/2008 : 00:34:52
|
| ASP fammi capire.. ti riferisci al registro o al contenuto dei files? |
Modificato da - Sibilla in data 11/01/2008 00:38:41 |
|
|
|
spybot
Senior Member
Cittā: palermo
101 Messaggi |
Inserito il - 11/01/2008 : 00:39:22
|
| fatto |
Modificato da - spybot in data 11/01/2008 00:57:18 |
|
|
|
spybot
Senior Member
Cittā: palermo
101 Messaggi |
Inserito il - 11/01/2008 : 00:47:53
|
| ho cliccato ma non succede niente, che faccio? |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 11/01/2008 : 00:49:23
|
Citazione:
Messaggio inserito da spybot
ho cliccato ma non succede niente, che faccio?
clicca sulla 3 icona e cancella :) (serve a modificare il post) |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 11/01/2008 : 01:03:00
|
sempre con registry search tool cerca:
explorer.exe
userinit
di questi dovrai allegare il file (explorer.exe sarā lunghetto).
------
allora, facciamo cosi':
Apri il registro (start - esegui - digita regedit)
segui questo percorso:
[HKEY_USERS\S-1-5-21-1417001333-1202660629-679477475-1001\Software\Microsoft\Search Assistant\ACMru\5603]
dopo che hai cliccato sulla cartella 5603, se guardi nella finestra a destra trovi:
"003"="wincomctrl.ini"
elimina la riga il neretto (clicca su 003 con il tasto destro del mouse e seleziona elimina)
Poi vai ad eliminare il file in:
c:\windows\winconctrl |
Modificato da - Sibilla in data 11/01/2008 11:18:51 |
|
|
|
spybot
Senior Member
Cittā: palermo
101 Messaggi |
Inserito il - 11/01/2008 : 13:36:10
|
| ciao, non capisco cosa succede non riesco ad accedere al sito per poter postare i file .sai se per ora č un problema comune o e solo mio? |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
|
|
Discussione |
|
scansione con cureit "dott Web"
Forum Bloccato
