| Autore |
 Discussione  |
|
Sibilla
Advanced Member
2059 Messaggi |
 Inserito il - 06/01/2008 : 13:59:59
|
clicca su "start" => "cerca" => "tutti i file e cartelle" => cerca _start (spunta nelle opzioni avanzate "cerca nei file e nelle cartelle nascoste"). Posta le info.
Vedi se Kaspersky_virusscanner individua qualcos'altro. La scansione è on line ma puoi scollegarti non appena ha finito di scaricare i file (dopo aver cliccato su "my computer", per intenderci)
Apri freefilehosting e allega il file C:\Windows\system32\drivers\etc\hosts, che lo controllo un attimo.
Il rapporto postato è ok.
|
Modificato da - Sibilla in data 06/01/2008 14:00:39 |
 |
|
|
LaPiccolaCoco
Junior Member
52 Messaggi |
 Inserito il - 06/01/2008 : 14:46:20
|
allora
riguardo il file da cercare
vi posto due stamp dei risultati:
htt*://i1.tinypic[.com]/87c2f10.jpg
htt*://i3.tinypic[.com]/720w38k.jpg
il file che mi hai chiesto è questo
htt*://[www].freefilehosting.net/download/3a4a6
e kmq sn ricominciate le disconnessioni...
ora sto facendo la scansione cn l'ativirus che m hai indicato.
quando finisce posto i risultati
|
Modificato da - LaPiccolaCoco in data 06/01/2008 16:26:29 |
|
|
|
LaPiccolaCoco
Junior Member
52 Messaggi |
Inserito il - 06/01/2008 : 18:02:39
|
qui ho salvato il rapporto dell'antivirus che mi hai consiglirao anche se non mi fa eliminare i virus...mi sa che bisognerà toglierli manualmente o mi sbgliO??
htt*://[www].freefilehosting.net/download/3a4fb |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/01/2008 : 18:38:56
|
C:\WINDOWS\system32\jkhff.exe.
scarica Registry Search Tool e cerca jkhff nel registro. |
Modificato da - Sibilla in data 06/01/2008 18:40:00 |
|
|
|
LaPiccolaCoco
Junior Member
52 Messaggi |
Inserito il - 06/01/2008 : 18:44:06
|
e dp che l'ho trovato?
mi dice questo:
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "jkhff" 06/01/2008 18.42.48
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2B9D3163-63D8-4375-BE96-03AFEB75CAB6}\InprocServer32]
[No-Spam]="C:\\WINDOWS\\system32\\jkhff.dll"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINDOWS\\system32\\jkhff.exe"
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINDOWS\\system32\\jkhff.exe"
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
|
|
LaPiccolaCoco
Junior Member
52 Messaggi |
Inserito il - 06/01/2008 : 23:43:07
|
ora faccio questi scan
kmq ora avira mi trova file infetti da vundo e file infetti da agent drop
se qnd li trova seleziono l'icona di cancellarlo è corretto? oppure devo mettere ignora? |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/01/2008 : 02:54:36
|
.. ora la risposta non servirà a molto. Puoi eliminarli.
Ora la domanda è: come fai ad avere vundo senza "segni" visibili? Lo avevi rimosso precedentemente? In questo caso, potrebbero essere solo file residui (probabilmente ininfluenti).
Fai anche una scansione con SpyBot in modalità provvisoria (scaricalo, installalo e aggiornalo - non ricordo se l'hai già..).
Prima di iniziare con le scansioni, devi:
aver scaricato tutti i programmi
disattivare il ripristino configurazione di sistema (start - pannello di controllo - sistema - ripristino configurazione di sistema - spunta "disattiva ripristino configuraz. di sistema")
visualizzare file nascosti: da una cartella clicca su strumenti - opzioni cartella - visualizza - visualizza file nascosti
...Per entrare in modalità provvisoria: all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8.
Uscirà la finestra del menu Opzioni avanzate di Windows => scegli modalità provvisoria (usa il tasto freccia ^).
Nell'eseguire le scansioni, stai disconnessa da internet ed evita, se puoi, di riavviare tu il pc.
Salva tutti i rapporti o prendi nota dei file perchè serviranno per far pulizia nel registro. |
|
|
|
LaPiccolaCoco
Junior Member
52 Messaggi |
Inserito il - 07/01/2008 : 16:59:59
|
ok faccio subito!!
quali sono i segni di vundo?
kmq all'accensione del pc avira mi continua a segnare sempre lo stesso file dll infetto da vundo e sembra che piu lo cancello e piu si riformi...SEMPRE con lo stesso nome e stessa posizione... |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/01/2008 : 17:31:25
|
Inizialmente volevo dirtelo ma forse poi ho lasciato stare. Si, Vundo va eliminato totalmente, altrimenti si riforma. E' anche per questo che ti ho scritto di non riavviare il pc fino al termine dellE scansionI.
Riguardo i "segni", parlavo del log di hjt.. non lo evidenziava.
Salva tutto quello che ti viene evidenziato come eliminato.. (edit: parlo dei report o schermate)
Qual e' il file che ti viene segnalato come vundo?
E poi, vedi se in system32 ci sono dei file con caratteri random (tipo, appunto jkhff) con estensione .dllbox. Quelli, se li trovi, sono da eliminare.
Edit: scusa, ti stavo rispondendo quando eri on line ma sono stata interrotta.. |
Modificato da - Sibilla in data 07/01/2008 19:54:12 |
|
|
|
LaPiccolaCoco
Junior Member
52 Messaggi |
Inserito il - 08/01/2008 : 16:43:32
|
ciao allora le scansioni non hanno trovato niente apparte qualche file infetto ancora da agent drop.
purtroppo n ho potuto salvare la schermata xk mio padre ha spento il pc prima che potessi salvare
riguardo il file di vundo il file infetto è questo
C:/Windows/System32/urqqnnl.dll
solo che QUALSIASI AZIONE FACCIO x esempio aprire il menu start o aprire internet o aprire word avira me lo segnala.
ho provato a eliminarlo ma n si riesce.
nemmeno in modalita provvisoria..
edit: non so se puo servire ma posto un nuovo log
htt*://[www].freefilehosting.net/download/3a698 |
Modificato da - LaPiccolaCoco in data 08/01/2008 16:45:56 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 08/01/2008 : 18:17:56
|
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
fixa:
O2 - BHO: (no name) - {2B9D3163-63D8-4375-BE96-03AFEB75CAB6} - C:\WINDOWS\system32\jkhff.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9F157D03-3DCC-4B4E-87CE-35F464BD3C3D} - C:\WINDOWS\system32\urqqnnl.dll
O20 - Winlogon Notify: urqqnnl - C:\WINDOWS\SYSTEM32\urqqnnl.dll
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli
files to delete:
C:\WINDOWS\system32\urqqnnl.dll
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
posta il log di avengere e nuovo di HJT. |
|
|
|
LaPiccolaCoco
Junior Member
52 Messaggi |
Inserito il - 08/01/2008 : 20:21:16
|
ragaaaaaaa ho rimosso da sola!!! (senza guardare qui! -strano ma vero-)
allora in pratika dopo il log che ho postato ho provato a osservarlo e ho visto le voci che contenevano il file infetto, le ho fixate poi xo non ha funzionato benissimo xk le voci sn ricomparse nel log che ho rifatto subito dp.
allora ho messo in provvisoria e ho avviato VundoFix, gli ho lasciato fare tt lo scan e dopo qnd mi ha trovato il file gli ho dato ok x rimuoverlo, ha dtt che lo rimuoveva al riavvio, ho riavviato mi ha dato errore e ha ripetuto il riavvio e ora n ce piu!! =)
p.s. dopo qst ho rifatto il log, trovato le voci di prima che ora recavano la scritta (file missing) e le ho fixate
sxo si sia rimosso definitivamente!!
ora posto un log!!!
htt*://[www].freefilehosting.net/download/3a6ch
|
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 08/01/2008 : 20:27:45
|
tutto bene quel che finisce bene
log pulito.
Ciao. |
|
|
|
LaPiccolaCoco
Junior Member
52 Messaggi |
Inserito il - 08/01/2008 : 22:48:07
|
grazi mille di tutto!!
Siete degli angeli tt quanti ^^ |
|
|
|
Discussione |
|
Assediata
Forum Bloccato
