| Autore |
 Discussione  |
|
estrella.80
Senior Member
111 Messaggi |
 Inserito il - 10/01/2008 : 01:39:07
|
aiuto
Trojan program Trojan-Downloader.Win32.Nurech.bd
utilizzo kaspersky ma lo trova sempre come lo elimino?
inoltre C: non si apre, il mouse salta dove gli pare,cade continuamente la connessione e mi si aprono continuamente pagine di IE di antivirus.
CHE FARE?
|
|
|
estrella.80
Senior Member
111 Messaggi |
Inserito il - 10/01/2008 : 01:54:03
|
Trojan-Downloader.Win32.Nurech.bd
ne ha trovato un'altro!
Trojan-Downloader.VBS.Agent.n
e un 'altro ancora
 |
 |
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
 Inserito il - 10/01/2008 : 09:09:05
|
| Buongiorno a tutti, per cominciare devi scaricare il programma hijack this, il link è il primo in fondo al mio messaggio, dopo che l'hai scaricato crei una cartella per hijack, scompatti il programma al suo interno, lanci il programma, sul menu' di destra clicchi su "do a system scan and save a log file" il programma ti rilascerà un file di testo, lo salvi e lo posti qui sul forum seguendo le istruzioni del secondo link in fondo al mio messaggio. |
|
|
|
estrella.80
Senior Member
111 Messaggi |
Inserito il - 11/01/2008 : 14:40:08
|
buon giorno....grazie per l'aiuto
il file è Download link:
htt*://depositfiles[.com]/files/3036773
 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 11/01/2008 : 17:48:19
|
Scarica Avenger, CCleaner, Registry Search Tool e SpyBot.
Entra in modalità provvisoria: all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8.
Uscirà la finestra del menu Opzioni avanzate di Windows => scegli modalità provvisoria (usa il tasto freccia ^).
Disattiva il ripristino configurazione di sistema (start - pannello di controllo - sistema - ripristino configurazione di sistema - spunta "disattiva ripristino configuraz. di sistema")
Visualizza file nascosti: da una cartella clicca su strumenti - opzioni cartella - visualizza - visualizza file nascosti
Lancia Hijackthis, clicca sul tasto "Do a system scan only", spunta le seguenti voci e clicca su "fix Checked"
O2 - BHO: GRN Monitor - {503A367C-3944-4CE4-A031-25FAF6167119} - C:\WINDOWS\dnqdlpmlox.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: The epxonwo - {79293B31-D790-4B64-AAD7-8D47CED92E54} - C:\WINDOWS\epxonwo.dll (file missing)
O4 - HKLM\..\Run: [MDM Rock 4] C:\WINDOWS\system32\kelfjxvjk.exe
O21 - SSODL: bgntlvo - {16AA566E-705D-4722-8B2E-C9C393C283BB} - C:\WINDOWS\bgntlvo.dll
O21 - SSODL: asvdnmo - {9C67F836-7BFA-45D2-A23B-8E85D343D4CB} - C:\WINDOWS\asvdnmo.dll
Esegui avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento. All'interno della finestra copia/incolla questo script in rosso:
files to delete:
C:\WINDOWS\dnqdlpmlox.dll
C:\WINDOWS\epxonwo.dll
C:\WINDOWS\bgntlvo.dll
C:\WINDOWS\asvdnmo.dll
Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato secondo le regole del forum.
Esegui CCleaner e ripulisci sia i file temporanei e cookie (2 volte) che il registro.
Esegui una scansione con Spybot in modalità provvisoria.
Esegui Registry Search Tool (regsrch) e cerca separatamente quanto ti elenco (fai copia/incolla e non lasciare spazi), salvando o lasciando aperti i file .txt con i risultati.
epxonwo
79293B31-D790-4B64-AAD7-8D47CED92E54
Rock
bgntlvo
Unisci i risultati in un unico file di testo e postalo secondo le regole del forum.
Posta un nuovo log di hjt. |
Modificato da - Sibilla in data 11/01/2008 17:51:47 |
|
|
|
estrella.80
Senior Member
111 Messaggi |
Inserito il - 11/01/2008 : 23:22:44
|
| scusa sei in linea,ti devo chiedere un'aiuto devo eseguire tutti i pro che mi hai dato da scaricare sempre in mod provv |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 11/01/2008 : 23:33:50
|
scusa Estrella, non avevo visto 
allora, così come sono elencati:
hjt in mod. provvisoria (volendo puoi eseguirlo anche in mod. normale)
avenger e dopo ccleaner in mod. normale
spybot in mod. provvisoria
regsrch in mod. normale... così' poi posti i risultati 
|
|
|
|
estrella.80
Senior Member
111 Messaggi |
Inserito il - 12/01/2008 : 00:13:13
|
spero di aver fatto tutto correttamente
allora
htt*://[www].freefilehosting.net/download/3a97a
htt*://[www].freefilehosting.net/download/3a97b
htt*://[www].freefilehosting.net/download/3a97c
...le finestre dei vari siti non si aprono più ma continua a saltellare a piacere suo il mouse
anche C: non s apre, solo col tasto destro
grazie infinite.. |
|
|
|
estrella.80
Senior Member
111 Messaggi |
Inserito il - 12/01/2008 : 00:18:12
|
un'altra domanda se puoi
disinstallarli tutti e quattro i prog o mi consigli di lasciarli?
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/01/2008 : 00:41:23
|
controllo ora i log.
si, lasciali. Se attivo, disattiviamo solo panda, il resto non creano problemi.
Apri il resistro (start => esegui => digita regedit => dai l'ok)
Salva una copia del registro (che poi spero cancellerai): "file" => esporta => salva dove vuoi... meglio se in c:\
Segui questi percorsi ed elimina le voci in neretto (cliccaci sopra con il tasto destro del mouse e seleziona "elimina")
1) HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{79293B31-D790-4B64-AAD7-8D47CED92E54}
2) HKEY_LOCAL_MACHINE\SOFTWARE\Classes\epxonwo.bwvf
3) HKEY_LOCAL_MACHINE\SOFTWARE\Classes\epxonwo.ToolBar.1
4) HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{0C1603FB-D9A3-4854-AC14-F316958CA925}\1.0
[No-Spam]="epxonwo 1.0 Type Library"
5) HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{0C1603FB-D9A3-4854-AC14-F316958CA925}\1.0\0\win32
[No-Spam]="C:\\WINDOWS\\epxonwo.dll"
6) HKEY_USERS\S-1-5-21-583907252-688789844-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{79293B31-D790-4B64-AAD7-8D47CED92E54}
7) HKEY_USERS\S-1-5-21-583907252-688789844-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{79293B31-D790-4B64-AAD7-8D47CED92E54}
8) HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3CBFCEA3-5B9E-43D0-836C-C5894C63953F}\InProcServer32
[No-Spam]="C:\\WINDOWS\\bgntlvo.dll"
9) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
"bgntlvo"="{3CBFCEA3-5B9E-43D0-836C-C5894C63953F}"
Riavvia il sistema.
|
Modificato da - Sibilla in data 12/01/2008 01:11:29 |
|
|
|
estrella.80
Senior Member
111 Messaggi |
Inserito il - 12/01/2008 : 00:54:39
|
sto facendo una scansione con kaspersky..ma forse non è tutto risolto
ha trovato questo e l'unica azione era eliminarlo
eliminato: adware not-a-virus:AdWare.Win32.Vapsup.xs File: C:\avenger\backup.zip/avenger/bgntlvo.dll
......... |
|
|
|
estrella.80
Senior Member
111 Messaggi |
Inserito il - 12/01/2008 : 01:08:43
|
scusa ma io vado a nanna...mi dispiace non poter aspettare....
kaspersky nel frattempo lavora...appena finisce il pc si spegnerà solo!
Buona notte e grazie per tutto l'aiuto! |
|
|
|
estrella.80
Senior Member
111 Messaggi |
Inserito il - 12/01/2008 : 01:35:00
|
alla fine ha visto la risp e ho fatto come dicevi ma non trovo
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{79293B31-D790-4B64-AAD7-8D47CED92E54}
...e per errore ho cancellato tutta la cartella
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\epxonwo.bwvf
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\epxonwo.ToolBar.1......
mamma mia ho fatto un guaio..forse è meglio che non spenga il pc
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/01/2008 : 01:39:06
|
quella toolbar crea un casino nel registro.
spiegami dove hai cancellato esattamente.. fallo ora
_____
ok, forse hai lasciato il pc connesso..
se hai cancellato qualcosa antecedente alle voci in neretto, fai così:
clicca su "file" => importa => cerca la copia del registro che avevi salvato all'inizio dell'intervento. ok?
per qualsiasi cosa, lascia scritto tutto qui sul forum, o io o michal ti risponderemo domattina. |
Modificato da - Sibilla in data 12/01/2008 01:49:15 |
|
|
|
estrella.80
Senior Member
111 Messaggi |
Inserito il - 12/01/2008 : 23:18:39
|
scusa sibillla se mi faccio viva solo adesso ma ho lavorato tutto il dì
allora questi non li trova, ho fatto come mi hai detto "import" e ho rifatto tutto da capo... riavvio?
...dimenticavo oggi pome ho provato un pò a vedere come andava..e sembrava tutto bene apparte il fatto che il mouse continua a saltare e che C: non si apre normalmente ma col tasto destro
purtroppo questo pc lo utilizziamo in quattro,i miei fratelli non fanno attenzione a quello che aprono(file, zip, archivi, e pagine di IE ecc ecc)
grazie sempre per la tua disponibilità
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{0C1603FB-D9A3-4854-AC14-F316958CA925}\1.0
[No-Spam]="epxonwo 1.0 Type Library"
5) HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{0C1603FB-D9A3-4854-AC14-F316958CA925}\1.0\0\win32
[No-Spam]="C:\\WINDOWS\\epxonwo.dll
8) HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3CBFCEA3-5B9E-43D0-836C-C5894C63953F}\InProcServer32
[No-Spam]="C:\\WINDOWS\\bgntlvo.dll"
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/01/2008 : 23:20:22
|
si si, riavvia. Hai eliminato tutto quello che era indicato?
1) posta un nuovo log di hjt secondo le regole del forum
2) fai velocemente la stessa ricerca di ieri (con regsrch) e vedi se trova qualcosa. Se si, vuol dire che ci sono ancora cose da cancellare.. :( |
Modificato da - Sibilla in data 12/01/2008 23:23:16 |
|
|
|
Discussione |
|
Trojan-Downloader.Win32.Nurech.bd
Forum Bloccato
