| Autore |
 Discussione  |
|
labstrabilia
Junior Member
54 Messaggi |
 Inserito il - 12/01/2008 : 17:51:33
|
ok ecco qui una discussione tutta mia. questo è il mio report
htt*://[www].sendmefile[.com]/00606599
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/01/2008 : 18:19:56
|
per ora è uguale all'altro:
segui attentamente queste indicazioni.
Meglio se stampi il post.
Scarica Registry Search Tool e cerca separatamente:
secpol
song
fsmgmt
e posta i risultati.
scarica Avenger e CCleaner.
Disattiva il ripristino configurazione di sistema (start - pannello di controllo - sistema - ripristino configurazione di sistema - spunta "disattiva ripristino configuraz. di sistema")
Visualizza file nascosti: da una cartella clicca su strumenti - opzioni cartella - visualizza - visualizza file nascosti
Apri il task manager e termina il processo C:\WINDOWS\system32\secpol.exe
Apri il registro (start => Esegui => digita: regedit e dai l'ok)
Esportane una copia: "file" - "esporta" - salva in c:\
Poi segui questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Seleziona la cartella Winlogon e, nella finestra di destra, fai doppio click su userinit.
Nella finestra che si aprirà troverai scritto:
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe,"
devi cancellare tutto quello che viene dopo la prima virgola e lasciare scritto solo: c:\windows\system32\userinit.exe, (virgola compresa)
Esegui avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento. All'interno del box bianco, copia/incolla questo script in rosso:
files to delete:
C:\WINDOWS\system32\secpol.exe
C:\WINDOWS\system32\fsmgmt.dll.tmp
C:\WINDOWS\system32\fsmgmt.dll
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
registry keys to delete:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\fsmgmt
Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato secondo le regole del forum.
Esegui CCleaner e ripulisci sia i file temporanei e cookie (2 volte) che il registro.
Posta anche un log di hijackthis |
Modificato da - Sibilla in data 12/01/2008 18:20:16 |
 |
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/01/2008 : 19:01:15
|
Posto io il link a freefilehosting
labstrabilia.txt
quando hai finito la procedura dimmi: hai per caso usato la funzione "cerca" di windows per trovare (nel pc o nel registro) song911.exe? |
Modificato da - Sibilla in data 12/01/2008 19:25:23 |
|
|
|
labstrabilia
Junior Member
54 Messaggi |
Inserito il - 12/01/2008 : 19:20:59
|
si beh. prima di pensare ad un virus volevo disabilitarlo dall' msconfig ergo ho effettuato una ricerca per capire, dalla directory, di ke software si trattasse
|
|
|
|
labstrabilia
Junior Member
54 Messaggi |
Inserito il - 12/01/2008 : 19:24:42
|
| wow adesso non mi vede + autorun.inf come trojan |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/01/2008 : 19:31:05
|
allora  se per eliminare un post si clicca sulla X rossa.. per modificarlo si clicca sulla 3^ icona.
Ok, Apri il registro e raggiungo questa chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Cn911
Clicca con il tasto destro del mouse su Cn911, seleziona "esporta" e salva sul desktop. inviami il file. Quando ti darò l'ok, le chiavi da eliminare saranno:
HKEY_LOCAL_MACHINE\SOFTWARE\modificata
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fsmgmt
EDIT: se usi una pen drive... per ora non inserirla nel pc
EDIT2: se fai la stessa cosa anche per questa cartella:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fsmgmt
è meglio, così vedo se sono richiamati altri file.
|
Modificato da - Sibilla in data 12/01/2008 20:49:00 |
|
|
|
labstrabilia
Junior Member
54 Messaggi |
Inserito il - 12/01/2008 : 19:35:56
|
| permettimi una domanda, su un 2003 server posso fare le stesse operazioni? |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/01/2008 : 19:40:33
|
una cosa alla volta [per non dirti: "e cosa sarebbe un 2003 server?".. :) ]
Ora devo staccare. Lasciami le info richieste, se ce la fai.
Ciao :)
|
Modificato da - Sibilla in data 12/01/2008 19:53:49 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/01/2008 : 19:52:27
|
i file li ho io :) tutto ok.
Più tardi posto le info.
Grazie.. |
Modificato da - Sibilla in data 12/01/2008 19:56:24 |
|
|
|
labstrabilia
Junior Member
54 Messaggi |
Inserito il - 12/01/2008 : 20:14:16
|
ok ecco i link in *.txt:
htt*://[www].freefilehosting.net/download/3aaaf
htt*://[www].freefilehosting.net/download/3aaaj |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/01/2008 : 20:15:24
|
Citazione:
Messaggio inserito da labstrabilia
ok ecco i link in *.txt:
è stato un mio errore  chiedo scusa..
la prima è troppo.. ampia.. Anche se il cn911 mi fa pensare al file song911 alla fine non me la sento di eliminarla tutta.. Modificherai l'userinit come hai fatto prima. Tra un po' ti riposto tutto
Tra l'altro vedo l'installazione di un software...
Ok, devi eliminare:
HKEY_LOCAL_MACHINE\SOFTWARE\Cn911\Notify\fsmgmt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fsmgmt
in
HKEY_LOCAL_MACHINE\SOFTWARE\Cn911, nella finestra a destra, modificare l'userinit come hai fatto prima (sempre lasciando anche la virgola)
C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\secpol.exe
e subito dopo rilancia questo script con avenger:
files to delete:
C:\WINDOWS\system32\secpol.exe
C:\WINDOWS\system32\fsmgmt.dll.tmp
C:\WINDOWS\system32\fsmgmt.dll
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Il 2003 server cos'è? Cmq si, puoi fare la stessa procedura su tutti i pc (stai sempre attento a lasciare la virgola dell'userinit..) |
Modificato da - Sibilla in data 12/01/2008 20:41:38 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 13/01/2008 : 09:31:49
|
Per Sibilla:
Successore di Windows 2000, Microsoft Windows Server 2003 o anche Windows NT 5.2 è una tappa della evoluzione della serie server dei sistemi operativi di Microsoft.
Sistema operativo molto simile a XP per cui si opera alla stessa maniera per la rimozione maleware. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 13/01/2008 : 11:28:28
|
Microsoft Windows Server 2003 - Windows NT 5.2
Ah ecco.. Grazie Michal |
|
|
|
blima
New Member
49 Messaggi |
Inserito il - 13/01/2008 : 22:58:18
|
salve, cercando in rete problemi per il song911 ho scovato questo forum dei miracoli
potreste mica aiutare anche me, per favore?
ho l'aggravante di aver usato pure la chiavetta usb prima di scoprire che non era una buona idea, dunque doppia grana.
ho fatto la scansione con hjt:
hijackthis155.log
aspetto in religioso silenzio una voce  |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 13/01/2008 : 23:11:16
|
forum dei miracoli hihii
Benvenuta Blima,
dopo aver scaricato i programmi che utilizzerai, copia questo post in un file word e disconnetti il pc da internet. Per la chiavetta USB, non inserirla fin quando non te lo dirò io. Leggi le indicazioni attentamente.
scarica Avenger e CCleaner.
Disattiva il ripristino configurazione di sistema (start - pannello di controllo - sistema - ripristino configurazione di sistema - spunta "disattiva ripristino configuraz. di sistema")
Visualizza file nascosti: da una cartella clicca su strumenti - opzioni cartella - visualizza - visualizza file nascosti
Esegui avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento. All'interno del box bianco, copia/incolla questo script in rosso:
files to delete:
C:\WINDOWS\system32\secpol.exe
C:\WINDOWS\system32\fsmgmt.dll.tmp
C:\WINDOWS\system32\fsmgmt.dll
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
registry keys to delete:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\fsmgmt
Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato secondo le regole del forum.
Apri il task manager e termina il processo C:\WINDOWS\system32\secpol.exe (probabilmente non lo troverai)
Apri il registro (start => Esegui => digita: regedit e dai l'ok)
Esportane una copia: "file" - "esporta" - salva in c:\
Poi segui questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Seleziona la cartella Winlogon e, nella finestra di destra, fai doppio click su userinit.
Nella finestra che si aprirà troverai scritto:
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe,"
devi cancellare tutto quello che viene dopo la prima virgola e lasciare scritto solo: c:\windows\system32\userinit.exe, (virgola compresa)
Poi segui questi percorsi ed elimina quello in rosso:
HKEY_LOCAL_MACHINE\SOFTWARE\Cn911\Notify\fsmgmt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fsmgmt
Poi vai in
HKEY_LOCAL_MACHINE\SOFTWARE\Cn911, nella finestra a destra, modificare l'userinit come hai fatto prima (sempre lasciando anche la virgola)
C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\secpol.exe
Subito dopo rilancia questo script con avenger:
files to delete:
C:\WINDOWS\system32\secpol.exe
C:\WINDOWS\system32\fsmgmt.dll.tmp
C:\WINDOWS\system32\fsmgmt.dll
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Esegui CCleaner e ripulisci sia i file temporanei e cookie (2 volte) che il registro.
Vai in c:\windows\prefetch\song911.exe-26c6eb2b.pf <= se c'è eliminalo.
Posta un nuovo log di hijackthis |
Modificato da - Sibilla in data 13/01/2008 23:16:52 |
|
|
|
blima
New Member
49 Messaggi |
Inserito il - 14/01/2008 : 00:01:53
|
wow!
vediamo un po'
log di avenger:
avenger110.txt
e il secondo di hjt:
hijackthis210.log
quando mi dici
Citazione:
Vai in c:\windows\prefetch\song911.exe-26c6eb2b.pf <= se c'#65533; eliminalo.
non lo trovo. con nomi simili trovo questi due. sono roba sana?
SECPOL.EXE-021898F8.pf
SONG911.EXE-06FCCD1B.pf
|
|
|
|
Discussione |
|
song911
Forum Bloccato
