| Autore |
 Discussione  |
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 14/01/2008 : 18:24:32
|
|
dustbuster.. |
Modificato da - Sibilla in data 14/01/2008 18:25:12 |
 |
|
|
blima
New Member
49 Messaggi |
 Inserito il - 14/01/2008 : 22:21:09
|
i file .pf di secpol e song non si sono più ricaricati.
la ricerca di song ora non mi da nulla, quella di secpol:
file nella cartella
secpol.exe C:\WINDOWS\system32
secpol.msc C:\WINDOWS\system32
secpol.exe avenger
che non ho ancora rimosso, datemi voi conferma che nel sistema non ci debbano essere files simili (e che ci azzecca avenger) :P
per Sibilla: si, avevo pulito tutto 2 volte con ccleaner
info aggiuntiva: il messaggio di errore relativo al crash di song911 da ieri non c'è più stato. ma spybot mi ha segnalato 2 tentativi di modifica al registro, che ho bloccato. non ho salvato i dettagli per la fretta mattutina :(
ricordo solo che uno voleva modificare una stringa "c:\windows\system32\userinit.exe," aggiungendo qualcosa.
l'altro si riferiva a un "fsmgmt".
non ho altro, purtroppo
vi allego pure un hjt aggiornato? non si sa mai :P
hijackthis167.log
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 14/01/2008 : 22:54:33
|
| cerchi un attimo anche fsmgmt? |
|
|
|
blima
New Member
49 Messaggi |
Inserito il - 14/01/2008 : 23:04:23
|
file nella cartella
fsmgmt.dll C:\WINDOWS\system32
fsmgmt.msc C:\WINDOWS\system32
fsmgmt.dll avenger
fsmgmt.dll.tmp avenger |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 14/01/2008 : 23:11:50
|
con avenger:
files to delete:
C:\WINDOWS\system32\secpol.exe
C:\WINDOWS\system32\fsmgmt.dll.tmp
C:\WINDOWS\system32\fsmgmt.dll
C:\WINDOWS\system32\secpol.msc
C:\WINDOWS\system32\fsmgmt.msc
registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Cn911\Notify\fsmgmt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fsmgmt
esegui ccleaner, svuota completamente c:\Documents and settings\<user>\Impostazioni locali\Temp e c:\windows\prefetch\
E ricontrolla nel pc i files.
edit: si è riformato uguale a ieri |
Modificato da - Sibilla in data 14/01/2008 23:13:22 |
|
|
|
blima
New Member
49 Messaggi |
Inserito il - 15/01/2008 : 00:31:58
|
è risorto? che fortuna
sulla scia della buona sorte, il pc si è incartato mentre avenger tentava di riavviarlo. l’ho eseguito altre 2 volte (perché anche la seconda non mi rassicurava) per sicurezza. spero non sia stata una ca**ata.
fatto anche il resto.
i file .pf non si ricaricano (definitivamente?) più.
la ricerca dei file mi dava:
file cartella
secpol.exe avenger
secpol.exe avenger
secpol.msc avenger
fsmgmt.dll avenger
fsmgmt.dll.temp avenger
fsmgmt.dll avenger
fsmgmt.msc avenger
ho cercato a mano nel registro, ho trovato ancora un’aggiunta di un "secpol" in una stringa "c:\windows\system32\userinit.exe," . l’ho levata, riavviato, eseguito ccleaner 3-4 volte (i classici dicevano abundare etc etc), ripassato il registro, che ora pare libero.
La ricerca dei file continua a mostrarmi lo stesso risultato (vista la denominazione della “cartella”, spero sia una buona notizia. attendo ennesima smentita :P )
|
Modificato da - blima in data 15/01/2008 00:32:33 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 15/01/2008 : 00:46:33
|
Ok.  vedremo..
...fai una scansione (pc e pen drive inserita) con Kaspersky_virusscanner. Dopo che ha scaricato i file e che hai selezionato "my computer" puoi anche scollegarti da internet, se vuoi. Posta i risultati.
Non so se può essere utile, ma scarica DelDomains e salvalo sul desktop. => clic con tasto destro del mouse e scegli "Installa". |
|
|
|
blima
New Member
49 Messaggi |
Inserito il - 15/01/2008 : 06:58:45
|
ok. log di kaspersky:
kasplog.txt |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 15/01/2008 : 13:29:01
|
Ciao blima,
G:\UFO.exe suppongo sia la pen drive..
Eliminano e rifai la procedura. Elimina anche i files di backup di avenger, alla fine. |
|
|
|
blima
New Member
49 Messaggi |
Inserito il - 15/01/2008 : 16:27:59
|
Citazione:
Messaggio inserito da Sibilla
Ciao blima,
G:\UFO.exe suppongo sia la pen drive..
Eliminano e rifai la procedura. Elimina anche i files di backup di avenger, alla fine.
si, è la penna. questo ufo.exe mi pare sia sempre stato sulla pen drive. credevo fungesse da "driver" per la prima volta che lo si collega a un pc. ad ogni modo, stronco (tanto la penna va lo stesso) e rieseguo. stasera ti posto l'esito.
bye :)
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 15/01/2008 : 16:46:03
|
Buona sera a tutti, scusa l'intrusione sibillona, ti posto solo questo
F:\UFO.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
già presente sul web in altri topic. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 15/01/2008 : 17:16:02
|
stavo temendo il peggio... ufo.exe è tra i file: SECPOL.EXE.
Dimmi come va d'ora in poi (speriamo sia il solo file infetto).
Detto questo, dobbiamo rimettere a posto secpol.msc. Quale versione di windows hai? |
Modificato da - Sibilla in data 15/01/2008 17:51:57 |
|
|
|
blima
New Member
49 Messaggi |
Inserito il - 15/01/2008 : 23:35:41
|
Citazione:
Dimmi come va d'ora in poi (speriamo sia il solo file infetto).
Detto questo, dobbiamo rimettere a posto secpol.msc. Quale versione di windows hai?
Ho Windows XP Professional SP2 (Build 2600, mi pare)
ho eliminato UFO e backup di avenger.
ora secpol e fsmgmt non li trovo più né nel registro né nelle cartelle.
nuovo log di karspersky, penna e dischi:
klog.txt
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 15/01/2008 : 23:45:40
|
pulito, l'avrai visto anche tu.
Fammi sapere domani come va. |
|
|
|
blima
New Member
49 Messaggi |
Inserito il - 16/01/2008 : 00:22:12
|
Citazione:
Messaggio inserito da Sibilla
pulito, l'avrai visto anche tu.
Fammi sapere domani come va.
già, grazie mille!
aspetto un po' e torno a postare. ma credo che sarà solo per ringraziare ancora una volta 
|
|
|
|
Discussione |
|
song911
Forum Bloccato
