| Autore |
 Discussione  |
|
budu86
New Member
45 Messaggi |
 Inserito il - 13/01/2008 : 13:30:54
|
salve,da 2 giorni sono costretto ad avere un sistema rallentatissino a causa di un virus probabilmente preso eseguendo per errore un file scaricato dal mulo...
qualcuno per favore sa darmi spiegazioni su quale virus e' e come si fa a sradicarlo dal mio sistema?GRAZIE
il mio log hijackthis:
I log vanno postati secondo le regole del forum, ricordalo la prossima volta. Lo trovi qui:
htt*://[www].freefilehosting.net/download/3ab3m
|
Modificato da - michal in Data 13/01/2008 13:51:30
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 13/01/2008 : 14:28:22
|
disabilita il ripristino di configurazione di sistema
start/pannello di controllo/sistema/ripristino config spuntare la casella disattiva/ applica/ok
Scarica Avenger, CCleaner, Registry Search Tool
htt*://swandog46.geekstogo[.com]/avenger.zip
htt*://[www].filehippo[.com]/download_ccleaner/
htt*://[www].billsway[.com]/vbspage/
Lancia Hijackthis, clicca sul tasto "Do a system scan only", spunta le seguenti voci e clicca su "fix Checked"
F3 - REG:win.ini: load=C:\WINDOWS\system32\jkhfd.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O16 - DPF: ôß� -
Esegui avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento. All'interno della finestra copia/incolla questo script :
files to delete:
C:\WINDOWS\system32\jkhfd.exe
Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.
Esegui CCleaner e ripulisci sia i file temporanei e cookie (2 volte) che il registro.
Esegui Registry Search Tool (regsrch) e cerca questo file (fai copia/incolla e non lasciare spazi), salvando il file .txt con i risultati.
jkhfd.exe
posta il log di avenger, registy e nuovo di HJT. |
 |
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 13/01/2008 : 15:08:31
|
[OT] 
edit: stesso utente htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=10687 ..per non creare confusione :)
|
Modificato da - Sibilla in data 13/01/2008 23:17:44 |
|
|
|
budu86
New Member
45 Messaggi |
Inserito il - 13/01/2008 : 20:43:22
|
ho fatto tutto quello che era scritto sulla guida:
log di REGSRCH
log di AVENGER
log di HIJACKTHIS
mi sa che il virus e' ancora al suo posto...dal momento che la finestrella della guard di avira continua a mandare messaggi con varie detections...
|
Modificato da - Yves in data 13/01/2008 23:12:19 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 13/01/2008 : 21:21:19
|
al momento hai due post aperti qui (perchè?) e 1 altrove ma senza seguito.. ma è solo per quest'ultimo motivo che provo ad aiutarti. 
Premettendo che i log vanno postati secondo le regole del forum, prima di farti mettere le mani nel registro scarica SmitfraudFix. Esegulo (in modalità normale), seleziona l'opzione 1 (Search) e premi invio. Ti verra' visualizzato un file di testo con l'elenco dei file infetti (se presenti): dovresti trovare questo report anche in C:\rapport.txt (NB: process.exe da alcuni antivirus viene rilevato come virus, ovviamente non lo e')
Posta il log di SmitfraudFix SEMPRE secondo le regole del forum. |
|
|
|
budu86
New Member
45 Messaggi |
Inserito il - 13/01/2008 : 21:30:43
|
scusa per i post ma sto sinceramente impazzendo con questi virus...ho preso un bagle settimana scorsa senza riuscire a toglierlo e ho dovuto formattare e ora di nuovo da capo...non so se erano questi i post ai quali ti stavi riferendo...
ecco il log del programma che mi hai consigliato:
rapport3.txt |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 13/01/2008 : 22:18:46
|
uhmm scusa se insisto.. quindi questo utente non sei tu? Te lo chiedo perchè quello è il tuo stesso log con "C:\Documents and Settings\BUDU\Desktop\HijackThis.exe". E stato postato sempre oggi. E' un po' curiosa come cosa :)
Si, ho visto che hai dovuto formattare per il bagle 
Dal log di avenger (strano log) il file jkhfd.exe risulta cancellato. Eccetto non si sia riformato non dovresti più averlo.
Per sicurezza, apri il task manager e controlla non sia attivo. Se lo è, termina il processo.
Apri registro (star - esegui - digita regedit e dai l'ok).
Clicca su "file", "esporta" e salva una copia del registro in c:\
Segui questi tre percorsi ed elimina la parte in rosso. Per eliminarla devi cliccarci sopra premendo il tastino destro del mouse e selezionare "elimina".
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows
elimina:
"load"="C:\WINDOWS\system32\jkhfd.exe"
HKEY_USERS\S-1-5-21-1292428093-362288127-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache
elimina:
"C:\\WINDOWS\\system32\jkhfd.exe"="jkhfd"
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows
elimina:
"load"="C:\WINDOWS\system32\jkhfd.exe"
Riavvia il pc, riesegui regsrch e cerca nuovamente jkhfd. Dimmi se trova qualcosa.
Poi, scarica ed esegui delle scansioni con Vundofix e FixVundo.
Posta i risultati secondo le regole del forum. |
Modificato da - Sibilla in data 13/01/2008 22:40:33 |
|
|
|
budu86
New Member
45 Messaggi |
Inserito il - 14/01/2008 : 02:17:30
|
no,non sono io...me lo ha gia' chiesto un'altro utente...io sono di imperia ma il log e' proprio quello del mio pc..[.com]'e' possibile che sia successo?la cosa incuriosisce anche me....
in ogni caso ho eseguito nuovamente regsrhc e stavolta invece di tre ho trovato 4 risultati:
regsrhc.txt
poi ho eseguito vundofix e mi ha trovato una dozzina di file infetti che ha cancellato lasciandone pero' due che non e' riuscito a cancellare....
con fixvundo(runnato dopo vundofix) questo e' il risultato...
FixVundo.log
insomma non ha trovato il virus...non credo sia dovuto alle rimozioni effettuate da vundofix in quanto comunque antivir continua ad impazzire ad ogni riavvio del pc(anche se virit e antivir pur essendo processi attivi in task manager non sono piu' presenti sulla barra delle applicazioni come icona...da quando ho preso il virus)
|
|
|
|
budu86
New Member
45 Messaggi |
Inserito il - 14/01/2008 : 02:25:22
|
se potesse servire posto il nuovo hijackthis...che riporta cose gia' viste ed eliminate...
hijackthis156.log
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 14/01/2008 : 09:55:59
|
Su quella discussione un mezzo sospetto lo avevo :) me lo hai confermato. Effettivamente non ha senso e so la tua discussione dall'altra parte.
Detto questo, tornando al pc, poteva trattarsi di un singolo file infetto o di vundo. Assodato che e' vundo devi eseguire systemscan, altrimenti i files da eliminare non li scopriro' mai (da hjt esce sempre lo stesso).
Scarica SistemScan.
Disconnetti il pc da internet => disattiva l'antivirus => esegui sistemscan => spunta tutte le opzioni => clicca su "Scan Now".
Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi in C:\Suspectfile su Freefilehosting e posta il link ottenuto.
Se hai problemi con il SeDebug, scarica SeDebug-Restore.
esegui l'applicazione. Riavvia e riprova con SystemScan. |
|
|
|
budu86
New Member
45 Messaggi |
Inserito il - 14/01/2008 : 15:42:20
|
bene , ho eseguito la scansione con systemscan e questo e' il log:
report29.txt
per quanto riguarda gli antivirus non ho piu' un vero e proprio controllo su di loro..in quanto li posso vedere solo come processi dalla task manager..(la avguard tra l'altro non sono nemmeno riuscito a killarla) ho solo killato viritservice.exe che pero' credo non riusciro' a riattivare fino al prossimo avvio in quanto riesco solo a gestire lo scanner di virit...la guard non so piu' come attivarla...o se sia attiva o meno...non vedendola nella barra delle applicazioni... |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 14/01/2008 : 16:02:52
|
Asp una cosa alla volta.. Ti posto la procedura x stasera...
EDIT: In c:\ hai il rapporto di vundoFix.txt
Postalo secondo le regole. |
Modificato da - Sibilla in data 14/01/2008 16:08:03 |
|
|
|
budu86
New Member
45 Messaggi |
Inserito il - 14/01/2008 : 16:33:52
|
giusto hai ragione,scusa...allora il log di vundofix e'il seguente:
VundoFix1.txt
grazie! |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 14/01/2008 : 19:45:56
|
x budu: ho dimenticato di dirti... non lanciare nessuna scansione.
Cerca nel registro con regsrch:
3F1CE1D3-7143-4BB1-80A3-0190A52CDF48
04B7306F-C757-49E0-862C-C92D5D350FE0
hggfddd
ljjhiif
X michal: scusa... c'e' un virus che mette uno spazio prima del punto dell'estensione..? non ricordo il nome..
C:\witoolgq.bat
C:\witoolgq .bat
C:\awulwmmg.bat
C:\awulwmmg .bat |
Modificato da - Sibilla in data 14/01/2008 19:58:40 |
|
|
|
budu86
New Member
45 Messaggi |
Inserito il - 14/01/2008 : 22:10:45
|
ecco il log dei file che mi hai detto di cercare...
3F1CE1D3-7143-4BB1-80A3-0190A52CDF48.txt
antivir impazzisce sempre di piu' con nuove detections...
non mi converra' formattare di nuovo? |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 14/01/2008 : 22:22:36
|
a parte quelli sopra, i file sono questi (tu non toccare nulla):
C:\WINDOWS\system32\hggfddd.dll
C:\WINDOWS\system32\jkhfd.dll
C:\WINDOWS\system32\iifdaba.dll
C:\WINDOWS\system32\ljjggfd.dll
C:\WINDOWS\system32\jkhfd.exe
C:\WINDOWS\system32\dfhkj.ini2
C:\WINDOWS\system32\dfhkj.ini
cerca dfhkj e awulwmmg nel registro.
analizza c:\awulwmmg .bat e c:\awulwmmg.bat su Virustotal e dimmi di cosa si tratta.
considera che per ogni volta che elimini un file, un altro se ne crea.. e con ulteriori dati nel registro. Lo hai verificato tu stesso tra virit, combofix ecc ecc..
Formattare? Ma non avevi già formattato per il bagle? E se non si risolve?
Ti posto la procedura.. |
Modificato da - Sibilla in data 14/01/2008 22:52:16 |
|
|
|
Discussione |
|
virus che rallenta(paralizza)il sistema
Forum Bloccato
