| Autore |
 Discussione  |
|
donatello
Senior Member
.jpg)
Città: Napoli
158 Messaggi |
 Inserito il - 23/01/2008 : 20:31:23
|
Ciao a tutti,
ho da pochi giorni acquistato un pc che prima che riuscissi ad installare antivirus etc... ha già beccato un virus
Avast home edition aggiornato mi ha rilevato
Win32:Small-gen2 [Trj]
log di warning: htt*://depositfiles[.com]/files/3204831
ma nn sono riuscito ne ad eliminarlo, ne spostarlo o rinominarlo
stessa cosa con VIRIT:
log scansione: htt*://depositfiles[.com]/files/3204860
ho usato anche CCLEANER e SUPERANTYSPY
penso bisogna ricorrere solo ad avenger.. ma nn ricordo come si usa
Voi cosa mi consigliate????
Intanto vi posto anche un log di HIJACK.. giacchè ci troviamo
htt*://depositfiles[.com]/files/3204910
P.S. ho provato anche ad operare in mod.provvisorio
ATTENDO I VOSTRI SAGGI CONSIGLI
UN SALUTO AFFETTUOSO A TUTTI (Aris, Michal, Franco in particolare)
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 24/01/2008 : 07:56:51
|
disattiva il ripristino configurazione sistema:
start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok
apri hijack e spunta:
O2 - BHO: (no name) - {713CF9BE-DD92-4331-9D91-036D988F1F7B} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Base road long save] C:\Documents and Settings\All Users\Dati applicazioni\File dvd base road\Tool Intra.exe
O4 - HKCU\..\Run: [thisarmy] C:\DOCUME~1\sonoio\DATIAP~1\LICENS~1\online vc chin.exe
O4 - Global Startup: Update_0711_KB281434.exe
O9 - Extra button: Alice - {1CDF89C4-8BB8-4DF7-BCD1-E30CFD899062} - htt*://gw.aliceadsl.it/alice (file missing) (HKCU)
clicca alla fine su fix checked
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli il SEGUENTE testo così come l'ho scritto:
files to delete:
C:\Documents and Settings\All Users\Dati applicazioni\File dvd base road\Tool Intra.exe
C:\DOCUME~1\sonoio\DATIAP~1\LICENS~1\online vc chin.exe
C:\Update_0711_KB281434.exe
C:\WINDOWS\Update_0711_KB281434.exe
C:\WINDOWS\system32\Update_0711_KB281434.exe
folders to delete:
C:\Documents and Settings\All Users\Dati applicazioni\File dvd base road
C:\DOCUME~1\sonoio\DATIAP~1\LICENS~1
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
scaricati Ccleaner (htt*://[www].ccleaner[.com]/download/)
Lanciare il programma, eseguire l’operazione “avvia pulizia"
Eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato |
 |
|
|
donatello
Senior Member
Città: Napoli
158 Messaggi |
Inserito il - 25/01/2008 : 22:21:00
|
Lele ho seguito meticolosamente la procedura, anch'io avevo individuato anche manualmente il file infetto in precedenza (update.exe)... ma niente!!!
nemmeno avenger è riuscito... ecco il log
htt*://depositfiles[.com]/files/3236820
e anche hijack nn riesce a fixarlo neanche in provvisorio.. risulta sempre in esecuzione.. anche nel task manager nn risulta (è nascosto)
ho provato anche a fare un riavvio selettivo visto che è inserito nella lista dei programmi in escuzione automatica ma nulla
posto un nuovo log di hijack
htt*://depositfiles[.com]/files/3236898
mai che andasse una cosa liscia!!!!
inoltre penso anche di sapere la provenienza, dovrebbe provenire da un certo sito italian.eazel.it (cosa del genere) mentre scaricavo se nn erro emule.exe
Che famo now?????
Grazie!! |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
 Inserito il - 26/01/2008 : 10:38:19
|
prova da dos:
terminando explorer dal task manager poi fallo ripartire sempre dal task
apri il prompt dei comandi digita cd\ poi così:
C:\> del Update_0711_KB281434.exe
sistema antiquato ma funziona quasi sempre.
sequenza:
apri task
apri prompt
termina explorer
dai i comandi dos
riavvia explorer |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 26/01/2008 : 11:23:25
|
...oppure con avenger, non si sa mai..
files to replace with dummy:
C:\Update_0711_KB281434.exe
C:\WINDOWS\Update_0711_KB281434.exe
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Update_0711_KB281434.exe
files to delete:
C:\Update_0711_KB281434.exe
C:\WINDOWS\Update_0711_KB281434.exe
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Update_0711_KB281434.exe
|
Modificato da - Sibilla in data 26/01/2008 11:27:06 |
|
|
|
donatello
Senior Member
Città: Napoli
158 Messaggi |
Inserito il - 27/01/2008 : 21:59:21
|
Niente raga
Michal con il prompt è andata male... file non trovato è la risposta
Sibilla anche con avenger nulla da fare ecco il lòg
htt*://depositfiles[.com]/files/3265859
vi allego il registro di avast per eventuali locazioni files infetti
htt*://depositfiles[.com]/files/3265873
Attendo la prossima mossa!!! |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 27/01/2008 : 22:07:52
|
intanto vedi se lo te lo fa rinominare..
poi potresti provare a postarlo in una nuova cartella.
...ma KB281434 non sono gli aggiornamenti?
controllo.. |
|
|
|
donatello
Senior Member
Città: Napoli
158 Messaggi |
Inserito il - 27/01/2008 : 22:12:50
|
no non me lo fa rinominare:
protetto da scrittura ma nella task nn risulta in esecuzione |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 27/01/2008 : 22:26:07
|
scarica questo systemscan (facciamo prima) scan1.zip, deseleziona tutte le voci (unselect all), e seleziona solo "hidden object" e "suspicious files"
allegalo...
ora ci sono:
"c:\documents and settings\all users\menu avvio\programmi\esecuzione automatica\update_0711_kb281434.exe\[UPX]" file.
"c:\documents and settings\all users\menu avvio\programmi\esecuzione automatica\update_0711_kb291413.exe\[UPX]" file. |
Modificato da - Sibilla in data 27/01/2008 22:46:15 |
|
|
|
donatello
Senior Member
Città: Napoli
158 Messaggi |
Inserito il - 05/02/2008 : 21:26:30
|
Niente il pc da i numeri penso che il virus sia attivo e sta lavorando a pieno regime.. scaricando anche altri virus.. il problema è che il pc è della mia ragazza e nn riesco al lavorarci di continuo.. ogni volta che torno sono punto e capo.. ora direi che sono peggio dell'ultima volta
ecco il log di systemscan:
htt*://depositfiles[.com]/files/3401861
log registro di avast
htt*://depositfiles[.com]/files/3401957
Ragazzi a questo punto datemi le prossime dritte se credete che siamo vicini alla soluzione altrimenti... ricorro a FORMAT |
|
|
|
donatello
Senior Member
Città: Napoli
158 Messaggi |
Inserito il - 05/02/2008 : 21:33:57
|
adesso mentre navigo mi si aprono finestre, nonostante il blocco pop-up, firefox, e ccleaner.
Tenta di scaricare Istantaccess.exe.. segnalando un altro trj dialergroup (una cosa del genere) ma nel registro avast nn lo segna!! |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 05/02/2008 : 21:40:12
|
facciamo così... guarderò il rapporto appena posso (ma prima di staccare quasi sicuramente). Non fare scansioni ed è meglio se ti scolleghi per ora.
___________________________________________
edit
Analizza C:\WINDOWS\system32\drivers\rohmtttp.dat e C:\WINDOWS\system32\winmds.ex_ su Virustotal e posta i risultati
Elenca i files exe contenuti in questa cartella: C:\Programmi\LICENSE MEAL JOY (la conosci o ti è nuova?)
6 giorni fa è stato modificato il file hosts dal CID.
Scarica e scompatta questo file hosts => clic con il tasto destro del mouse - "copia" - e "incolla" il file nella cartella C:\Windows\system32\drivers\etc
(NB: li' troverai già un altro file hosts, quindi accetta la sostituzione).
Esegui avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento. All'interno della finestra "Wiew/edit script", nel box bianco, copia/incolla:
Citazione:
files to delete:
C:\Documents and Settings\sonoio\Impostazioni locali\Temp\hxvjikhy.dat
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At9.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At32.job
C:\WINDOWS\tasks\At30.job
C:\WINDOWS\tasks\At31.job
C:\WINDOWS\tasks\At33.job
C:\WINDOWS\tasks\At36.job
C:\WINDOWS\tasks\At48.job
C:\WINDOWS\tasks\At34.job
C:\WINDOWS\tasks\At35.job
C:\WINDOWS\tasks\At26.job
C:\WINDOWS\tasks\At25.job
C:\WINDOWS\tasks\At27.job
C:\WINDOWS\tasks\At29.job
C:\WINDOWS\tasks\At28.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At47.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At45.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At39.job
C:\WINDOWS\tasks\At40.job
C:\WINDOWS\tasks\At37.job
C:\WINDOWS\tasks\At38.job
C:\WINDOWS\tasks\At41.job
C:\WINDOWS\tasks\At43.job
C:\WINDOWS\tasks\At42.job
C:\WINDOWS\tasks\At44.job
C:\WINDOWS\tasks\At46.job
C:\WINDOWS\tasks\AEF3C9E391EC4167.job
C:\WINDOWS\tasks\At22.job
C:\WINDOWS\system32\BYG8WuEO.exe
C:\WINDOWS\system32\winmds.exe
C:\WINDOWS\system32\XEFOQF
Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato e le altre info |
Modificato da - Sibilla in data 06/02/2008 02:30:31 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/02/2008 : 02:32:36
|
ps: non hai inserito il log di hjt nella scansione...
devi postare anche quello.
uhmm per caricare i files usi Sendmefile oppure Freefilehosting? (regole del forum)
|
Modificato da - Sibilla in data 06/02/2008 02:34:42 |
|
|
|
donatello
Senior Member
Città: Napoli
158 Messaggi |
Inserito il - 15/02/2008 : 00:21:57
|
Risultati analisi su virustotal:
1 file = 0 bytes
2 file = htt*://[www].freefilehosting.net/download/3c3e5 PULITO
Nella cartella C:\Programmi\LICENSE MEAL JOY non è presente alcun file
Sostituito il file hosts con file zippato
Allego log di avenger
htt*://[www].freefilehosting.net/download/3c3e7
Allego log di hijack
htt*://[www].freefilehosting.net/download/3c3e8
Che DIO ce la mandi buona
GRAZIE ANCORA
|
Modificato da - donatello in data 15/02/2008 00:31:42 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 15/02/2008 : 01:56:17
|
purtroppo no, non si smuove:
O4 - Global Startup: Update_0711_KB281434.exe
Ho dato uno sguardo ai services, ne hai 4 almeno che partono sotto file temp.
Apri il registro (start => esegui => digita regedit e dai l'ok), clicca su "Risorse del computer", poi su "file" => esporta => salva la copia del registro in c:\
Poi segui questo percorso:
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\services\YLGVJQZCP (di IMPOST~1\Temp\YLGVJQZCP.exe)
clicca su YLGVJQZCP con il tasto destro del mouse, seleziona "esporta" e salvala in c:\ come file di testo.
Fai la stessa cosa con queste:
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\services\zycwdeux (di drivers\rohmtttp.dat..)
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\services\VDCKF (di IMPOST~1\Temp\VDCKF.exe)
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\services\RWATV (di IMPOST~1\Temp\RWATV.exe)
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\services\RSWKBKA (di IMPOST~1\Temp\RSWKBKA.exe)
Carica i files su freefilehosting e mandami i link con un pm.
Mi raccomando, non inserire i link sul forum.
Se è legato a queste, non si sarebbe tolto mai.
ps: rohmtttp.dat sarà anche vuoto... ma c'è un servizio che poggia su di lui 
EDIT:
1) non avevo controllato hjt..
O23 - Service: RSWKBKA - Unknown owner - C:\DOCUME~1\sonoio\IMPOST~1\Temp\RSWKBKA.exe (file missing)
O23 - Service: RWATV - Unknown owner - C:\DOCUME~1\sonoio\IMPOST~1\Temp\RWATV.exe (file missing)
O23 - Service: VDCKF - Unknown owner - C:\DOCUME~1\sonoio\IMPOST~1\Temp\VDCKF.exe (file missing)
O23 - Service: YLGVJQZCP - Unknown owner - C:\DOCUME~1\sonoio\IMPOST~1\Temp\YLGVJQZCP.exe (file missing)
Cioe' 4 dei 5 servizi che ti avevo segnalato.
2) in systemscan (ma non nell'ultimo hjt):
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"tcbytm"="c:\documents and settings\sonoio\impostazioni locali\dati applicazioni\tcbytm.exe tcbytm"
lo analizzi su Virustotal? |
Modificato da - Sibilla in data 15/02/2008 13:44:26 |
|
|
|
donatello
Senior Member
Città: Napoli
158 Messaggi |
Inserito il - 20/02/2008 : 21:20:39
|
Ciao Sibilla,
fatta la procedura sui file di registro e postato i link con un pm
ti allego il log di hjt dopo aver fixato i files da te elencati:
htt*://[www].freefilehosting.net/download/3cag4
ma per quanto riguarda i files su virustotal come risultato mi da sempre 0 bytes da analizzare
può darsi sia io che non riesco a caricarli io copio direttamente i percorsi e li incollo nella barra di virustotal (sbaglio??), ma anche manualmente ad es. il file tcbytm.exe nel percorso da te inserito non esiste
Siamo sulla strada giusta??
Lo spero
Ti devo come sempre ringraziare dell'aiuto.. alla prossima
|
|
|
|
Discussione |
|
Win32:Small-gen2 [Trj]
Forum Bloccato
