| Autore |
 Discussione  |
|
pinatta
Average Member
78 Messaggi |
 Inserito il - 25/01/2008 : 21:00:42
|
maledizione non ho fatto in tempo a liberarmi da un virus che me ne sono beccato un altro( o forse non era mai andato via!!)
Mi rimetto al vostro aiuto ringraziandovi anticipatamente.
htt*://depositfiles[.com]/files/3235840
p.s. scusatemi ma non ci capisco molto!!
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 26/01/2008 : 08:20:03
|
disattiva il ripristino configurazione sistema:
start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok
apri hijack e spunta:
F3 - REG:win.ini: load=C:\WINDOWS\system32\mllji.exe
O4 - HKLM\..\Run: [5ddb1e2c] rundll32.exe "C:\WINDOWS\system32\eiylposw.dll",b
O23 - Service: DomainService - - C:\WINDOWS\system32\gsmtoegi.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows
clicca alla fine su fix checked
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli il SEGUENTE testo così come l'ho scritto:
files to delete:
C:\WINDOWS\system32\mllji.exe
C:\WINDOWS\system32\eiylposw.dll
C:\WINDOWS\system32\gsmtoegi.exe
C:\WINDOWS\system32\windows.exe
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
scaricati Ccleaner (htt*://[www].ccleaner[.com]/download/)
Lanciare il programma, eseguire l’operazione “avvia pulizia"
Eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato
Infine vai su htt*://[www].virustotal[.com]/it/ e controlla che:
c:\programmi\google\googletoolbar1.dll
non sia infetto. |
 |
|
|
pinatta
Average Member
78 Messaggi |
Inserito il - 27/01/2008 : 23:07:11
|
ciao prima di tutto grazie lele per il tuo aiuto!!
ho fatto quello che mi hai detto ma alcuni problemi sono rimasti!
vi posto l'ultimo log di hijack:
htt*://depositfiles[.com]/files/3266704 |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 28/01/2008 : 07:53:25
|
Avvia nuovamente il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli il SEGUENTE testo così come l'ho scritto:
files to delete:
C:\WINDOWS\system32\uspsvmiw.dll
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
|
|
|
|
pinatta
Average Member
78 Messaggi |
Inserito il - 28/01/2008 : 20:58:34
|
ciao grazie ancora ma il problema persiste e non so se è il caso di formattare anche se non ne ho molta voglia!!
cmq ecco il mio ultimo resoconto:
htt*://depositfiles[.com]/files/3279745 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 28/01/2008 : 21:13:49
|
fixa:
O4 - HKLM\..\Run: [5ddb1e2c] rundll32.exe "C:\WINDOWS\system32\uvwdvifq.dll",b
O4 - HKLM\..\Run: [uaadssir] C:\irppoewx.bat
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows
script per avenger:
files to delete:
C:\irppoewx.bat
C:\WINDOWS\system32\uvwdvifq.dll",b
folders to delete:
C:\WINDOWS\system32\windows
posta il log di avenger e nuovo di HJT |
|
|
|
pinatta
Average Member
78 Messaggi |
Inserito il - 29/01/2008 : 01:55:43
|
allora grazie per l'aiuto!
questo è il resoconto di avenger:
htt*://depositfiles[.com]/files/3282967
questo è quello di hijack:
htt*://depositfiles[.com]/files/3282979
ciaoooo |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 29/01/2008 : 20:48:25
|
rifai avenger:
files to delete:
C:\WINDOWS\system32\windows
riposta il log |
|
|
|
pinatta
Average Member
78 Messaggi |
Inserito il - 29/01/2008 : 21:30:07
|
Fatto!!
allora ecco il nuovo resoconto di avenger:
htt*://depositfiles[.com]/files/3295175
ed ecco quello di hijack:
htt*://depositfiles[.com]/files/3295198
ciaoooo e grazie di tutto!! |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 30/01/2008 : 09:06:12
|
cacciato dalla porta entra dalla finestra è una variante di Vundo
fixa:
F3 - REG:win.ini: load=C:\WINDOWS\system32\mllji.exe
script per avenger
files to delete:
C:\WINDOWS\system32\mllji.exe
scansiona con:
vundo fix :htt*://[www].atribune.org/ccount/click.php?id=4
Combo fix: htt*://[www].techsupportforum[.com]/sectools/sUBs/ComboFix.exe
riposta log di avenger, Hjt e combo |
|
|
|
pinatta
Average Member
78 Messaggi |
Inserito il - 31/01/2008 : 15:50:49
|
Ciao allora ecco il resoconto di avenger:
htt*://depositfiles[.com]/files/3321321
quello di hjt:
htt*://depositfiles[.com]/files/3321336
Combo fix non me lo fa usare perchè quando lo apro mi dice che è una applicazione non valida di win32.
poi mi sono accorto di una cosa strana:
mi è finito lo spazio su c: e controllando ho notato che la carella di c: appunto è piena di file tmp tipo: pos1A , pos1A0 ,pos1A00.
ce ne sono tipo 20000 e non mi è mai successo e non so proprio da cosa possa dipendere!
ciao e grazie ancora!! |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 31/01/2008 : 18:08:07
|
Ciao..
1) il file si ricrea sempre
2) tutti quei temp puoi eliminarli
Scarica SistemScan
Disconnettiti da internet => disattiva l'antivirus => esegui sistemscan => spunta tutte le opzioni => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi in C:\Suspectfile su Freefilehosting <= e posta il link ottenuto.
Se hai problemi con il SeDebug, scarica SeDebug-Restore ed esegui l'applicazione. Riavvia e riprova con SystemScan |
|
|
|
pinatta
Average Member
78 Messaggi |
Inserito il - 31/01/2008 : 20:41:13
|
ciao ecco il risultato:
htt*://[www].freefilehosting.net/download/3b9hi
per i file temp non me li fa cancellare tutti perchè dice che sono utilizzati da un altro prog.
ciao e grazie ancora |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 31/01/2008 : 22:10:35
|
| se aspetti, ti passo un log per avenger, così liberi spazio |
|
|
|
pinatta
Average Member
78 Messaggi |
Inserito il - 31/01/2008 : 22:36:57
|
| ciao sono riuscito ad eiminare tutti i tmp quindi se il log per avenger era per quello non ti preoccupare!! |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 31/01/2008 : 22:48:42
|
Prima svuota:
C:\WINDOWS\temp
C:\DOCUME~1\ROBERT~1\IMPOST~1\Temp
Scarica Vundofix e FxVMonde e fai delle (scansioni dopo avenger)
Con avenger:
Citazione:
files to delete:
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\IME\PINTLGNT\imscinst.exe
C:\WINDOWS\system32\IME\TINTLGNT\tintsetp.exe
C:\WINDOWS\ime\imjp8_1\imjpmig.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\QuickTime\qttask.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\WINDOWS\b122.exe
C:\WINDOWS\fxtqdrl.exe
C:\WINDOWS\rs.txt
C:\WINDOWS\search_res.txt
C:\WINDOWS\dat.txt
C:\WINDOWS\mrofinu1188.exe.tmp
C:\WINDOWS\^iqupwsr.txt
C:\WINDOWS\system32\tuvvwxv.dll
C:\WINDOWS\system32\vkwhirfc.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\wsoplyie.ini
C:\WINDOWS\system32\wimvspsu.ini
C:\WINDOWS\system32\qfivdwvu.ini
C:\WINDOWS\system32\qrukiswt.ini
C:\WINDOWS\system32\kppjvjmg.ini
C:\WINDOWS\system32\qrukiswt.ini2
C:\WINDOWS\system32\mllji.dll
C:\WINDOWS\system32\mllji.exe
C:\WINDOWS\system32\ijllm.ini2
C:\WINDOWS\system32\ijllm.ini
C:\syvqpaup.txt
files to move:
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\bak\igfxtray.exe | C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\bak\hkcmd.exe | C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\bak\igfxpers.exe | C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe
C:\WINDOWS\system32\bak\PSDrvCheck.exe | C:\WINDOWS\system32\PSDrvCheck.exe
C:\WINDOWS\system32\IME\PINTLGNT\bak\ImScInst.exe | C:\WINDOWS\system32\IME\PINTLGNT\imscinst.exe
C:\WINDOWS\system32\IME\TINTLGNT\bak\TINTSETP.EXE | C:\WINDOWS\system32\IME\TINTLGNT\tintsetp.exe
C:\WINDOWS\ime\imjp8_1\bak\IMJPMIG.EXE | C:\WINDOWS\ime\imjp8_1\imjpmig.exe
C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe | C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Realtek\InstallShield\bak\AzMixerSel.exe | C:\Programmi\Realtek\InstallShield\AzMixerSel.exe
C:\Programmi\Synaptics\SynTP\bak\SynTPEnh.exe | C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe | C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\NewTech Infosystems\NTI CD & DVD-Maker 7\bak\ntiMUI.exe | C:\Programmi\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
C:\Programmi\NewTech Infosystems\NTI CD & DVD-Maker 7\bak\ntiMUI.log | C:\Programmi\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.log
C:\Programmi\Launch Manager\bak\QtZgAcer.EXE | C:\Programmi\Launch Manager\QtZgAcer.EXE
C:\Programmi\MSN Messenger\bak\MsnMsgr.Exe | C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Java\j2re1.4.2_06\bin\bak\jusched.exe | C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programmi\QuickTime\bak\qttask.exe | C:\Programmi\QuickTime\qttask.exe
C:\Programmi\AVPersonal\bak\AVGNT.EXE | C:\Programmi\AVPersonal\AVGNT.EXE
C:\Acer\Empowering Technology\eDataSecurity\bak\eDSloader.exe | C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\ePresentation\bak\ePresentation.exe | C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
C:\Acer\Empowering Technology\ePower\bak\ePower_DMC.exe | C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Acer\Empowering Technology\ePower\bak\Boot.exe | C:\Acer\Empowering Technology\ePower\Boot.exe
C:\Acer\Empowering Technology\eRecovery\bak\eRAgent.exe | C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
Il rapporto lo posti su freefilehosting x piacere?
vedi tu se tenerla:
C:\Documents and Settings\Roberto Valeri\Menu Avvio\Programmi\Esecuzione automatica\Eurobarre.lnk
non ho ancora finito di controllare tutto il rapporto :( |
Modificato da - Sibilla in data 31/01/2008 22:55:14 |
|
|
|
Discussione |
|
Ancora virusss
Forum Bloccato
