| Autore |
 Discussione  |
|
pinatta
Average Member
78 Messaggi |
 Inserito il - 01/02/2008 : 14:24:55
|
ciao grazie ancora del tuo aiuto. ecco il nuovo rapporto di systemscan:
htt*://[www].freefilehosting.net/download/3baa8 |
 |
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 01/02/2008 : 15:03:05
|
..e sui controlli che ti avevo chiesto di fare? 
|
|
|
|
pinatta
Average Member
78 Messaggi |
Inserito il - 01/02/2008 : 15:46:24
|
| si fatto li ho eliminati perchè me li dava infetti!! |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 01/02/2008 : 16:16:40
|
Citazione:
Messaggio inserito da pinatta
li ho eliminati perchè me li dava infetti!!
Vundo o Trojan-Dropper.Win32.Agent....?
sfjasrly .bat <= si e' reso visibile solo ora...
controllo tutto il rapporto e metto giu' il prossimo script..
a dopo |
|
|
|
pinatta
Average Member
78 Messaggi |
Inserito il - 01/02/2008 : 16:19:31
|
| oddio non ci ho fatto molto caso ma mi pare erano trojan!!! |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 01/02/2008 : 19:30:18
|
Copia queste indicazioni.
controlla questo su virustotal: C:\WINDOWS\EMEAWG.EXE e C:\WINDOWS\system32\vgecwiar.dll e disconnetti il pc da internet.
Per questi file:
C:\Acer\Empowering Technology\eDataSecurity\eDSloader .exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched .exe
C:\Programmi\QuickTime\qttask .exe
C:\Acer\Empowering Technology\ePower\ePower_DMC .exe
lo vedi lo spazio prima del .exe?
Cercali: se trovi anche la copia buona (senza spazio) lascia lo script cosi' com'e'. Se non la trovi, cancella dallo script le voci evidenziate in verde.
Fixa
F3 - REG:win.ini: load=C:\WINDOWS\system32\mllji.exe
O4 - HKLM\..\Run: [5ddb1e2c] rundll32.exe "C:\WINDOWS\system32\twsikurq.dll",b
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask .exe" -atboottime
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ .exe"
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows
Con avenger
Citazione:
files to delete:
c:\qmynwyap.txt
c:\sfjasrly .bat
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\QTFont.for
C:\WINDOWS\system32\mllji.dll
C:\WINDOWS\system32\jmjsqbhg.dll
C:\WINDOWS\system32\octjnrwi.dll
C:\WINDOWS\system32\mllji.exe
C:\WINDOWS\system32\ijllm.ini2
C:\WINDOWS\system32\octjnrwi.dllbox
C:\WINDOWS\system32\ijllm.ini
C:\WINDOWS\system32\twsikurq.dll
C:\Programmi\QuickTime\qttask .exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader .exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched .exe
C:\Acer\Empowering Technology\ePower\ePower_DMC .exe
C:\Programmi\Ahead\Nero BackItUp\NBJ .exe
folders to delete:
C:\FOUND.000
C:\FOUND.001
C:\FOUND.002
C:\WINDOWS\temp
C:\WINDOWS\system32\windows
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | 5ddb1e2c
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {FFF29BE4-24AC-4E31-B99B-45238B764111}
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | ePower_DMC
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | QuickTime Task
registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{29B967F7-FA8A-4B08-A9EB-2798B2BE2079}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83A8C155-0DAF-471A-82DC-0F853E90EF74}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FFF29BE4-24AC-4E31-B99B-45238B764111}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{33C55330-AE87-4B64-9078-E40A582E4930}
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\octjnrwi
Esegui avenger e dopo fai una scansione con Kaspersky_virusscanner (salva i risultati come file di testo).
Puoi disconnetterti da internet non appena inizia la scansione, praticamente dopo aver selezionato "my computer"
Posta i rusultati di avenger, kaspersky e systemscan (lascia spuntati solo recent files e Include Hijackthis log).
edit: ho inserito la chiave in blu. |
Modificato da - Sibilla in data 01/02/2008 23:20:42 |
|
|
|
pinatta
Average Member
78 Messaggi |
Inserito il - 02/02/2008 : 03:15:55
|
ciao senti ma i file che mi hai detto di controllare
"""controlla questo su virustotal: C:\WINDOWS\EMEAWG.EXE e C:\WINDOWS\system32\vgecwiar.dll e disconnetti il pc da internet."""
li devo eliminare?? se si come??
poi ecco il file di avenger:
htt*://[www].freefilehosting.net/download/3bb1j
quello di kasper:
htt*://[www].freefilehosting.net/download/3bb1k
e systemscan:
htt*://[www].freefilehosting.net/download/3bb1l
ciao non sapro mai come ringraziarti pr il tempo che mi stai dedicando!!
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 02/02/2008 : 11:55:31
|
ok..
Alcune cose non so cosa siano ma sono infetti (li ho inseriti nello script in fondo):
Citazione:
C:\WINDOWS\Fonts\a.zip
C:\WINDOWS\Fonts\'\00jj99uuii66ddxxqqq.zip
C:\Programmi\Skype\Phone\Skype.exe
C:\WINDOWS\Fonts\Crack.exe
D:\My Downloads\Yeti Sports Arctic Adventure RELOADED.zip
D:\Emule\MAX velocità!!settaggi velocizzare emule,booster,proxy(pacchettoCOMPLETISSIMO)TUTTO!!.rar
D:\romolo\UltraISO.Premium.Edition.v8.6.1.1982-TWK.zip
D:\romolo\UltraISO.Premium.Edition.v8.6.1.1982-TWK.zip
D:\bear\Google Earth PRO 4.0.2737 Keygen.zip
D:\bear\Google Earth Pro Plus 4.0.2737.zip
D:\bear\Google Earth Pro v.4.0.2737.rar
Scarica il file pinatta1.txt e salvalo sul desktop.
Disattiva il ripristino configurazione di sistema: start -> pannello di controllo -> sistema -> ripristino configurazione di sistema -> spunta "disattiva ripristino configuraz. di sistema"
Esegui avenger, lascia selezionato load script from file e clicca sulla cartellina a fianco e cerca il file scaricato sul desktop. Clicca sul semaforo verde - dai gli ok.
se i files indicati precedentemente erano palesemente infetti, si, potresti anche eliminarli (kaspersky non li ha rilevati, credo)... ma sarebbe opportuno che tu mi dicessi sempre cosa viene rilevato esattamente da virustotal... Dei files sospetti non sempre sono virus...
Collegati su Bitdefender e fai una scansione.
Riposta i recent files di systemscan e il rapporto di bitdefender.
analizza su virustotal:
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
se infetti da dropper, eliminali. |
Modificato da - Sibilla in data 02/02/2008 11:59:17 |
|
|
|
pinatta
Average Member
78 Messaggi |
Inserito il - 02/02/2008 : 20:26:20
|
ciao allora ecco il resoconto di bit defender:
htt*://[www].freefilehosting.net/download/3bc0i
e quello di system scan:
htt*://[www].freefilehosting.net/download/3bc0l
per gli ultimi due file che mi hai detto di controllare il primo è slo sospetto il secndo è pulito.
ciaoooo |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 02/02/2008 : 22:56:07
|
Segui attentamente quanto scritto:
Scarica questo file in c:\ fix.txt
Cambia l'estensione in fix.reg - Non lo devi eseguire.
Con avenger esegui questo script:
Citazione:
files to delete:
C:\ukwvxsfg.bat
C:\ukwvxsfg .bat
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mllji.dll
C:\WINDOWS\system32\qykeojiq.dll
C:\WINDOWS\system32\becnfawt.dll
C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\mllji.exe
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\ijllm.ini2
C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\system32\twafnceb.ini
C:\WINDOWS\system32\ijllm.ini
C:\WINDOWS\system32\windows
Programs to launch on reboot:
c:\fix.reg
Ripulisci i files temporanei con ccleaner
Rifai le scansioni con Vundofix e FixVundo. |
Modificato da - Sibilla in data 03/02/2008 00:42:06 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 03/02/2008 : 11:33:03
|
Fatte le scansioni, riavvia il sistema, scarica Registry Search Tool e cerca separatamente le voci in rosso (fai copia/incolla):
cda93850-3c5b-4560-91e9-8170188153bb e la sua speculare:
bb351881-0718-9e19-0654-b5c305839adc
FFF29BE4-24AC-4E31-B99B-45238B764111
mllji
vgecwiar
unisci i risultati in un solo file di testo e postalo secondo le regole. |
Modificato da - Sibilla in data 03/02/2008 11:34:19 |
|
|
|
pinatta
Average Member
78 Messaggi |
Inserito il - 03/02/2008 : 17:45:23
|
ciao ecco i risultati:
htt*://[www].freefilehosting.net/download/3bd55
Ciaooo |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 03/02/2008 : 20:54:06
|
Beato te, quasi ti vedo sorridente.. Intanto l'ospite non va via nemmeno con le cannonate (o almeno credo, visto che ora non lo so.. non hai postato altro che le ricerche..)
Hai fatto le scansioni?
SUPERAntiSpyware li porta come files in uso.. Boh..
Stesso procedimento di prima, salva il file in c:\ e cambia l'estensione in reg. fix2.txt
Salva queste indicazioni o stampale
Apri il registro (start - esegui - digita regedit).
Clicca 1 sola volta su Risorse del computer => poi su file => esporta => salva il file in c:\.
Chiudi il registro.
Esegui avenger.
Citazione:
files to delete:
C:\ukwvxsfg.bat
C:\ukwvxsfg .bat
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mllji.dll
C:\WINDOWS\system32\qykeojiq.dll
C:\WINDOWS\system32\becnfawt.dll
C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\mllji.exe
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\ijllm.ini2
C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\system32\twafnceb.ini
C:\WINDOWS\system32\ijllm.ini
C:\WINDOWS\system32\windows
C:\FOUND.000
C:\FOUND.001
C:\FOUND.002
Programs to launch on reboot:
c:\fix2.reg
Quando rientra in modalità normale, apri il registro, segui i percorsi e vai ad eliminare le parti in rosso (le trovi nella finestra a destra). Cliccaci sopra con il tasto destro del mouse e scegli elimina.
1) [HKEY_USERS\S-1-5-21-2064237677-3160807961-1333777530-1006\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINDOWS\\system32\\mllji.exe"
2) [HKEY_USERS\S-1-5-21-2064237677-3160807961-1333777530-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached]
"{FFF29BE4-24AC-4E31-B99B-45238B764111} {00000000-0000-0000-C000-000000000046} 0x401"=-
3) [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached]
"{FFF29BE4-24AC-4E31-B99B-45238B764111} {00000000-0000-0000-C000-000000000046} 0x401"=-
4) [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached]
"{FFF29BE4-24AC-4E31-B99B-45238B764111} {00000000-0000-0000-C000-000000000046} 0x401"=-
5) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AAD6663D-67E7-459D-AE03-E01C9CA67054}\InprocServer32]
[No-Spam]="C:\\WINDOWS\\system32\\mllji.dll"
Premi F5 e chiudi il registro.
Riesegui avenger.
Esegui Systemscan
Posta i rapporti di systemscan (completo) e l'ultimo avenger. |
|
|
|
pinatta
Average Member
78 Messaggi |
Inserito il - 03/02/2008 : 22:01:01
|
ciao rido per non piangere!!!
vabbe cmq ecco avenger:
htt*://[www].freefilehosting.net/download/3bd9f
ed ecco systscan:
htt*://[www].freefilehosting.net/download/3bd9g
cmq quando riparte il pc mi vienne una schrmata di errore con scritto:
errore durante caricamento di C:\WINDOWS\System32\becnfawt.dll
ciaoo |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 03/02/2008 : 22:08:19
|
A me viene da piangere solo considerando i files che è stato capace di creare (ma l'hai visto il file "pinatta" di qualche post fa?  )
edit:
1 notizia) avenger: sono tutti Failed, specialmente mllji e ijllm! non c'erano! :D ....passo al secondo rapporto...
2 notizia) systemscan: pulito. Restano solo le chiavi da eliminare.
- esegui una scansione con kaspersky e posta il rapporto salvato come file di testo.
- fix31.txt sempre salvato in c:\ con estensione .reg
- esegui avenger:
Citazione:
folders to delete:
C:\WINDOWS\system32\bak
C:\WINDOWS\system32\IME\PINTLGNT\bak
C:\WINDOWS\system32\IME\TINTLGNT\bak
C:\WINDOWS\ime\imjp8_1\bak
C:\Programmi\File comuni\Real\Update_OB\bak
C:\Programmi\Realtek\InstallShield\bak
C:\Programmi\Synaptics\SynTP\bak
C:\Programmi\CyberLink\PowerDVD\bak
C:\Programmi\NewTech Infosystems\NTI CD & DVD-Maker 7\bak
C:\Programmi\Launch Manager\bak
C:\Programmi\MSN Messenger\bak
C:\Programmi\Java\j2re1.4.2_06\bin\bak
C:\Programmi\QuickTime\bak
C:\Programmi\AVPersonal\bak
C:\Acer\Empowering Technology\eDataSecurity\bak
C:\Acer\Empowering Technology\ePresentation\bak
C:\Acer\Empowering Technology\ePower\bak
C:\Acer\Empowering Technology\eRecovery\bak
registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tqngmbnq
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c1ee82f7-a680-40b7-b65a-7e3fae4a022f}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AAD6663D-67E7-459D-AE03-E01C9CA67054}
Programs to launch on reboot:
c:\fix3.reg
- esegui hjt e fixa (ma non dovresti più trovarle):
O2 - BHO: {f220a4ea-f3e7-a56b-7b04-086a7f28ee1c} - {c1ee82f7-a680-40b7-b65a-7e3fae4a022f} - C:\WINDOWS\system32\qykeojiq.dll (file missing)
O2 - BHO: (no name) - {AAD6663D-67E7-459D-AE03-E01C9CA67054} - (no file)
O4 - HKLM\..\Run: [5ddb1e2c] rundll32.exe "C:\WINDOWS\system32\becnfawt.dll",b
O20 - Winlogon Notify: tqngmbnq - tqngmbnq.dll (file missing)
posta kaspersky ed hjt x controllare.
Ciaooo |
Modificato da - Sibilla in data 03/02/2008 22:51:57 |
|
|
|
Discussione |
|
Ancora virusss
Forum Bloccato
