| Autore |
 Discussione  |
|
simonabologna
Average Member
Città: bologna
81 Messaggi |
 Inserito il - 03/02/2008 : 10:50:39
|
ciao a tutti ! sono nuova...mi presento! sono simona e dgt da bologna. vi scrivo perche:
1)ho un problema col pc
2) sono ignorante in materia!
facendo una scansione con virit questo è il risultato:
I log vanno postati secondo le regole dl forum, ricordalo la prossima volta. Lo trovi qui:
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=10860
io so che fra voi c'è un'anima pia che mi aiuta!
ciao!e grazie sin da ora
|
Modificato da - michal in Data 04/02/2008 11:02:12
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 03/02/2008 : 11:09:36
|
Scarica Avenger, SpyBot e CCleaner
Installa e aggiorna spybot.
Discommetti il pc da internet.
Disattiva il ripristino configurazione di sistema: start -> pannello di controllo -> sistema -> ripristino configurazione di sistema -> spunta "disattiva ripristino configuraz. di sistema"
Da hjt fixa:
O2 - BHO: wbspark - {634B1F24-7B42-56C5-74F5-37A97B71F205} - C:\WINDOWS\system32\winspooly.dll
O16 - DPF: {4D054067-DE3A-48F9-B19B-BCD229B9AE8D} - htt*:// dev.imagingworld.co.kr/printerhelp/introduction/DrPrinter .cab
Esegui avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento. All'interno della finestra "Wiew/edit script", nel box bianco, copia/incolla:
Citazione:
files to delete:
C:\WINDOWS\system32\winspooly.dll
Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.
Esegui CCleaner e ripulisci sia i file temporanei e cookie (2 volte) che il registro.
Esegui una scansione in modalità provvisoria (*) con spybot.
(*) Per entrare in modalità provvisoria: all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8. Uscirà la finestra del menu Opzioni avanzate di Windows => scegli modalità provvisoria (usa il tasto freccia ^).
Riattiva il ripristino configurazione di sistema
Posta un nuovo log di hjt.
Ciao
|
 |
|
|
simonabologna
Average Member
Città: bologna
81 Messaggi |
Inserito il - 03/02/2008 : 16:49:17
|
allora....c'è un problema.avenger mi dice questo:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\irxqofsf
*******************
Script file located at: \??\C:\WINDOWS\system32\qirvkoyp.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\system32\winspooly.dll not found!
Deletion of file C:\WINDOWS\system32\winspooly.dll failed!
Could not process line:
C:\WINDOWS\system32\winspooly.dll
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate. |
|
|
|
simonabologna
Average Member
Città: bologna
81 Messaggi |
Inserito il - 03/02/2008 : 18:50:54
|
ragazzi, che significa il log che ho postato? perche avenger mi dice che non c'è quel file ??  |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 03/02/2008 : 19:02:45
|
| Buona sera a tutti, non preoccuparti per avenger, il file probabilmente è stato rimosso fixando la voce con hijack, quindi tutto normale. |
|
|
|
simonabologna
Average Member
Città: bologna
81 Messaggi |
Inserito il - 03/02/2008 : 19:08:31
|
quindi secondo te ora è tutto ok? magari rifaccio una scansione con virit e riposto il log.... |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 03/02/2008 : 19:24:29
|
ok ma posta il rapporto secondo le regole del forum, mi raccomando.
Ti dico già da ora che se ti ritrova lo stesso errore devi scaricare Registry Search Tool, cercare:
634B1F24-7B42-56C5-74F5-37A97B71F205
e postare i risultati, sempre secondo le regole (magari li inserisci sotto il rapporto di VirIT)
|
|
|
|
simonabologna
Average Member
Città: bologna
81 Messaggi |
Inserito il - 03/02/2008 : 21:04:01
|
htt*://[www].sendmefile[.com]/00610286
il problema è che non riesco a postare il log del registry search tool... |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 03/02/2008 : 21:20:54
|
| perchè? é un normale file di testo.. puoi caricarlo su sendmefile, come hai fatto con quello di VirIT... |
|
|
|
simonabologna
Average Member
Città: bologna
81 Messaggi |
Inserito il - 03/02/2008 : 21:36:21
|
hkey_classes_root
moonsweb.wisp\CLSID
(DEFAULT)
HKEY_CLASSES_ROOT
moonsweb.wisp.1\CLSID
(DEFAULT)
HKEY_CURRENT_USER
software\microsoft\windows\currentversion\applets\regedit
lastkey
HKEY_CURRENT_USER
Software\microsoft\windows\currentversion\ext\stats
cerco di ricopiarlo..sono scema lo so, solo che non trovo il modo non di postare il log ma non me lo dà come file di testo |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 03/02/2008 : 21:45:56
|
scusa.. hai scaricato esattamente Registry Search Tool da qui?
ok, eseguilo e, nella finestra che si apre, incolla
634B1F24-7B42-56C5-74F5-37A97B71F205
dopo qualche secondo dovrai dare 1 ok e poi si aprirà un file di testo.
Se non accade, è una novità, non capisco.. |
|
|
|
simonabologna
Average Member
Città: bologna
81 Messaggi |
Inserito il - 03/02/2008 : 22:14:16
|
eccolo qui...scusa
file link: htt*://[www].sendmefile[.com]/00610296
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 03/02/2008 : 23:13:40
|
ok.
Piccola nota: moonsweb non è nulla di tuo, vero? Se è così, continua..
1) scarica Avenger e disconnetti il pc da internet.
2) Disattiva il ripristino configurazione di sistema: start -> pannello di controllo -> sistema -> ripristino configurazione di sistema -> spunta "disattiva ripristino configuraz. di sistema"
3) Apri il registro (start - esegui - digita regedit e dai l'ok)
Clicca su "file" - "esporta" - salva il file in c:\
4) Copia
Citazione:
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\moonsweb.wisp]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\moonsweb.wisp.1]
[-HKEY_USERS\S-1-5-21-3425538527-1331891404-3887514945-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{634B1F24-7B42-56C5-74F5-37A97B71F205}]
in un file di testo, chiamalo fix e salvalo in c:\
poi vai in c:\ e rinominalo, cambiando l'estensione in .reg
5) Esegui avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento. All'interno della finestra "Wiew/edit script", nel box bianco, copia/incolla:
Citazione:
files to delete:
C:\Documents and Settings\simona cocca\isntwdvr.exe
Programs to launch on reboot:
c:\fix.reg
Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.
6) Riattiva il ripristino configurazione di sistema
7) esegui una scansione con VirIT
8) Posta un nuovo log di hjt e, se risulta l'infezione, il rapporto di VirIT (postali sempre secondo le regole) |
Modificato da - Sibilla in data 04/02/2008 08:24:52 |
|
|
|
simonabologna
Average Member
Città: bologna
81 Messaggi |
Inserito il - 04/02/2008 : 12:08:22
|
cco i risultati
file link: htt*://[www].sendmefile[.com]/00610339
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 04/02/2008 : 13:46:38
|
ti do una notizia brutta: quello che e' stato eliminato sta ancora li'. Hai fatto per bene tutto quello che ti avevo scritto? Se si, allora devono esserci altri files che non escono dal log di hjt e che vanno a ricreare isntwdvr.exe.
Rimediamo velocemente.. Scarica SistemScan
Disconnettiti da internet => disattiva l'antivirus => esegui sistemscan => spunta tutte le opzioni => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi in C:\Suspectfile su Freefilehosting e posta il link ottenuto.
Se hai problemi con il SeDebug, scarica SeDebug-Restore ed esegui l'applicazione. Riavvia e riprova con SystemScan
|
|
|
|
simonabologna
Average Member
Città: bologna
81 Messaggi |
Inserito il - 04/02/2008 : 14:44:36
|
file link: htt*://[www].sendmefile[.com]/00610380
scusa ma freefilehosting non lo so usare |
|
|
|
Discussione |
|
help trojan
Forum Bloccato
