| Autore |
 Discussione  |
|
estrella.80
Senior Member
111 Messaggi |
 Inserito il - 06/02/2008 : 00:01:55
|
rieccomi!
torno nuovamente per un nuovo problema..
avast trova un virus.... .dll e non riesce a rimuverlo perchè file di sistema
allego file di hjack gli date un occhiata?
grazie per l'aiuto!
htt*://[www].freefilehosting.net/download/3bg73
   
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 06/02/2008 : 07:57:02
|
disattiva il ripristino configurazione sistema:
start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok
apri hijack e spunta:
O2 - BHO: (no name) - {04321726-C5EE-4B70-AC57-D19427171B61} - C:\WINDOWS\system32\drmclienc.dll
clicca alla fine su fix checked
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli il SEGUENTE testo così come l'ho scritto:
files to delete:
C:\WINDOWS\system32\drmclienc.dll
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
scaricati Ccleaner (htt*://[www].ccleaner[.com]/download/)
Lanciare il programma, eseguire l’operazione “avvia pulizia"
Eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato
Infine vai su htt*://[www].virustotal[.com]/it/ e controlla che:
c:\programmi\google\googletoolbar1.dll
non sia infetto. |
Modificato da - Leleago in data 06/02/2008 07:57:28 |
 |
|
|
estrella.80
Senior Member
111 Messaggi |
Inserito il - 06/02/2008 : 17:33:17
|
con avenger non mi permette di cancellare la voce
C:\WINDOWS\system32\drmclienc.dll
errore code 0
...che fare?
inoltre se lancio ccleaner cancella tutto tranne:
C:\Documents and Settings\rosanna\Impostazioni locali\Temp\snxomvpw.dat 4,63KB |
Modificato da - estrella.80 in data 06/02/2008 17:36:14 |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 06/02/2008 : 17:52:55
|
| quando hai usato avenger ti sei ricordata di scrivere prima dello script files to delete: o ti sei dimenticata?? |
|
|
|
estrella.80
Senior Member
111 Messaggi |
 Inserito il - 06/02/2008 : 18:09:30
|
| ho provato in tutt'e due i modi...ma il messaggio d'errore è uguale |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/02/2008 : 19:14:49
|
vai in modalità provvisoria.
crea una nuova cartella in c:\ (chiamala come vuoi)
prendi quel file e prova a spostarlo nella cartella creata
se si sposta, elimina l'intera cartella e svuota il cestino.
Puoi fare la stessa cosa x il temp. |
|
|
|
estrella.80
Senior Member
111 Messaggi |
Inserito il - 08/02/2008 : 13:48:01
|
ciao a tutti...
sibilla ho provato a eliminarli in mod provv ma ni da sempre lo stesso errore x entrambi
"disco pieno o in uso da un altro programma"
con avast il messaggio nel ritrovamento del virus è:
file infetto C:\ windows\sistem32.drmclienc.dll [UPX]
tipo cavallo di * WINDOWS\sistem32 BHO-KD [trj] |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 08/02/2008 : 16:52:21
|
ok, passiamo ad altro:
Scarica SistemScan
Disconnettiti da internet => disattiva l'antivirus => esegui sistemscan => spunta tutte le opzioni => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi in C:\Suspectfile (secondo le regole del forum).
Se hai problemi con il SeDebug, scarica SeDebug-Restore ed esegui l'applicazione. Riavvia e riprova con SystemScan
|
|
|
|
estrella.80
Senior Member
111 Messaggi |
Inserito il - 08/02/2008 : 19:19:33
|
ciao sibilla ...il report
htt*://[www].freefilehosting.net/download/3bjkl
aspetto tue notizie |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 08/02/2008 : 23:37:49
|
Esegui questo script con avenger
Citazione:
files to delete:
C:\WINDOWS\11465256.exe
C:\WINDOWS\16407112.exe
C:\WINDOWS\20939158.exe
C:\WINDOWS\907725.exe
C:\WINDOWS\906303.exe
C:\WINDOWS\909307.exe
C:\WINDOWS\5002383.exe
C:\WINDOWS\5004185.exe
C:\WINDOWS\5002783.exe
C:\WINDOWS\884882.exe
C:\WINDOWS\884271.exe
C:\WINDOWS\858324.exe
C:\WINDOWS\859155.exe
C:\WINDOWS\8800654.exe
C:\WINDOWS\9108897.exe
C:\WINDOWS\32800654.exe
C:\WINDOWS\863982.exe
C:\WINDOWS\865594.exe
C:\WINDOWS\4964067.exe
C:\WINDOWS\4970256.exe
C:\WINDOWS\921565.exe
C:\WINDOWS\925961.exe
C:\WINDOWS\922186.exe
C:\WINDOWS\923187.exe
C:\WINDOWS\930928.exe
C:\WINDOWS\933522.exe
C:\WINDOWS\5326789.exe
C:\WINDOWS\876219.exe
C:\WINDOWS\877822.exe
C:\WINDOWS\948523.exe
C:\WINDOWS\945149.exe
C:\WINDOWS\iun6002.exe
C:\WINDOWS\system32\d3d8caps.dat
C:\WINDOWS\system32\d3d9caps.dat
C:\WINDOWS\system32\swreg.exe
C:\WINDOWS\system32\swsc.exe
C:\WINDOWS\system32\swxcacls.exe
C:\WINDOWS\system32\SrchSTS.exe
C:\WINDOWS\system32\VCCLSID.exe
C:\WINDOWS\system32\WS2Fix.exe
C:\WINDOWS\IFinst27.exe
C:\WINDOWS\system32\IEDFix.exe
C:\WINDOWS\system32\drmclienc.dll
C:\WINDOWS\system32\drivers\ekyxka^^.sys
C:\WINDOWS\system32\drivers\ttxcvqzz.dat
Posta un nuovo rapporto di systemscan
Alcuni files potrebbero essere di SmitfraudFix ma conviene eliminarli, eventualmente lo scarichi nuovamente. |
|
|
|
estrella.80
Senior Member
111 Messaggi |
Inserito il - 09/02/2008 : 00:20:10
|
ok fatto tutto il nuovo reèort di sistscan
htt*://[www].freefilehosting.net/download/3bk0g
 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 09/02/2008 : 00:39:51
|
devi postarmi anche il rapporto di avenger, però...
uno non l'ha eliminato.
1) Analizza c:\windows\msvrc20.dll su Virustotal
2) Fai questo con attenzione:
Apri il registro (start - esegui - digita regedit - dai l'ok)
Segui questo percorso:
HKEY_LOCAL_MACHINE\system\controlset002\services\llckgcwz
clicca con il tasto destro del mouse su llckgcwz, seleziona ESPORTA e salvala in c:\ come FILE DI TESTO txt.
Copia il contenuto del file txt su un file word e postalo (secondo le regole).
Con avenger:
files to delete:
C:\WINDOWS\system32\drivers\ttxcvqzz.dat
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 09/02/2008 : 00:40:26
|
| dimenticavo.. |
|
|
|
estrella.80
Senior Member
111 Messaggi |
Inserito il - 09/02/2008 : 01:44:49
|
virus total:
htt*://[www].freefilehosting.net/download/3bk0m
regedit esportato:
htt*://[www].freefilehosting.net/download/3bk12
(questo non me lo fa postare in word)
avenger:
htt*://[www].freefilehosting.net/download/3bk10 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 09/02/2008 : 03:08:24
|
x chi volesse darci 1 idea:
la chiave:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\llckgcwz contiene:
ImagePath
system32\drivers\ttxcvqzz.dat
e questi dati:
REG_BINARY
w.i.n.d.o.w.s.\.
s.y.s.t.e.m.3.2.
\.d.r.m.c.l.i.e.
n.c...d.l.l...
---------------------
\.r.e.g.i.s.t.r.
y.\.m.a.c.h.i.n.
e.\.s.o.f.t.w.a.
r.e.\.c.l.a.s.s.
e.s.\.c.l.s.i.d.
\.{.0.4.3.2.1.7.
2.6.-.c.5.e.e.-.
4.b.7.0.-.a.c.5.
7.-.d.1.9.4.2.7.
1.7.1.b.6.1.}.\.
i.n.p.r.o.c.s.e.
r.v.e.r.3.2...
-------------------------
\.r.e.g.i.s.t.r.
y.\.m.a.c.h.i.n.
e.\.s.o.f.t.w.a.
r.e.\.m.i.c.r.o.
s.o.f.t.\.w.i.n.
d.o.w.s.\.c.u.r.
r.e.n.t.v.e.r.s.
i.o.n.\.e.x.p.l.
o.r.e.r.\.b.r.o.
w.s.e.r. .h.e.l.
p.e.r. .o.b.j.e.
c.t.s.\.{.0.4.3.
2.1.7.2.6.-.c.5.
e.e.-.4.b.7.0.-.
a.c.5.7.-.d.1.9.
4.2.7.1.7.1.b.6.
1.}...
---------
\.r.e.g.i.s.t.r.
y.\.m.a.c.h.i.n.
e.\.s.o.f.t.w.a.
r.e.\.m.i.c.r.o.
s.o.f.t.\.w.i.n.
d.o.w.s.\.c.u.r.
r.e.n.t.v.e.r.s.
i.o.n.\.e.x.p.l.
o.r.e.r.\.b.r.o.
w.s.e.r. .s.e.t.
t.i.n.g.s...
{04321726-c5ee-4b70-ac57-d19427171b61} è la clsid che si doveva fixare inizialmente.
nel mio registro non c'è Browser settings lì.. 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\browser settings
edit: trovato Trojan.Win32.BHO.agz [Kaspersky] |
Modificato da - Sibilla in data 11/02/2008 02:10:51 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 09/02/2008 : 03:18:36
|
Apri il registro (start - esegui - digita regedit - dai l'ok)
Clicca su "file" - "esporta" - salva una copia del registro in c:\
esegui questo script:
Citazione:
files to delete:
C:\WINDOWS\system32\drivers\ttxcvqzz.dat
registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{04321726-C5EE-4B70-AC57-D19427171B61}
HKLM\Software\classes\clsid\{04321726-C5EE-4B70-AC57-D19427171B61}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\llckgcwz
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\llckgcwz
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\llckgcwz
|
|
|
|
Discussione |
|
problemi virus
Forum Bloccato
