| Autore |
 Discussione  |
|
davis33
Average Member
82 Messaggi |
 Inserito il - 12/02/2008 : 12:45:12
|
Salve,
da ieri il mio antivirus AVG continua a indicarmi che sono infettato da questi virus:
Trojan Horse Agent.NRI
Trojan horse Dropper.Generic.VCO
Trojan horse Downloader.Tibs.9.A
Trojan horse Downloader.Agent.9.Q
Virus identified I-Worm/Nuwar.L
Win32/Polycript
JS/Psyme
Dopo che li elimino,mi riappaiono dopo poco tempo,in file diversi, di sistema o di File Internet temporanei.
Come posso fare ad eliminarli definitivamente?
Ho già pulito 2 volte con CCCleaner il sistema e di seguito vi posto la scansione con Hijackthis!
Vi prego aiutatemi,GRAZIE!!!!!!
Ecco il log file di Kijackthis:
htt*://[www].sendmefile[.com]/00611626
|
Modificato da - davis33 in Data 12/02/2008 13:49:49
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 12/02/2008 : 13:15:47
|
Buon giorno a tutti, prima di provare a vedere di risolvere il tuo problema dovresti cortesemente fare 2 cose:
1) elimina il link che hai postato del sito dove ti sei preso quei bei clienti, modificando il messaggio, devi cliccare sul tasto modifica messaggio.
2) il log di hijackthis va postato secondo le regole del forum, trovi le regole in fondo al mio messaggio
In ultimo prima che te lo dica un moderatore è fatto divieto assoluto di postare link di siti che possano danneggiare gli altri utenti del forum. |
 |
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/02/2008 : 13:47:00
|
...e nella modifica aggiungi anche il rapporto di SistemScan
Disconnettiti da internet => disattiva l'antivirus => esegui sistemscan => spunta tutte le opzioni => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi in C:\Suspectfile su Freefilehosting e posta il link ottenuto.
Se hai problemi con il SeDebug, scarica SeDebug-Restore ed esegui l'applicazione. Riavvia e riprova con SystemScan
NB: vuoi condividividere con noi l'infezione??? 
OT: Dede', vai avanti tu e vedi di cosa si tratta...  |
Modificato da - Sibilla in data 12/02/2008 13:50:21 |
|
|
|
davis33
Average Member
82 Messaggi |
Inserito il - 12/02/2008 : 13:51:43
|
Ho fatto le prime correzioni,ora devo uscire,più tardi se riesco faccio l'operazione con SistemScan!
Grazie di cuore! |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/02/2008 : 13:57:29
|
Citazione:
Messaggio inserito da davis33
Dopo che li elimino,mi riappaiono dopo poco tempo,in file diversi, di sistema o di File Internet temporanei.
Ho già pulito 2 volte con CCleaner il sistema
 Ti ho chiesto anche systemscan proprio perche' da solo hjt non vede tutti i files. Ccleaner, poi, non fa miracoli.. e cmq non dipende strettamente dai temporanei.
Le prime infezioni credo possano essere unite in una sola.. magari un file viene riconosciuto in un modo e un altro in un altro modo... ma credo si tratti sempre di nuwar. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 12/02/2008 : 15:27:38
|
Buon giorno a tutti, grazie che hai modificato il post, così evitiamo danni agli altri, in ogni caso hai avuto una certa coerenza, tutte infezioni di matrice spagnola  , in ogni caso sei in buone mani con sibilla. |
|
|
|
davis33
Average Member
82 Messaggi |
Inserito il - 12/02/2008 : 22:11:54
|
ecco postato anche il file di SystemScan:
htt*://[www].sendmefile[.com]/00611678 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/02/2008 : 22:19:29
|
ok. Mentre lo guardo comincia anche a fare una scansione on line con Kaspersky_virusscanner e posta il rapporto (salvato come file di testo).
Volendo disconnettere il pc da internet, puoi farlo dal momento in cui hai selezionato "my computer" e che è iniziata la scansione. |
|
|
|
davis33
Average Member
82 Messaggi |
Inserito il - 12/02/2008 : 23:22:42
|
per motivi di tempo ho dovuto interrompere al 30 % la scansione, mi ha però trovato dei virus:
ecco il report
htt*://[www].sendmefile[.com]/00611687 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/02/2008 : 23:31:38
|
asp 2 minuti
|
|
|
|
davis33
Average Member
82 Messaggi |
Inserito il - 12/02/2008 : 23:35:21
|
| ok |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/02/2008 : 23:40:26
|
Scarica Avenger, CCleaner e DelDomains (deldomains salvalo sul desktop)
Ho inserito una cartella temp2 che hai in C:\.
Esegui avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento. All'interno della finestra "Wiew/edit script", nel box bianco, copia/incolla:
Citazione:
files to delete:
C:\WINDOWS\mmhren1.exe
C:\WINDOWS\mmax_hren2.ini
C:\WINDOWS\system32\_svchost.exe
C:\WINDOWS\system32\~.exe
C:\WINDOWS\system32\svchost.t__
C:\WINDOWS\system32\herjt395.exe
C:\WINDOWS\system32\svchost.tmp
C:\WINDOWS\system32\herjt388.exe
C:\WINDOWS\system32\herjt230.exe
C:\WINDOWS\system32\herjt386.exe
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At39.job
C:\WINDOWS\tasks\At40.job
C:\WINDOWS\tasks\At36.job
C:\WINDOWS\tasks\At37.job
C:\WINDOWS\tasks\At38.job
C:\WINDOWS\tasks\At42.job
C:\WINDOWS\tasks\At41.job
C:\WINDOWS\tasks\At61.job
C:\WINDOWS\tasks\At60.job
C:\WINDOWS\tasks\At66.job
C:\WINDOWS\tasks\At64.job
C:\WINDOWS\tasks\At65.job
C:\WINDOWS\tasks\At63.job
C:\WINDOWS\tasks\At62.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At9.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At87.job
C:\WINDOWS\tasks\At86.job
C:\WINDOWS\tasks\At84.job
C:\WINDOWS\tasks\At85.job
C:\WINDOWS\tasks\At88.job
C:\WINDOWS\tasks\At90.job
C:\WINDOWS\tasks\At89.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At83.job
C:\WINDOWS\tasks\At35.job
C:\WINDOWS\tasks\At59.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At33.job
C:\WINDOWS\tasks\At105.job
C:\WINDOWS\tasks\At81.job
C:\WINDOWS\tasks\At57.job
C:\WINDOWS\tasks\At34.job
C:\WINDOWS\tasks\At106.job
C:\WINDOWS\tasks\At58.job
C:\WINDOWS\tasks\At82.job
C:\WINDOWS\tasks\tvrpapq.job
C:\WINDOWS\tasks\sph.job
C:\WINDOWS\tasks\izjzki.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At91.job
C:\WINDOWS\tasks\At67.job
C:\WINDOWS\tasks\At43.job
C:\WINDOWS\tasks\At68.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At44.job
C:\WINDOWS\tasks\At92.job
C:\WINDOWS\tasks\At93.job
C:\WINDOWS\tasks\At45.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At69.job
C:\WINDOWS\tasks\At70.job
C:\WINDOWS\tasks\At46.job
C:\WINDOWS\tasks\At22.job
C:\WINDOWS\tasks\At94.job
C:\WINDOWS\tasks\At95.job
C:\WINDOWS\tasks\At71.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At47.job
C:\WINDOWS\tasks\At48.job
C:\WINDOWS\tasks\At96.job
C:\WINDOWS\tasks\At72.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At73.job
C:\WINDOWS\tasks\At97.job
C:\WINDOWS\tasks\At49.job
C:\WINDOWS\tasks\At25.job
C:\WINDOWS\tasks\At98.job
C:\WINDOWS\tasks\At50.job
C:\WINDOWS\tasks\At74.job
C:\WINDOWS\tasks\At26.job
C:\WINDOWS\tasks\At51.job
C:\WINDOWS\tasks\At27.job
C:\WINDOWS\tasks\At99.job
C:\WINDOWS\tasks\At75.job
C:\WINDOWS\tasks\At100.job
C:\WINDOWS\tasks\At76.job
C:\WINDOWS\tasks\At28.job
C:\WINDOWS\tasks\At52.job
C:\WINDOWS\tasks\At101.job
C:\WINDOWS\tasks\At53.job
C:\WINDOWS\tasks\At29.job
C:\WINDOWS\tasks\At77.job
C:\WINDOWS\tasks\At78.job
C:\WINDOWS\tasks\At54.job
C:\WINDOWS\tasks\At102.job
C:\WINDOWS\tasks\At30.job
C:\WINDOWS\tasks\At31.job
C:\WINDOWS\tasks\At103.job
C:\WINDOWS\tasks\At79.job
C:\WINDOWS\tasks\At55.job
C:\WINDOWS\tasks\At104.job
C:\WINDOWS\tasks\At80.job
C:\WINDOWS\tasks\At56.job
C:\WINDOWS\tasks\At32.job
C:\WINDOWS\system32\3Y2cwIk6.exe
C:\WINDOWS\system32\jOVI1hD1.exe
C:\WINDOWS\system32\77P0gH5H.exe
C:\WINDOWS\user32.exe
C:\WINDOWS\patcher.exe
C:\WINDOWS\system32\gTjKDYHA.exe
C:\WINDOWS\dr.exe
C:\WINDOWS\widupdate.exe
C:\WINDOWS\system32\jHomCODm.exe
C:\DOCUME~1\COMPAQ~1\IMPOST~1\Temp\e4j2.tmp_dir3151
C:\DOCUME~1\COMPAQ~1\IMPOST~1\Temp\41.tmp
Files to move:
C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe | C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
Folders to delete:
C:\WINDOWS\system32\bak
C:\WINDOWS\bak
C:\temp
C:\temp2
Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato.
Esegui CCleaner e ripulisci sia i file temporanei e cookie (2 volte) che il registro.
Fai clic con tasto destro del mouse su DelDomains e scegli "Installa".
Posta un nuovo rapporto di systemscan
..abbiamo un po' di roba da eliminare...
EDIT: kaspersky non ha trovato nulla per quello che è stato fatto. Controllerò ma credo che BitAccelerator.exe sia un falso positivo (abbondantemente...).
Ti consiglio vivamente di rifarla domani.
Ciao |
Modificato da - Sibilla in data 13/02/2008 02:08:03 |
|
|
|
davis33
Average Member
82 Messaggi |
Inserito il - 12/02/2008 : 23:52:11
|
ecco il logfile di avenger (non ho postato l'eliminazione delle cartelle C:temp e Temp2 dato che ho dei file che non vorrei perdere, è indispensabile cancellare qste 2 cartelle?Nel caso faccio copia e incolla dei file in altre cartelle e poi le cancello!)
htt*://[www].sendmefile[.com]/00611689 |
|
|
|
davis33
Average Member
82 Messaggi |
Inserito il - 12/02/2008 : 23:56:06
|
| fatto anche CCleaner e DelDomains, domani in tardo pomeriggio o sera faccio di nuovo lo scan con SystemScan |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/02/2008 : 23:57:23
|
Allora occhio a ccleaner, che ripulisce i temporanei.. (cmq devi eseguirlo.. quindi sposta i files)
Ho dimenticato di aggiungere che devi svuotare anche la cartella: c:\windows\prefetch
EDIT: 1) quando ho qualcosa da aggiungere ad un post, modifico quello appena precedente. Quindi controlla sempre che non sia stato modificato
2) non ha trovato i files legati ai job. Questo lo vedremo in seguito, forse li avevi già eliminati tu...
______
Prima di eseguire systemscan, scarica Registry Search Tool
Apri il registro (start => esegui => digita regedit e dai l'ok).
Clicca su "Risorse del computer", poi su "file" => esporta => salva la copia del registro in c:\
Poi, segui questo percorso:
HKLM\Software\Microsoft\Active Setup\Installed Components\{43564368-4375-8601-4371-458454791235
Clicca su quanto evidenziato in rosso ed eliminalo (cliccaci sopra con il tasto destro del mouse e seleziona elimina).
Se non te la fa eliminare, termina dal task manager il processo tcpconn.
Una volta eliminata, premi F5 e chiudi il registro.
Elimina manualmente il file: C:\WINDOWS\system32\tcpconn.exe.
Nel caso in cui non riuscissi ad eliminarlo, esegui regsrch, cerca separatamente tcpconn e 43564368-4375-8601-4371-458454791235 e posta i risultati (se li trovi per entrambi, puoi unirli in un solo file - cmq non credo).
Per quanto riguarda HJT, fixa:
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
Vedi se ti fa fixare questa (fasulla):
O23 - Service: Microsoft P2S Service - Unknown owner - C:\WINDOWS\system32\_svchost.exe
altrimenti procediamo nel registro...
Eccetto drivers e servicer (che non ho ancora controllato), pare non ci sia altro da segnalarti, per ora.
Posta il rapporto di systemscan e quello di kaspersky.
In systemscan lascia spuntato anche "include hijackthis log".
ciao |
Modificato da - Sibilla in data 13/02/2008 02:04:17 |
|
|
|
davis33
Average Member
82 Messaggi |
Inserito il - 13/02/2008 : 07:47:31
|
Ho fatto qste operazioni:
Prima di eseguire systemscan, scarica Registry Search Tool
Apri il registro (start => esegui => digita regedit e dai l'ok).
Clicca su "Risorse del computer", poi su "file" => esporta => salva la copia del registro in c:\
Per quanto riguarda HJT, fixa:
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
Vedi se ti fa fixare questa (fasulla):
O23 - Service: Microsoft P2S Service - Unknown owner - C:\WINDOWS\system32\_svchost.exe
Le altre che mi hai detto però non riesco a farle!!!
|
|
|
|
Discussione |
|
Infettato da più virus, AIUTO!!!!
Forum Bloccato
