| Autore |
 Discussione  |
|
Durruti
Junior Member
51 Messaggi |
 Inserito il - 18/02/2008 : 15:09:55
|
Ciao a tutti,
ho da qualche giorno dei problemi  legati a contaminazioni continue rilevate dal mio antivirus (AVIR) di differenti "parassiti" (trojans, worms, etc). Io provo a cancellarli o a metterli in quarantena ma loro ritornano subito dopo...
Ah, oltre a avir uso spybot e ad-aware..
I risultati di hijackthis sono riportati nel link seguente
htt*://[www].sendmefile[.com]/00612494
Grazie per la vs. umanità.
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 18/02/2008 : 15:27:16
|
disattiva il ripristino configurazione sistema:
start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok
apri hijack e spunta:
O4 - HKLM\..\Run: [SysDrv] C:\WINDOWS\TEMP\BN2.tmp
O20 - Winlogon Notify: LogCrypt - LogCrypt.dll (file missing)
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
clicca alla fine su fix checked
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli il SEGUENTE testo così come l'ho scritto con la dicitura files to delete:
files to delete:
C:\WINDOWS\TEMP\BN2.tmp
C:\WINDOWS\SYSTEM32\WLCtrl32.dll
C:\WINDOWS\SYSTEM32\LogCrypt.dll
C:\WINDOWS\LogCrypt.dll
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
scaricati Ccleaner (htt*://[www].ccleaner[.com]/download/)
Lanciare il programma, eseguire l’operazione “avvia pulizia"
Eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato |
 |
|
|
Durruti
Junior Member
51 Messaggi |
Inserito il - 18/02/2008 : 16:07:04
|
Ok, fatto tutto, riavviato, ma continuo a trovare infezioni sul file c:/windows/temp/BN2.tmp.
Ovviamente ho provato a rimuovere il file manualmente ma senza riuscirci..
Ho rifatto ciaogiacomoquesto ma credo che abbia ritorvato gli stessi problemi.
htt*://[www].sendmefile[.com]/00612508
Altra quaestione: una volta rimossi i virus (sperém) bisogna riattivare il ripristino configurazione sistema?
Grazie ancora! |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 18/02/2008 : 17:52:14
|
riprova a rispuntare le voci di prima e rifare la procedura con avenger e ccleaner da modalità provvisoria. Quando usi avenger ricordati di inserire prima del testo la dicitura: files to delete:
posta log di avenger e di hijack  |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 18/02/2008 : 20:09:07
|
devi fixare:
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
script per avenger:
files to delete:
C:\WINDOWS\TEMP\BN2.tmp
C:\WINDOWS\SYSTEM32\WLCtrl32.dll |
|
|
|
Durruti
Junior Member
51 Messaggi |
Inserito il - 19/02/2008 : 10:48:24
|
Innanzitutto grazie per le informazioni,
ma nel frattempo la situazione è precipitata 
Non solo no sono riusciuto ad estirpare i virus ma devo aver fatto qualche casino al sistema e adesso il computer mi funziona al 30%. I programmi si chiudono da soli e non riesco a copiare o spostare i files il nuovo log di hijackthis è il seguente.
htt*://[www].sendmefile[.com]/00612634
Se chiedo di ripristinare il sistema mi risponde
"ripristino configurazione di sistema non è in grado di proteggere il computer. Riavviare uk computer ed eseguire il ripristino di configurazione del sistema"
Poi se provo a riavviare si ripete la scena di prima..
Purtroppo non possiedo una copia di backup ma ho dei files di hikjackthis vecchi....
Ci sono speranze di non formattare tutto?
PLEASE, HELP ME!!!
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 19/02/2008 : 13:35:06
|
il log lo guardero' poi con calma (  ), tanto vedo gia' cosa ti avevano indicato di fare. Nel frattempo..
1) scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => spunta tutte le opzioni => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi in C:\Suspectfile su Freefilehosting e posta il link ottenuto.
2) spiega meglio il concetto dei pasticci con il SO , cosa pensi di aver fatto?
|
|
|
|
Durruti
Junior Member
51 Messaggi |
Inserito il - 19/02/2008 : 14:11:30
|
Tra le varie cose non riesco a copiare o a spostare i files, excel mi si richiude ogni volta che provo ad aprirlo. Word mi da diversi messaggi di errore. La risoluzione dello schermi mi è cambiata...
Dando un'occhiata al rapporto di suspectfile mi sembra anche che ci siano riferimenti a siti mai aperti..
htt*://[www].freefilehosting.net/download/3c94a
Ho provatoad utilizzare un programma per la risoluzione dei problemi di configurazione (system_restore_repair) ma senza grossi successi...
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 19/02/2008 : 20:17:29
|
esegui avenger:
Citazione:
files to delete:
C:\WINDOWS\system32\5_exception.nls
C:\WINDOWS\system32\qmopt.dll
C:\WINDOWS\system32\Choice[.com]
C:\WINDOWS\system32\WLCtrl32.dll
C:\DOCUME~1\v2\IMPOST~1\Temp\A.tmp
C:\DOCUME~1\v2\IMPOST~1\Temp\2.tmp
C:\DOCUME~1\v2\IMPOST~1\Temp\bt7370.bat
folders to delete:
C:\FOUND.003
C:\FOUND.005
C:\FOUND.004
registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32
Esegui CCleaner 2 volte.
Apri il registro (start => esegui => digita regedit e dai l'ok). Clicca su "Risorse del computer", poi su "file" => esporta => salva la copia del registro in [COLOR=red]c:\[/COLOR]
Poi segui questo percorso:
HKLM\system\currentcontrolset\services\Msy74
Clicca su "Msy74" con il tasto destro del mouse e seleziona "esporta". Salvala così:
nome: msy.txt
tipo di file: tutti i file
salva il file in c:\ e caricalo su Freefilehosting.
|
Modificato da - Sibilla in data 20/02/2008 08:17:06 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 20/02/2008 : 08:16:38
|
| Ho corretto il post precedente.. le "found" sono cartelle.. |
|
|
|
Durruti
Junior Member
51 Messaggi |
Inserito il - 20/02/2008 : 11:53:22
|
Ok, spero di avere capito bene tutti i passaggi...
Thanks again
htt*://[www].freefilehosting.net/download/3ca1f |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 20/02/2008 : 12:19:16
|
Citazione:
Messaggio inserito da Durruti
ho da qualche giorno dei problemi
Hai aperto la discussione il 18/02. Mi sa che i tuoi problemi sono iniziati il:
Ora ultima scrittura: 14/02/2008 - 9.12.
correggimi se sbaglio.. Se si, la chiave e' da eliminare, quindi..
riapri il registro, segui il percorso
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Msy74
e clicca (tasto dx del mouse) su Msy74 e seleziona "esporta"
Stavolta salvala cosi':
nome: Msy.reg
tipo di file: registro/reg
salvala in c:\
Segui quest'altro percorso:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\enum\Root\LEGACY_MSY74
e salva LEGACY_MSY74 cosi':
nome: LEG_MSY.reg
tipo di file: reg
salvala in c:\
Esegui avenger:
Citazione:
files to delete:
c:\windows\System32\Drivers\Msy74.sys
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Msy74
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Msy74
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Msy74
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\enum\Root\LEGACY_MSY74
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\enum\Root\LEGACY_MSY74
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\enum\Root\LEGACY_MSY74
Devi postare:
1) il precedente rapporto di avenger
2) questo nuovo rapporto.
3) un nuova scansione eseguita con systemscan
...fammi sapere come va il pc e quali problemi da. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 20/02/2008 : 12:23:49
|
ps.. per sicurezza puoi zippare il file Msy74.sys, caricarlo su freefilehosting, conservare il link e poi eseguire avenger. Questo giusto perche' il file non esiste (in internet non si trova nulla).
Salvandolo cosi', invece, potrai sempre recuperarlo.
Ciao |
|
|
|
Durruti
Junior Member
51 Messaggi |
Inserito il - 20/02/2008 : 14:53:45
|
Ho fatto quello che mi hai chiesto e questo è il file di avenger dopo la "pulizia" (quello di prima non riseco a trovarlo)
htt*://[www].freefilehosting.net/download/3ca49
questo è il file di systemscan:
htt*://[www].freefilehosting.net/download/3ca4b
Il cpu mi da gli stessi problemi di prima (non posso copiare/inollare, non mi fà ricerche, se provo ad abbassare i programmi aperti non me li trovo più, execel mi si chiude da solo ogni volta che l'apro....
Probabilmente ho causato qualche problema al sistema data la mia poca esperienza nel settore...
C'è qualche speranza?
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 20/02/2008 : 23:09:56
|
allora.. 2 cose: in un primo passaggio riesegui avenger con tutti i file. Subito dopo esegui gmer.
Citazione:
files to delete:
C:\WINDOWS\TEMP\BN2.tmp
C:\WINDOWS\SYSTEM32\WLCtrl32.dll
C:\WINDOWS\SYSTEM32\LogCrypt.dll
C:\WINDOWS\system32\5_exception.nls
C:\WINDOWS\system32\qmopt.dll
C:\WINDOWS\system32\Choice[.com]
C:\DOCUME~1\v2\IMPOST~1\Temp\A.tmp
C:\DOCUME~1\v2\IMPOST~1\Temp\2.tmp
C:\DOCUME~1\v2\IMPOST~1\Temp\bt7370.bat
c:\windows\System32\Drivers\Msy74.sys
registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LogCrypt
Scompatta gmer in una cartella non temporanea, eseguilo, clicca su >>> ed esegui le scansioni "autostart" e "rootkit":
per entrambe le scansioni clicca su "scan" - attendi la fine della scansione - clicca su "copy" - apri un nuovo file blocco note (.txt) - incolla e salva.
Dimmi (ed elimina) eventuali files in rosso.
|
|
|
|
Durruti
Junior Member
51 Messaggi |
Inserito il - 21/02/2008 : 12:19:51
|
Grazie ancora per l'interessamento
Allora, ho eseguito Avenger, e questo è il riepilogo:
htt*://[www].freefilehosting.net/download/3cb4j
Ho eseguito Gmer (Autostart e questo è il riepilogo:
htt*://[www].freefilehosting.net/download/3cb4k
Invece non riesco ad effettuare lo scan per i Rookit (clicco sopra l'icona "scan" ma non succede niente.
Per il momnento non ho trovato files in rosso.
Prenoto per Lourdes o aspetto ancora?
|
|
|
|
Discussione |
|
BIG troubles
Forum Bloccato
