| Autore |
 Discussione  |
|
iamone
Junior Member
Città: rome
52 Messaggi |
 Inserito il - 24/02/2008 : 14:59:32
|
Salve a tutti,
sono nuovo del forum e vorrei se possibile avere la vostra consulenza in merito a problemi di navigazione. Quando apro firefox non sempre ma spesso mi apre altre finestre di siti con strani nomi, ora quelli che ricordo è tipo "senza doppioni[.com]" e "fp.empc" dove c'è un avviso riguardo a probabili virus nel mio computer. Ho gia scaricato alcuni spyblaster,a-squared ecc ecc trovati navigando nei vari forum. In uno di questi forum proprio su notrace.it si parlava di uno strano "virus" che farebbe comparire file csrss.exe e services.exe nel task manager. Io sono un po' ignorante ma nel task manager c'è il file services.exe che mi utilizza il 17% della cpu e pochi giorni fa non c'era. Comunque tornando al forum era stato consigliato l'uso di hijackthis ed il problema risolto. Ho fatto tutto ma non saprei che fare vi posto il log e vi sarei molto grato per un eventuale aiuto.
Scusate se sono stato prolisso e grazie anticipatamente!
Sotto il link del mio log
[url][htt*://[www].freefilehosting.net/download/3cfmb]
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/02/2008 : 15:06:46
|
da installazione applicazioni disinstalla MessengerSkinner.
Provvedi a cercare nel pc eventuali altre cartelle con quel nome ed eliminale. La prima la trovi in C:\Programmi\MessengerSkinner.
Fatto questo, riposta un nuovo log di hjt |
 |
|
|
iamone
Junior Member
Città: rome
52 Messaggi |
Inserito il - 24/02/2008 : 15:14:43
|
Citazione:
Messaggio inserito da Sibilla
da installazione applicazioni disinstalla MessengerSkinner.
Provvedi a cercare nel pc eventuali altre cartelle con quel nome ed eliminale. La prima la trovi in C:\Programmi\MessengerSkinner.
Fatto questo, riposta un nuovo log di hjt
ok ma gia avevo disinstallato skinner provo a riavviare,
grazie!
Modifico aggiungendo il nuovo link
[url][htt*://[www].freefilehosting.net/download/3cfmk] |
Modificato da - iamone in data 24/02/2008 15:20:23 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/02/2008 : 15:27:20
|
ok, se il programma non c'è già più allora fixa da hjt queaste voci:
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\RunOnce: [SpybotDeletingA7713] command /c del "C:\Programmi\MessengerSkinner\download\defaultPack .cab"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6481] cmd /c del "C:\Programmi\MessengerSkinner\download\defaultPack .cab"
O4 - HKLM\..\RunOnce: [SpybotDeletingA579] command /c del "C:\Programmi\MessengerSkinner\resources\appconfig.xml"
O4 - HKLM\..\RunOnce: [SpybotDeletingC2013] cmd /c del "C:\Programmi\MessengerSkinner\resources\appconfig.xml"
O4 - HKLM\..\RunOnce: [SpybotDeletingA5538] command /c del "C:\Programmi\MessengerSkinner\resources\btn.rgn"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9414] cmd /c del "C:\Programmi\MessengerSkinner\resources\btn.rgn"
O4 - HKLM\..\RunOnce: [SpybotDeletingA8823] command /c del "C:\Programmi\MessengerSkinner\resources\btnBnr.rgn"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5000] cmd /c del "C:\Programmi\MessengerSkinner\resources\btnBnr.rgn"
O4 - HKCU\..\Run: [messengerskinner] C:\Programmi\MessengerSkinner\MessengerSkinner.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB4465] command /c del "C:\Programmi\MessengerSkinner\download\defaultPack .cab"
O4 - HKCU\..\RunOnce: [SpybotDeletingD375] cmd /c del "C:\Programmi\MessengerSkinner\download\defaultPack .cab"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9575] command /c del "C:\Programmi\MessengerSkinner\resources\appconfig.xml"
O4 - HKCU\..\RunOnce: [SpybotDeletingD5795] cmd /c del "C:\Programmi\MessengerSkinner\resources\appconfig.xml"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3080] command /c del "C:\Programmi\MessengerSkinner\resources\btn.rgn"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6439] cmd /c del "C:\Programmi\MessengerSkinner\resources\btn.rgn"
O4 - HKCU\..\RunOnce: [SpybotDeletingB5527] command /c del "C:\Programmi\MessengerSkinner\resources\btnBnr.rgn"
O4 - HKCU\..\RunOnce: [SpybotDeletingD2307] cmd /c del "C:\Programmi\MessengerSkinner\resources\btnBnr.rgn"
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/02/2008 : 15:28:52
|
ok, restano:
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [messengerskinner] C:\Programmi\MessengerSkinner\MessengerSkinner.exe
edit: da hijackthis non vedo altro.
se riscontri ancora problemi, scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => spunta tutte le opzioni => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi in C:\Suspectfile su Freefilehosting e posta il link ottenuto.
|
Modificato da - Sibilla in data 24/02/2008 15:32:48 |
|
|
|
iamone
Junior Member
Città: rome
52 Messaggi |
Inserito il - 24/02/2008 : 15:29:51
|
Chiedo scusa non avevo eliminato tutto, ma ora si questo l'ultimo log.
[url][htt*://[www].freefilehosting.net/download/3cg04] |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/02/2008 : 15:35:11
|
esegui quello che ho scritto nel precedente post  |
|
|
|
iamone
Junior Member
Città: rome
52 Messaggi |
Inserito il - 24/02/2008 : 15:40:48
|
Fatto e sembra tutto ok!Anche se services.exe utilizza il 17% dela cpu non appaiono quelle fastidios finestre.
Grazie infinite Sibilla |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/02/2008 : 15:43:16
|
 facciamo così, esegui comunque systemscan, va...
A parte fixare le voci cos'altro hai fatto esattamente? |
|
|
|
iamone
Junior Member
Città: rome
52 Messaggi |
Inserito il - 24/02/2008 : 15:57:47
|
Citazione:
Messaggio inserito da Sibilla
facciamo così, esegui comunque systemscan, va...
A parte fixare le voci cos'altro hai fatto esattamente?
Niente altro oltre a fixare quelle 2 linee.Cmq ho appena riavviato e mi ha mandato su ebay senza che io volessi.
nuovo link[url][htt*://[www].freefilehosting.net/download/3cg10] |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/02/2008 : 16:19:42
|
meglio se esegui systemscan come ti ho indicato. Non appena posso te lo controllo (è un rapporto molto lungo  ) |
|
|
|
iamone
Junior Member
Città: rome
52 Messaggi |
Inserito il - 25/02/2008 : 10:30:19
|
Scusa,
non avevo visto l'edit precedente,ora ho fatto tutto ed ecco qui il report di systemscan
[url][htt*://[www].freefilehosting.net/download/3cgeb]
Le pagine [www].fp-pc....-> il tuo computer è infetto si consiglia di ecc ecc me le apre ancora a suo piacimento.
Grazie ancora moltissimo |
Modificato da - iamone in data 25/02/2008 10:32:19 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 25/02/2008 : 11:31:12
|
ok ok, se e' solo questo e' una sciocchezza, allora..
Copia o stampa queste indicazioni (prendi nota dei colori):
Scarica navilog1.exe_il mafioso sul desktop e installalo.
Lancialo in modalita' normale, ti guiderà lui. Al menù di scelta seleziona l'opzione 1 (non scegliere le altre).
Ad un certo punto uscirà una scritta "Analysis ... Terminate", premi un tasto come richiesto e si aprirà un file di testo (il rapporto della scansione).
Devi trovare una parte di testo come il seguente:
Citazione:
File (s) (s) nascosti (hidden) nella cartella C:\...:
C:\documents and settings\Oem\impostazioni locali\dati applicazioni\hztfhbug.dat
C:\documents and settings\Oem\impostazioni locali\dati applicazioni\hztfhbug.exe
C:\documents and settings\Oem\impostazioni locali\dati applicazioni\hztfhbug_nav.dat
C:\documents and settings\Oem\impostazioni locali\dati applicazioni\hztfhbug_navps.dat
Processo di nascosto (s) in C:\...:
C:\documents and settings\Oem\impostazioni locali\dati applicazioni\hztfhbug.exe
(NB: questa e' l'infezione attuale ma i nomi potrebbero essere diversi)
La parte in in blu è tipica dell'infezione NaviPromoe e va tralasciata.
La parte in in rosso è una sequenza di caratteri casuali, diversi di caso in caso: devi prendere nota di questa parte del nome, ok???
Dovrebbe essere esattamente quella che ti ho indicato ma controlla comunque.
Riavvia il computer in modalità provvisoria: all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8. Uscirà la finestra del menu Opzioni avanzate di Windows => scegli modalità provvisoria (usa il tasto freccia ^).
Lancia nuovamente Navilog1 e scegli l'opzione 4 (Disinfezione manuale per nome),
inserisci il nome corrispondente alla parte fissa del nome (cioe' solo hztfhbug, per intenderci) e confermalo (ridigitandolo) quando richiesto.
A questo punto, ripulirà c:\documents and settings\Oem\impostazioni locali\dati applicazioni dai file infetti.
Quando finisce, riavvia il pc in modalità normale.
Apri il registro (start - esegui - digita regedit e dai l'ok)
Segui questi percorsi:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AutorunsDisabled
per ciascuno di loro, guarda nella finestra a destra e individua:
"hztfhbug "="c:\documents and settings\Oem\impostazioni locali\dati applicazioni\hztfhbug.exe hztfhbug"
(o il nome che hai trovato nella scansione), clicca sul nome con il tasto destro del mouse e seleziona elimina.
Fai una scansione con Kaspersky_virusscanner.
Si dovrebbe anche disinstallare un programma che hai scaricato (quello che ti ha infettato)..
Vedo un po' quale potrebbe essere.
---
Procedura illustrativa/esplicativa.... ora e' meglio se lavoro un po'..  |
Modificato da - Sibilla in data 25/02/2008 11:32:08 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 25/02/2008 : 11:35:05
|
ah si, dovrebbe eliminarlo lui, comunque svuota la cartella C:\WINDOWS\Prefetch\HZTFHBUG.EXE-07978761.pf 27028 bytes
Per il resto del rapporto ti faccio sapere piu' tardi. |
Modificato da - Sibilla in data 25/02/2008 11:49:12 |
|
|
|
iamone
Junior Member
Città: rome
52 Messaggi |
Inserito il - 25/02/2008 : 11:58:05
|
Mamma mia che precisione ora eseguo il tutto.
Non smetto più di ringraziarti della disponibilità ma lo rifaccio,
grazie mille
Ho fatto tutto nei minimi dettagli ma niente le finestre malefiche sono ancora qui purtroppo tra l'altro non mi fa scansionare con kaspersky |
Modificato da - iamone in data 25/02/2008 12:59:26 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 25/02/2008 : 13:53:39
|
questa infezione si prende quando si scarica un programma infetto.
cerca di ricordare cosa puoi aver scaricato da internet.
scarica CCleaner, ripulisci i temp (eseguilo 2 volte).
Esegui hijackthis, clicca su "Open the Misc Tools section" - "Open ADS Spy" - "Scan". Se rileva ADS spunta voci e clicca su "remove selected".
scarica SmitfraudFix, e fai una scansione (da modalità normale): seleziona l'opzione 1 (Search) e premi invio. Ti verra' visualizzato un file di testo, dovresti trovare questo report anche in C:\rapport.txt (NB: process.exe da alcuni antivirus viene rilevato come virus, ovviamente non lo e'). Posta il log di SmitfraudFix
mi posti anche una nuova scansione di systemscan e una nuova di navilog (quella da modalita' normale)?
ciao
|
Modificato da - Sibilla in data 25/02/2008 14:03:41 |
|
|
|
Discussione |
|
Problema navigazione
Forum Bloccato
