| Autore |
 Discussione  |
|
maxaro
Senior Member
Città: Taviano
102 Messaggi |
 Inserito il - 26/03/2008 : 17:01:26
|
Salve vi posto il mio file del pc(suspect file)htt*://[www].freefilehosting.net/download/3e78j
Sto facendo una scansione con Bit defender on-line appena finisco vi posto anche quella...
intanto vi dico cosa ha trovato
RUNME.EXE
880028.EXE
INSTALLER_ABR[1].EXE
XPantivirus_v28[1].exe
mediatubecodec[1].exe
freescan[1].exe
wise0013
|
|
|
maxaro
Senior Member
Città: Taviano
102 Messaggi |
Inserito il - 26/03/2008 : 17:37:02
|
| questo è il file di BIT DEFENDER ON LINE htt*://[www].freefilehosting.net/download/3e79b |
 |
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 26/03/2008 : 20:19:29
|
 ah.. hai fatto già tutto.. questa si che è una buona abitudine.. (sorrido) Ma bitdefender ha guardato solo nei temp, backups e ripristino? Lo controllo e ti faccio sapere..
edit: (non ho fatto in tempo a vederlo tutto.. ma dovrebbe bastare questo)
scarica Avenger, CCleaner e SmitfraudFix
Disconnetti il pc da internet
Disattiva il ripristino configurazione di sistema: start -> pannello di controllo -> sistema -> ripristino configurazione di sistema -> spunta "disattiva ripristino configuraz. di sistema"
esegui avenger e copia/incolla nel box bianco:
Citazione:
files to delete:
C:\WINDOWS\bokpkov.dll
C:\WINDOWS\altvxvm.dll
C:\WINDOWS\drnpfdxlgp.dll
C:\WINDOWS\etlrlws.dll
C:\WINDOWS\fmsxwqs.exe
C:\WINDOWS\privacy_danger
registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | bokpkov
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | altvxvm
registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3C287E30-797D-4D31-A616-30B79700243A}
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato
Esegui CCleaner e ripulisci sia i file temporanei e cookie (2 volte) che il registro.
entra in modalità provvisoria ed esegui SmitfraudFix.
Seleziona l'opzione 2 (Clean) e premi invio (elimina i file infetti). Alla domanda "Registry cleaning - Do you want to clean the registry ?", digita "Y" e dai l'invio (rimuove tutto quanto associato con l'infezione - se non erro reimposta lo sfondo del desktop, quindi il tuo potrebbe sparire).
Il computer si riavviera' per completare il processo di pulizia (altrimenti riavvialo tu in modalita' normale). Sul desktop verra' visualizzato un file di testo con risultati: dovresti trovare questo report anche in C:\rapport.txt.
Posta il log di SmitfraudFix
edit2: non abbiamo ancora finito, l'ho visto ora.. comincia ad eseguire quanto ti ho indicato.
Poi esegui hjt e fixa la O17 con 85.255.113.92,85.255.112.83
Poi ti dirò cos'altro fare.
Ciao |
Modificato da - Sibilla in data 26/03/2008 21:27:56 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 26/03/2008 : 23:19:25
|
per quanto riguarda:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ---> "System"="kdqid.exe" ---> c:\WINDOWS\system32\kdqid.exe
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
\{0E31367A-0554-4C0B-9EF2-8F81E626057B} NameServer= 85.255.113.92,85.255.112.83
\{5B6DE689-C30A-47D4-BEAE-95F0EB0A356B} NameServer= 85.255.113.92,85.255.112.83
\{F048BB38-9A4D-44FC-B2AE-113197F088F2} NameServer= 85.255.113.92,85.255.112.83
-------------------------------------
Scarica htt*://downloads.subratam.org/Fixwareout.exe e salvarlo sul desktop
Disconnetti il pc da internet.
Apri il registro (start => esegui => digita regedit e dai l'ok).
Clicca su "Risorse del computer", poi su "file" => esporta => salva la copia del registro in c:\
Esegui Fixwareout - clicca su "Next" - "Install" - verifica che sia spuntato "Run fixit" - clicca su "Finish".
Farà lui le correzioni. Segui le istruzioni e riavvia il pc quando richiesto.
Allega il rapporto c:\fixwareout\report.txt
Prova a connettere il pc ad internet, se non ci riesci:
1) clicca su start - pannello di controllo - connessioni di rete
clicca con il tasto destro del mouse sulla tua connessione - seleziona proprietà - doppio click su "Protocollo Internet(TCP/IP)" - seleziona "ottieni indirizzo server DNS automaticamente" - dai l'ok - riavvia il pc
2) clicca su Start - esegui - digita "cmd" - dai l'ok
al promt dei comandi digita ipconfig /flushdns e invio
Riavvia il computer
Verifica se c'è il file c:\WINDOWS\system32\kdqid.exe (se lo trovi lo elimini)
Esegui un nuovo systemscan.
|
|
|
|
maxaro
Senior Member
Città: Taviano
102 Messaggi |
Inserito il - 27/03/2008 : 09:27:59
|
ok sibilla.... SEMPRE VELOCE PRECISA E PUNTUALE !!! appena finisco ti faccio sapere qualcosa...
P:S hai visto k sto imparando qualcosa.....!!
|
|
|
|
maxaro
Senior Member
Città: Taviano
102 Messaggi |
 Inserito il - 27/03/2008 : 09:42:26
|
c'è solo un piccolo problema..... non mi fà esportare le chiavi di registro......!!! ke devo fa???????????
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 27/03/2008 : 10:38:43
|
Citazione:
Messaggio inserito da maxaro
non mi fà esportare le chiavi di registro......!!!
ciao maxaro,
a quale passaggio ti tiferisci? Devi salvare solo 1 copia del registro.. |
|
|
|
maxaro
Senior Member
Città: Taviano
102 Messaggi |
Inserito il - 27/03/2008 : 18:54:16
|
Ho fatto tutto..... senza problemi ... ma qlc è rimasto....!!! mi sai dire cosa????
ti posto tutto
htt*://[www].freefilehosting.net/download/3e8g9 avenger
htt*://[www].freefilehosting.net/download/3e8ga fixwareout
htt*://[www].freefilehosting.net/download/3e8gb hjt (ho eliminaTO le ultime due dellla 04 e le utime due della 024
htt*://[www].freefilehosting.net/download/3e8gc hjt dopo scansione
htt*://[www].freefilehosting.net/download/3e8gd suspect file dopo la scansione
fammi sapere cosa devo fare grazie |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 28/03/2008 : 12:40:57
|
una sola domanda.. perche' hai cambiato le estensioni dei file dopo aver postato systemscan e senza aspettare una risposta?
avenger non ha eliminato i files perche' giustamente non corrispondevano
hai ancora i file infetti, anche se inattivi, nel pc... che faccio, ti preparo un altro script o li elimini tu a mano?  opto per la seconda
si, queste puoi fixarle
O3 - Toolbar: (no name) - {2F63DD45-30A0-422E-AF1E-01DD88BA9A5C} - (no file)
O24 - Desktop Component 1: Privacy Protection - file:///C:\WIND OWS\privacy_danger\index.htm
O15 - Trusted Zone: htt*://w ww.archiviosex.net
O15 - Trusted Zone: htt*://w ww.contentdiscount.info
O15 - Trusted Zone: htt*://w ww.extremeaccess.info
O15 - Trusted Zone: *.realsearch.cc
O15 - Trusted Zone: w ww.sgnappo[.com]
e SmitfraudFix avrebbe dovuto rimuovere C:\WINDOWS\privacy_danger. Lo hai eseguito? Se si, allora la cartella privacy_danger non c'e' e c'e' solo la voce in hjt (anche se SmitfraudFix ripulisce anche il registro.. mah).
|
Modificato da - Sibilla in data 28/03/2008 12:42:05 |
|
|
|
maxaro
Senior Member
Città: Taviano
102 Messaggi |
Inserito il - 28/03/2008 : 14:40:48
|
allora sibilla andiamo piano
1) non ho cambiato nessuan estenzione dei file oppure non ho capito a aule file ti riferisci
2)se mi prepari un altro script ti ringrazio 
3)SmitfraudFix l'ho eseguito ha tolto i file infetti ma poi non si riavviava il pc e quindi ho chiuso il programma manualmente HO SBAGLIATO!
4)aspetto tue notizie
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 28/03/2008 : 15:39:44
|
ti faccio vedere, allora, una cosa strana....
Systemscan Date: 26/03/2008 Time: 15.56.36
Post Inserito il - 26/03/2008 : 17:01:26
20/03/2008 - 11.07.42 - 266240 byte 6 days old -- bokpkov.dll
20/03/2008 - 11.07.42 - 241664 byte 6 days old -- altvxvm.dll
20/03/2008 - 11.07.44 - 245760 byte 6 days old -- drnpfdxlgp.dll
20/03/2008 - 11.07.46 - 204800 byte 6 days old -- etlrlws.dll
20/03/2008 - 11.07.46 - 94208 byte 6 days old -- fmsxwqs.exe
Systemscan Date: 27/03/2008 Time: 17.21.19
26/03/2008 - 18.07.10 - 241664 byte 1 days old -- altvxvm.dll.Vvir
26/03/2008 - 18.07.20 - 266240 byte 1 days old -- bokpkov.Vdll
26/03/2008 - 18.07.24 - 245760 byte 1 days old -- DRNPFDXLGP.VVDLL
26/03/2008 - 18.07.27 - 204800 byte 1 days old -- ETLRLWS.VVDLL
26/03/2008 - 18.07.32 - 94208 byte 1 days old -- fmsxwqs.Vexe
26/03/2008 - 17.50.33 - 73748 byte 1 days old -- kdqid.exe.vir
Allora non so proprio cosa possa essere successo subito dopo aver postato... tra l'altro sono estensioni diverse.. guarda le dll..
edit:
comunque devi eliminarli.
|
Modificato da - Sibilla in data 28/03/2008 16:11:30 |
|
|
|
maxaro
Senior Member
Città: Taviano
102 Messaggi |
Inserito il - 28/03/2008 : 16:07:41
|
quando stavo cancellando il virus... nod32 mi segnalava alcuni virus ....!!!
altvxvm.dll.Vvir
bokpkov.Vdll
2DRNPFDXLGP.VVDLL
ETLRLWS.VVDLL
fmsxwqs.Vexe
kdqid.exe.vir
NON SO K PUò ESSERE!!!! secondo te k dovrei fare.....??? |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 28/03/2008 : 16:22:10
|
Citazione:
Messaggio inserito da maxaro
quando stavo cancellando il virus... nod32 mi segnalava alcuni virus ....!!!
...quindi dici che potrebbe essere stato NOD32 a cambiare le estensioni? ...che ti devo dire.. ci vuole fede, anche se io preferirei una conferma.. Cmq se ne e' accorto con 6 gg di ritardo..
esegui avenger:
Citazione:
files to delete:
C:\WINDOWS\altvxvm.dll.Vvir
C:\WINDOWS\bokpkov.Vdll
C:\WINDOWS\DRNPFDXLGP.VVDLL
C:\WINDOWS\ETLRLWS.VVDLL
C:\WINDOWS\fmsxwqs.Vexe
C:\WINDOWS\system32\kdqid.exe.vir
folders to delete:
C:\WINDOWS\privacy_danger
|
Modificato da - Sibilla in data 28/03/2008 16:26:52 |
|
|
|
maxaro
Senior Member
Città: Taviano
102 Messaggi |
Inserito il - 28/03/2008 : 19:58:43
|
ho fatto un'altra scansione con hjt ....!!! ti posto il tutto
htt*://[www].freefilehosting.net/download/3ea2l
non ho eseguito AVENGER.....!! secondo te lo devo fare???? oppure basta così
grazie..... |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 28/03/2008 : 21:40:14
|
ciao maxaro... oggi mi avevi mandato un pm indicandomi le O15 da faxare (secondo te..) e so che avrai sicuramente notato che ci sono ancora.
ti consiglio di ripetere tutto quello che ti ho indicato oggi..
|
|
|
|
maxaro
Senior Member
Città: Taviano
102 Messaggi |
Inserito il - 31/03/2008 : 00:00:17
|
ok.... forse devo fare come hai detto tu....!!!
ma ti basta il post di HJT oppure devo usare il bellissimo SUSPECT FILE?????
|
|
|
|
Discussione |
|
HO UN Pò DI VIRUS (RUNME.EXE)
Forum Bloccato
