| Autore |
 Discussione  |
|
ileus
Average Member
84 Messaggi |
 Inserito il - 14/04/2008 : 23:47:30
|
Ciao!
Il mio computer segnala due virus, un Trojan Horse e un altro denominato worm autorun..non so di cosa si tratti, se è grave, ma il mio computer non riesce a eliminarli!
avevo già chiesto siuto e siete stati gentilissimi!
io ho caricato il report su free hosting, qst è li link:
htt*://[www].freefilehosting.net/download/3fc22
File Name: 14_04_2008_23_37_report.zip
File Size: 47 kilobytes
mi aiutate per favore?!
grazie mille 
|
Modificato da - ileus in Data 14/04/2008 23:50:00
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 14/04/2008 : 23:52:11
|
uhmm il tempo di prepararti lo script.. ..
EDIT:
scarica Avenger e CCleaner
esegui avenger e nella finestra copia/incolla:
Citazione:
files to delete:
C:\WINDOWS\system32\ctfmon.exe
c:\windows\system32\updxbkrk.exe
C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\hszxga.exe
files to move:
C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe | C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
C:\Programmi\Apoint2K\bak\Apoint.exe | C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\Canon\Easy-PrintToolBox\bak\BJPSMAIN.EXE | C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE
C:\Programmi\File comuni\Symantec Shared\bak\ccApp.exe | C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\bak\UsrPrmpt.exe | C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programmi\NewSoft\Smart Start UP\bak\PnPDetect.exe | C:\Programmi\NewSoft\Smart Start UP\PnPDetect.exe
C:\Programmi\Norton Internet Security\bak\cfgwiz.exe | C:\Programmi\Norton Internet Security\cfgwiz.exe
C:\Programmi\Norton Internet Security\bak\UrlLstCk.exe | C:\Programmi\Norton Internet Security\UrlLstCk.exe
C:\Programmi\Toshiba\E-KEY\bak\CeEKey.exe | C:\Programmi\Toshiba\E-KEY\CeEKey.exe
C:\Programmi\Toshiba\TOSCDSPD\bak\toscdspd.exe | C:\Programmi\Toshiba\TOSCDSPD\toscdspd.exe
C:\Programmi\Toshiba\TOSHIBA Applet\bak\HWSetup.exe | C:\Programmi\Toshiba\TOSHIBA Applet\HWSetup.exe
C:\Programmi\Toshiba\TOSHIBA Zooming Utility\bak\SmoothView.exe | C:\Programmi\Toshiba\TOSHIBA Zooming Utility\SmoothView.exe
C:\Programmi\Toshiba\Touch and Launch\bak\PadExe.exe | C:\Programmi\Toshiba\Touch and Launch\PadExe.exe
C:\Programmi\Toshiba\TouchPad\bak\TPTray.exe | C:\Programmi\Toshiba\TouchPad\TPTray.exe
C:\Programmi\Toshiba\Tvs\bak\TvsTray.exe | C:\Programmi\Toshiba\Tvs\TvsTray.exe
C:\Programmi\Toshiba\Windows Utilities\bak\SVPWUTIL.exe | C:\Programmi\Toshiba\Windows Utilities\SVPWUTIL.exe
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\bak\hkcmd.exe | C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\bak\igfxpers.exe | C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\bak\igfxtray.exe | C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\dla\bak\tfswctrl.exe | C:\WINDOWS\system32\dla\tfswctrl.exe
registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | updxbkrk
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hszxga.exe
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato
Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte)
vai in C:\WINDOWS\tasks\ ed elimina tutti i files job eccetto questi:
Citazione:
C:\WINDOWS\tasks\desktop.ini
C:\WINDOWS\tasks\Symantec NetDetect.job
C:\WINDOWS\tasks\Promemoria registrazione 1.job
C:\WINDOWS\tasks\Promemoria registrazione 2.job
C:\WINDOWS\tasks\Promemoria registrazione 3.job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Norton Security Scan.job
C:\WINDOWS\tasks\SA.DAT
che rivedremo con calma.
riposta un nuovo systemscan
|
Modificato da - Sibilla in data 15/04/2008 00:25:08 |
 |
|
|
ileus
Average Member
84 Messaggi |
Inserito il - 14/04/2008 : 23:53:35
|
Ok grazie!  |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 15/04/2008 : 00:29:04
|
continuando con il rapporto, vedo che c'è anche dell'altro..
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pe386
comincia ad eseguire quella procedura..
Una volta completata, esegui questa procedura
htt*://[www].notrace.it/rimozione-rustock.htm
per, appunto, rimuovere il rustock
Vediamo se va bene per te.. Se non funge, proviamo altre strade.
Una domanda: hai il cd d'installazione di windows?
...Magari il nuovo avenger disabilita anche questo servizio
|
Modificato da - Sibilla in data 15/04/2008 00:59:32 |
|
|
|
ileus
Average Member
84 Messaggi |
Inserito il - 15/04/2008 : 10:56:30
|
Eccomi qua, ho fatto le prime procedure e caricate su file hosting.
htt*://[www].freefilehosting.net/download/3fc83
htt*://[www].freefilehosting.net/download/3fc8b
ora continnuo a fare ciò che mi hai scritto..
cd windows..mmmm.mi sa di no!ma lo trovo in qlc modo! |
|
|
|
ileus
Average Member
84 Messaggi |
Inserito il - 15/04/2008 : 11:08:36
|
Ho scaricato Rustock Remova tool, ma dice di non trovare nulla.
|
|
|
|
ileus
Average Member
84 Messaggi |
Inserito il - 15/04/2008 : 11:24:27
|
Ho problemi con qst passaggio quA:
Scaricare RegRun Reanimator
Decomprimere il contenuto della cartella Reanimator in una cartella dedicata
Avviare il file reanimator.exe
Cliccare su Remove Rustock Rootkit
Il software chiederà di avviare l'utility rootkit NO
Avviarlo
Chiederà di riavviare il computer per rimuovere il rustock.
Riavviare il sistema.
Non riesco a scaricarlo!che versione?platino?oro?
uff che imbranata che sono! |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 15/04/2008 : 11:37:12
|
vedo che il rustock non c'e' nei processi pero' resta il servizio. Avenger ha provveduto a disabilitarlo..
Citazione:
Beginning to process script file:
Rootkit scan active.
Hidden driver "pe386" found!
DisplayName: Win23 lzx files loader
ImagePath: \??\C:\WINDOWS\system32\lzx32.sys
Driver disabled successfully.
Ora..
Apri il registro (start => esegui => digita regedit e dai l'ok).
Clicca su "Risorse del computer", poi su "file" => esporta => salva la copia del registro in c:\ e chiudi il registro.
se non l'hai fatto (e comunque controlla) disattiva il ripristino configurazione di sistema: start -> pannello di controllo -> sistema -> ripristino configurazione di sistema -> spunta "disattiva ripristino configuraz. di sistema"
crea una cartella in c:\ chiamata pluto
esegui avenger:
Citazione:
files to delete:
C:\WINDOWS\system32\lzx32.sys
C:\WINDOWS\system32\OP6ej2et.dll
C:\Documents and Settings\Proprietario\325151534.dll
C:\WINDOWS\tasks\mdedjulo.job
C:\WINDOWS\tasks\vaaunrq.job
C:\WINDOWS\tasks\ifptq.job
C:\WINDOWS\tasks\wsyfkyq.job
C:\WINDOWS\tasks\sddnj.job
C:\WINDOWS\tasks\vfsxej.job
C:\WINDOWS\tasks\wyqwb.job
C:\WINDOWS\tasks\ftjfvsg.job
C:\WINDOWS\tasks\lzsps.job
C:\WINDOWS\tasks\lcmy.job
C:\WINDOWS\tasks\gkxbx.job
C:\WINDOWS\tasks\smuwgpw.job
C:\WINDOWS\tasks\ljnknnz.job
C:\WINDOWS\tasks\slm.job
C:\WINDOWS\tasks\bgj.job
C:\WINDOWS\tasks\uehgkfi.job
C:\WINDOWS\tasks\yvimly.job
C:\WINDOWS\tasks\kvh.job
C:\WINDOWS\tasks\wbpez.job
C:\WINDOWS\tasks\sog.job
C:\WINDOWS\tasks\gphur.job
C:\WINDOWS\tasks\xdcxjah.job
C:\WINDOWS\tasks\bvulbqj.job
C:\WINDOWS\tasks\prgxpz.job
C:\WINDOWS\tasks\ybiceg.job
C:\WINDOWS\tasks\jmgz.job
C:\WINDOWS\tasks\zpkg.job
C:\WINDOWS\tasks\aaenoe.job
C:\WINDOWS\tasks\zgn.job
C:\WINDOWS\tasks\fuv.job
C:\WINDOWS\tasks\xqrzoj.job
C:\WINDOWS\tasks\ixus.job
C:\WINDOWS\tasks\fyvbj.job
C:\WINDOWS\tasks\hukawufl.job
C:\WINDOWS\tasks\yfwogzt.job
C:\WINDOWS\tasks\mtcxiiez.job
C:\WINDOWS\tasks\ifyhcx.job
C:\WINDOWS\tasks\mnp.job
C:\WINDOWS\tasks\qnzdhzl.job
C:\WINDOWS\tasks\lpszul.job
C:\WINDOWS\tasks\mkoqa.job
C:\WINDOWS\tasks\mevjal.job
C:\WINDOWS\tasks\iwkysoqk.job
C:\WINDOWS\tasks\nwhzrbcy.job
C:\WINDOWS\tasks\aauq.job
C:\WINDOWS\tasks\jmxom.job
C:\WINDOWS\tasks\zdtnxl.job
C:\WINDOWS\tasks\ilnqrda.job
C:\WINDOWS\tasks\eyu.job
C:\WINDOWS\tasks\jdkfnhc.job
C:\WINDOWS\tasks\wzsajpwr.job
C:\WINDOWS\tasks\fqv.job
C:\WINDOWS\tasks\rgo.job
C:\WINDOWS\tasks\dfxzqc.job
C:\WINDOWS\tasks\emp.job
C:\WINDOWS\tasks\psg.job
C:\WINDOWS\tasks\loylfun.job
C:\WINDOWS\tasks\zqn.job
C:\WINDOWS\tasks\ixo.job
C:\WINDOWS\tasks\cwjm.job
C:\WINDOWS\tasks\iyltz.job
C:\WINDOWS\tasks\myebnieq.job
C:\WINDOWS\tasks\kucaly.job
C:\WINDOWS\tasks\kefyxe.job
C:\WINDOWS\tasks\pnb.job
C:\WINDOWS\tasks\tyxqwes.job
C:\WINDOWS\tasks\zzqzhg.job
c:\windows\system32\updxbkrk.exe
C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\hszxga.exe
folders to delete:
C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\bak
C:\Programmi\Adobe\Acrobat 7.0\Reader\bak
C:\Programmi\Apoint2K\bak
C:\Programmi\Canon\Easy-PrintToolBox\bak
C:\Programmi\File comuni\Symantec Shared\bak
C:\Programmi\File comuni\Symantec Shared\Security Center\bak
C:\Programmi\Messenger\bak
C:\Programmi\NewSoft\Smart Start UP\bak
C:\Programmi\Norton Internet Security\bak
C:\Programmi\Toshiba\E-KEY\bak
C:\Programmi\Toshiba\TOSCDSPD\bak
C:\Programmi\Toshiba\TOSHIBA Applet\bak
C:\Programmi\Toshiba\TOSHIBA Zooming Utility\bak
C:\Programmi\Toshiba\Touch and Launch\bak
C:\Programmi\Toshiba\TouchPad\bak
C:\Programmi\Toshiba\Tvs\bak
C:\Programmi\Toshiba\Windows Utilities\bak
C:\WINDOWS\system32\bak
C:\WINDOWS\system32\dla\bak
files to move:
C:\WINDOWS\tasks\AppleSoftwareUpdate.job | c:\pluto\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Norton Security Scan.job | c:\pluto\Norton Security Scan.job
C:\WINDOWS\tasks\Symantec NetDetect.job | c:\pluto\Symantec NetDetect.job
C:\WINDOWS\tasks\Promemoria registrazione 1.job | c:\pluto\Promemoria registrazione 1.job
C:\WINDOWS\tasks\Promemoria registrazione 2.job | c:\pluto\Promemoria registrazione 2.job
C:\WINDOWS\tasks\Promemoria registrazione 3.job | c:\pluto\Promemoria registrazione 3.job
registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{14D1A72D-8705-11D8-B120-0040F46CB696}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{85589B5D-D53D-4237-A677-46B82EA275F3}
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | updxbkrk
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hszxga.exe
Drivers to disable:
pe386
lzx32
Drivers to delete:
pe386
lzx32
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.
Posta il report rilasciato da avenger e un nuovo systemscan
NB: i files spostati dovro' controllarli con calma.
|
Modificato da - Sibilla in data 15/04/2008 11:42:14 |
|
|
|
ileus
Average Member
84 Messaggi |
Inserito il - 15/04/2008 : 15:25:25
|
Ecco qua, ho eseguito tutto ciò che mi hai detto:
htt*://[www].freefilehosting.net/download/3fcj0
htt*://[www].freefilehosting.net/download/3fcj1
Come è ora la situazione?
grazieee! |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 15/04/2008 : 17:27:16
|
1.reg, 2.reg, 3.reg, 4.reg ... sono le copie del registro?
svuota la cartella C:\WINDOWS\Prefetch
Allora, il primo dei job messi da parte gia' si e' effettivamente ok C:\WINDOWS\tasks\Symantec NetDetect.job => NDETECT.EXE
Ripristineremo gli altri quando compariranno gli avvisi da parte dei rispettivi files.
Esegui avenger
Citazione:
files to delete:
c:\pluto\Symantec NetDetect.job
registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset001\services\lzx32
HKEY_LOCAL_MACHINE\system\controlset001\services\pe386
HKEY_LOCAL_MACHINE\system\controlset001\enun\root\legacy_lzx32
HKEY_LOCAL_MACHINE\system\controlset001\enun\root\legacy_pe386
HKEY_LOCAL_MACHINE\system\currentcontrolset\enun\root\legacy_lzx32
HKEY_LOCAL_MACHINE\system\currentcontrolset\enun\root\legacy_pe386
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato
Come va ora il pc? La tua infezione partiva da 14 mesi fa.. fossi in te, farei qualche scansione/controllo log di hijackthis in più, di tanto in tanto :)
|
|
|
|
ileus
Average Member
84 Messaggi |
Inserito il - 15/04/2008 : 17:50:16
|
Hai ragione!Ma l'ho pure portato due volte in un negozio specializzato-e pagato abbstanza, ma a quanto pare questi non hanno fatto nulla...
htt*://[www].freefilehosting.net/download/3fd50 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 15/04/2008 : 17:57:19
|
uhmm?? EHH?? fammi capire, in cosa non hanno fatto nulla? non riguardo l'infezione, vero? 
per ora dovrebbe essere tutto ok.. sei tu che mi devi dire come va
Per me bene, devo solo dare uno sguardo ai servizi.
domani pomeriggio posta un nuovo rapporto di systemscan, così faccio un controllo a 24 ore.. |
|
|
|
ileus
Average Member
84 Messaggi |
Inserito il - 15/04/2008 : 18:03:33
|
Qst è il report System scan di ora
htt*://[www].freefilehosting.net/download/3fd5c |
|
|
|
ileus
Average Member
84 Messaggi |
Inserito il - 15/04/2008 : 18:05:04
|
Loro mi hanno detto di averci lavorato anche sulle infezioni, ma da come dici tu non è vero!Ora il coputer va molto molto meglio, altrochè!
Ancora grazie mille, stragentile, domani posto System scan.. |
|
|
|
ileus
Average Member
84 Messaggi |
Inserito il - 15/04/2008 : 18:07:57
|
| Ho appena provato a scanarizzare con AVG, ma mi segnala sempre questo virus Worm Autorun..è normale? |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 15/04/2008 : 18:08:17
|
o in realtà nn erano tanto competenti in materia o nn avevano voglia  |
|
|
|
Discussione |
|
Altri virus!Chi mi aiuta?!Chi mi controlla il log?
Forum Bloccato
